狡猾的詐騙者和網絡釣魚者通過何種方式欺騙硅谷銀行的客戶

前段時間，硅谷銀行(SVB)倒閉并被美國聯(lián)邦政府接管的新聞已經人盡皆知。崩潰速度之快令人唏噓，各大組織無論規(guī)模如何，預計都將持續(xù)受到影響。

不幸的是，當大家看到的都是悲劇時，威脅行為者看到的是機會。我們又一次見證了這一點：為了攻破信任防線并誘騙毫無戒備的受害者，絕大多數(shù)情況下威脅行為者會使用熱門事件作為誘餌。這些都是跟隨新聞周期或關注已知的知名事件（例如超級碗、NCAA一級男子籃球錦標賽、納稅日、黑色星期五促銷、新冠疫情，等等），因為無論何時，如果消息中提及了當時的熱門話題，用戶就更有可能受到吸引。

SVB新聞周期引發(fā)了一個萬眾矚目的熱門話題，可能被威脅行為者利用；而且，組織必須加強意識宣傳和加以技術控制，以幫助應對威脅行為者最終使用這些策略發(fā)起攻擊，這一點至關重要。可悲的是，盡管FDIC承諾保證SVB客戶的資金安全，但惡意行為者卻試圖竊取他們的資金！

先發(fā)制人的行動

為了應對未來利用SVB事件發(fā)起網絡釣魚攻擊，從2023年3月10日起，Cloudforce One（Cloudflare的威脅運營和研究團隊）大大加強了品牌監(jiān)測，重點關注數(shù)字形式存在的SVB，并推出了幾個額外的檢測模塊來發(fā)現(xiàn)SVB主題的網絡釣魚活動。使用我們的各種網絡釣魚防護服務的所有客戶均會自動獲得這些新模塊的功能。

下面說一個涉及SVB的示例，這是該銀行被FDIC接管之后發(fā)生的真實事件。

KYC網絡釣魚——以DocuSign為主題的SVB活動

威脅行為者經常使用的一個策略是模仿持續(xù)開展的KYC（了解您的客戶）工作。這是銀行為驗證客戶的身份詳情而慣常執(zhí)行的調查，旨在保護金融機構免受欺詐、洗錢和金融犯罪等活動的影響。

2023年3月14日，Cloudflare檢測到一起大型KYC網絡釣魚活動，他們使用DocuSign主題模板并利用SVB品牌。此活動瞄準Cloudflare和幾乎所有行業(yè)的垂直領域。在活動的頭幾個小時內，我們檢測到了79個目標為多個組織中不同個人的示例。Cloudflare發(fā)布了此次活動的一個具體示例，以及所用策略和觀察結果，幫助客戶了解并警惕該活動。

活動詳情

下圖所示的網絡釣魚攻擊發(fā)生于2023年3月14日，目標是Cloudflare的創(chuàng)始人兼首席執(zhí)行官Matthew Prince。它包括HTML代碼，其中包含一個初始鏈接和一個復雜的重定向鏈，有四層之深。該鏈始于用戶點擊“Review Documents”（查閱文檔），然后將用戶轉到一個由Amazon廣告服務器bs【.】serving-sys【.】com支持的Sizmek運行的可追蹤分析鏈接。然后，該鏈接進一步將用戶重定向到一個托管在na2signing【.】web【.】app域上的Google Firebase應用程序。na2signing【.】web【.】app HTML隨后將用戶重定向到一個WordPress網站，但該網站運行的是另一重定向器eaglelodgealaska【.】com。經過最后這次重定向后，用戶轉到了一個由攻擊者控制的docusigning【.】kirklandellis【.】net網站。

運動時間表

2023-03-14T12:05:28Z First Observed SVB DocuSign Campaign Launched

2023-03-14T15:25:26Z Last Observed SVB DocuSign Campaign Launched

簡要了解HTML文件Google Firebase應用程序(na2signing【.】web【.】app)

攻擊中包含的HTML文件將用戶轉到一個具有遞歸重定向能力的WordPress實例。截至本文撰寫之時，我們還不確定這次特定的WordPress安裝是否已經破壞，或者是否安裝了一個插件來打開這個重定向位置。

入侵指標

建議

1.Cloudflare Email Security客戶可以在儀表板上使用以下搜索詞來確定自己是否收到了此活動：

SH_6a73a08e46058f0ff78784f63927446d875e7e045ef46a3cb7fc00eb8840f6f0

客戶還可以通過我們的威脅指標API跟蹤與此活動相關的IOC。任何更新的IOC將持續(xù)推送到相關的API端點。

2.確保您為入站消息適當?shù)貓?zhí)行了DMARC策略。對于入站消息的任何DMARC故障，Cloudflare建議至少使用【p=quarantine】。SVB的DMARC記錄【v=DMARC1;p=reject;pct=100】明確表示，拒絕任何冒充SVB品牌且不是從SVB指定的驗證發(fā)件人列表中發(fā)出的消息。Cloudflare Email Security客戶將根據SVB分布的DMARC記錄自動完成執(zhí)行。對于其他域，或者為了在所有入站消息中應用更廣泛的基于DMARC的策略，Cloudflare建議在其Cloudflare Area 1儀表板內對所有入站郵件堅持使用“增強型發(fā)件人驗證”策略。

3.Cloudflare Gateway客戶會自動獲得保護，免受這些惡意URL和域的影響?？蛻艨梢詸z查這些特定IOC的日志，確定其組織是否有任何傳往這些網站的流量。

4.請與您的網絡釣魚意識與培訓提供商合作，為您的終端用戶部署SVB主題的網絡釣魚模擬（如果他們還未部署）。

5.鼓勵您的終端用戶對任何與ACH（自動清算所）或SWIFT（環(huán)球銀行間金融電信協(xié)會）相關的消息保持警惕。ACH和SWIFT是金融機構使用的實體間電子資金轉移系統(tǒng)。由于這些系統(tǒng)規(guī)模龐大、使用普遍，威脅行為者經常利用ACH和SWIFT網絡釣魚來將付款轉給他們自己。雖然過去幾天中，我們沒有發(fā)現(xiàn)任何利用SVB品牌的大規(guī)模ACH活動，但這并不意味著沒有這樣的計劃或者眼下不會發(fā)生。我們在類似的付款欺詐活動中發(fā)現(xiàn)了一些需要注意的主題行，請務必保持警惕，示例如下：

“我們變更了我們的銀行信息”

“更新后的銀行賬戶信息”

“您需要立即采取行動”

“請注意：銀行賬戶詳情變更”

“請注意：銀行賬戶詳情變更”

“金融機構變更通知”

6.請對您電子郵件中可能彈出的相像或近似的域名，以及與SVB相關的web流量保持警惕。Cloudflare客戶在其電子郵件和web流量中內置了新域名控制，將阻止來自這些新域名的異?；顒?。

7.確保任何面向公眾的web應用程序始終安裝了最新版本的補丁，并在您的應用程序前運行現(xiàn)代web應用程序防火墻服務。上述活動利用了WordPress的優(yōu)勢，但威脅行為者經常在釣魚網站上使用WordPress。如果使用Cloudflare WAF，在您知道第三方CVE之前，就已自動為您提供防護。擁有一個有效的WAF至關重要，旨在防止威脅行為者接管您的公共web資產，并將其用于任何網絡釣魚活動（不論是以SVB為主題還是其他方式）。

先人一步

Cloudforce One（Cloudflare的威脅運營團隊）主動監(jiān)測即將發(fā)生、正在形成階段的新活動，并發(fā)布建議和檢測模型更新，確保我們的客戶得到妥善保護。雖然這一特定活動主要關注的是SVB，但所用策略與我們全球網絡每天發(fā)現(xiàn)的其他類似活動并無二致，我們可以自動阻止這些活動，讓它們無法侵害我們的客戶。

要阻止這些攻擊，在多個通信渠道中融合強大的技術控制，同時擁有一支訓練有素、警惕性高、了解數(shù)字通信的危險的員工隊伍至關重要。