狡猾的詐騙者和網(wǎng)絡(luò)釣魚者通過何種方式欺騙硅谷銀行的客戶

前段時間，硅谷銀行(SVB)倒閉并被美國聯(lián)邦政府接管的新聞已經(jīng)人盡皆知。崩潰速度之快令人唏噓，各大組織無論規(guī)模如何，預(yù)計都將持續(xù)受到影響。

不幸的是，當(dāng)大家看到的都是悲劇時，威脅行為者看到的是機會。我們又一次見證了這一點：為了攻破信任防線并誘騙毫無戒備的受害者，絕大多數(shù)情況下威脅行為者會使用熱門事件作為誘餌。這些都是跟隨新聞周期或關(guān)注已知的知名事件（例如超級碗、NCAA一級男子籃球錦標(biāo)賽、納稅日、黑色星期五促銷、新冠疫情，等等），因為無論何時，如果消息中提及了當(dāng)時的熱門話題，用戶就更有可能受到吸引。

SVB新聞周期引發(fā)了一個萬眾矚目的熱門話題，可能被威脅行為者利用；而且，組織必須加強意識宣傳和加以技術(shù)控制，以幫助應(yīng)對威脅行為者最終使用這些策略發(fā)起攻擊，這一點至關(guān)重要。可悲的是，盡管FDIC承諾保證SVB客戶的資金安全，但惡意行為者卻試圖竊取他們的資金！

先發(fā)制人的行動

為了應(yīng)對未來利用SVB事件發(fā)起網(wǎng)絡(luò)釣魚攻擊，從2023年3月10日起，Cloudforce One（Cloudflare的威脅運營和研究團隊）大大加強了品牌監(jiān)測，重點關(guān)注數(shù)字形式存在的SVB，并推出了幾個額外的檢測模塊來發(fā)現(xiàn)SVB主題的網(wǎng)絡(luò)釣魚活動。使用我們的各種網(wǎng)絡(luò)釣魚防護服務(wù)的所有客戶均會自動獲得這些新模塊的功能。

下面說一個涉及SVB的示例，這是該銀行被FDIC接管之后發(fā)生的真實事件。

KYC網(wǎng)絡(luò)釣魚——以DocuSign為主題的SVB活動

威脅行為者經(jīng)常使用的一個策略是模仿持續(xù)開展的KYC（了解您的客戶）工作。這是銀行為驗證客戶的身份詳情而慣常執(zhí)行的調(diào)查，旨在保護金融機構(gòu)免受欺詐、洗錢和金融犯罪等活動的影響。

2023年3月14日，Cloudflare檢測到一起大型KYC網(wǎng)絡(luò)釣魚活動，他們使用DocuSign主題模板并利用SVB品牌。此活動瞄準(zhǔn)Cloudflare和幾乎所有行業(yè)的垂直領(lǐng)域。在活動的頭幾個小時內(nèi)，我們檢測到了79個目標(biāo)為多個組織中不同個人的示例。Cloudflare發(fā)布了此次活動的一個具體示例，以及所用策略和觀察結(jié)果，幫助客戶了解并警惕該活動。

活動詳情

下圖所示的網(wǎng)絡(luò)釣魚攻擊發(fā)生于2023年3月14日，目標(biāo)是Cloudflare的創(chuàng)始人兼首席執(zhí)行官Matthew Prince。它包括HTML代碼，其中包含一個初始鏈接和一個復(fù)雜的重定向鏈，有四層之深。該鏈?zhǔn)加谟脩酎c擊“Review Documents”（查閱文檔），然后將用戶轉(zhuǎn)到一個由Amazon廣告服務(wù)器bs【.】serving-sys【.】com支持的Sizmek運行的可追蹤分析鏈接。然后，該鏈接進一步將用戶重定向到一個托管在na2signing【.】web【.】app域上的Google Firebase應(yīng)用程序。na2signing【.】web【.】app HTML隨后將用戶重定向到一個WordPress網(wǎng)站，但該網(wǎng)站運行的是另一重定向器eaglelodgealaska【.】com。經(jīng)過最后這次重定向后，用戶轉(zhuǎn)到了一個由攻擊者控制的docusigning【.】kirklandellis【.】net網(wǎng)站。

運動時間表

2023-03-14T12:05:28Z First Observed SVB DocuSign Campaign Launched

2023-03-14T15:25:26Z Last Observed SVB DocuSign Campaign Launched

簡要了解HTML文件Google Firebase應(yīng)用程序(na2signing【.】web【.】app)

攻擊中包含的HTML文件將用戶轉(zhuǎn)到一個具有遞歸重定向能力的WordPress實例。截至本文撰寫之時，我們還不確定這次特定的WordPress安裝是否已經(jīng)破壞，或者是否安裝了一個插件來打開這個重定向位置。

入侵指標(biāo)

建議

1.Cloudflare Email Security客戶可以在儀表板上使用以下搜索詞來確定自己是否收到了此活動：

SH_6a73a08e46058f0ff78784f63927446d875e7e045ef46a3cb7fc00eb8840f6f0

客戶還可以通過我們的威脅指標(biāo)API跟蹤與此活動相關(guān)的IOC。任何更新的IOC將持續(xù)推送到相關(guān)的API端點。

2.確保您為入站消息適當(dāng)?shù)貓?zhí)行了DMARC策略。對于入站消息的任何DMARC故障，Cloudflare建議至少使用【p=quarantine】。SVB的DMARC記錄【v=DMARC1;p=reject;pct=100】明確表示，拒絕任何冒充SVB品牌且不是從SVB指定的驗證發(fā)件人列表中發(fā)出的消息。Cloudflare Email Security客戶將根據(jù)SVB分布的DMARC記錄自動完成執(zhí)行。對于其他域，或者為了在所有入站消息中應(yīng)用更廣泛的基于DMARC的策略，Cloudflare建議在其Cloudflare Area 1儀表板內(nèi)對所有入站郵件堅持使用“增強型發(fā)件人驗證”策略。

3.Cloudflare Gateway客戶會自動獲得保護，免受這些惡意URL和域的影響?？蛻艨梢詸z查這些特定IOC的日志，確定其組織是否有任何傳往這些網(wǎng)站的流量。

4.請與您的網(wǎng)絡(luò)釣魚意識與培訓(xùn)提供商合作，為您的終端用戶部署SVB主題的網(wǎng)絡(luò)釣魚模擬（如果他們還未部署）。

5.鼓勵您的終端用戶對任何與ACH（自動清算所）或SWIFT（環(huán)球銀行間金融電信協(xié)會）相關(guān)的消息保持警惕。ACH和SWIFT是金融機構(gòu)使用的實體間電子資金轉(zhuǎn)移系統(tǒng)。由于這些系統(tǒng)規(guī)模龐大、使用普遍，威脅行為者經(jīng)常利用ACH和SWIFT網(wǎng)絡(luò)釣魚來將付款轉(zhuǎn)給他們自己。雖然過去幾天中，我們沒有發(fā)現(xiàn)任何利用SVB品牌的大規(guī)模ACH活動，但這并不意味著沒有這樣的計劃或者眼下不會發(fā)生。我們在類似的付款欺詐活動中發(fā)現(xiàn)了一些需要注意的主題行，請務(wù)必保持警惕，示例如下：

“我們變更了我們的銀行信息”

“更新后的銀行賬戶信息”

“您需要立即采取行動”

“請注意：銀行賬戶詳情變更”

“請注意：銀行賬戶詳情變更”

“金融機構(gòu)變更通知”

6.請對您電子郵件中可能彈出的相像或近似的域名，以及與SVB相關(guān)的web流量保持警惕。Cloudflare客戶在其電子郵件和web流量中內(nèi)置了新域名控制，將阻止來自這些新域名的異?；顒印?/p>

7.確保任何面向公眾的web應(yīng)用程序始終安裝了最新版本的補丁，并在您的應(yīng)用程序前運行現(xiàn)代web應(yīng)用程序防火墻服務(wù)。上述活動利用了WordPress的優(yōu)勢，但威脅行為者經(jīng)常在釣魚網(wǎng)站上使用WordPress。如果使用Cloudflare WAF，在您知道第三方CVE之前，就已自動為您提供防護。擁有一個有效的WAF至關(guān)重要，旨在防止威脅行為者接管您的公共web資產(chǎn)，并將其用于任何網(wǎng)絡(luò)釣魚活動（不論是以SVB為主題還是其他方式）。

先人一步

Cloudforce One（Cloudflare的威脅運營團隊）主動監(jiān)測即將發(fā)生、正在形成階段的新活動，并發(fā)布建議和檢測模型更新，確保我們的客戶得到妥善保護。雖然這一特定活動主要關(guān)注的是SVB，但所用策略與我們?nèi)蚓W(wǎng)絡(luò)每天發(fā)現(xiàn)的其他類似活動并無二致，我們可以自動阻止這些活動，讓它們無法侵害我們的客戶。

要阻止這些攻擊，在多個通信渠道中融合強大的技術(shù)控制，同時擁有一支訓(xùn)練有素、警惕性高、了解數(shù)字通信的危險的員工隊伍至關(guān)重要。