Geçen hafta Silicon Valley Bank’ın iflas etmesi ve iflas etmesi haberlerinin ardından, güvenlik araştırmacıları SVB hesap sahiplerini SVB ile ilgili dolandırıcılık ve kimlik avı girişimleri konusunda uyarmaya başladı.
Başka bir hatırlatma: Arayanın kimliğinin FDIC, SVB veya güvendiğiniz bir telefon numarasını yazması, aramanın kesinlikle yasal olduğu anlamına gelmez. Arayan Kimliği sahte olabilir — arama yaparken arayan kimliğinin herhangi bir telefon numarasını göstermesini sağlayabiliriz. Başka bir yöntem kullanın pic.twitter.com/HZQfoo6WDm… https://t.co/QOF3xDNzJC
— Rachel Tobac (@RachelTobac) 11 Mart 2023
Farklı tehdit aktörlerinin SVB ile mevcut durumu istismar etmesini bekleyin. Kimlik avı / dolandırıcılık için kullanılabilecek bazı altyapıların kurulduğunu görmeye başladık. oturum açma-svb[.]com cash4svb[.]com svb iddiası[.]svbdebt ile[.]iletişim pic.twitter.com/rn9ltBsxDU
—Jaime Blasco (@jaimeblascob) 12 Mart 2023
Silikon Vadisi Bankası ile ilgili yeni alan adı kayıtları ortaya çıkıyor. bazıları olabilir #e-dolandırıcılık kampanyalar. Aşağıda, şimdi gördüğümüz şey listelenmiştir. Hepsinin dolandırıcı olmadığını ve SVB’yi hedefleyen tüm dolandırıcılık alan adlarının SVB ile ilgili terimleri olmayacağını unutmayın: https://t.co/mHjfZQIQAf pic.twitter.com/Au7AbA0GhX
— SecuritySnacks (@SecuritySnacks) 13 Mart 2023
Kanıt noktası araştırmacıları bayraklı birkaç kripto para birimi markasından geldiği varsayılan mesajların kullanıldığı, cüzdanlarının içeriğini saldırganın cüzdanına aktaracak bir Akıllı Sözleşme yüklemeleri için kullanıcıları kandırmaya çalışan bir kampanya.
“Circle, SVB’de nakit rezervleri olduğunu açıkladığında, tehdit aktörü, kurbanın USDC’yi 1:1 oranında USD’ye çevirebileceğine söz veren bir yem kullanarak fintech şirketini yanıltmaya başladı” dediler.
Sonra INKY tarafından tespit edilen bu e-posta kampanyası var:
“Birkaç INKY kullanıcısı, Silicon Valley Bank’tan geliyormuş gibi görünen sahte DocuSign bildirimleri aldı. Tüm kimlik avı e-postaları, dse_na2@docusign’dan gelmiş gibi görünmek için sahteydi.[.]net, DocuSign bildirimleri için gerçek ve meşru gönderme e-posta adresi. E-posta başlıklarının incelenmesi, bu saldırıların aslında yeni oluşturulan alan adlarıyla ilişkili birkaç sanal özel sunucudan geldiğini ortaya çıkardı” diyor.
“Belgeleri İncele” düğmesine tıklamak, kullanıcıları birkaç yönlendirmeden geçirir ve son olarak, girilen oturum açma kimlik bilgilerini kötü kişilere göndermek için tasarlanmış yasal Microsoft oturum açma sayfasının bir kopyasına götürür. (Aynı kimlik avı kampanyası, şirketin CEO’sunu hedefledikten sonra Cloudflare tarafından belgelenmiş görünüyor.)
Dolandırıcı siteler ortaya çıkıyor:
Dikkat: Yeni SVB Dolandırıcılıklarını tespit ediyoruz#SVB #Dolandırıcılık pic.twitter.com/9MoUMiaSqb
— Guardio (@GuardioSecurity) 16 Mart 2023
Ne yapalım?
Mitiga CTO’su Ofer Maor, güvenlik bilincini artırarak, ödeme değişiklikleriyle ilgili süreçlerinin sağlam olmasını sağlayarak ve her iki hesap etkinliği için ek izleme kurarak SVB ile bankacılık yapan şirketlere kendilerini, müşterilerini ve tedarikçilerini nasıl koruyacakları konusunda tavsiyelerde bulundu ( kimlik avı) ve finansal faaliyetler (BEC dolandırıcılığı).
Symantec’te E-posta Güvenliği Ürün Yönetimi Başkanı Jennifer Zeman, hem e-posta güvenlik ekipleri hem de finans departmanları için ipuçları sağladı.