先週末のシリコンバレー銀行(SVB)の破綻は世界の金融システムに激震を送り、空売り屋やさまざまな詐欺師にチャンスを与えた。
さまざまな研究者やセキュリティ企業によると、脅威の攻撃者はすでに、類似の偽ドメインやビジネスメール詐欺 (BEC) 攻撃など、受動的および能動的なフィッシング詐欺を通じて、SVB に露出した獲物を探し始めています。
SANSテクノロジー研究所の研究部長ヨハネス・ウルリッヒ氏は、3月10日の崩壊以来、「SVB」という用語を含むドメイン登録数が急増していることを確認した。
「週末にかけて、シリコンバレー銀行の破綻を追跡するドメイン登録が多数確認された(例えば、svblogin.com、loginsvg.comなど)」と、同氏はLinkedInに書いた。
また、SVBの元顧客が、取引先に新しいACH(自動決済機関)口座情報を更新するための簡単なメールを送信しているという報告も受けています。このような行為は絶対にやめてください。悪意のある人物がこのような偽装メールを仕掛けるのは時間の問題です(もし既に行っているのであれば)。
ウルリッチ氏はまた、SVBの破綻は詐欺師にとって、金銭、緊急性、不確実性といった魅力的な要素を備えていると指摘した。
「多くの人にとって、SVBとどのように連絡を取ればいいのか、どのウェブサイトを使えばいいのか、どんなメールが届くのか(あるいはどこから来るのか)が明確ではない」とウルリッチ氏は書いている。
SVB を参照するドメイン登録の増加に気づいているのは Ullrich 氏だけではない。
シリコンバレー銀行に関連する新たなドメイン登録が相次いでいます。中には#フィッシングキャンペーンの可能性もあります。現在確認されているドメインは以下の通りです。ただし、すべてが詐欺的なものではなく、また、SVBを狙った詐欺ドメインのすべてがSVB関連の用語を含んでいるわけではないことにご注意ください。https://t.co/mHjfZQIQAf pic.twitter.com/Au7AbA0GhX
— SecuritySnacks (@SecuritySnacks) 2023年3月13日
ドメインを活用したインフラも登場し始めています。
SVBの現状を悪用する新たな脅威アクターが出現すると予想されます。フィッシングや詐欺に利用されそうなインフラが構築され始めているのが確認できています。login-svb[.]com cash4svb[.]com svbclaim[.]com svbdebt[.]com pic.twitter.com/rn9ltBsxDU
— ハイメ・ブラスコ (@jaimeblascob) 2023 年 3 月 12 日
- メール転送のセキュリティ確保に苦労しているなら、それはあなたのせいではなく、プロトコルの問題です
- シリコンバレーの銀行破綻をめぐる規制反対派の議論を見てみよう
- シリコンバレー銀行の英国支社が救済策としてHSBCに1英ポンドで買収される
- 偽の暗号投資家詐欺の被害者がレジスター紙に語る
Cloudflareは火曜日、DocuSignをテーマにしたテンプレートでSVBのブランドを悪用した大規模な顧客確認(KYC)フィッシングキャンペーンを検知したと発表した。同社はキャンペーン開始から数時間以内に、SVBのブランドが79回使用されたことを明らかにした。
同社の CEO に送信された攻撃には、最初のリンクが 4 回リダイレクトされ、最終的に攻撃者が制御する docusigning[.]kirklandellis[.]net Web サイトに到達する HTML コードが含まれていました。
Cloudflareは、「攻撃に含まれていたHTMLファイルは、ユーザーを再帰リダイレクト機能を持つWordPressインスタンスに誘導します。本稿執筆時点では、この特定のWordPressインストールが侵害されたのか、それともこのリダイレクト先を開くプラグインがインストールされたのかは不明です」と述べています。
サイバー ガーディアンの推奨事項の中には、ACH または SWIFT に関連するメッセージに対するエンド ユーザーの警戒を促すという提案があります。
「ACHとSWIFTフィッシングは、その大規模な蔓延を考えると、脅威アクターが支払いを自身にリダイレクトするために頻繁に利用する戦術です」とCloudflareは述べています。同社は、SVBブランドを利用した大規模なACHキャンペーンはまだ確認していないものの、そのような手口が差し迫っていないわけではないと述べています。
米国のサイバーセキュリティ企業プルーフポイントは火曜日、同社の研究者らが「SVBの崩壊の影響を受けた米ドルに連動したデジタルステーブルコインであるUSDコイン(USDC)に関連したルアーを利用したキャンペーン」を追跡したと発表した。
悪意のある SendGrid アカウントは、暗号通貨ブランドを装ったメッセージを送信し、リダイレクトされた URL を通じて被害者に暗号通貨を請求するよう求めました。
「ボタンをクリックするとDeFiのURLが開こうとするため、被害者はMetaMaskウォレットなどのDeFiハンドラーをインストールする必要があります。すると、被害者はスマートコントラクトをインストールするように誘導され、ウォレットの中身が攻撃者に転送されます」とProofpointは述べています。
同社によれば、USDコイン(USDC)を発行するCircle社がSVBに現金準備金があると発表した後、脅威アクターは1:1でUSDCをUSDに換金することを約束する誘い文句でこのフィンテック企業を偽装し始めたという。
ProofpointによるCircleを装ったフィッシング詐欺の画像 – クリックして拡大
「プルーフポイントは、メッセージが詐欺師から発信される可能性があるため、金融情報や取引の取り扱いに携わるすべての人に、さらなる注意と注意を払うことを推奨します」と同社はツイートした。®
