Karena berita keruntuhan Silicon Valley Bank (SVB) terus mendominasi berita utama, penjahat dunia maya menjalankan kampanye phishing yang menyamar sebagai SVB dan lembaga keuangan lainnya, termasuk MFA dan Bloomberg.
Menanggapi dengan cepat siklus berita 24 jam, penjahat dunia maya bertujuan untuk memanfaatkan potensi kesusahan korban mereka atas situasi keuangan mereka untuk membuat mereka lebih rentan terhadap jenis serangan ini.
Ringkasan serangan cepat
Vektor dan ketik: Email phishing
Teknik: Peniruan merek; rekayasa sosial
Muatan: Hyperlink berbahaya untuk mencuri informasi pribadi, dengan pelacakan tersemat untuk memberi penyerang wawasan tambahan, termasuk alamat IP mana yang mengakses situs web phishing; dan lampiran untuk mencuri detail keuangan yang digunakan untuk penipuan kawat
Target: Organisasi di Amerika Utara dan Inggris
Platform: Microsoft 365
Gateway email aman yang dilewati: Ya
Email phishing menggunakan template html yang sangat bergaya, serta email teks biasa, dikirim dari domain email palsu yang mirip. Payload termasuk hyperlink ke situs web phishing yang mencuri data pribadi korban dan lampiran yang digunakan untuk mengumpulkan detail keuangan untuk penipuan kawat.
Email phishing SVB: peniruan identitas dan serangan penipuan kawat
Serangan yang kami lihat menyamar sebagai SVB dibuat dengan menyalin dan mengedit html SVB standar yang digunakan dalam email sah mereka. Ini termasuk rendering logo SVB beresolusi tinggi, penggunaan warna merek, dan penyertaan footer SVB asli dengan alamat London, Inggris yang sah. Hal ini meningkatkan kredibilitas penyerangan, sehingga kemungkinan besar korban akan tertipu.
Beberapa kekhawatiran awal untuk pelanggan SVB berfokus pada batas perlindungan $250.000 untuk setiap rekening setoran tunai yang ditawarkan oleh Federal Deposit Insurance Corporation. Email phishing di bawah ini menunjukkan penjahat dunia maya memanfaatkan informasi ini dengan menawarkan akses korban ke uang mereka secara signifikan di luar batas aslinya — hingga $10 juta.
Selain memanipulasi korban dengan kekhawatiran mengakses dana mereka, penjahat dunia maya juga menggunakan tenggat waktu ‘Jumat 17 Maret 2023’ untuk meningkatkan tekanan pada para korban. Taktik rekayasa sosial yang sering dilakukan, ini dirancang untuk memaksa orang ‘berpikir cepat’, membuat mereka cenderung tidak memeriksa apakah yang mereka lakukan aman.
Alamat ‘Dari’ meniru cabang SVB di Inggris Raya: ‘svbuk.com’. Pada saat penulisan, peneliti kami percaya ini adalah domain yang mirip, bukan yang dimiliki oleh SVB yang sah, karena gagal otentikasi teknis.
Saat pengguna mengeklik tautan di email, mereka dibawa ke situs web phishing yang menyamar sebagai SVB.
Email phishing meniru SVB menggunakan templat html curian dengan muatan tautan phishing
Muatan tautan phishing merutekan korban ke domain situs web yang dibuat pada 10 Maret 2023, (hari yang sama dengan runtuhnya SVB) yang disebut ‘cash4svb’, yang mengklaim mengumpulkan informasi dari penerima untuk melihat apakah akun mereka memenuhi syarat untuk peningkatan membayarkan.
Pada titik ini, serangan menjadi kurang meyakinkan. Peneliti kami mencatat bahwa situs web yang mirip memiliki beberapa masalah kosmetik yang jelas dan tidak sebanding dengan situs web yang sah. Namun, dengan menggunakan domain yang berisi ‘svb’ dan gambar spanduk termasuk SVB di bagian atas halaman, penjahat dunia maya mengantisipasi bahwa kecemasan dan keputusasaan akan mendorong korban untuk mengisi bidang tersebut.
Selain itu, penjahat dunia maya membuat klaim di situs web phishing bahwa itu milik ‘kelompok investasi swasta yang berbasis di Stanford, California’. Klaim ini dapat bekerja dengan dua cara: (1) menjelaskan mengapa situs web tidak sejalan dengan branding SVB dan (2) meningkatkan keyakinan bahwa uang akan dibayarkan meskipun ada gejolak SVB.
Peneliti kami berharap detail ini dapat digunakan oleh penjahat dunia maya untuk melanjutkan serangan mereka langsung ke SVB (dengan mengisi formulir, korban membuat daftar pelanggan SVB untuk penyerang) atau informasi tersebut dapat dijual di web gelap untuk digunakan di masa mendatang serangan.
Situs web phishing digunakan untuk mencuri informasi pribadi dari pelanggan SVB:
Tampilan teks dan formulir yang diperbesar
Email phishing Bloomberg: peniruan identitas yang mengarah ke penipuan kawat
Selain serangan yang menyamar sebagai SVB, Egress Defend juga mendeteksi serangan rekayasa sosial rahasia yang memberi tahu korban bahwa organisasi pengirim sedang mengubah rekening bank dan detail keuangan perlu diperbarui.
Dalam contoh di bawah ini, penjahat dunia maya menggunakan domain palsu yang mirip untuk menyamar sebagai Bloomberg (‘@blomberg-us.com). Email phishing menggunakan berita SVB sebagai alasan yang masuk akal mengapa detail bank perlu diubah. Lampiran .pdf mendukung klaim melalui nama file ‘Bloomberg Updated Bank details’.
Mirip dengan email peniruan SVB, serangan ini juga menggunakan tenggat waktu (‘sebelum tagihan yang diperlukan untuk bulan Maret’) untuk merekayasa secara sosial korban agar bereaksi dengan cepat untuk menghindari konsekuensi.
Lampiran berisi detail bank alternatif, yang jika digunakan perusahaan, akan mengakibatkan penipuan kawat.
Email phishing yang menyamar sebagai Bloomberg
Domain tempat email ini dikirim
Seperti disebutkan, email dikirim dari domain palsu dan mirip yang menyamar sebagai organisasi yang sah. Beberapa domain yang telah dilihat peneliti kami adalah:
Tautan yang kami lihat sebagai muatan dalam email phishing ini
Berikut adalah beberapa hyperlink berbahaya palsu yang mirip yang merupakan bagian dari serangan peniruan identitas SVB:
Seperti disebutkan di atas, beberapa serangan menggunakan muatan berbasis lampiran untuk penipuan kawat.
Analisis jalan keluar
Serangan-serangan ini menunjukkan bagaimana penjahat dunia maya mempersenjatai siklus berita 24 jam. Saat organisasi atau topik menjadi tren dalam berita, sekarang hampir tak terelakkan untuk melihat gelombang kampanye phishing sebagai tanggapan. Situs web phishing yang dianalisis di atas dibuat pada 10 Maret 2023, hari yang sama dengan runtuhnya SVB, menunjukkan kecepatan penjahat dunia maya membuat dan menjalankan kampanye phishing yang memanfaatkan berita yang sedang tren.
Dalam kampanye ini, penjahat dunia maya memanfaatkan kecemasan korban yang meningkat tentang keamanan finansial dan akses ke dana mereka, serta memanfaatkan gangguan yang lebih luas dengan perubahan detail bank dan proses pembayaran.
Email phishing berisi taktik rekayasa sosial untuk meningkatkan kredibilitas mereka dan menurunkan kecurigaan korban, seperti penggunaan template email SVB yang sah dan domain palsu. Selain itu, rasa urgensi yang diciptakan melalui tenggat waktu yang sewenang-wenang mendorong orang untuk bereaksi secara naluriah, dengan lebih sedikit waktu untuk berpikir rasional atau memeriksa ulang situasi dengan orang lain. Orang-orang akan berada dalam keadaan kecemasan yang tinggi, dan taktik ini memanipulasi mereka lebih jauh untuk meningkatkan kemungkinan mereka melakukan kesalahan dan menjadi korban serangan.
Informasi yang diambil oleh situs web phishing dalam serangan peniruan SVB dapat memberikan penjahat dunia maya daftar pelanggan SVB yang dikuratori, karena kemungkinan hanya perusahaan dan individu yang terpengaruh yang akan merespons. Informasi ini dapat digunakan untuk menargetkan ulang korban dan organisasi mereka dalam serangan terkait lainnya atau digunakan dalam kampanye SVB lainnya, termasuk oleh penjahat dunia maya lain yang dapat membeli daftar tersebut jika disiapkan untuk dijual di web gelap.
Terakhir, serangan penipuan kawat dapat mengakibatkan pembayaran cepat bagi penjahat dunia maya, dengan setidaknya tagihan bulan Maret dibayarkan ke rekening mereka karena para korban mencoba untuk tanggap terhadap situasi yang berubah dengan pemasok mereka.
Saran untuk tetap aman dari serangan phishing ini
Seperti halnya berita yang sedang tren, orang-orang perlu diberi tahu bahwa keruntuhan SVB sedang digunakan oleh penjahat dunia maya dan disarankan untuk memperlakukan pembaruan apa pun dengan hati-hati, termasuk memverifikasi pesan melalui cara lain (mis. mengunjungi situs web yang benar melalui mesin telusur atau menyimpan link browser, daripada mengklik email phishing).
Organisasi juga harus mengaktifkan autentikasi multifaktor sebagai lapisan pertahanan untuk melindungi diri dari serangan pengambilalihan akun.
Kami juga menyarankan agar organisasi berinvestasi dalam solusi deteksi phishing tingkat lanjut, seperti Egress Defend, yang memberikan kemampuan deteksi cerdas untuk serangan phishing tingkat lanjut dan momen yang dapat diajarkan secara real-time untuk meningkatkan kesadaran keamanan dan pelatihan untuk membantu orang mengidentifikasi ancaman sebenarnya yang menargetkan mereka.
Kredit gambar: rarrarorro/depositphotos.com
Jack Chapman adalah Wakil Presiden Intelijen Ancaman, Egress.
