前段时间,硅谷银行(SVB)倒闭并被美国联邦政府接管的新闻已经人尽皆知。崩溃速度之快令人唏嘘,各大组织无论规模如何,预计都将持续受到影响。
不幸的是,当大家看到的都是悲剧时,威胁行为者看到的是机会。我们又一次见证了这一点:为了攻破信任防线并诱骗毫无戒备的受害者,绝大多数情况下威胁行为者会使用热门事件作为诱饵。这些都是跟随新闻周期或关注已知的知名事件(例如超级碗、NCAA一级男子篮球锦标赛、纳税日、黑色星期五促销、新冠疫情,等等),因为无论何时,如果消息中提及了当时的热门话题,用户就更有可能受到吸引。
SVB新闻周期引发了一个万众瞩目的热门话题,可能被威胁行为者利用;而且,组织必须加强意识宣传和加以技术控制,以帮助应对威胁行为者最终使用这些策略发起攻击,这一点至关重要。可悲的是,尽管FDIC承诺保证SVB客户的资金安全,但恶意行为者却试图窃取他们的资金!
先发制人的行动
为了应对未来利用SVB事件发起网络钓鱼攻击,从2023年3月10日起,Cloudforce One(Cloudflare的威胁运营和研究团队)大大加强了品牌监测,重点关注数字形式存在的SVB,并推出了几个额外的检测模块来发现SVB主题的网络钓鱼活动。使用我们的各种网络钓鱼防护服务的所有客户均会自动获得这些新模块的功能。
下面说一个涉及SVB的示例,这是该银行被FDIC接管之后发生的真实事件。
KYC网络钓鱼——以DocuSign为主题的SVB活动
威胁行为者经常使用的一个策略是模仿持续开展的KYC(了解您的客户)工作。这是银行为验证客户的身份详情而惯常执行的调查,旨在保护金融机构免受欺诈、洗钱和金融犯罪等活动的影响。
2023年3月14日,Cloudflare检测到一起大型KYC网络钓鱼活动,他们使用DocuSign主题模板并利用SVB品牌。此活动瞄准Cloudflare和几乎所有行业的垂直领域。在活动的头几个小时内,我们检测到了79个目标为多个组织中不同个人的示例。Cloudflare发布了此次活动的一个具体示例,以及所用策略和观察结果,帮助客户了解并警惕该活动。
活动详情
下图所示的网络钓鱼攻击发生于2023年3月14日,目标是Cloudflare的创始人兼首席执行官Matthew Prince。它包括HTML代码,其中包含一个初始链接和一个复杂的重定向链,有四层之深。该链始于用户点击“Review Documents”(查阅文档),然后将用户转到一个由Amazon广告服务器bs【.】serving-sys【.】com支持的Sizmek运行的可追踪分析链接。然后,该链接进一步将用户重定向到一个托管在na2signing【.】web【.】app域上的Google Firebase应用程序。na2signing【.】web【.】app HTML随后将用户重定向到一个WordPress网站,但该网站运行的是另一重定向器eaglelodgealaska【.】com。经过最后这次重定向后,用户转到了一个由攻击者控制的docusigning【.】kirklandellis【.】net网站。
运动时间表
2023-03-14T12:05:28Z First Observed SVB DocuSign Campaign Launched
2023-03-14T15:25:26Z Last Observed SVB DocuSign Campaign Launched
简要了解HTML文件Google Firebase应用程序(na2signing【.】web【.】app)
攻击中包含的HTML文件将用户转到一个具有递归重定向能力的WordPress实例。截至本文撰写之时,我们还不确定这次特定的WordPress安装是否已经破坏,或者是否安装了一个插件来打开这个重定向位置。
入侵指标
建议
1.Cloudflare Email Security客户可以在仪表板上使用以下搜索词来确定自己是否收到了此活动:
SH_6a73a08e46058f0ff78784f63927446d875e7e045ef46a3cb7fc00eb8840f6f0
客户还可以通过我们的威胁指标API跟踪与此活动相关的IOC。任何更新的IOC将持续推送到相关的API端点。
2.确保您为入站消息适当地执行了DMARC策略。对于入站消息的任何DMARC故障,Cloudflare建议至少使用【p=quarantine】。SVB的DMARC记录【v=DMARC1;p=reject;pct=100】明确表示,拒绝任何冒充SVB品牌且不是从SVB指定的验证发件人列表中发出的消息。Cloudflare Email Security客户将根据SVB分布的DMARC记录自动完成执行。对于其他域,或者为了在所有入站消息中应用更广泛的基于DMARC的策略,Cloudflare建议在其Cloudflare Area 1仪表板内对所有入站邮件坚持使用“增强型发件人验证”策略。
3.Cloudflare Gateway客户会自动获得保护,免受这些恶意URL和域的影响。客户可以检查这些特定IOC的日志,确定其组织是否有任何传往这些网站的流量。
4.请与您的网络钓鱼意识与培训提供商合作,为您的终端用户部署SVB主题的网络钓鱼模拟(如果他们还未部署)。
5.鼓励您的终端用户对任何与ACH(自动清算所)或SWIFT(环球银行间金融电信协会)相关的消息保持警惕。ACH和SWIFT是金融机构使用的实体间电子资金转移系统。由于这些系统规模庞大、使用普遍,威胁行为者经常利用ACH和SWIFT网络钓鱼来将付款转给他们自己。虽然过去几天中,我们没有发现任何利用SVB品牌的大规模ACH活动,但这并不意味着没有这样的计划或者眼下不会发生。我们在类似的付款欺诈活动中发现了一些需要注意的主题行,请务必保持警惕,示例如下:
“我们变更了我们的银行信息”
“更新后的银行账户信息”
“您需要立即采取行动”
“请注意:银行账户详情变更”
“请注意:银行账户详情变更”
“金融机构变更通知”
6.请对您电子邮件中可能弹出的相像或近似的域名,以及与SVB相关的web流量保持警惕。Cloudflare客户在其电子邮件和web流量中内置了新域名控制,将阻止来自这些新域名的异常活动。
7.确保任何面向公众的web应用程序始终安装了最新版本的补丁,并在您的应用程序前运行现代web应用程序防火墙服务。上述活动利用了WordPress的优势,但威胁行为者经常在钓鱼网站上使用WordPress。如果使用Cloudflare WAF,在您知道第三方CVE之前,就已自动为您提供防护。拥有一个有效的WAF至关重要,旨在防止威胁行为者接管您的公共web资产,并将其用于任何网络钓鱼活动(不论是以SVB为主题还是其他方式)。
先人一步
Cloudforce One(Cloudflare的威胁运营团队)主动监测即将发生、正在形成阶段的新活动,并发布建议和检测模型更新,确保我们的客户得到妥善保护。虽然这一特定活动主要关注的是SVB,但所用策略与我们全球网络每天发现的其他类似活动并无二致,我们可以自动阻止这些活动,让它们无法侵害我们的客户。
要阻止这些攻击,在多个通信渠道中融合强大的技术控制,同时拥有一支训练有素、警惕性高、了解数字通信的危险的员工队伍至关重要。
黄金购物车,也就是BUYBOX,是卖家对于“Buy now”或是“Add to Cart”这两个按钮的昵称。 在顾客的购买过程中,详细浏览了你的listing页面是第一步。 如果对产品满意,下一步要做的,就是点击下图的“add to cart”或是“buy n…
码刀科技(www.lekshop.cn)是国内知名企业级电商平台提供商,为企业级商家提供最佳的电商平台搭建(多种模式电商平台搭建:B2B/B2B2C/B2C/O2O/新零售/跨境等)、平台管理系统开发及互联网采购解决方案服务, 联系客服了解更多.
