[16/03/2023] Los ciberdelincuentes han empezado a aprovechar la caída del Silicon Valley Bank (SVB) para llevar a cabo estafas que pueden robar dinero e información de cuentas bancarias o infectar los sistemas de los clientes con malware.
El SVB fue cerrado el 10 de marzo por el Departamento de Protección e Innovación Financiera de California, después de que el banco no consiguiera reunir capital para seguir funcionando.
[Reciba lo último de CIO Perú suscribiéndose a nuestro newsletter semanal]
Se espera que los clientes de SVB transfieran sus operaciones financieras a otros bancos en las próximas semanas. Esto significa que estos clientes recibirán notificaciones que incluirán los nuevos números de cuenta bancaria de su nuevo banco. Los piratas informáticos están aprovechando esta oportunidad para hacerse pasar por bancos, y llevar a cabo campañas de phishing y business email compromise (BEC) dirigidas a clientes del SVB.
Dominios sospechosos registrados
Los investigadores de seguridad han descubierto que los actores de las amenazas ya han registrado dominios y páginas sospechosos para llevar a cabo los ataques.
Algunos de los sitios web sospechosos que han aparecido son svbcollapse[.]com, svbclaim[.]com, svbdebt[.]com, svbclaims[.]net, login-svb[.]com, Svbbailout[. ]com, svb-usdc[.]com, svb-usdc[.]net, svbi[.]io, banksvb[.]com, svbank[.]com, y Svblogin[.]com etc., según Cyble Research & Intelligence Labs (CRIL).
Algunos sitios web surgieron después del 10 de marzo, justo después de la quiebra de SVB. El 13 de marzo, el Departamento del Tesoro, la Reserva Federal y la FDIC emitieron una declaración conjunta para salvaguardar los fondos de todos los depositantes y garantizar el acceso a su dinero.
"Sin embargo, a pesar de ser un alivio para los depositantes afectados, los actores de amenazas han empezado a utilizar este anuncio para lanzar sus campañas maliciosas", afirmó CRIL en su informe.
La quiebra del SVB atrae a los actores de amenazas, ya que implica mucho dinero, y hay una sensación de urgencia e incertidumbre, señaló Johannes B Ullrich, decano de Investigación de SANS.edu en un post.
"Muchas empresas y personas empleadas por empresas tienen dudas sobre cómo pagar las facturas urgentes. ¿Podrá mi empleador pagar las planillas? ¿Hay algo que deba hacer ahora mismo? Para muchos, no está claro cómo comunicarse con el SVB, qué sitio web utilizar o qué correos electrónicos esperar (¿o de dónde vendrán?)", anotó Ullrich.
Según el gráfico compartido por el investigador, el mayor número de nombres de dominio registrados que contenían el nombre SVB se produjo el 12 de marzo.
Comienzan las estafas con criptomonedas y BEC
No se trata sólo del registro de dominios sospechosos, los actores de la amenaza también han comenzado a llevar a cabo otras estafas. CRIL ya ha identificado varias estafas con criptomonedas. En una de estas estafas analizada por los investigadores de seguridad, sitios de phishing como svb-usdc[.]com, y svb-usdc[.]net han creado falsos programas de recompensas de USDC. Los sitios afirman que el banco está distribuyendo activamente USDC como parte del programa de devolución de USDC del SVB a los titulares de USDC que cumplen los requisitos.
USDC o USD Coin es una moneda digital vinculada al dólar estadounidense. "Su objetivo es robar criptomonedas de la cuenta de la víctima ofreciéndole USDC gratis", afirmó CRIL en su informe.
En el sitio de phishing, una vez que el usuario hace clic en "haga clic aquí para reclamar", se muestra un código QR. "Se indica al usuario que escanee el código QR utilizando cualquier monedero de criptomoneda, como Trust, Metamask o Exodus. Sin embargo, al escanear el código se compromete la cuenta del monedero del usuario", afirmó CRIL en su informe.
CRIL observó sitios de phishing similares que llevaban a cabo la misma actividad maliciosa poco después de que Circle, el emisor de monedas en USD, anunciara que tenía 3.300 millones de USDC en SVB y que reanudaría sus operaciones. Los sitios de phishing se hacían pasar por Circle y atraían a las víctimas promocionando una oferta de 1 USDC por 1 USD.
Aparte de las estafas relacionadas con las criptomonedas, también han aparecido estafas BEC dirigidas a clientes del SVB. Un post compartido en Mastodon por Peter Bronez, vicepresidente senior y director de prácticas empresariales en la empresa de capital riesgo In-Q-Tel, destaca cómo los clientes de SVB están recibiendo nuevos detalles de cuentas que no son de SVB de sus proveedores actuales para facilitar los pagos. Sin embargo, estos detalles de cuenta son en realidad de los actores de la amenaza y si el cliente transfiere el pago a la cuenta, es probable que nunca vuelva a ver el dinero. Otros usuarios también han denunciado estafas similares en plataformas como Mastodon, Twitter y LinkedIn.
Los clientes del SVB deben estar alerta
Los clientes del SVB deben estar atentos a estos ataques. Los expertos aconsejan que los clientes se pongan en contacto directamente con sus proveedores antes de cambiar los datos de sus cuentas y que no confíen únicamente en los mensajes de correo electrónico para cualquier solicitud de cambio.
"Dado el reciente revuelo en torno a la quiebra del SVB, que tendrá efectos duraderos en las organizaciones afectadas, es probable que estas entidades se conviertan en objetivos de AT (actores de amenazas) que pueden emplear malware y ataques de phishing para victimizarlas", finalizó CRIL.
Basado en el artículo de Apurva Venkat (CSO) y editado por CIO Perú