SVB 銀行の破綻を悪用:金銭やデータを盗み出すサイバー犯罪者たち

Cybercriminals exploit SVB collapse to steal money and data

2023/03/14 BleepingComputer — 2023年3月10日のシリコンバレー銀行 (SVB) の破綻は、世界の金融システムに波紋を広げているが、ハッカー/詐欺師/フィッシング・キャンペーンにとっては、絶好のチャンスになりつつある。複数のセキュリティ研究者たちが報告しているように、すでに脅威アクターたちは疑わしいドメインを登録してフィッシング・ページを作成し、BEC (Business E-mail Compromise) 攻撃の準備を整えている。これらのキャンペーンの目的は、金銭やアカウントの窃取、マルウェアの展開などにある。

SVB の破綻

SVB は米国に本拠を置く商業銀行であり、全米で16番目の規模を誇る、カリフォルニア州シリコンバレーでは最大の銀行であった。同行は、預金の取り崩しにより 2023年3月10日に破綻したが、その規模は 2007〜2008年の金融危機以降において、米国史上2番目という大規模なものとなった。

同行の破綻は、SVB の顧客であったテクノロジー/ライフ・サイエンス/ヘルスケア/プライベート・エクイティ/ベンチャー・キャピタル/プレミアム・ワイン業界などの、多くの企業や人々に影響を及ぼした。緊急性と不確実性、そして銀行に預けられた多額の現金という要素が絡み合い、混沌とした状況は悪化している。

このチャンスに飛びつく詐欺師たち

昨日に、セキュリティ研究者の Johannes Ulrich が発表したのは、この機会に飛びついた脅威アクターたちが、攻撃に使われる可能性が非常に高い、SVB への関連を装う怪しいドメインを登録していることだ。

Daily suspicious domain registration rates
怪しいドメインの日々の登録率 (SANS ISC)

SANS ISC のサイトで公開されている Ulrich のレポートには、下記のような疑わしいドメインが挙げられている。

  • login-svb[.]com
  • svbbailout[.]com
  • svbcertificates[.]com
  • svbclaim[.]com
  • svbcollapse[.]com
  • svbdeposits[.]com
  • svbhelp[.]com
  • svblawsuit[.]com

Ulrich は、詐欺師が SVB の元顧客に接触し、支援パッケージ/法律サービス/ローンや、銀行破綻などに関連する、偽のサービス提供を試みるかもしれないと警告している。

すでに、BEC 脅威アクターが SVB の顧客になりすまし、銀行の破綻後に新しい銀行口座に支払いを送金するように、正規の顧客に要求する攻撃が確認されている。

送金先として指定される銀行口座は脅威アクターのものであり、正規の企業に送られるはずの代金が盗まれてしまうのだ。

Claim about an SVB-themed BEC attempt
SVB を装った BEC の試みの報告 (Mastodon)

今日には、サイバー・インテリジェンス企業の Cyble が、SVB を装う脅威の発生状況に関するレポートを発表し、下記のような悪意のドメインについて警告している。

  • svbdebt[.]com
  • svbclaims[.]net
  • svb-usdc[.]com
  • svb-usdc[.]net
  • svbi[.]io
  • banksvb[.]com
  • svbank[.]com
  • svblogin[.]com

これらのサイトの多くは、銀行が破綻した 2023年3月10日に登録されており、すでに暗号通貨詐欺を実施している。

これらの詐欺ページには、「March 13 2023 – Silicon Valley Bank は、SVB USDC payback program の一環として、対象となる USDC 保有者に、USDC を配布している。USDC のペイアウトは、1つのウォレットにつき1回のみ請求できる」というメッセージが記載されている。

しかし、サイトの “Click here to claim” ボタンをクリックすると不正なスキャンが行われ、Metamask/Exodus/Trust Wallet などの暗号ウォレットが侵害するための、QR コードが表示される。

Fraudulent cryptocurrency rewards page
詐欺サイトの暗号通貨の Rewards ページ (Cyble)

別のケースでは、cash4svb.com の背後にいる脅威アクターが、取引債権者や貸し手である元 SVB 顧客の連絡先をフィッシングしようとし、65%〜85%の返金を謳っているという。

Phishing page using a refund lure
返金をルアーにするフィッシング・ページ (Cyble)
サークル詐欺

P2P 決済技術を持ち、人気の安定コイン USDC を管理する Circle は、SVB 銀行に $3.3 billion の現金を用意していた。しかし、SVB の破綻により、同社が USDC の流動性を保証しているにもかかわらず、不確実性が生じた。この不確実性は、次のような Web サイトのドメインを使用した、暗号通貨詐欺サイトのネットワークの構築につながった。

  • redeemed-circle[.]com
  • circle-reserves[.]com
  • circleusdcoin[.]com
  • circle-mintusdc[.]com
  • svb-circle[.]com
  • circle.web3claimer[.]net
  • usd-circle[.]com
Fake Circle rewards page
偽の Circle の Rewards ページ (Cyble)

これらの Web サイトは Circle とは無関係であり、訪問者の財布/デジタル資産/個人情報を盗むことを目的としている。

Eメールセキュリティ会社の Proofpoint も、SVB の破綻に乗じた Circle を装う詐欺を発見しており、ターゲットに送信されたフィッシング・メールのサンプルを Twitter で共有している。

Circle scam email
Circle を装った詐欺メール (Proofpoint)

SVB の元顧客であれば、落ち着いて、米国政府と FDIC の公式なコミュニケーション・チャネルに従うことが一番だ。

通常とは異なるドメインからの Eメールは無視し、支払いのための銀行口座の変更を、SVB 銀行顧客と称する人物から要求された場合には、慎重に確認することだ。また、このような攻撃ではEメール・アカウントが侵害される可能性があるため、Eメールではなく電話で担当者に連絡を取り、支払いの変更を確認するのが最善の方法となる。

銀行破綻の後に、そこに口座を持ち、現金を預けていた人々や企業が、どのようなアクションを取らざるを得ないのかを把握し、そこに付け入ろうとするサイバー犯罪者がいてもおかしくはありません。と言うより、BEC 詐欺師たちが、もっとも喜ぶ状況になっていると思ったほうが良いでしょう。文中にもあるように、すでに BEC のための思われる、いくつかのドメインが動き始めているようです。ご注意ください。よろしければ、BECで検索も、ご利用ください。

%d bloggers like this: