La déroute de la Silicon Valley Bank (SVB) qui s’est déroulée le week-end dernier est clairement une opportunité pour les cybercriminels en ciblant les clients de la banque des start-ups. Faute d’avoir pu lever des fonds pour continuer à fonctionner, la SVB a été fermée le vendredi 10 mars par le département californien de la protection financière et de l'innovation. Quant aux clients, ils pourront transférer leurs opérations financières vers d'autres banques dans les semaines à venir. Cela signifie qu’ils seront amenés à recevoir des notifications avec les nouveaux numéros de comptes bancaires de leur nouvelle banque. Les pirates profitent de l'occasion et ciblent les clients de la SVB en se faisant passer pour des banques et mener des campagnes de phishing et de compromission des courriers électroniques professionnels (Business Email Compromise, BEC).
Enregistrement de domaines suspects
Les chercheurs en sécurité ont découvert que les cybercriminels ont déjà enregistré des domaines et des pages suspectes pour mener à bien leurs attaques. Le Cyble Research & Intelligence Labs (CRIL) pointe plusieurs sites web suspects parmi lesquels svbcollapse[.]com, svbclaim[.]com, svbdebt[.]com, svbclaims[.]net, login-svb[.]com, Svbbailout[. ]com, svb-usdc[.]com, svb-usdc[.]net, svbi[.]io, banksvb[.]com, svbank[.]com, et Svblogin[.]com. Certains sites sont apparus après le 10 mars, juste après l'effondrement de la SVB. Le 13 mars, le département du Trésor, la Réserve fédérale et la Federal Deposit Insurance Corporation, une agence indépendante du gouvernement des États-Unis qui garantit les dépôts bancaires, ont publié une déclaration commune visant à protéger les fonds de tous les déposants et à garantir l'accès à leur argent.
« Même si l’annonce a soulagé les déposants concernés, les acteurs de la menace ont commencé à l’exploiter pour lancer leurs campagnes malveillantes », a déclaré la CRIL dans son rapport. « La faillite de la Silicon Valley Bank attire les pirates parce qu'il y a beaucoup d'argent en jeu et que la situation favorise un sentiment d'urgence et d'incertitude », a déclaré dans un message Johannes B. Ullrich, doyen de la recherche pour le SANS Technology Institute, une entreprise privée spécialisée dans l’information sur la sécurité, la formation à la cybersécurité et la vente de certificats. « Beaucoup d’entreprises et d’employées de ces entreprises se demandent comment ils vont payer leurs factures, si l’employeur sera en mesure d’honorer les salaires, s’ils doivent faire quelque chose dans l’immédiat. Beaucoup ne savent pas comment communiquer avec la banque, quel site web utiliser ou quels courriels attendre (et qui les enverra) », a déclaré M. Ullrich. Selon le graphique partagé par le chercheur, le plus grand nombre de noms de domaine contenant le nom SVB a été enregistré le 12 mars.
Des escroqueries aux crypto-monnaies et des phishing de mails pro
Mais les acteurs de la menace n’ont pas seulement enregistré des domaines suspects. Ils se sont aussi lancés dans d'autres types d’escroqueries. Plusieurs sont liées à la crypto-monnaie et ont déjà été identifiées par la CRIL. Dans l'une d’elles analysée par les chercheurs en sécurité, des sites de phishing comme svb-usdc[.]com, et svb-usdc[.]net ont mis en place de faux programmes de récompense USD Coin (USDC). Ces sites prétendent que la banque distribue activement des USDC dans le cadre du programme de remboursement SVB USDC aux détenteurs d'USDC éligibles. L'USDC ou USD Coin est un stablecoin indexé au dollar américain. « Ils cherchent à voler de la crypto-monnaie sur le compte de la victime en lui offrant de l'USDC gratuit », a déclaré la CRIL dans son rapport. Sur le site de phishing, quand l'utilisateur clique sur le lien « cliquer ici pour faire votre réclamation », un QR code s'affiche. « L'utilisateur est invité à scanner le QR code en utilisant n'importe quel portefeuille de crypto-monnaie, tel que Trust, Metamask ou Exodus. Cependant, le fait de scanner le code entraînera la compromission du compte du portefeuille de l'utilisateur », a déclaré la CRIL dans son rapport.
Exemple de tromperie à base QR code. (Crédit Photo: Cyble Research)
Des sites d'hameçonnage similaires, impliqués dans la même activité malveillante, ont été observés par la CRIL peu après que Circle, l'émetteur d’USD Coins, a annoncé qu'il détenait 3,3 milliards de dollars d'USDC auprès de SVB et qu'il reprendrait ses activités. Les sites de phishing se sont fait passer pour Circle et ont attiré les victimes en leur faisant miroiter une transaction de 1 USDC pour 1 dollar. Outre les combines liées aux crypto-monnaies, des attaques de type compromission de mail pro ciblant les clients de la Silicon Valley Bank ont également fait surface. Un billet partagé sur Mastodon par Peter Bronez, vice-président senior, et Enterprise Practice Lead pour la société de capital-risque In-Q-Tel (proche de la CIA), montre que les clients de la SVB reçoivent des informations de compte non-SVB de la part de leurs fournisseurs existants afin de faciliter les paiements. Cependant, ces coordonnées de compte sont en fait celles des attaquants et si le client transfère le paiement sur le compte, il est probable qu'il ne reverra jamais l'argent. D'autres utilisateurs ont également signalé des escroqueries comparables sur des plateformes comme Mastodon, Twitter et LinkedIn.
Une vigilance de mise
Les clients de la SVB doivent être vigilants face à ces attaques. Les experts conseillent aux clients de contacter directement leurs fournisseurs avant de modifier les informations de leur compte et de ne pas se fier uniquement aux courriels pour ces demandes de changement. « Étant donné le récent buzz autour de la faillite de SVB, qui aura des effets durables sur les entreprises touchées, ces entités sont susceptibles de devenir des cibles pour les acteurs de la menace qui peuvent utiliser des logiciels malveillants et des attaques de phishing pour s’en prendre à elles », a déclaré la CRIL.