Colapso do SVB está sendo usado para roubar dinheiro e dados

Poucos dias depois do ocorrido, o Colapso do SVB está sendo usado para roubar dinheiro e dados por hackers e golpistas.

O colapso do Silicon Valley Bank (SVB) em 10 de março de 2023 causou turbulência em todo o sistema financeiro global, mas para hackers, golpistas e campanhas de phishing, está se tornando uma excelente oportunidade.

Como relatam vários pesquisadores de segurança, os agentes de ameaças já estão registrando domínios suspeitos, conduzindo páginas de phishing e se preparando para ataques de comprometimento de e-mail comercial (BEC).

Essas campanhas visam roubar dinheiro, roubar dados de contas ou infectar alvos com malware.

Colapso do SVB está sendo usado para roubar dinheiro e dados

Colapso do SVB está sendo usado para roubar dinheiro e dados
Colapso do SVB está sendo usado para roubar dinheiro e dados

O SVB era um banco comercial com sede nos Estados Unidos, o 16º maior do país e o maior banco em depósitos no Vale do Silício, Califórnia.

Em 10 de março de 2023, o banco faliu após uma corrida em seus depósitos. Essa falência foi a maior de qualquer banco desde a crise financeira de 2007-2008 e a segunda maior da história dos Estados Unidos.

Este evento impactou muitas empresas e pessoas nas indústrias de tecnologia, ciências da vida, saúde, private equity, capital de risco e vinhos premium que eram clientes do SVB.

A situação caótica é ainda agravada pelos elementos predominantes de urgência, incerteza e pelas quantias significativas de dinheiro depositadas no banco.

O pesquisador de segurança Johannes Ulrich relatou ontem que os agentes de ameaças estão aproveitando a oportunidade, registrando domínios suspeitos relacionados ao SVB que provavelmente serão usados em ataques.

Colapso do SVB está sendo usado para roubar dinheiro e dados
Colapso do SVB está sendo usado para roubar dinheiro e dados – Taxas diárias de registro de domínios suspeitos (SANS ISC)

Alguns dos exemplos dados em um relatório publicado no site do SANS ISC incluem:
login-svb[.]com
svbailout[.]com
svbcertificates[.]com
svbclaim[.]com
svbcollapse[.]com
svbdeposits[.]com
svbhelp[.]com
svblawsuit[.]com
Ulrich alertou que os golpistas podem tentar entrar em contato com ex-clientes do SVB para oferecer a eles um pacote de suporte, serviços jurídicos, empréstimos ou outros serviços falsos relacionados ao colapso do banco.

Um ataque já visto na natureza é de agentes de ameaças do BEC que estão se passando por clientes do SVB e dizendo aos clientes que precisam que os pagamentos sejam enviados para uma nova conta bancária após o colapso do banco.

No entanto, essas contas bancárias pertencem aos atores da ameaça, que roubam pagamentos destinados à empresa legítima.

Colapso do SVB está sendo usado para roubar dinheiro e dados
Colapso do SVB está sendo usado para roubar dinheiro e dados – Reivindicação sobre uma tentativa de BEC com tema SVB (Mastodon)

A empresa de inteligência cibernética Cyble publicou um relatório semelhante hoje explorando o desenvolvimento de ameaças com tema SVB, alertando sobre esses domínios adicionais:
svbdebt[.]com
svbclaims[.]net
svb-usdc[.]com
svb-usdc[.]net
svbi[.]io
bankvb[.]com
svbank[.]com
svblogin[.]com
Muitos desses sites foram registrados no dia do colapso do banco, 10 de março de 2023, e já hospedam golpes de criptomoeda.

Essas páginas fraudulentas informam aos clientes do SVB que o banco está distribuindo USDC como parte de um programa de “retorno”.

“13 de março de 2023 – O Silicon Valley Bank está distribuindo ativamente USDC como parte do programa de retorno SVB USDC para detentores elegíveis de USDC. Os pagamentos de USDC só podem ser reivindicados uma vez por carteira”, afirma o golpe de criptomoeda.

No entanto, clicar no botão ‘Clique aqui para reivindicar’ do site exibe um código QR que tenta comprometer as carteiras criptográficas Metamask, Exodus e Trust Wallet quando digitalizadas.

Página fraudulenta de recompensas de criptomoedas (Cyble)
Colapso do SVB está sendo usado para roubar dinheiro e dados – Página fraudulenta de recompensas de criptomoedas (Cyble)

Em outro caso, os agentes de ameaças por trás de “cash4svb.com” tentam fazer phishing das informações de contato de ex-clientes do SVB que são credores comerciais ou credores, prometendo-lhes um retorno entre 65% e 85%.
Página de phishing usando uma isca de reembolso (Cyble)
Colapso do SVB está sendo usado para roubar dinheiro e dados – Página de phishing usando uma isca de reembolso (Cyble)

A empresa de pagamentos ponto a ponto Circle, que administra a popular stablecoin USDC, tinha uma reserva de caixa de US$ 3,3 bilhões no banco SVB. No entanto, o colapso do SVB criou incerteza, apesar das garantias da empresa sobre a liquidez do USDC.

Essa incerteza levou à criação de uma rede de sites fraudulentos de criptomoedas usando domínios de sites como:
redimido-círculo[.]com
circle-reservas[.]com
circleusdcoin[.]com
circle-mintusdc[.]com
svb-circle[.]com
circle.web3claimer[.]net
usd-circle[.]com

Página de recompensas do Círculo falso
Colapso do SVB está sendo usado para roubar dinheiro e dados – Página de recompensas do Círculo falso (Cyble)

Esses sites não têm afiliação real com o Circle e seu único objetivo é roubar as carteiras, ativos digitais ou detalhes pessoais de seus visitantes.

A empresa de segurança de e-mail Proofpoint também detectou golpes do Circle decorrentes dos eventos do SVB, compartilhando no Twitter uma amostra de e-mails de phishing enviados aos alvos.

E-mail fraudulento com tema de círculo (Proofpoint)
Colapso do SVB está sendo usado para roubar dinheiro e dados – E-mail fraudulento com tema de círculo (Proofpoint)

Se você é um ex-cliente do SVB, o melhor a fazer é manter a calma e seguir os canais de comunicação oficiais do governo dos Estados Unidos e do FDIC.

Ignore todos os e-mails de domínios incomuns e verifique três vezes todas as solicitações de supostos clientes bancários do SVB que solicitam que você altere os detalhes da conta bancária para pagamentos.

O melhor método para confirmar as alterações de pagamento é entrar em contato por telefone, não por e-mail, pois as contas de e-mail podem ser comprometidas durante esses ataques.

Sobre o Edivaldo Brito

Edivaldo Brito é analista de sistemas, gestor de TI, blogueiro e também um grande fã de sistemas operacionais, banco de dados, software livre, redes, programação, dispositivos móveis e tudo mais que envolve tecnologia.

Deixe um comentário

Esse site utiliza o Akismet para reduzir spam. Aprenda como seus dados de comentários são processados.