Der Zusammenbruch der Silicon Valley Bank (SVB) lockt inzwischen auch Betrüger an. Die haben es auf das Geld und Daten von Kunden der Bank abgesehen. IT-Sicherheitsforscher konnten bereits erste konkrete Angriffe beobachten.

SVB-Zusammenbruch: Betrugsmasche Kryptowährung

Die Proofpoint-Mitarbeiter berichten von einer bösartigen Kampagne, die Opfer unter der SVB-Kundschaft finden soll, die mit der Kryptowährung USD Coin (USDC) handeln. Der USDC ist eine digitale Währung, die an den US-Dollar geknüpft ist und von dem SVB-Zusammenbruch betroffen war. Die Kampagnen-Nachrichten fälschten diverse Kryptowährungs-Marken und wurden mittels bösartiger SendGrid-Konten versendet. Die enthaltenen Links verweisen auf unterschiedliche Domains, die die Opfer auffordern, ihre Kryptowährung zu beanspruchen respektive in US-Dollar zu wandeln.

Der Klick auf die Schaltflächen der Webseiten führt zum Öffnen einer DeFi-URL. Diese dienen ganz allgemein gesprochen Finanztransaktionen, wofür ein URL-Handler installiert sein muss. Proofpoint nennt MetaMask-Wallet als Beispiel. Das Opfer wird dann verleitet, einen Smart Contract zu installieren, der den Inhalt der Krypto-Wallet des Opfers an die Betrüger sendet. Die Angreifer haben etwa das Fintech-Unternehmen Circle imitiert, als es ankündigte, Geldreserven in der SVB zu haben; die Opfer sollte locken, dass sie ihre USD-Coin mit einem 1:1-Wechselkurs in US-Dollar wandeln und einlösen könnten.

Auch andere IT-Forscher beobachten, dass potenzielle Betrügereien vorbereitet werden. So hat das Internet Storm Center vom Sans Institut eine starke Zunahme an Domain-Registrierungen mit SVB-Bezug beobachtet.

Eine deutliche Zunahme an Domain-Registrierungen mit SVB-Bezug sieht das Internet Storm Center (ISC). (Bild: Internet Storm Center/ISC)

Das ISC listet etwa die Domains login-svb.com, svbbailout.com, svbcertificates.com, svbclaim.com, svbcollapse.com, svbdeposits.com, svbhelp.com oder svblawsuit.com auf und erläutert, dass da noch viele mehr registriert worden seien. Nicht alle stellen direkt betrügerische Domains dar, sie versuchten jedoch, mit der Bankenkrise um die SVB Geld zu scheffeln.

Gelegenheit für Business E-Mail Compromise

Das ISC mutmaßt, dass Cyberkriminelle die Bankenkrise für sogenanntes Business E-Mail Compromise (BEC), auch als CEO-Fraud respektive Variante des Spear-Phishings bekannt, missbrauchen könnten. Dabei versuchen sie, Bankdaten zu Überweisungen von Mitarbeitern des zahlenden Unternehmens ändern zu lassen und auf eigene Konten im Ausland umzuleiten. In jüngster Vergangenheit gibt es gehäufte Angriffe mit dieser Masche in Österreich und Deutschland zu verzeichnen.

Auch deutsche Start-ups könnten von der SVB-Krise betroffen sein, etwa HelloFresh und Lilium. Die BaFin stehe im Kontakt mit der deutschen Tochter der Silicon Valley Bank.

