Вечером 12 февраля неизвестные хакеры взломали электронную почту регистратора доменов Namecheap, а затем распространили фишинговые письма от лица MetaMask и DHL, пытаясь украсть личную информацию и криптовалюту клиентов Namecheap.
Фишинговые письма отправлялись от лица SendGrid (дочерняя компания Twillio), платформы электронной почты, которую использовала Namecheap для отправки уведомлений о продлении аккаунта и маркетинговых рассылок.
После многочисленных жалоб пользователей в Twitter* генеральный директор Namecheap Ричард Киркендалл подтвердил , что учетная запись была скомпрометирована и что они отключили электронную почту через SendGrid на время расследования инцидента.
Он также добавил, что нарушение может быть связано с раскрытием API-ключей Mailgun, MailChimp и SendGrid в мобильных приложениях, о котором компания CloudSek рассказала
в своём отчёте в декабре.
Фишинговые электронные письма выдают себя за DHL и MetaMask. Электронное письмо DHL содержит счет за доставку, а встроенные ссылки ведут на фишинговую страницу, предназначенную для кражи информации о цели.
В свою очередь, письмо от MetaMask призывало пройти проверку KYC (Know Your Customer), чтобы продолжить использовать кошелёк.
Фишинговое письмо и поддельная страница Metamask
Это электронное письмо содержит маркетинговую ссылку от Namecheap ( https://links.namecheap.com/ ), которая перенаправляет пользователя на фишинговую страницу, выдающую себя за MetaMask. На этой странице пользователю предлагается ввести «секретную фразу восстановления» или «закрытый ключ», как показано ниже.
Как только пользователь предоставляет фразу восстановления или закрытый ключ, злоумышленники могут использовать их для импорта кошелька на свои устройства и кражи всех средств.
Однако, Namecheap опроверг взлом и добавил, что это, скорей всего, была проблема в вышестоящей системе, которую компания использует для электронной почты. Также регистратор доменов заверил своих клиентов, что их учетные записи и личные данные остаются в безопасности
После инцидента Namecheap остановил рассылку всех электронных писем, включая отправку кода двухфакторной аутентификации, проверку доверенных устройств и электронные письма для сброса пароля, и начал совместное расследование с SendGrid. Все системы были восстановлены позже той же ночью.
Однако SendGrid заявил, что инцидент с Namecheap не был результатом взлома или компрометации систем SendGrid, что добавило еще больше путаницы в расследование инцидента. Кроме того, на данный момент количество жертв и суммы украденной криптовалюты неизвестны.
Компания порекомендовала всем конечным пользователям и организациям применять комплексный подход к борьбе с фишинговыми атаками, внедряя меры безопасности, такие как двухфакторная аутентификация, управление доступом по IP и использование обмена сообщениями на основе домена.
*соцсеть заблокирована на территории РФ.
Источник: SecurityLab