Злоумышленники воспользовались почтовой службой SendGrid для кражи криптовалюты пользователей.
Вечером 12 февраля неизвестные хакеры взломали электронную почту регистратора доменов Namecheap, а затем распространили фишинговые письма от лица MetaMask и DHL, пытаясь украсть личную информацию и криптовалюту клиентов Namecheap.
Фишинговые письма отправлялись от лица SendGrid (дочерняя компания Twillio), платформы электронной почты, которую использовала Namecheap для отправки уведомлений о продлении аккаунта и маркетинговых рассылок.
После многочисленных жалоб пользователей в Twitter* генеральный директор Namecheap Ричард Киркендалл Для просмотра ссылки Войди
Он также добавил, что нарушение может быть связано с раскрытием API-ключей Mailgun, MailChimp и SendGrid в мобильных приложениях, о котором компания CloudSek Для просмотра ссылки Войди
Фишинговые электронные письма выдают себя за DHL и MetaMask. Электронное письмо DHL содержит счет за доставку, а встроенные ссылки ведут на фишинговую страницу, предназначенную для кражи информации о цели.
В свою очередь, письмо от MetaMask призывало пройти проверку KYC (Know Your Customer), чтобы продолжить использовать кошелёк.
Фишинговое письмо и поддельная страница Metamask Это электронное письмо содержит маркетинговую ссылку от Namecheap ( Для просмотра ссылки Войди
Как только пользователь предоставляет фразу восстановления или закрытый ключ, злоумышленники могут использовать их для импорта кошелька на свои устройства и кражи всех средств.
Однако, Namecheap опроверг взлом и добавил, что это, скорей всего, была проблема в вышестоящей системе, которую компания использует для электронной почты. Также регистратор доменов заверил своих клиентов, что их учетные записи и личные данные остаются в безопасности
После инцидента Namecheap остановил рассылку всех электронных писем, включая отправку кода двухфакторной аутентификации, проверку доверенных устройств и электронные письма для сброса пароля, и начал совместное расследование с SendGrid. Все системы были восстановлены позже той же ночью.
Однако SendGrid заявил, что инцидент с Namecheap не был результатом взлома или компрометации систем SendGrid, что добавило еще больше путаницы в расследование инцидента. Кроме того, на данный момент количество жертв и суммы украденной криптовалюты неизвестны.
Компания порекомендовала всем конечным пользователям и организациям применять комплексный подход к борьбе с фишинговыми атаками, внедряя меры безопасности, такие как двухфакторная аутентификация, управление доступом по IP и использование обмена сообщениями на основе домена.
*соцсеть заблокирована на территории РФ.
- Источник новости
- www.securitylab.ru