23/11/20
Мошенники перенаправляли электронную почту и web-трафик, предназначенный для нескольких криптовалютных бирж. Как стало известно KrebsOnSecurity, в ходе атак преступники осуществляли фишинговые атаки на сотрудников крупнейшего в мире регистратора доменных имен GoDaddy. Злоумышленники путем обмана заставляли сотрудников компании передавать право собственности и/или контроль над доменами.
В марте мошенничество с голосовыми сообщениями позволило преступникам получить контроль как минимум над пятью доменными именами, включая сайт брокера транзакций escrow.com. В мае нынешнего года GoDaddy сообщила, что 28 тыс. учетных записей web-хостинга ее клиентов были скомпрометированы после инцидента в октябре 2019 года, который был обнаружен лишь в апреле 2020 года.
Последняя кампания, предположительно, началась 13 ноября с атаки на криптовалютную биржу liquid.com.
«Провайдер хостинга доменов GoDaddy, который управляет одним из наших основных доменных имен, передал контроль над учетной записью и доменом злоумышленникам. Это позволило им изменять DNS-записи и контролировать ряд внутренних учетных записей электронной почты. Со временем злоумышленник смог частично скомпрометировать нашу инфраструктуру и получить доступ к хранилищу документов», — сказал в своем блоге генеральный директор Liquid Майк Каямори (Mike Kayamori).
18 ноября сервис по майнингу криптовалюты NiceHash обнаружил, что некоторые настройки его регистрационных записей домена в GoDaddy были изменены без авторизации, что привело к кратковременному перенаправлению электронной почты и web-трафика для сайта. NiceHash заморозил все средства клиентов примерно на 24 часа, пока не смог убедиться, что настройки его домена были возвращены к исходным.
По словам основателя NiceHash Матьяза Скорьянца (Matjaz Skorjanc), несанкционированные изменения были внесены с домена GoDaddy, и злоумышленники пытались использовать свой доступ к входящим электронным письмам NiceHash для сброса паролей в различных сторонних сервисах, включая Slack и Github. В то время было невозможно связаться с GoDaddy, потому что в компании происходил повсеместный сбой в работе систем, в связи с чем телефон и электронная почта не отвечали.
Представители GoDaddy признали, что «небольшое количество» доменных имен клиентов было изменено после того, как некоторое количество сотрудников GoDaddy стали жертвой мошенничества с применением социальной инженерии. Специалисты заблокировали учетные записи, связанные с этим инцидентом, отменили все изменения в учетных записях, и помогли пострадавшим клиентам восстановить доступ к своим учетным записям.
