Контакты
Подписка 2024
Персональные данные
4 апреля. Персональные данные в 2024 году: регулирование, практика, тенденции
Регистрируйтесь на онлайн-конференцию!

Взломаны системы регистратора доменов Namecheap

14/02/23

e69853139a1054a6b230d86da28522a4

Вечером 12 февраля неизвестные хакеры взломали электронную почту регистратора доменов Namecheap, а затем распространили фишинговые письма от лица MetaMask и DHL, пытаясь украсть личную информацию и криптовалюту клиентов Namecheap. Это передает Securitylab.

Фишинговые письма отправлялись от лица SendGrid (дочерняя компания Twillio), платформы электронной почты, которую использовала Namecheap для отправки уведомлений о продлении аккаунта и маркетинговых рассылок.

После многочисленных жалоб пользователей в Twitter* генеральный директор Namecheap Ричард Киркендалл подтвердил, что учетная запись была скомпрометирована и что они отключили электронную почту через SendGrid на время расследования инцидента.

Он также добавил, что нарушение может быть связано с раскрытием API-ключей Mailgun, MailChimp и SendGrid в мобильных приложениях, о котором компания CloudSek рассказала в своём отчёте в декабре.

Фишинговые электронные письма выдают себя за DHL и MetaMask. Электронное письмо DHL содержит счет за доставку, а встроенные ссылки ведут на фишинговую страницу, предназначенную для кражи информации о цели.

В свою очередь, письмо от MetaMask призывало пройти проверку KYC (Know Your Customer), чтобы продолжить использовать кошелёк.

2yr6al6z41i9x85miod0rco5b7s6o7w7

Это электронное письмо содержит маркетинговую ссылку от Namecheap ( https://links.namecheap.com/ ), которая перенаправляет пользователя на фишинговую страницу, выдающую себя за MetaMask. На этой странице пользователю предлагается ввести «секретную фразу восстановления» или «закрытый ключ», как показано ниже.

Как только пользователь предоставляет фразу восстановления или закрытый ключ, злоумышленники могут использовать их для импорта кошелька на свои устройства и кражи всех средств.

Однако, Namecheap опроверг взлом и добавил, что это, скорей всего, была проблема в вышестоящей системе, которую компания использует для электронной почты. Также регистратор доменов заверил своих клиентов, что их учетные записи и личные данные остаются в безопасности

После инцидента Namecheap остановил рассылку всех электронных писем, включая отправку кода двухфакторной аутентификации, проверку доверенных устройств и электронные письма для сброса пароля, и начал совместное расследование с SendGrid. Все системы были восстановлены позже той же ночью.

Однако SendGrid заявил, что инцидент с Namecheap не был результатом взлома или компрометации систем SendGrid, что добавило еще больше путаницы в расследование инцидента. Кроме того, на данный момент количество жертв и суммы украденной криптовалюты неизвестны.

Компания порекомендовала всем конечным пользователям и организациям применять комплексный подход к борьбе с фишинговыми атаками, внедряя меры безопасности, такие как двухфакторная аутентификация, управление доступом по IP и использование обмена сообщениями на основе домена.

Темы:доменыПреступленияфишингMetaMask
NGFW
9 апреля. Отечественные NGFW: как защитить облачную инфраструктуру и настроить обнаружение кибератак
Участвуйте и представляйте решения!
Статьи по темеСтатьи по теме

Участвуйте в проектах

редакции журнала
"Информационная безопасность" 

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2024
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
SOAR, IRP, SOC
Спецпроекты журнала "Информационная безопасность"
Станьте автором издания!

Еще темы...

More...