O e-mail do registrador de domínio Namecheap foi hackeado no fim de semana passado e a empresa enviou uma enxurrada de e-mails de phishing (supostamente de MetaMask e DHL) para usuários. Desta maneira, hackers tentaram roubar destinatários’ informações pessoais e criptomoedas de suas carteiras.
Deixe-me lembrá-lo de que também escrevemos sobre Quebra-gelo Backdoor surgiu, Explorando uma nova forma de phishing, e também, você pode estar interessado em saber Por que o phishing ainda é o ataque cibernético mais comum?
A mídia também indicou que meta processa operadoras de 39,000 sites de phishing.
Os e-mails de phishing originaram-se de SendGrid, uma plataforma de e-mail historicamente usada por Nome barato para enviar notificações e e-mails de marketing.
Depois que destinatários de e-mails estranhos começaram a reclamar do incidente em Twitter, CEO da Namecheap Richard Kirkendall confirmou que a conta da empresa foi comprometida, e agora uma opção de envio de e-mail via SendGrid foi desativada com urgência enquanto a investigação estava em andamento. No entanto, este tweet foi excluído posteriormente.
Kirkendall também escreveu que, de acordo com especialistas da Namecheap, este ataque pode estar relacionado a um recente CloudSek relatório, onde pesquisadores alertaram sobre a exposição Arma postal, MailChimp e chaves de API SendGrid em aplicativos móveis.
Os e-mails de phishing enviados por hackers como parte desta campanha foram disfarçados como notificações de DHL ou MetaMask. Por exemplo, e-mails da DHL falsa supostamente continham faturas de remessa que deveriam ser pagas para concluir a entrega do pacote. Na verdade, os links incorporados nessas mensagens levavam a uma página de phishing onde tentavam roubar dados das vítimas.
Por sua vez, a carta falsa da MetaMask imitou um pedido de KYC (Conheça seu cliente) verificar, caso contrário, a carteira seria supostamente suspensa.
Esses e-mails continham um Namecheap (https://links.namecheap.com/) link de marketing que redirecionou as vítimas para uma página de phishing se passando pelo site MetaMask. Nesta página, o usuário foi solicitado a inserir sua frase inicial ou chave privada.
Mais tarde, Representantes Namecheap divulgou um comunicado oficial, segundo o qual os sistemas da empresa não foram hackeados, e o problema estava relacionado a um sistema de terceiros não identificado que o registrador usava para trabalhar com correio.
Embora Namecheap não tenha dito de qual sistema upstream eles estavam falando, o próprio CEO da empresa confirmou no Twitter que a empresa usa SendGrid para trabalhar com correio (isso também foi confirmado pelos cabeçalhos dos e-mails de phishing).
Interessantemente, ao mesmo tempo, os desenvolvedores de Twilio SendGrid garantido Computador bipando jornalistas que este incidente não teve nada a ver com hackear ou comprometer seus sistemas.
