GoDaddy попались на социнженерию — мошенники изменили DNS криптобирж и escrow.com
В GoDaddy признали, что «небольшое количество» доменных имен клиентов было изменено после того, как «ограниченное» количество сотрудников GoDaddy попалось на аферы социальной инженерии.
Среди пострадавших известные криптобиржи, и популярный эскроу-сервис escrow.com
«Хакеры организовали перенаправление электронной почты и веб-трафика сразу нескольких платформ для торговли криптовалютой после того, как несколько раз провели успешные фишинговые атаки на сотрудников GoDaddy, крупнейшего в мире регистратора доменных имен.
Еще в марте атака с использованием голосового фишинга или вишинга позволила злоумышленникам получить контроль над несколькими доменными именами, включая сайт брокера транзакций escrow.com.
В мае этого года GoDaddy сообщил, что 28 тысяч учетных записей веб-хостинга клиентов были скомпрометированы после инцидента безопасности в октябре 2019 года, который не удавалось раскрыть до апреля 2020 года.
Последняя кампания началась 13 ноября с атаки на платформу для торговли криптовалютой liquid.com. Ее гендиректор Майк Каямори заявил, что провайдер хостинга доменов GoDaddy, который управляет одним из основных доменных имен биржи, передал контроль над учетной записью и доменом злоумышленнику. Это дало хакерам возможность изменять настройки DNS и частично скомпрометировать инфраструктуру, чтобы получить доступ к хранилищу документов.
18 ноября сервис по майнингу криптовалюты NiceHash обнаружил, что некоторые настройки его регистрационных записей домена в GoDaddy были изменены без авторизации, что привело к кратковременному перенаправлению электронной почты и веб-трафика. NiceHash заморозил все средства клиентов примерно на 24 часа, пока не смог убедиться, что настройки его домена были возвращены к исходным. Там также призвали клиентов сбросить пароли и ввести двойную аутентификацию несмотря на то, что ни к электронной почте, ни к паролям, ни к каким-либо личным данным хакеры доступ не получили.
Основатель NiceHash Матьяз Скорьянц сказал, что несанкционированные изменения были внесены с интернет-адреса GoDaddy, и что злоумышленники пытались использовать свой доступ к входящим электронным письмам NiceHash для сброса паролей в различных сторонних сервисах, включая Slack и Github. Но он сказал, что в то время с GoDaddy было невозможно связаться, потому что происходил массовый сбой системы.
Скорьянц сказал, что почтовый сервис NiceHash был перенаправлен на privateemail.com, почтовую платформу, управляемую Namecheap Inc., еще одним крупным регистратором доменных имен. Используя Farsight Security, службу, которая отображает изменения в записях доменных имен, в KrebsOnSecurity собрали все домены, зарегистрированные в GoDaddy, с которыми происходило подобное в тот же период. Выяснилось, что несколько других криптовалютных платформ тоже могли быть мишенью преступной группы. В их числе оказались Bibox.com, Celsius.network и Wirex.app.
В GoDaddy признали, что «небольшое количество» доменных имен клиентов было изменено после того, как «ограниченное» количество сотрудников GoDaddy попалось на аферы социальной инженерии. В регистраторе заявили, что «немедленно заблокировали учетные записи, участвовавшие в этом инциденте, отменили все изменения, внесенные в учетные записи, и помогли затронутым клиентам восстановить доступ к своим учетным записям».
При атаке на escrow.com перенаправление велось на интернет-адрес в Малайзии, на котором размещалось менее десятка других доменов, включая фишинговый сайт servicenow-godaddy.com. Это говорит о том, что злоумышленникам, стоящим за инцидентами, удалось уговорить сотрудников GoDaddy использовать свои учетные данные на поддельной странице входа в GoDaddy.
Как правило, телефонный фишинг начинается с того, что сотрудникам на удаленке звонят и представляются работниками ИТ-отдела работодателя. Звонящий при этом предлагает устранить проблемы с электронной почтой компании или VPN. В ходе разговора сотрудника убеждают раскрыть свои учетные данные по телефону, либо ввести их вручную на веб-сайте, созданном злоумышленниками, который имитирует корпоративную электронную почту организации или портал VPN. Авторы атак обычно составляют досье на сотрудников целевых компаний, используя массовый парсинг общедоступных профилей на платформах социальных сетей, инструменты найма и маркетинга, исследования из открытых источников.»