Szokująco prosty atak na kilka giełd kryptowalut. Wykorzystując socjotechnikę na pracowników GoDaddy przejęli im DNSy…

Brian Krebs donosi o ciekawym ataku:

fraudsters redirected email and web traffic destined for several cryptocurrency trading platforms over the past week.

Przekładając na ludzki – ktoś był w stanie przekierować użytkowników wielu giełd kryptowalut na inne adresy. Miał też dostęp do maili wysyłanych do adresów giełd.

W jaki sposób doszło do tak poważnego incydentu? Do pewnego problemu przyznała się firma GoDaddy, utrzymująca DNSy poszkodowanym firmom:

a small number” of customer domain names had been modified after a “limited” number of GoDaddy employees fell for a social engineering scam

Czyli nieco upraszczając, scenariusz mógł wyglądać tak:

– halo, halo tu właściciel giełdy X, zablokowałem konto, proszę mi tu zresetować hasło do panelu zarządzania DNSami
– OKej

Czy tak:

– halo, halo, coś mi tu nie działa, czy możecie się zalogować i sprawdzić? (tutaj link do fałszywej strony z podstawionym ekranem logowania). Następnie przechwytywane są loginy/hasła pracownika GoDaddy; atakujący musieliby jeszcze poradzić sobie z 2FA (a może go nie było?). Niedawno masowe przejmowanie popularnych kont na Twitterze miało miejsce właśnie po przejęciu konta jednego z pracowników.

W każdym razie po udanym ataku, wszystkie maile przychodzące do giełdy X znajdowały się w rękach atakujących – pomyślcie co z resetem hasła w innych serwisach? Tak – napastnicy widzą od teraz takie maile:

the attackers tried to use their access to its incoming NiceHash emails to perform password resets on various third-party services, including Slack and Github. 

Wśród poszkodowanych firm były m.in.: Nicehash, Bibox.com, Celcius.network, czy Wirex.app

–ms