Preorder drugiego tomu książki sekuraka: Wprowadzenie do bezpieczeństwa IT. -15% z kodem: sekurak-book
Szokująco prosty atak na kilka giełd kryptowalut. Wykorzystując socjotechnikę na pracowników GoDaddy przejęli im DNSy…
Brian Krebs donosi o ciekawym ataku:
fraudsters redirected email and web traffic destined for several cryptocurrency trading platforms over the past week.
Przekładając na ludzki – ktoś był w stanie przekierować użytkowników wielu giełd kryptowalut na inne adresy. Miał też dostęp do maili wysyłanych do adresów giełd.
W jaki sposób doszło do tak poważnego incydentu? Do pewnego problemu przyznała się firma GoDaddy, utrzymująca DNSy poszkodowanym firmom:
a small number” of customer domain names had been modified after a “limited” number of GoDaddy employees fell for a social engineering scam
Czyli nieco upraszczając, scenariusz mógł wyglądać tak:
– halo, halo tu właściciel giełdy X, zablokowałem konto, proszę mi tu zresetować hasło do panelu zarządzania DNSami
– OKej
Czy tak:
– halo, halo, coś mi tu nie działa, czy możecie się zalogować i sprawdzić? (tutaj link do fałszywej strony z podstawionym ekranem logowania). Następnie przechwytywane są loginy/hasła pracownika GoDaddy; atakujący musieliby jeszcze poradzić sobie z 2FA (a może go nie było?). Niedawno masowe przejmowanie popularnych kont na Twitterze miało miejsce właśnie po przejęciu konta jednego z pracowników.
W każdym razie po udanym ataku, wszystkie maile przychodzące do giełdy X znajdowały się w rękach atakujących – pomyślcie co z resetem hasła w innych serwisach? Tak – napastnicy widzą od teraz takie maile:
the attackers tried to use their access to its incoming NiceHash emails to perform password resets on various third-party services, including Slack and Github.
Wśród poszkodowanych firm były m.in.: Nicehash, Bibox.com, Celcius.network, czy Wirex.app
–ms
Taki gigant jak GoDaddy nie ma procedur? Delikatnie podejrzane…
Popatrz, taki gigant jak Twitter też nie mial procedur na wypadek takich akcji: https://sekurak.pl/uwaga-masowe-przejmowanie-kont-na-twitterze-elon-musk-bill-gates-duze-gieldy-kryptowalut-propaguja-sprytny-scam/
(albo dość wolno one zadziałały…)