Мошенники обманули сотрудников GoDaddy для доступа к ряду криптовалютных бирж
23 ноября 2020 года
Мошенники перенаправляли электронную почту и web-трафик, предназначенный для нескольких криптовалютных бирж. Как стало известно KrebsOnSecurity, в ходе атак преступники осуществляли фишинговые атаки на сотрудников крупнейшего в мире регистратора доменных имен GoDaddy. Злоумышленники путем обмана заставляли сотрудников компании передавать право собственности и/или контроль над доменами.
В марте мошенничество с голосовыми сообщениями позволило преступникам получить контроль как минимум над пятью доменными именами, включая сайт брокера транзакций escrow.com. В мае нынешнего года GoDaddy сообщила, что 28 тыс. учетных записей web-хостинга ее клиентов были скомпрометированы после инцидента в октябре 2019 года, который был обнаружен лишь в апреле 2020 года.
Последняя кампания, предположительно, началась 13 ноября с атаки на криптовалютную биржу liquid.com.
«Провайдер хостинга доменов GoDaddy, который управляет одним из наших основных доменных имен, передал контроль над учетной записью и доменом злоумышленникам. Это позволило им изменять DNS-записи и контролировать ряд внутренних учетных записей электронной почты. Со временем злоумышленник смог частично скомпрометировать нашу инфраструктуру и получить доступ к хранилищу документов», — сказал (Архивная копия от 22 ноября 2020 на Wayback Machine) в своем блоге генеральный директор Liquid Майк Каямори (Mike Kayamori).
18 ноября сервис по майнингу криптовалюты NiceHash обнаружил, что некоторые настройки его регистрационных записей домена в GoDaddy были изменены без авторизации, что привело к кратковременному перенаправлению электронной почты и web-трафика для сайта. NiceHash заморозил все средства клиентов примерно на 24 часа, пока не смог убедиться, что настройки его домена были возвращены к исходным.
По словам основателя NiceHash Матьяза Скорьянца (Matjaz Skorjanc), несанкционированные изменения были внесены с домена GoDaddy, и злоумышленники пытались использовать свой доступ к входящим электронным письмам NiceHash для сброса паролей в различных сторонних сервисах, включая Slack и Github. В то время было невозможно связаться с GoDaddy, потому что в компании происходил повсеместный сбой в работе систем, в связи с чем телефон и электронная почта не отвечали.
Представители GoDaddy признали, что «небольшое количество» доменных имен клиентов было изменено после того, как некоторое количество сотрудников GoDaddy стали жертвой мошенничества с применением социальной инженерии. Специалисты заблокировали учетные записи, связанные с этим инцидентом, отменили все изменения в учетных записях, и помогли пострадавшим клиентам восстановить доступ к своим учетным записям.
Источники
править| Эта статья содержит материалы из статьи «Мошенники обманули сотрудников GoDaddy для доступа к ряду криптовалютных бирж», опубликованной на сайте SecurityLab.ru и распространяющейся на условиях лицензии Creative Commons Attribution 3.0 Unported (CC-BY 3.0 Unported). |  |
Любой участник может оформить статью: добавить иллюстрации, викифицировать, заполнить шаблоны и добавить категории.
Любой редактор может снять этот шаблон после оформления и проверки.
Комментарии
Если вы хотите сообщить о проблеме в статье (например, фактическая ошибка и т. д.), пожалуйста, используйте обычную страницу обсуждения.
Комментарии на этой странице могут не соответствовать политике нейтральной точки зрения, однако, пожалуйста, придерживайтесь темы и попытайтесь избежать брани, оскорбительных или подстрекательных комментариев. Попробуйте написать такие комментарии, которые заставят задуматься, будут проницательными или спорными. Цивилизованная дискуссия и вежливый спор делают страницу комментариев дружелюбным местом. Пожалуйста, подумайте об этом.
Несколько советов по оформлению реплик:
- Новые темы начинайте, пожалуйста, снизу.
- Используйте символ звёздочки «*» в начале строки для начала новой темы. Далее пишите свой текст.
- Для ответа в начале строки укажите на одну звёздочку больше, чем в предыдущей реплике.
- Пожалуйста, подписывайте все свои сообщения, используя четыре тильды (~~~~). При предварительном просмотре и сохранении они будут автоматически заменены на ваше имя и дату.
Обращаем ваше внимание, что комментарии не предназначены для размещения ссылок на внешние ресурсы не по теме статьи, которые могут быть удалены или скрыты любым участником. Тем не менее, на странице комментариев вы можете сообщить о статьях в СМИ, которые ссылаются на эту заметку, а также о её обсуждении на сторонних ресурсах.
