GoDaddy, das weltweit größte Domain-Unternehmen, erlitt einen Voice-Phishing- und Social-Engineering-Angriff, der seine Mitarbeiter dazu verleitete, die Kontrolle über mindestens sechs Domains von Kryptowährungsunternehmen zu übertragen.
Según un berichten Kürzlich von einem Sicherheitsunternehmen veröffentlicht Krebs auf Sicherheit, GoDaddy, der größte Web-Domain-Anbieter der Welt, wurde Opfer eines Social-Engineering-Angriffs, ähnlich dem, den Twitter vor einigen Monaten erlebte.
Während des Angriffs wurden GoDaddy-Mitarbeiter dazu verleitet, die Domain mehrerer Dienstleistungsunternehmen zu übertragen criptomonedas, zwischen ihnen Liquid.com, eine Handelsplattform für Kryptowährungen und Nizzahasch, ein Unternehmen, das sich dem Kryptowährungs-Mining widmet. Zum Zeitpunkt der Veröffentlichung von Krebs on Security hatten beide Unternehmen den Angriff bestätigt, obwohl schätzungsweise mindestens sechs Unternehmen von diesem Betrug betroffen waren.
Derzeit hat keines der betroffenen und mutmaßlich betroffenen Unternehmen den Verlust von Geldern gemeldet, mehr nicht Durch den Angriff konnten Betrüger auf interne E-Mail-Konten, private Dokumente und mehr zugreifen. Nach Angaben des Sicherheitsunternehmens ist dies das zweite Mal, dass GoDaddy-Mitarbeiter Opfer eines Social-Engineering- und Voice-Phishing-Angriffs wurden, da sie im März durch Täuschung durch die Angreifer die Kontrolle über mindestens ein halbes Dutzend Domainnamen übertragen hatten. Zu diesem Zeitpunkt war die Handelsbrokerseite Escrow.com von dem Angriff betroffen.
Es könnte Sie interessieren: Massiver Hack auf Twitter: Mehr als 20 Konten wichtiger Kryptowährungsunternehmen und Unternehmer wurden gehackt
GoDaddy-Administratorzugriff
Social Engineering ist ein heimlicher und sehr vorsichtiger Angriff, der es ermöglicht, legitime Mitarbeiter eines Unternehmens so zu manipulieren, dass sie vertrauliche Informationen preisgeben, in dem Vertrauen, dass die Person, mit der sie interagieren, ebenfalls legitim ist. Mit dieser Technik versuchen Angreifer, an vertrauliche Informationen zu gelangen, die es ihnen ermöglichen, auf bestimmte Systeme zuzugreifen und Schaden anzurichten, wie im Fall von Twitter vor einigen Monaten, wo Angreifer auf mehr als 120 Konten zugegriffen haben, um einen Kryptowährungsbetrug zu fördern.
Jetzt, beim Angriff auf GoDaddy, Opfer bestätigten unbefugte Änderungen und Zugriffe auf ihre Plattformen, die laut Aufzeichnungen aus GoDaddy-Internetadressen erstellt wurden. Das Domainunternehmen bestätigte die Situation und gab an, dass sein Sicherheitsteam auf den Angriff aufmerksam geworden sei und sofort damit begonnen habe, die Dienste seiner Kunden wiederherzustellen.
„Unser Sicherheitsteam hat die Aktivitäten von Bedrohungsakteuren untersucht und bestätigt, einschließlich Social Engineering einer begrenzten Anzahl von GoDaddy-Mitarbeitern … Wir haben die von diesem Vorfall betroffenen Konten sofort gesperrt, alle an den Konten vorgenommenen Änderungen rückgängig gemacht und betroffenen Kunden geholfen, wieder Zugriff darauf zu erhalten.“ ihre Konten.“
GoDaddy-Sprecher, Dan Race, gab für Krebs on Security an, dass nur eine kleine Anzahl von Kundendomänen betroffen sei, bestätigte jedoch nicht, wie viele davon betroffen seien. Ebenso versicherte Race, dass die Unterbrechung der Dienste, die es bei GoDaddy am 17. November gab, nicht mit dem Social-Engineering-Angriff auf seine Mitarbeiter zusammenhängt.
Auswirkungen des Angriffs
Obwohl beide Unternehmen über die Folgen des Vorfalls berichteten und versicherten, dass keine unmittelbare Bedrohung für ihre Kunden und Benutzer bestehe, empfehlen sie eine Reihe zusätzlicher Sicherheitsmaßnahmen, um sich vor möglichen Phishing-Angriffen zu schützen, die ihre E-Mail-Adressen erreichen können direkt, da Angreifer möglicherweise mit personenbezogenen Daten umgehen.
Liquid.com, Zugriff auf vertrauliche Daten
Bei Liquid.com, seinem CEO Mike Kayamori, veröffentlicht a berichten um seine Kunden und Benutzer über die Auswirkungen des Social-Engineering-Angriffs auf GoDaddy zu informieren, wobei dargelegt wurde, dass der Vorfall eine Sicherheitsverletzung der Liquid.com-Dienste verursacht habe. Dieses Unternehmen wickelt ein tägliches Handelsvolumen von mehr als 275 Millionen Dollar ab.
Laut Kayamori gelang es dem Angreifer, sich als Administrator der Plattform anzumelden, DNS-Einträge zu ändern und so die Kontrolle über mehrere interne E-Mail-Konten zu übernehmen. Ebenso gelang es dem Angreifer, die Infrastruktur von Liquid.com teilweise zu kompromittieren und sich Zugriff auf die Speicherung vertraulicher Dokumente zu verschaffen. Also ruft er seine Kunden unter an Bleiben Sie auf der Hut vor verdächtigen Informationen, die Sie möglicherweise per E-Mail erreichenoder auf andere Weise, da Angreifer möglicherweise persönliche Daten wie E-Mails, Namen und Adressen kompromittiert haben. Ebenso scheinen auch die verschlüsselten Passwörter der Kunden betroffen gewesen zu sein, daher wird dies empfohlen Alle Liquid-Kunden ändern ihr Passwort und ihre 2FA-Zugangsdaten so schnell wie möglich.
Dem Plattformteam gelang es jedoch, den Angriff zu identifizieren und einzudämmen, die Kontrolle über die betroffene Domain zurückzugewinnen und zusätzliche Sicherheitsmaßnahmen zum Schutz von Kundenkonten und Vermögenswerten zu implementieren.
Kayamori stellt sicher, dass die Gelder von Kunden und Nutzern sicher sinde berücksichtigt und bleiben sicher und geschützt, und dass die Brieftaschen und Cold-Storage-Kryptowährungs-Wallets sowie solche, die auf MPC basieren, sind ebenfalls geschützt und wurden während des Angriffs nicht kompromittiert.
NiceHash, ohne Zugriff auf Ihre Domain
Das NiceHash-Team hat eine veröffentlicht berichten Dort wies er darauf hin, dass GoDaddy während des Angriffs einen technischen Fehler erlitten habe, der zwar nichts mit dem Angriff zu tun habe, ihn aber daran gehindert habe, auf seine NiceHash-Domain auf der Plattform zuzugreifen. Darüber hinaus stellte er fest, dass einige Einstellungen für seine Domain-Registrierungen bei GoDaddy unbefugt geändert wurden.
Als NiceHash die Situation erkannte, beschloss es, als Sicherheitsmaßnahme zum Schutz seiner Benutzer alle Gelder und Geldbörsen der Benutzer einzufrieren. Zum Zeitpunkt der Veröffentlichung gab NiceHash bekannt, dass alle Aktivitäten in den Wallets und Abhebungen für einen Zeitraum von 24 Stunden eingefroren bleiben würden, bis die Situation geklärt sei.
Einige Stunden später versicherte Nicehash, dass die Systeme voll funktionsfähig und online seien, dass Abhebungen jedoch noch eine Weile ausgesetzt würden, bis eine vollständige interne Prüfung durchgeführt und überprüft wurde, dass alle Gelder intakt seien. Im Gegensatz zu Liquid.com behauptet NiceHash, dass kein Zugriff auf die E-Mails, Passwörter oder persönlichen Daten der Benutzer erfolgt sei, schlägt den Benutzern jedoch dennoch vor, ihre Zugangspasswörter zurückzusetzen und die 2FA-Sicherheit zu aktivieren.
Ebenso der CEO von NiceHash, Matjaz Skorjanc, erklärte in einer E-Mail an Krebs on Security, dass die Angreifer versucht hätten, ihren Zugriff auf ihre NiceHash-E-Mails zu nutzen, um Passwörter bei mehreren Drittanbieterdiensten zurückzusetzen, darunter Slack y Github, aber dass der technische Fehler, den GoDaddy zum Zeitpunkt des Angriffs aufwies, sie aufgrund mangelnder Kommunikation mit dem Dienstanbieter daran gehindert habe.
Eine besorgniserregende Zunahme dieser Art von Angriffen
Das Sicherheitsunternehmen Krebs on Security veröffentlichte a berichten im August, was darauf hindeutet, dass die aktuelle Situation aufgrund der Pandemie, die viele Mitarbeiter des Unternehmens dazu zwingt, von zu Hause aus zu arbeiten, es zulässt, dass diese Art von Angriffen in größerer Zahl und mit größerem Erfolg durchgeführt werden.
Voice-Phishing-Angriffe beginnen, wenn der Angreifer telefonisch mit einem Mitarbeiter des Unternehmens kommuniziert, sich als ein anderer Mitarbeiter ausgibt oder sich als neuer Mitarbeiter ausgibt, um sein Opfer davon zu überzeugen, dass der Anruf von der IT-Abteilung des Unternehmens stammt und Ihre Hilfe bei der Behebung der damit verbundenen Probleme benötigt an Firmen-E-Mails oder VPNs. Wenn der Angreifer den Mitarbeiter davon überzeugt, dass er mit einer „legitimen“ Person spricht, fordert er ihn auf, seine Zugangsdaten herauszugeben, entweder am Telefon oder durch manuelle Eingabe auf einer vom Angreifer erstellten gefälschten Website, die E-Mails oder ähnliches perfekt imitiert VPN-Portal des Unternehmens. Wenn Mitarbeiter also einen Einmalcode eingeben müssen, wird die gefälschte Seite auch nach diesem Code fragen, um keinen Verdacht zu erregen.
Hacker streben nach einer direkteren und aggressiveren Monetarisierung
ZeroFOXs Director of Threat Intelligence, Zack Allen, versichert, dass Voice-Phishing-Angriffe sich zu einer direkteren und aggressiveren Form der Monetarisierung entwickeln, wobei der Verkauf von Konten im Darknet außer Acht gelassen wird. Dem Experten zufolge könnten die Angreifer Verbündete innerhalb der Unternehmen gewinnen oder ihre Betrügereien ständig praktizieren, um effektivere Angriffe durchzuführen, die in wenigen Stunden Tausende von Dollar generieren könnten.
Andererseits sagte der Forschungsdirektor des New Yorker Cyber-Ermittlungsunternehmens Unit 221B: Allison Nixon, versicherte, dass Angreifer versuchen, möglichst viel Zugriff auf die Tools eines Unternehmens zu erlangen, um die Kontrolle über digitale Vermögenswerte zu erlangen, die schnell in Bargeld umgewandelt werden können. Nixon versichert, dass Voice-Phishing-Angriffe mittlerweile vor allem auf soziale Netzwerke wie Twitter sowie E-Mail-Konten und Domains von Unternehmen mit zugehörigen Finanzinstrumenten wie Bankkonten und Kryptowährungen abzielen.
Um die besorgniserregende Häufigkeit, mit der diese Art von Angriffen auftritt, einzudämmen, fordern Sicherheitsexperten Unternehmen und Unternehmen auf, das Bewusstsein zu schärfen und ihre Mitarbeiter über die Bedeutung der Sicherheit ihrer Abläufe zu schulen sowie Tests simulierter Angriffe durchzuführen, um die Verbesserung regelmäßig zu überprüfen Reaktions- und Angriffserkennungsfähigkeit Ihrer Mitarbeiter. Mitarbeiter, die die Tests nicht bestehen, müssen eine zusätzliche Schulung absolvieren, um das Risiko zu vermeiden, Opfer von Social Engineering zu werden.
Weiterlesen: Das Ledger-Team warnt vor einem möglichen laufenden Phishing-Angriff
