Хакеры организовали перенаправление электронной почты и веб-трафика сразу нескольких платформ для торговли криптовалютой после того, как несколько раз провели успешные фишинговые атаки на сотрудников GoDaddy, крупнейшего в мире регистратора доменных имен.
Еще в марте атака с использованием голосового фишинга или вишинга позволила злоумышленникам получить контроль над несколькими доменными именами, включая сайт брокера транзакций escrow.com.
В мае этого года GoDaddy сообщил, что 28 тысяч учетных записей веб-хостинга клиентов были скомпрометированы после инцидента безопасности в октябре 2019 года, который не удавалось раскрыть до апреля 2020 года.
Последняя кампания началась 13 ноября с атаки на платформу для торговли криптовалютой liquid.com. Ее гендиректор Майк Каямори заявил, что провайдер хостинга доменов GoDaddy, который управляет одним из основных доменных имен биржи, передал контроль над учетной записью и доменом злоумышленнику. Это дало хакерам возможность изменять настройки DNS и частично скомпрометировать инфраструктуру, чтобы получить доступ к хранилищу документов.
18 ноября сервис по майнингу криптовалюты NiceHash обнаружил, что некоторые настройки его регистрационных записей домена в GoDaddy были изменены без авторизации, что привело к кратковременному перенаправлению электронной почты и веб-трафика. NiceHash заморозил все средства клиентов примерно на 24 часа, пока не смог убедиться, что настройки его домена были возвращены к исходным. Там также призвали клиентов сбросить пароли и ввести двойную аутентификацию несмотря на то, что ни к электронной почте, ни к паролям, ни к каким-либо личным данным хакеры доступ не получили.
Основатель NiceHash Матьяз Скорьянц сказал, что несанкционированные изменения были внесены с интернет-адреса GoDaddy, и что злоумышленники пытались использовать свой доступ к входящим электронным письмам NiceHash для сброса паролей в различных сторонних сервисах, включая Slack и Github. Но он сказал, что в то время с GoDaddy было невозможно связаться, потому что происходил массовый сбой системы.
Скорьянц сказал, что почтовый сервис NiceHash был перенаправлен на privateemail.com, почтовую платформу, управляемую Namecheap Inc., еще одним крупным регистратором доменных имен. Используя Farsight Security, службу, которая отображает изменения в записях доменных имен, в KrebsOnSecurity собрали все домены, зарегистрированные в GoDaddy, с которыми происходило подобное в тот же период. Выяснилось, что несколько других криптовалютных платформ тоже могли быть мишенью преступной группы. В их числе оказались Bibox.com, Celsius.network и Wirex.app.
В GoDaddy признали, что «небольшое количество» доменных имен клиентов было изменено после того, как «ограниченное» количество сотрудников GoDaddy попалось на аферы социальной инженерии. В регистраторе заявили, что «немедленно заблокировали учетные записи, участвовавшие в этом инциденте, отменили все изменения, внесенные в учетные записи, и помогли затронутым клиентам восстановить доступ к своим учетным записям».
При атаке на escrow.com перенаправление велось на интернет-адрес в Малайзии, на котором размещалось менее десятка других доменов, включая фишинговый сайт servicenow-godaddy.com. Это говорит о том, что злоумышленникам, стоящим за инцидентами, удалось уговорить сотрудников GoDaddy использовать свои учетные данные на поддельной странице входа в GoDaddy.
Как правило, телефонный фишинг начинается с того, что сотрудникам на удаленке звонят и представляются работниками ИТ-отдела работодателя. Звонящий при этом предлагает устранить проблемы с электронной почтой компании или VPN. В ходе разговора сотрудника убеждают раскрыть свои учетные данные по телефону, либо ввести их вручную на веб-сайте, созданном злоумышленниками, который имитирует корпоративную электронную почту организации или портал VPN. Авторы атак обычно составляют досье на сотрудников целевых компаний, используя массовый парсинг общедоступных профилей на платформах социальных сетей, инструменты найма и маркетинга, исследования из открытых источников.
В июле в известных Twitter-аккаунтах были размещены записи, которые предлагали пользователям перевести деньги на некий биткоин-адрес, чтобы получить эту сумму назад в двойном размере. Записи публиковались с верифицированных аккаунтов звезд и бизнесменов, а также компаний. Так, их разместили в аккаунтах Apple, Uber, Elon Musk, Bill Gates, Warren Buffett, Jeff Bezos, Mike Bloomberg, Barack Obama, Joe Biden, Kanye West и прочих. Как сообщили в службе безопасности соцсети, взлом произошел с помощью социальной инженерии через сотрудников, а сообщения были размещены через внутреннюю админку. Twitter тогда пришлось заблокировать все учетные записи пользователей, пароли к которым меняли в течение прошедшего месяца. Спустя две недели хакеров задержали. Ими оказались 17-летний Грэм Кларк и 19-летний Мейсон Шеппард, а также 22-летняя Нима Фазели.
После инцидента с Twitter ФБР и CISA предупредили об угрозе вишинга, который становится все более популярным в эпоху удаленки.
Чтобы не допустить такого вида атак, предлагается:
- ограничить VPN-соединения только управляемыми устройствами, используя такие механизмы, как проверка оборудования или установленные сертификаты, чтобы одного пользовательского действия было недостаточно для доступа к корпоративной VPN;
- ограничить часы доступа к VPN;
- применять мониторинг домена для отслеживания создания или изменения корпоративных доменов с фирменными названиями;
- активно сканировать и контролировать веб-приложения на предмет несанкционированного доступа, модификации и аномальных действий;
- использовать принцип наименьших привилегий и внедрять политики ограниченного использования программ или другие средства контроля; контролировать доступ и использование авторизованных пользователей;
- рассмотреть возможность использования формализованного процесса аутентификации для связи между сотрудниками через телефонную сеть общего пользования;
- улучшить обмен сообщениями 2FA и OTP, чтобы избежать путаницы при попытках аутентификации сотрудников;
- • убедиться, что веб-ссылки не содержат орфографических ошибок или неправильный домен;
- добавить в закладки правильный корпоративный URL-адрес VPN и не посещать альтернативные URL-адреса;
- с подозрением относиться к нежелательным телефонным звонкам или сообщениям электронной почты от неизвестных лиц, утверждающих, что они являются представителями организации. Не предоставлять им личную информацию или информацию об организации. Проверять личность звонящего напрямую в компании;
- при получении подозрительного вызова записать номер телефона звонящего, а также домен, о котором он говорил, чтобы передать эту информацию правоохранительным органам;
- ограничить количество личной информации, которая публикуется в соцсетях компаний и на их сайтах;
- оценить настройки: сайты могут периодически менять свои параметры, поэтому нужно регулярно проверять настройки безопасности и конфиденциальности.