В минувшие выходные обладатели аппаратных кошельков Trezor получили фальшивые сообщения о компрометации компании и утечке данных. В этих письмах пользователей уведомляли, что от утечки данных якобы пострадали 106 856 клиентов. Им предлагалось загрузить поддельную версию Trezor Suite (которая похищала необходимые для восстановления seed-фразы) и установить новый PIN-код на аппаратном кошельке.
Хотя на первый взгляд сайт для загрузки Trezor Suite выглядел почти настоящим — suite.trezor.com — при внимательном рассмотрении обнаруживалось, что злоумышленники использовали Punycode для имитации домена trezor.com, и на самом деле адрес выглядел так: suite.xn--trzor-o51b[.]com. При этом нужно отметить, что настоящий официальный сайт Trezor, это и вовсе trezor.io.
Вскоре разработчики Trezor сообщили, что данная фишинговая атака произошла из-за компрометации MailChimp.
Хуже того, издание Bleeping Computer пишет, что компрометацией одной только учетной записи Trezor дело не ограничилось. По данным MailChimp, ряд их сотрудников стали жертвами социальной инженерии, что в итоге привело к краже их учетных данных.
«26 марта нашей команде безопасности стало известно, что злоумышленник получил доступ к одному из наших внутренних инструментов, используемых командами, работающими с клиентами, для поддержки и администрирования учетных записей, — сообщила изданию Шиван Смит, директор по безопасности MailChimp. — За инцидентом стоял внешний злоумышленник, который провел успешную атаку с помощью социальной инженерии на сотрудников Mailchimp, в результате чего учетные данные сотрудников были скомпрометированы.
Мы быстро исправили ситуацию, прекратив доступ к скомпрометированным учетным записям сотрудников, а также предприняли шаги, чтобы предотвратить воздействие на других сотрудников».
Скомпрометированные учетные данные в итоге использовались для доступа к 319 учетным записям MailChimp, для экспорта «данных об аудитории» и, вероятно, списков рассылки из 102 аккаунтов клиентов. Помимо этого злоумышленники получили доступ к ключам API для неизвестного числа клиентов, которые теперь отключены и более не могут быть использованы.
Смит говорит, что все владельцы пострадавших учетных записей уже уведомлены о случившемся, а злоумышленники в основном получили доступ к аккаунтам клиентов из криптовалютных и финансовых секторов. Более того, MailChimp уже известно об использовании этого доступа для проведения фишинговых кампаний, однако более детальная информация об атаках не раскрывается.
Представители MailChimp извинились за произошедшее и рекомендовали всем клиентам включить двухфакторную аутентификацию в своих учетных записях для дополнительной защиты.
