В прошлые выходные почта регистратора доменов Namecheap была взломана, а пользователи получили шквал фишинговых писем (якобы от MetaMask и DHL). Таким способом хакеры пытались похитить личную информацию получателей и криптовалюту из их кошельков.
Фишинговые письма исходили от email-платформы SendGrid, которая исторически использовалась Namecheap для отправки уведомлений и маркетинговых писем.
После того, как получатели странных писем начали жаловаться на происходящее в Twitter, глава Namecheap Ричард Киркендалл (Richard Kirkendall) подтвердил, что учетная запись компании была скомпрометирована, а теперь отправка почты через SendGrid срочно отключена на время проведения расследования. Однако позже этот твит был удален.
Также Киркендалл писал, что, по мнению специалистов Namecheap, эта атака могла быть связана с недавним отчетом CloudSek, где исследователи предупреждали о раскрытии ключей API Mailgun, MailChimp и SendGrid в мобильных приложениях.
Фишинговые письма, разосланные хакерами в рамках этой кампании, маскировались под уведомления от DHL или MetaMask. Например, письма от фальшивого DHL якобы содержали счета за доставку, которые нужно было оплатить для завершения доставки посылки. На самом деле встроенные в эти послания ссылки вели на фишинговую страницу, где у жертв пытались похитить данные.
В свою очередь, фейковое письмо от MetaMask имитировало запрос о необходимости проведения проверки KYC (Know Your Customer, «знай своего клиента»), а в противном случае работа кошелька якобы была бы приостановлена.
Такие письма содержали маркетинговую ссылку Namecheap (https://links.namecheap.com/), которая перенаправляла жертв на фишинговую страницу, выдающую себя за сайт MetaMask. На этой странице пользователю предлагали ввести свою seed-фразу или приватный ключ.
Позже представители Namecheap опубликовали официальное заявление, согласно которому системы компании не были взломаны, а возникшая проблема была связана с неназванной сторонней системой, которую регистратор использовал для работы с почтой.
«У нас есть доказательства, что сторонняя upstream-система, которую мы используем для отправки электронных писем, участвовала в рассылке нежелательных электронных писем нашим клиентам. В результате вы могли получить ряд несанкционированных писем. Мы хотели бы заверить вас, что собственные системы Namecheap не были взломаны, а ваши продукты, учетные записи и личная информация остаются в безопасности», — заявили представители регистратора.
Хотя в Namecheap не сообщили, о какой именно upstream-системе идет речь, генеральный директор компании сам подтвердил в Twitter, что в компании используют SendGrid для работы с почтой (это также подтверждали и заголовки фишинговых писем).
Интересно, что при этом разработчики Twilio SendGrid заверили журналистов издания Bleeping Computer, что этот инцидент никак не связан со взломом или компрометацией их систем.
«Мы осведомлены о ситуации, связанной с использованием нашей платформы для распространения фишинговых писем, и наши специалисты по борьбе с мошенничеством, комплайенс-вопросам и кибербезопасности уже занимаются этим. Эта ситуация не является результатом взлома или компрометации сети Twilio. <…> Мы все еще изучаем инцидент и в настоящее время не можем предоставить какую-либо дополнительную информацию», — сообщили представители Twilio SendGrid.