DHL ve MetaMask’ı taklit eden kimlik avı e-postalarındaki artış, geçen hafta Namecheap müşterilerinin gelen kutularını vurmaya başladı ve alıcıları kişisel bilgilerini paylaşmaları veya kripto cüzdanlarının gizli kurtarma ifadesini paylaşmaları için kandırmaya çalıştı.
Dikkat @namecheap kullanıcılar: DHL’den geldiğini iddia eden şüpheli e-postalara karşı dikkatli olun. #e-dolandırıcılık dolandırıcılık yaygındır ve kişisel bilgilerinizi güvende tutmak çok önemlidir. Zaman için #Adıucuz güvenlik önlemlerini artırmak. #siber güvenlik #emailscams pic.twitter.com/kTPvY90b7d
— Gbenga (@lemogbenga) 12 Şubat 2023
Gelen kimlik avı e-postalarına dikkat edin @namecheap‘S @SendGrid hesap. DHL, MetaMask, DKIM ile dijital olarak imzalanmıştır. Görünüşe göre düşük seviyeli bilgisayar korsanları sistemlerine girmeyi başarmış. PII açığa çıkmış görünüyor. pic.twitter.com/IuLE8mo2w6
— Kathy Zant (@kathyzant) 12 Şubat 2023
Nasıl oldu?
Buna göre tek kaynakkimlik avı kampanyası geçen Perşembe (ve muhtemelen daha erken) başlamış ve ardından hafta sonuna kadar hız kazanmış görünüyor.
E-postalar Namecheap tarafından gönderilmiş gibi görünüyor ve alıcıların şirkete şikayette bulunmalarını istiyor, şirket daha sonra bir soruşturma başlatıyor ve kısa bir süre sonra tepki göstererek tüm e-postaları durduruyor (Yetkilendirme kodlarının teslimi, Güvenilir Cihazların doğrulaması, Parola Sıfırlama e-postaları, vb.).
Namecheap, kendi sistemlerinin ihlal edilmediğini söyledi ve spam kampanyasını e-posta göndermek için kullandıkları yukarı akış üçüncü taraf sisteminden sorumlu tuttu.
Namecheap, e-postalarını teslim etmek için bulut tabanlı platform SendGrid’i (sahibi Twillio’dur) kullanır. Twillio da konuyu araştırıyor, ancak ağının saldırıya uğramadığını iddia ediyor, bu nedenle şimdilik her şey Namecheap’in SendGrid hesabının ele geçirildiğini gösteriyor.
Namecheap, saldırganların bu hesap aracılığıyla ne tür bilgilere erişebildiği konusunda henüz yorum yapmadı, ancak müşteri e-posta adreslerinin (yanlış)kullanıldığı açık.
Şimdi ne var?
MetaMask yayınladı bir uyarı bugün kimlik avı e-postaları hakkında ve DHL genellikle kullanıcıları şu konularda uyarıyor:
- Resmi DHL iletişimi her zaman @dhl.com, @dpdhl.com, @dhl.de, @dhl.fr veya @dhl’den sonra başka bir ülke etki alanından gönderilir.
- Şirket, e-posta göndermek için asla @gmail, @yahoo veya diğer ücretsiz e-posta hizmetlerini kullanmaz.
- Asla kendi web sitelerinden başka bir web sitesine bağlantı vermezler (örneğin, https://dhl.com/, https://dpdhl.com/ veya bir ülke/kampanya web sitesinden başlayarak)
Dolandırıcılığa kaç kullanıcının düştüğünü ölçmek imkansız.