Etki alanı kayıt şirketi Namecheap’in e-posta hesabı Pazar gecesi ihlal edildi ve alıcıların kişisel bilgilerini ve kripto para cüzdanlarını çalmaya çalışan bir MetaMask ve DHL kimlik avı e-postalarına neden oldu.
Kimlik avı kampanyaları, 16:30 ET civarında başladı ve geçmişte Namecheap tarafından yenileme bildirimleri ve pazarlama e-postaları göndermek için kullanılan bir e-posta platformu olan SendGrid’den kaynaklandı.
Alıcılar Twitter’da şikayet etmeye başladıktan sonra, Namecheap CEO’su Richard Kirkendall onaylanmış hesabın ele geçirildiğini ve sorunu araştırırken SendGrid aracılığıyla e-postayı devre dışı bıraktıklarını.
Kirkendall ayrıca, ihlalin mobil uygulamalarda ifşa olan Mailgun, MailChimp ve SendGrid’in API anahtarlarına ilişkin Aralık ayında yayınlanan bir CloudSek raporuyla ilgili olabileceğine inandıklarını söyledi.
Bir e-posta seli
Bu kampanyada gönderilen kimlik avı e-postaları, DHL veya MetaMask’ı taklit ediyor.
DHL kimlik avı e-postası, bir paketin teslimatını tamamlamak için gereken bir teslimat ücretinin faturası gibi görünür. BleepingComputer bu e-postayı almamış olsa da, katıştırılmış bağlantıların hedefin bilgilerini çalmaya çalışan bir kimlik avı sayfasına yönlendirdiği söylendi.
Gelen kimlik avı e-postalarına dikkat edin @namecheap‘S @SendGrid hesap. DHL, MetaMask, DKIM ile dijital olarak imzalanmıştır. Görünüşe göre düşük seviyeli bilgisayar korsanları sistemlerine girmeyi başarmış. PII açığa çıkmış görünüyor. pic.twitter.com/IuLE8mo2w6
— Kathy Zant (@kathyzant) 12 Şubat 2023
BleepingComputer, cüzdanın askıya alınmasını önlemek için gerekli bir KYC (Müşterinizi Tanıyın) doğrulaması gibi görünen MetaMask kimlik avı e-postasını aldı.
MetaMask’ta “Cüzdan hizmetimizi kullanmaya devam etmek için KYC (Müşterinizi Tanıyın) doğrulaması almanın önemli olduğunu size bildirmek için yazıyoruz. KYC doğrulaması, hizmetlerimizi meşru müşterilere sağladığımızdan emin olmamıza yardımcı oluyor.” Kimlik avı e-postası.
“KYC doğrulamasını tamamlayarak, herhangi bir kesinti olmaksızın güvenli bir şekilde para depolayabilir, çekebilir ve transfer edebilirsiniz. Ayrıca, sizi finansal dolandırıcılık ve diğer güvenlik tehditlerine karşı korumamıza da yardımcı olur.”
“Cüzdanınızın askıya alınmasını önlemek için KYC doğrulamasını mümkün olan en kısa sürede tamamlamanızı tavsiye ediyoruz.”
Bu e-posta, kullanıcıyı MetaMask gibi davranan bir kimlik avı sayfasına yönlendiren Namecheap’ten (https://links.namecheap.com/) bir pazarlama bağlantısı içerir.
Bu sayfa, kullanıcıdan aşağıda gösterildiği gibi ‘Gizli Kurtarma İfadesini’ veya ‘Özel anahtarı’ girmesini ister.
Bir kullanıcı kurtarma ifadesini veya özel anahtarı sağladığında, tehdit aktörleri cüzdanı kendi cihazlarına aktarmak ve tüm fonları ve varlıkları çalmak için bunları kullanabilir.
Bu gece Namecheap’ten bir DHL veya MetaMask kimlik avı e-postası aldıysanız, hemen silin ve hiçbir bağlantıya tıklamayın.
BleepingComputer, bu ihlal hakkında Twilio ile iletişime geçti ve sistemlerinin saldırıya uğramadığı veya ihlal edilmediği söylendi.
BleepingComputer, Namecheap ile de iletişime geçti, ancak hemen bir yanıt alınamadı.