在黑客更改了许多加密交易平台的电子邮件和DNS记录之后,GoDaddy确认其一些员工因社交工程骗局而倒下

2020-11-22 02:52:04

欺诈者在过去一周重定向了发往多个加密货币交易平台的电子邮件和网络流量。 KrebsOnSecurity了解到,针对GoDaddy(全球最大的域名注册商)的员工的欺诈活动助长了这些攻击。

该事件是GoDaddy的最新一次入侵,它是依靠欺骗员工将所有权和/或对目标域的控制权转移给欺诈者。 3月份,针对GoDaddy支持员工的语音网络钓鱼诈骗使攻击者能够控制至少六个域名,包括交易经纪网站escrow.com。

今年5月,GoDaddy透露,在2019年10月发生的安全事件(直到2020年4月才发现)之后,其28,000个客户的网络托管帐户遭到了入侵。

这项最新的活动似乎已于11月13日或前后开始,攻击了加密货币交易平台liquid.com。

Liquid首席执行官Kayamori在博客中说:“管理我们其中一个核心域名的域名托管服务提供商'GoDaddy'错误地将对帐户和域的控制权转移给了恶意参与者。 “这使演员可以更改DNS记录,进而控制许多内部电子邮件帐户。在适当的时候,恶意行为者能够部分破坏我们的基础架构,并获得对文档存储的访问权限。”

在11月18日中欧时间(CET)的清晨,cyptocurrency挖掘服务NiceHash发现,未经授权就更改了其在GoDaddy的域注册记录的某些设置,从而对该站点的电子邮件和网络流量进行了短暂重定向。 NiceHash冻结了大约24小时的所有客户资金,直到能够验证其域设置已更改回其原始设置。

该公司在博客中写道:“目前看来,没有电子邮件,密码或任何个人数据被访问,但我们建议您重设密码并激活2FA安全性。”

NiceHash的创始人Matjaz Skorjanc说,未经授权的更改是通过GoDaddy的Internet地址进行的,攻击者试图利用其对传入的NiceHash电子邮件的访问权对各种第三方服务(包括Slack和Github)执行密码重置。但是他说,GoDaddy当时无法实现,因为它正在经历广泛的系统故障,而电话和电子邮件系统无法响应。

“我们几乎立即发现了这一点,并且开始减轻了这种攻击,” Skorjanc在给作者的电子邮件中说。 “幸运的是,我们与他们进行了良好的对抗,他们没有获得任何重要服务的机会。什么都没偷。”

Skorjanc说,NiceHash的电子邮件服务已重定向到privateemail.com,这是另一个由大型域名注册商Namecheap Inc.经营的电子邮件平台。通过使用Farsight Security,该服务可将更改记录到一段时间内的域名记录中,KrebsOnSecurity指示该服务显示上周在GoDaddy注册的所有更改其电子邮件记录的域名,这些域名将其指向privateemail.com。然后根据Alexa.com将这些结果与前一百万个最受欢迎的网站进行了索引。

结果表明,同一组可能还针对了其他几种加密货币平台,包括Bibox.com,Celsius.network和Wirex.app。这些公司均未回应置评请求。

在回答KrebsOnSecurity的问题时,GoDaddy承认在“数量有限”的GoDaddy员工因社交工程骗局而陷入困境之后,已经修改了“少数”客户域名。 GoDaddy表示,晚上7:00之间停运下午11:00 PST于11月17日与安全事件无关,但与计划中的网络维护过程中出现的技术问题有关。

GoDaddy发言人Dan Race表示:“另外,与停机无关,对帐户活动的例行审核确定了对少数客户域和/或帐户信息的潜在未经授权的更改。” ”

GoDaddy的声明继续说:“我们立即锁定了此事件所涉及的帐户,恢复了对帐户所做的所有更改,并协助受影响的客户重新获得对其帐户的访问权限。” “随着威胁行为者在攻击中变得越来越老练和更具攻击性,我们一直在向员工宣传可能用于对付他们的新策略,并采取新的安全措施来防止未来的攻击。”

Race拒绝透露如何诱骗其员工进行未经授权的变更,并表示此事仍在调查中。但是,在今年早些时候影响escrow.com和其他GoDaddy客户域的攻击中,袭击者通过电话将员工作为目标,并能够读取GoDaddy员工留在客户帐户上的内部记录。

更重要的是,对escrow.com的攻击将网站重定向到了马来西亚的Internet地址,该地址托管的钓鱼域少于十二个,其中包括钓鱼网站servicenow-godaddy.com。这表明3月事件(甚至可能是最近一次事件)背后的攻击者通过呼叫GoDaddy员工并说服他们在欺诈性的GoDaddy登录页面上使用其员工凭据来成功。

2020年8月,KrebsOnSecurity警告说,大型公司针对复杂的语音钓鱼或“钓鱼”欺诈的目标明显增加。专家说,由于正在进行的冠状病毒大流行,许多远程工作的员工极大地帮助了这些骗局的成功。

典型的虚假骗局始于对目标组织远程工作的员工的一系列电话呼叫。网络钓鱼者通常会解释说,他们是从雇主的IT部门打电话来帮助解决公司电子邮件或虚拟专用网络(VPN)技术的问题。

目的是说服目标对象通过电话泄露其凭据,或者在攻击者设置的模仿组织公司电子邮件或VPN门户的网站上手动输入凭据。

7月15日,许多备受瞩目的Twitter帐户被用来发布一个比特币骗局,在几个小时内赚取了超过100,000美元。根据Twitter的说法,这种攻击之所以成功,是因为肇事者能够通过电话社交工程师数名Twitter员工,以放弃对内部Twitter工具的访问。

由联邦调查局和网络安全与基础设施安全局(CISA)联合发布的警报说,这些恶意攻击的肇事者使用社交媒体平台上的公共资料,招聘者和营销工具进行了大规模刮除,公开收集了目标公司员工的档案资料。后台检查服务和开源研究。

FBI / CISA咨询包括公司可以实施的一些建议,以帮助减轻恶意攻击带来的威胁,其中包括:

•使用硬件检查或已安装的证书之类的机制将VPN连接仅限制为受管设备,因此仅用户输入不足以访问公司VPN。

•使用域监视来跟踪公司品牌域的创建或更改。

•采用最小特权原则并实施软件限制策略或其他控制;监视授权用户的访问和使用情况。

•考虑对通过公用电话网络进行的员工之间的通信使用正式的身份验证过程,在讨论敏感信息之前,使用第二个因素对电话进行身份验证。

•将正确的公司VPN URL标记为书签,并且不要仅凭入站电话访问其他URL。

•怀疑来自声称来自合法组织的未知个人的不请自来的电话,访问或电子邮件。除非您确定某人有权使用该信息,否则请勿提供有关您的组织的个人信息或信息,包括其组织结构或网络。如果可能,请尝试直接与公司验证呼叫者的身份。

•如果收到来电,请记录呼叫者的电话号码以及参与者试图将您发送给您的域,并将此信息转发给执法部门。

•限制您在社交网站上发布的个人信息量。互联网是一种公共资源。仅发布任何人都能看到的信息。

•评估设置:站点可能会定期更改其选项,因此请定期检查您的安全性和隐私设置,以确保您的选择仍然合适。