[ad_1]

Les fraudeurs ont redirigé les e-mails et le trafic Web destinés à plusieurs plates-formes de trading de crypto-monnaie au cours de la semaine dernière. Les attaques ont été facilitées par des escroqueries ciblant les employés de Allez papale plus grand bureau d’enregistrement de noms de domaine au monde, a appris BreachTrace.

L’incident est la dernière incursion chez GoDaddy qui consistait à inciter les employés à transférer la propriété et/ou le contrôle de domaines ciblés à des fraudeurs. En mars, une escroquerie de phishing vocal ciblant les employés du support de GoDaddy a permis aux attaquants de prendre le contrôle d’au moins une demi-douzaine de noms de domaine, y compris le site de courtage de transactions escrow.com.

Et en mai de cette année, GoDaddy a révélé que 28 000 comptes d’hébergement Web de ses clients avaient été compromis à la suite d’un incident de sécurité en octobre 2019 qui n’a été découvert qu’en avril 2020.

Cette dernière campagne semble avoir commencé le ou vers le 13 novembre, avec une attaque contre la plateforme de trading de crypto-monnaie liquide.com.

« Un fournisseur d’hébergement de domaine ‘GoDaddy’ qui gère l’un de nos principaux noms de domaine a transféré de manière incorrecte le contrôle du compte et du domaine à un acteur malveillant. » Mike Kayamori, PDG de Liquid dit dans un article de blog. « Cela a donné à l’acteur la possibilité de modifier les enregistrements DNS et, à son tour, de prendre le contrôle d’un certain nombre de comptes de messagerie internes. En temps voulu, l’acteur malveillant a pu compromettre partiellement notre infrastructure et accéder au stockage de documents. »

Aux petites heures du matin du 18 novembre, heure d’Europe centrale (CET), service d’extraction de crypto-monnaie NiceHash a découvert que certains des paramètres de ses enregistrements d’enregistrement de domaine chez GoDaddy avaient été modifiés sans autorisation, redirigeant brièvement les e-mails et le trafic Web vers le site. NiceHash a gelé tous les fonds des clients pendant environ 24 heures jusqu’à ce qu’il soit en mesure de vérifier que les paramètres de son domaine avaient été rétablis à leurs paramètres d’origine.

« Pour le moment, il semble qu’aucun e-mail, mot de passe ou aucune donnée personnelle n’ait été consulté, mais nous vous suggérons de réinitialiser votre mot de passe et d’activer la sécurité 2FA », a écrit la société. dans un article de blog.

Le fondateur de NiceHash, Matjaz Skorjanc, a déclaré que les modifications non autorisées avaient été apportées à partir d’une adresse Internet chez GoDaddy et que les attaquants avaient tenté d’utiliser leur accès à ses e-mails NiceHash entrants pour effectuer des réinitialisations de mot de passe sur divers services tiers, notamment Mou et GithubGenericName. Mais il a dit que GoDaddy était impossible à joindre à l’époque parce que il subissait une panne généralisée du système au cours de laquelle les systèmes de téléphone et de messagerie ne répondaient pas.

« Nous avons détecté cela presque immédiatement [and] commencé à atténuer [the] attaque », a déclaré Skorjanc dans un e-mail à cet auteur. « Heureusement, nous les avons bien combattus et ils n’ont eu accès à aucun service important. Rien n’a été volé. »

Skorjanc a déclaré que le service de messagerie de NiceHash avait été redirigé vers emailprive.com, une plate-forme de messagerie gérée par Namecheap Inc., un autre important registraire de noms de domaine. En utilisant Sécurité de vision de loin, un service qui cartographie les modifications apportées aux enregistrements de noms de domaine au fil du temps, BreachTrace a demandé au service d’afficher tous les domaines enregistrés chez GoDaddy dont les enregistrements de messagerie ont été modifiés au cours de la semaine dernière, ce qui les a dirigés vers privateemail.com. Ces résultats ont ensuite été indexés par rapport au million de sites Web les plus populaires selon Alexa.com.

Le résultat montre que plusieurs autres plates-formes de crypto-monnaie peuvent également avoir été ciblées par le même groupe, notamment Bibox.com, Celsius.networket Wirex.app. Aucune de ces entreprises n’a répondu aux demandes de commentaires.

En réponse aux questions de BreachTrace, GoDaddy a reconnu qu' »un petit nombre » de noms de domaine de clients avaient été modifiés après qu’un nombre « limité » d’employés de GoDaddy soient tombés dans le piège d’une escroquerie d’ingénierie sociale. GoDaddy a déclaré que la panne entre 19h00 et 23h00 PST le 17 novembre n’était pas liée à un incident de sécurité, mais plutôt à un problème technique qui s’est matérialisé lors de la maintenance planifiée du réseau.

« Séparément, et sans rapport avec la panne, un audit de routine de l’activité du compte a identifié des modifications potentielles non autorisées d’un petit nombre de domaines clients et/ou d’informations sur le compte », a déclaré le porte-parole de GoDaddy. Dan Course mentionné. « Notre équipe de sécurité a enquêté et confirmé l’activité des acteurs de la menace, y compris l’ingénierie sociale d’un nombre limité d’employés de GoDaddy.

« Nous avons immédiatement verrouillé les comptes impliqués dans cet incident, annulé toutes les modifications apportées aux comptes et aidé les clients concernés à retrouver l’accès à leurs comptes », a poursuivi le communiqué de GoDaddy. « Alors que les acteurs de la menace deviennent de plus en plus sophistiqués et agressifs dans leurs attaques, nous éduquons constamment les employés sur les nouvelles tactiques qui pourraient être utilisées contre eux et adoptons de nouvelles mesures de sécurité pour prévenir de futures attaques. »

Race a refusé de préciser comment ses employés ont été amenés à effectuer les modifications non autorisées, affirmant que l’affaire faisait toujours l’objet d’une enquête. Mais lors des attaques du début de l’année qui ont touché escrow.com et plusieurs autres domaines clients de GoDaddy, les agresseurs ont ciblé les employés par téléphone et ont pu lire les notes internes que les employés de GoDaddy avaient laissées sur les comptes clients.

De plus, l’attaque contre escrow.com a redirigé le site vers une adresse Internet en Malaisie qui hébergeait moins d’une douzaine d’autres domaines, y compris le site Web de phishing. servicenow-godaddy.com. Cela suggère que les attaquants à l’origine de l’incident de mars – et peut-être de ce dernier – ont réussi à appeler les employés de GoDaddy et à les convaincre d’utiliser leurs informations d’identification d’employé sur une page de connexion GoDaddy frauduleuse.

En août 2020, BreachTrace a mis en garde contre une augmentation marquée du nombre de grandes entreprises ciblées par des escroqueries sophistiquées de phishing vocal ou de « vishing ». Les experts disent que le succès de ces escroqueries a été grandement facilité par le fait que de nombreux employés travaillent à distance grâce à la pandémie de coronavirus en cours.

Une escroquerie par vishing typique commence par une série d’appels téléphoniques aux employés travaillant à distance dans une organisation ciblée. Les hameçonneurs expliquent souvent qu’ils appellent du service informatique de l’employeur pour aider à résoudre les problèmes liés à la technologie de messagerie électronique ou de réseau privé virtuel (VPN) de l’entreprise.

L’objectif est de convaincre la cible soit de divulguer ses informations d’identification par téléphone, soit de les saisir manuellement sur un site Web mis en place par les attaquants qui imite la messagerie d’entreprise ou le portail VPN de l’organisation.

Le 15 juillet, un certain nombre de comptes Twitter de haut niveau ont été utilisés pour tweeter une arnaque au bitcoin qui a rapporté plus de 100 000 $ en quelques heures. Selon Twitter, cette attaque a réussi parce que les auteurs ont pu inciter plusieurs employés de Twitter par téléphone à donner accès aux outils internes de Twitter.

Une alerte lancée conjointement par le FBI et le Agence de cybersécurité et de sécurité des infrastructures (CISA) affirme que les auteurs de ces attaques de vishing compilent des dossiers sur les employés de leurs entreprises ciblées en utilisant le grattage massif de profils publics sur les plateformes de médias sociaux, les outils de recrutement et de marketing, les services de vérification des antécédents accessibles au public et la recherche open source.

L’avis du FBI/CISA comprend un certain nombre de suggestions que les entreprises peuvent mettre en œuvre pour aider à atténuer la menace des attaques de hameçonnage, notamment :

• Restreignez les connexions VPN aux appareils gérés uniquement, en utilisant des mécanismes tels que les vérifications matérielles ou les certificats installés, de sorte que l’entrée de l’utilisateur seule ne suffit pas pour accéder au VPN d’entreprise.

• Restreindre les heures d’accès VPN, le cas échéant, pour atténuer l’accès en dehors des heures autorisées.

• Utilisez la surveillance de domaine pour suivre la création ou les modifications apportées aux domaines de marque d’entreprise.

• Analysez et surveillez activement les applications Web à la recherche d’accès non autorisés, de modifications et d’activités anormales.

• Utiliser le principe du moindre privilège et mettre en œuvre des politiques de restriction logicielle ou d’autres contrôles ; surveiller les accès et l’utilisation des utilisateurs autorisés.

• Envisagez d’utiliser un processus d’authentification formalisé pour les communications d’employé à employé effectuées sur le réseau téléphonique public où un deuxième facteur est utilisé pour
authentifier l’appel téléphonique avant que des informations sensibles puissent être discutées.

• Améliorez la messagerie 2FA et OTP pour réduire la confusion concernant les tentatives d’authentification des employés.

• Vérifiez que les liens Web ne comportent pas de fautes d’orthographe ou ne contiennent pas le mauvais domaine.

• Mettez en signet l’URL VPN d’entreprise correcte et ne visitez pas d’URL alternatives sur la seule base d’un appel téléphonique entrant.

• Méfiez-vous des appels téléphoniques, des visites ou des e-mails non sollicités d’inconnus prétendant appartenir à une organisation légitime. Ne fournissez pas d’informations personnelles ou d’informations sur votre organisation, y compris sa structure ou ses réseaux, à moins que vous ne soyez certain de l’autorité d’une personne à détenir ces informations. Si possible, essayez de vérifier l’identité de l’appelant directement auprès de l’entreprise.

• Si vous recevez un appel de vishing, documentez le numéro de téléphone de l’appelant ainsi que le domaine vers lequel l’acteur a essayé de vous envoyer et relayez cette information aux forces de l’ordre.

• Limitez la quantité d’informations personnelles que vous publiez sur les sites de réseaux sociaux. Internet est une ressource publique; ne publiez que des informations que vous êtes à l’aise avec quiconque voit.

• Évaluez vos paramètres : les sites peuvent modifier périodiquement leurs options. Vérifiez donc régulièrement vos paramètres de sécurité et de confidentialité pour vous assurer que vos choix sont toujours appropriés.

.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *