Hacker haben das Namecheap Email System kompromittiert, um MetaMask- und DHL-Phishing-E-Mails zu versenden, die auf die persönlichen und Krypto-Wallet-Informationen von Kunden abzielen.
Am 13. Februar 2023 verschickten Hacker gefälschte E-Mails mit DHL-Lieferstatusbenachrichtigungen und forderten die Opfer auf, Liefergebühren zu zahlen, um zu verhindern, dass ihre Pakete zurückgeschickt werden. Sie gaben sich auch als der selbstgehostete Wallet-Anbieter MetaMask aus und forderten die Opfer auf, den KYC-Verifizierungsprozess (Know Your Customer) abzuschließen, um den Zugriff auf ihre Krypto-Wallets nicht zu verlieren.
Die Phishing-E-Mails von MetaMask enthielten einen Link (https://links.namecheap.com/), der die Opfer auf eine Phishing-Seite umleitete, auf der sie nach ihrer „geheimen Wiederherstellungsphrase“ oder ihrem „privaten Schlüssel“ gefragt wurden, mit dem die Hacker ihre Wallets übernehmen könnten.
Twilio weist die Verantwortung für den Namecheap Email-Hack zurück
Namecheap machte zunächst einen Drittanbieter für Marketing-E-Mail-Dienste für den Verstoß verantwortlich, der es Hackern ermöglichte, scheinbar legitime E-Mails vom Konto von Namecheap zu versenden.
„Wir haben Beweise dafür, dass das Upstream-System, das wir zum Versenden von E-Mails verwenden (Drittanbieter), am Versenden unerwünschter E-Mails an unsere Kunden beteiligt ist. Infolgedessen haben Sie möglicherweise einige nicht autorisierte E-Mails erhalten“, sagte der Domain-Registrar in einer Erklärung .
Ohne direkt Schuld zuzuweisen, gab Namecheap-CEO Richard Kirkendall bekannt, dass das Unternehmen zur Kommunikation mit seinen Kunden das Marketing-E-Mail-System SendGrid von Twilio nutzt.
Kirkendall vermutete außerdem, dass der Namecheap Email Verstoß wahrscheinlich auf die API-Lecks von MailChimp, SendGrid und Mailgun zurückzuführen ist, von denen über 54 Millionen Benutzer betroffen waren. Die geleakten Schlüssel könnten es Hackern ermöglichen, Phishing-E-Mails zu versenden, API-Schlüssel zu löschen und die Zwei-Faktor-Authentifizierung zu manipulieren.
„Der Zugriff auf ein legitimes E-Mail-Konto zum Versenden von Phishing-E-Mails ist für Kriminelle eine Goldgrube“, sagte Javvad Malik, leitender Sensibilisierungsbeauftragter bei KnowBe4 . „In der Vergangenheit haben wir erlebt, dass Systeme wie Mailchimp gehackt und zum Versenden von Phishing-E-Mails verwendet wurden.“
Laut Malik können bösartige E-Mails aus seriösen Quellen in die Posteingänge der Opfer gelangen, da sie auf einer Whitelist stehen und so Gateway-Filter umgehen können.
Obwohl die Phishing-E-Mails SendGrid-Header enthielten, bestritt Twilio vehement, die Quelle des Namecheap Email-Hacks zu sein. Stattdessen empfahl der Cloud-basierte CPaaS-Anbieter einen „mehrgleisigen Ansatz“ zum Schutz von Konten und zur Bekämpfung von Phishing-Angriffen, darunter Zwei-Faktor-Authentifizierung, IP-Zugriffsverwaltung und domänenbasiertes Messaging.
In der Zwischenzeit hat Namecheap alle SendGrid-E-Mails deaktiviert, einschließlich Codeübermittlung, Zwei-Faktor-Authentifizierung, Geräteüberprüfung und Anforderungen zur Kennwortzurücksetzung, und auch den in den Phishing-E-Mails eingebetteten Phishing-Link deaktiviert.
Darüber hinaus versicherte das in Phoenix, Arizona, ansässige Domainregistrierungs- und Hosting-Unternehmen seinen Kunden, dass der Namecheap Email Hack weder die Produkte noch die Kontoinformationen der Kunden gefährdete.
„Wir möchten Ihnen versichern, dass die Systeme von Namecheap nicht angegriffen wurden und Ihre Produkte, Konten und persönlichen Daten weiterhin sicher sind.“
MetaMask warnte seine Kunden außerdem vor dem gehackten Namecheap Email System und forderte sie auf, nicht auf die Phishing-E-Mails zu klicken. Darüber hinaus erinnerte der Self-Custodial Wallet-Anbieter die Benutzer daran, dass er keine KYC-Informationen sammelt und keine kontobezogenen Informationen per E-Mail versendet.
Hacker griffen auf die Newsletterliste von Namecheap zu, um Phishing-E-Mails zu versenden
Die Untersuchung von Namecheap ergab , dass Hacker auf die „Newsletter-Liste mit den Namen und E-Mail-Adressen der Kunden“ zugegriffen hatten, um Phishing-E-Mails zu versenden. Anschließend übernahm der Domain-Registrar die „volle Verantwortung“ für den Namecheap Email-Hack und fügte hinzu, dass jede Weitergabe von Kundeninformationen bedauerlich sei.
„Wir nehmen jede Weitergabe von Kundeninformationen ernst und übernehmen die volle Verantwortung für diesen Vorfall. Wir setzen uns dafür ein, dass die Sicherheit und Privatsphäre unserer Kunden jetzt und in Zukunft auf jede mögliche Weise gewahrt werden“, sagte Namecheap Teslas.
Laut Dror Liwer, Mitbegründer des Cybersicherheitsunternehmens Coro , hat der Hack der Namecheap Email gezeigt, dass auf allen von einem Unternehmen genutzten Plattformen Kontrollen zur Kontoübernahme erforderlich sind: „Die Abwehr von Phishing wird normalerweise nur auf Empfängerseite in Betracht gezogen. Doch jetzt, wo Business Email Compromise (BEC) wie in diesem Fall immer häufiger vorkommt, ist es genauso wichtig, die Quelle zu schützen und Kontoübernahmen zu verhindern, die zu viel betrügerischeren Phishing-Angriffen führen können.“