Registri domain Namecheap akun emailnya diretas pada Minggu malam, menyebabkan banjir email phishing MetaMask dan DHL yang berusaha mencuri informasi pribadi penerima dan dompet mata uang kripto.
Kampanye phishing dimulai sekitar pukul 16:30 ET dan berasal dari SendGrid, platform email yang digunakan secara historis oleh Namecheap untuk mengirim pemberitahuan pembaruan dan email pemasaran.
Setelah penerima mulai mengeluh di Twitter, CEO Namecheap Richard Kirkendall dikonfirmasi bahwa akun telah dikompromikan dan mereka menonaktifkan email melalui SendGrid saat mereka menyelidiki masalah tersebut.
Kirkendall juga mengatakan bahwa mereka yakin pelanggaran tersebut mungkin terkait dengan bulan Desember Laporan CloudSek pada kunci API Mailgun, MailChimp, dan SendGrid yang diekspos di aplikasi seluler.
Banjir email
Email phishing yang dikirim dalam kampanye ini menyamar sebagai DHL atau MetaMask.
Email phishing DHL berpura-pura menjadi tagihan untuk biaya pengiriman yang diperlukan untuk menyelesaikan pengiriman paket. Meskipun BleepingComputer belum menerima email ini, kami diberi tahu bahwa tautan tersemat mengarah ke laman phishing yang mencoba mencuri informasi target.
Waspadalah terhadap email phishing yang keluar @Namecheap‘S @SendGrid akun. DHL, MetaMask, ditandatangani secara digital dengan DKIM. Sepertinya peretas tingkat rendah bisa masuk ke sistem mereka. PII tampaknya akan diekspos. pic.twitter.com/IuLE8mo2w6
— Kathy Zant (@kathyzant) 12 Februari 2023
BleepingComputer memang menerima email phishing MetaMask, yang berpura-pura menjadi verifikasi KYC (Kenali Pelanggan Anda) yang diperlukan untuk mencegah dompet ditangguhkan.
Sumber: BleepingComputer.com
“Kami menulis untuk memberi tahu Anda bahwa untuk terus menggunakan layanan dompet kami, penting untuk mendapatkan verifikasi KYC (Kenali Pelanggan Anda). Verifikasi KYC membantu kami memastikan bahwa kami menyediakan layanan kami untuk pelanggan yang sah,” baca MetaMask email phishing.
“Dengan menyelesaikan verifikasi KYC, Anda akan dapat menyimpan, menarik, dan mentransfer dana dengan aman tanpa gangguan apa pun. Ini juga membantu kami melindungi Anda dari penipuan finansial dan ancaman keamanan lainnya.”
“Kami mendesak Anda untuk menyelesaikan verifikasi KYC sesegera mungkin untuk menghindari penangguhan dompet Anda.”
Email ini berisi tautan pemasaran dari Namecheap (https://links.namecheap.com/) yang mengarahkan pengguna ke halaman phishing yang berpura-pura menjadi MetaMask.
Halaman ini meminta pengguna untuk memasukkan ‘Frasa Pemulihan Rahasia’ atau ‘Kunci pribadi’, seperti yang ditunjukkan di bawah ini.
Sumber: BleepingComputer
Setelah pengguna memberikan frase pemulihan atau kunci pribadi, pelaku ancaman dapat menggunakannya untuk mengimpor dompet ke perangkat mereka sendiri dan mencuri semua dana dan aset.
Jika Anda menerima email phishing DHL atau MetaMask malam ini dari Namecheap, segera hapus dan jangan klik tautan apa pun.
BleepingComputer menghubungi Twilio tentang pelanggaran ini dan diberi tahu bahwa sistem mereka tidak diretas atau dilanggar.
BleepingComputer juga menghubungi Namecheap, tetapi tanggapan tidak segera tersedia.
