Posté le février 25, 2023 à 7:12
DES HACKERS EXPLOITENT LE SYSTÈME DE MESSAGERIE DE NAMECHEAP POUR ENVOYER DES E-MAILS DE PHISHING
Des hackers ont compromis le système de messagerie de Namecheap. Les acteurs de la menace ont utilisé ce système de messagerie pour envoyer des e-mails de phishing aux clients de MetaMask et de DHL. Les hackers ont envoyé ces e-mails pour obtenir l’accès aux informations personnelles et aux portefeuilles de cryptomonnaies de ces clients.
Des hackers exploitent Namecheap pour envoyer des e-mails de phishing
Les hackers ont envoyé de faux e-mails de notification de l’état de la livraison de DHL, demandant aux clients de payer des frais de livraison pour s’assurer que leurs colis ne soient pas retournés. Les hackers ont également usurpé l’identité du porte-monnaie électronique MetaMask, invitant les victimes à effectuer un processus de vérification de la connaissance du client (KYC) pour s’assurer qu’elles conservent l’accès à leurs porte-monnaie électroniques.
Les e-mails de phishing MetaMask envoyés par les acteurs de la menace étaient accompagnés d’un e-mail malveillant qui redirigeait les clients vers un site de phishing. Les clients qui accédaient aux victimes étaient invités à partager leur « Secret recovery Phrase » ou une « Private Key » que les hackers pouvaient utiliser pour compromettre les portefeuilles des utilisateurs.
Namecheap avait initialement déclaré qu’un fournisseur tiers d’e-mails marketing était à l’origine de ce piratage. Il a déclaré que le fournisseur avait permis aux acteurs de la menace d’envoyer des e-mails légitimes et que ces e-mails semblaient provenir du compte de Namecheap.
« Nous avons des preuves que le système en amont que nous utilisons pour l’envoi d’emails (tiers) est impliqué dans l’envoi d’emails non sollicités à nos clients. Par conséquent, il se peut que vous ayez reçu certains e-mails non autorisés », a déclaré Namecheap dans un communiqué.
Le PDG de Namecheap, Richard Kirkendall, a par ailleurs publié une déclaration indiquant que la société a utilisé le système d’email marketing Twilio, SendGrid. Kirkendall a déclaré que la société utilisait SendGrid pour communiquer avec ses clients.
Le PDG de Namecheap avait en outre fait allusion au fait que la violation des e-mails de l’entreprise pourrait provenir de fuites dans les API de Mailchimp, SendGrid et Mailgun, qui ont affecté plus de 54 millions d’utilisateurs. Ces fuites auraient permis aux hackers d’envoyer des e-mails de phishing, de supprimer les clés API et de manipuler une authentification à deux facteurs (2FA).
Javvad Malik, responsable de la sensibilisation chez KnowBe4, a commenté cette évolution : « Obtenir l’accès à un compte de messagerie légitime pour envoyer des e-mails de phishing est une mine d’or pour les criminels. Dans le passé, nous avons vu des sites comme Mailchimp être violés et utilisés pour envoyer des e-mails de phishing. »
Malik a aussi déclaré que l’envoi d’e-mails malveillants provenant de sources légitimes permettait aux acteurs de la menace d’accéder aux boîtes de réception des victimes, car ils figuraient sur une liste blanche pour éviter les filtres de la passerelle.
Les e-mails de phishing comprenaient des en-têtes SendGrid, mais Twilio a nié être à l’origine du piratage des e-mails de Namecheap. Au lieu de cela, la société a déclaré que les clients avaient besoin d’une « approche à plusieurs volets » pour protéger leurs comptes et s’assurer qu’ils ne sont pas victimes de campagnes de phishing. Cela inclut l’envoi d’une authentification à deux facteurs, l’utilisation de la gestion de l’accès IP et la messagerie basée sur le domaine.
Namecheap a désactivé tous les e-mails de SendGrid, y compris la livraison du code, l’authentification à deux facteurs, la vérification du dispositif et toute demande de réinitialisation du mot de passe. Elle a également désactivé le lien de phishing contenu dans les e-mails de phishing.
La société d’enregistrement et d’hébergement de domaines a assuré à ses clients que le piratage n’avait pas compromis les produits ou les informations de compte des clients. La société a aussi déclaré que ses systèmes internes n’ont pas été affectés par la violation.
Le fournisseur de portefeuilles de cryptomonnaies MetaMask a par ailleurs alerté ses clients de cette violation. MetaMask a demandé à ses clients d’éviter d’ouvrir les liens contenus dans les e-mails de phishing. Le fournisseur de porte-monnaie a également assuré à ses utilisateurs qu’il ne recueille pas d’informations KYC auprès des utilisateurs et qu’il n’utilise pas d’e-mails pour envoyer des informations sur les comptes des utilisateurs.
Des hackers ont utilisé la newsletter de Namecheap pour envoyer des emails de phishing
La post-analyse effectuée par Namecheap a révélé que les hackers ont envoyé ces e-mails après avoir accédé à sa liste de bulletins d’information contenant les noms et adresses électroniques de ses clients. Namecheap a ajouté qu’elle assumait « l’entière responsabilité » du piratage des e-mails. Il a ajouté qu’il regrettait toute divulgation d’informations sur les clients.
La société a également déclaré qu’elle tenait à protéger les informations de ses clients, ajoutant qu’elle accordait la priorité à la sécurité et à la confidentialité de ses clients. Elle a également ajouté qu’elle prenait des mesures pour s’assurer que les informations des clients ne soient pas violées à l’avenir.
Le cofondateur de la société de cybersécurité Coro, Dror Liwer, a noté que la violation sur Namecheap soulignait la nécessité de contrôler les comptes de toutes les plateformes utilisées par une organisation. M. Liwer a ajouté que la défense contre les campagnes de phishing se faisait du côté du destinataire. Néanmoins, il devient de plus en plus important d’avoir des mesures de protection à la source et d’empêcher les prises de contrôle de comptes qui pourraient mener à des campagnes de phishing.