La cuenta de correo electrónico de Namecheap fue violada el domingo por la noche para ser utilizada para enviar correos electrónicos de phishing a los clientes de Namecheap. – en un intento de robar información sensible.
El actor de amenazas desconocido usó temas de DHL y MetaMask para robar los datos: las claves de la billetera de criptomonedas de los clientes y otra información importante. Namecheap deshabilitó su cuenta de correo electrónico comprometida y dijo que estaba investigando el incidente.
Explotación de la cuenta de correo electrónico de Namecheap
Desde ayer, varios usuarios de Namecheap se han quejado de recibir correos electrónicos sospechosos del servicio que solicitan detalles confidenciales: que luego se confirmó que era un incidente de piraterÃa, como dijo el CEO de Namecheap, Richard Kirkendall, en un tweet.
La gente notó que los correos electrónicos sospechosos se enviaban a través de la red SendGrid, un servicio de entrega de correo electrónico que Namecheap suele utilizar para enviar correos electrónicos transaccionales y de marketing a sus clientes. Los piratas informáticos que violaron la cuenta de correo electrónico de Namecheap usaron esto para enviar correos electrónicos de phishing a sus clientes, solicitando datos confidenciales.
Tenga cuidado con los correos electrónicos de phishing que provienen de @Nombrebarato‘s @SendGrid cuenta. DHL, MetaMask, firmado digitalmente con DKIM. Parece que los piratas informáticos de bajo nivel pudieron ingresar a sus sistemas. PII parece estar expuesto. pic.twitter.com/IuLE8mo2w6
— Kathy Zant (@kathyzant) 12 de febrero de 2023
La mayorÃa informó haber visto correos electrónicos con temas de DHL o MetaMask – donde el primero pide a los usuarios que completen información importante sobre el nombre de una tarifa de envÃo para un paquete. Si no es asÃ, algunos recibieron correos electrónicos de phishing de MetaMask solicitando su clave privada de billetera de criptomonedas.
¡Esto se alimenta de una verificación pendiente de KYC (Conozca a su cliente) para evitar que su billetera sea suspendida! El correo electrónico sospechoso contiene un enlace de marketing de Namecheap (https://links.namecheap.com/) que redirige al usuario a una página de phishing que se hace pasar por MetaMask. Cuando llega, le pide al usuario que ingrese su ‘Frase secreta de recuperación’ o ‘Llave privada’ para procesar la solicitud.
Kirkendall dijo que creen que la brecha puede estar relacionada con la de diciembre. Informe CloudSek – donde las claves API de Mailgun, MailChimp y SendGrid se expusieron en las aplicaciones móviles. Pero una petición de BleepingEquipo a Twilio (padre de SendGrid) negó esta posibilidad y afirmó que la violación no fue el resultado de ningún hackeo. En cambio, alentaron a los usuarios a usar múltiples métodos de seguridad como 2FA, acceso basado en direcciones IP, etc., para estar seguros.