Des employés de GoDaddy visés par attaques de social engineering

Spread the love
  • Yum

Des employés de GoDaddy visés par attaques de social engineering

Les employés de GoDaddy ont été visés par des attaques de phishing et de social engineering visant à faciliter des attaques sur de multiples échangeurs de cryptomonnaie.

Le personnel du bureau d’enregistrement des noms de domaine a été visé par une escroquerie d’ingénierie sociale qui l’a amené à modifier certains e-mails et dossiers d’enregistrement. Ces modifications ont ensuite été utilisées pour mener des attaques contre d’autres organisations.

publicité

Comme l’a rapporté l’expert en sécurité Brian Krebs la semaine dernière, GoDaddy a confirmé que l’escroquerie avait conduit à la “modification” d’un “petit nombre” de noms de domaine de clients au début du mois.

À partir de mi-novembre, les fraudeurs se sont assuré que les mails et le trafic web destinés aux échangeurs de cryptomonnaie soient redirigés. Liquid.com et NiceHash ont été touchés, et on soupçonne que d’autres échangeurs ont également été affectés.

Selon le PDG de Liquid, Mike Kayamori, un incident de sécurité survenu le 13 novembre a été causé par le transfert illégitime par GoDaddy du contrôle d’un compte lié aux noms de domaine principaux de l’entreprise.

“Cela a permis à l’acteur de modifier les enregistrements DNS et de prendre le contrôle d’un certain nombre de comptes mails internes”, a déclaré Kayamori dans un article de blog. “L’acteur malveillant a ainsi pu compromettre partiellement notre infrastructure et accéder au stockage de documents”.

Liquid.com a contenu l’attaque après sa découverte, et bien que l’attaquant ait pu accéder aux courriels, noms, adresses et mots de passe chiffrés des utilisateurs, les fonds des clients ont été protégés.

Dans le cas de NiceHash, la société a cité des “problèmes techniques” chez GoDaddy ayant entraîné un “accès non autorisé” aux paramètres du domaine, ce qui a conduit à la modification des enregistrements DNS pour nicehash.com.

L’attaque a eu lieu le 18 novembre. NiceHash a réagi rapidement, gelant l’activité des portefeuilles pour éviter toute perte de cryptomonnaie de ses utilisateurs. Les retraits ont été suspendus pendant 24 heures, le temps qu’un audit interne ait lieu et que le service normal reprenne.

NiceHash que les informations des utilisateurs n’ont pas été exposées ou compromises, mais invite à la prudence si les utilisateurs reçoivent des liens ou des e-mails suspects prétendant provenir de l’échangeur.

La société a également recommandé aux utilisateurs de changer leurs mots de passe et de mettre en place une authentification à deux facteurs (2FA) pour être sûr.

Interrogé par Krebs, le fondateur de NiceHash, Matjaz Skorjanc, a ajouté que les attaquants avaient tenté de forcer la réinitialisation des mots de passe sur des services tiers, dont Slack, mais NiceHash a pu repousser ces tentatives.

Un porte-parole de GoDaddy a déclaré que le bureau d’enregistrement de domaine avait ” immédiatement verrouillé les comptes impliqués dans cet incident, a annulé tous les changements apportés aux comptes et a aidé les clients concernés à retrouver l’accès à leurs comptes”.

Le porte-parole a ajouté que “les acteurs malveillants deviennent de plus en plus sophistiqués et agressifs dans leurs attaques, nous éduquons constamment les employés sur les nouvelles tactiques qui pourraient être utilisées contre eux”.

En mai, GoDaddy a signalé une faille de sécurité dans laquelle une personne a pu accéder sans autorisation à des comptes SSH dans l’infrastructure d’hébergement de l’entreprise. GoDaddy avait déclaré n’avoir constaté aucune preuve d’altération qui aurait eu un impact sur les clients, mais que des outils de sécurité seraient fournis pendant un an, gratuitement, à toute personne touchée.

Source : “ZDNet.com”

Leave a Reply

%d bloggers like this: