Brian Krebs, een onafhankelijk onderzoeksjournalist in cybercrime, meldt dat meerdere cryptocurrency websites onlangs het doelwit zijn geweest van hackers. Dat meldt de cybersecurityspecialist in een nieuw artikel, gepubliceerd op 21 november:
Exclusive: Fraudsters changed the email and DNS records for a number of cryptocurrency trading platforms this week, after successfully social engineering employees at GoDaddy, the world’s largest domain name registrar. https://t.co/LYCdowb71Q pic.twitter.com/vlbSPsxPwI
— briankrebs (@briankrebs) November 21, 2020
De fraudeurs hadden het domeinnaamsysteem (DNS) aangevallen van GoDaddy, een bekend webhostingbedrijf, via een zogenaamde social engineering aanval. De computerkrakers hadden vervolgens het email- en webverkeer van deze websites omgeleid naar andere websites.
Het is bekend dat in ieder geval cryptocurrency-exchange Liquid en mining-platform NiceHash waren aangevallen. Naar verluidt waren ook Wirex, Bibox en Celsius.network het doelwit, maar die hebben dit niet bevestigd.
De aanvallen begonnen op 13 november. Meerdere werknemers van GoDaddy waren misleid om de controle van de domeinnamen van deze crypto-platformen te overhandigen aan de fraudeurs. Het is echter niet bekend hoe dit precies is gebeurd.
Krebs vermoedt dat het hier gaat om een voice phishing scam, of ‘vishing.’ Een voorbeeld hiervan is dat fraudeurs het bedrijf opbellen en dan doen alsof ze van de IT-afdeling afkomstig zijn om zo gegevens van klanten te achterhalen.
Mike Kayamori, CEO van Liquid, bevestigde het voorval op 18 november. Hij meldt dat de computerkraker wellicht ook de persoonlijke informatie van gebruikers heeft verkregen, en zegt het volgende erover:
Update on security incident from 13 November 2020.
Having contained the attack, reasserted control of the domain, and performed a comprehensive review of our infrastructure, we can confirm client funds are accounted for and remain safe and secure. https://t.co/ebbLd6eprB
— Liquid Global Official (@Liquid_Global) November 18, 2020
Een domeinhostingprovider ‘GoDaddy’ die een van onze kerndomeinnamen beheert, heeft de controle over het account en domein ten onrechte overgedragen aan een kwaadwillende actor. Dit gaf de actor de mogelijkheid om DNS-records te wijzigen en op zijn beurt controle te krijgen over een aantal interne e-mailaccounts. Na verloop van tijd kon de kwaadwillende actor onze infrastructuur gedeeltelijk in gevaar brengen en toegang krijgen tot documentopslag.
We denken dat de kwaadwillende actor persoonlijke informatie uit onze gebruikersdatabase heeft kunnen verkrijgen. Dit kunnen gegevens zijn zoals uw e-mailadres, naam, adres en gecodeerd wachtwoord.
