Diversi utenti hanno ricevuto email dall’account ufficiale di Namecheap. Ignoti cybercriminali hanno avviato una campagna di phishing con l’obiettivo di rubare informazioni personali e accedere al wallet delle criptovalute attraverso siti di login simili a quelli di DHL e MetaMask. Questo tipo di attacco può essere rilevato e bloccato con una soluzione di sicurezza.
Phishing con email di Namecheap
La campagna di phishing è iniziata ieri sera con numerose email provenienti da SendGrid, la piattaforma usata da Namecheap per l’invio di vari avvisi, tra cui il rinnovo dell’abbonamento. Il CEO Richard Kirkendall ha confermato che l’account aziendale è stato compromesso, pertanto è stato bloccato l’invio delle email, incluse quelle con i codici di autenticazione, la verifica dei dispositivi affidabili e il reset della password. Il sistema è stato ripristinato circa un’ora e mezza dopo.
I cybercriminali hanno inviato agli utenti due tipi di email di phishing. La prima sembra provenire da DHL. Il messaggio avvisa che il pacco non è stato consegnato perché è necessario pagare 6,95 dollari. Se l’utente clicca sul pulsante presente nell’email viene aperta una pagina in cui deve inserire vari dati personali.
La seconda email sembra provenire da MetaMask. Per evitare la sospensione del wallet è necessario inserire i dati per la verifica KYC (Know Your Customer). Cliccando sul link viene aperta una pagina in cui l’utente deve inserire la frase di ripristino o la chiave segreta. Questa informazione permetterà ai cybercriminali di importare il wallet e rubare tutte le criptovalute.
Twilio, azienda che offre SendGrid, ha dichiarato che l’attacco di phishing non è il risultato di un’intrusione nei sistemi. Non è quindi chiaro come sia avvenuto l’accesso all’account di Namecheap (forse usando le credenziali che un dipendente ha consegnato inavvertitamente ai cybercriminali).