Trezor, fabrikant van hardware-cryptocurrencies, heeft onthuld dat zijn klanten het doelwit zijn van zogenaamde “phishing”-aanvallen nadat Mailchimp, de e-mailautomatiseringsdienstverlener van het bedrijf, “gecompromitteerd was door een insider die zich op cryptobedrijven richtte.”
“We onderzoeken momenteel hoeveel klanten mogelijk getroffen zijn door een insider-compromis van een nieuwsbriefdatabase die op Mailchimp wordt gehost”, schreef Trezor in een blogpost vandaag, met toevoeging:
“Het beveiligingsteam van Mailchimp maakte bekend dat een kwaadwillende actor toegang had gekregen tot een interne tool die door klantgerichte teams wordt gebruikt voor klantenondersteuning en accountbeheer. De slechte actor kreeg toegang tot deze tool als gevolg van een succesvolle social engineering-aanval op medewerkers van Mailchimp.”
Statusupdate over de aanhoudende phishing-aanval:https://t.co/IXq1I3Y1i7
- Trezor (@Trezor) 4 april 2022
Houd uw app dichtbij, houd uw zaadzin dichterbij
Verder richt de aanvaller zich specifiek op crypto-gerelateerde bedrijven, merkte Trezor op. Als gevolg hiervan begonnen de portefeuillegebruikers op zondag 3 april phishing-e-mails te ontvangen, waarin hen werd gevraagd op een link te klikken die naar de downloadpagina leidde voor een ‘Trezor Suite-achtige app’.
Als een nietsvermoedende gebruiker in deze val trapt, vraagt de kwaadwillende app vervolgens om zijn ‘seedphrase’ – in feite de privésleutel die de daders volledige toegang geeft tot hun cryptobezit. Eenmaal ingevoerd, wordt het zaad gecompromitteerd en wordt het geld van de gebruiker onmiddellijk overgemaakt naar de portemonnee van de aanvaller.
“Deze aanval is uitzonderlijk in zijn verfijning en was duidelijk tot in de details gepland. De phishing-applicatie is een gekloonde versie van Trezor Suite met zeer realistische functionaliteit, en bevatte ook een webversie van de app.”
MailChimp heeft bevestigd dat hun service is gecompromitteerd door een insider die zich op cryptobedrijven richt.
Het is ons gelukt om het phishing-domein offline te halen. We proberen te bepalen hoeveel e-mailadressen zijn getroffen. 1/
- Trezor (@Trezor) 3 april 2022
Omdat potentiële slachtoffers de malware daadwerkelijk op hun apparaten moeten installeren (hoewel er ook een webversie bestaat), zouden moderne besturingssystemen hen gelukkig moeten alarmeren over de onbekende bron. “Deze waarschuwing mag niet worden genegeerd, alle officiële software is digitaal ondertekend door SatoshiLabs”, benadrukte Trezor.
Blijf waakzaam
Volgens Trezor heeft het bedrijf het phishing-domein al gesloten. Als sommige gebruikers echter toch hun zaadzinnen hebben ingevoerd, moeten ze hun crypto onmiddellijk naar een nieuw gegenereerd adres verplaatsen (tenzij het natuurlijk al te laat is).
“Als je zo’n e-mail niet hebt ontvangen, bestaat er nog steeds een kans dat je e-mailadres is gelekt, dus je kunt het beste waakzaam blijven voor het geval er een nieuwe golf e-mails verschijnt. Gecompromitteerde e-mailadressen kunnen in de toekomst opnieuw worden getarget, dus meld nieuwe phishing-pogingen rechtstreeks aan [e-mail beveiligd]"
Totdat dit probleem is opgelost, heeft de portemonneefabrikant alle nieuwsbriefactiviteiten stopgezet. Bovendien moeten gebruikers “tot nader order geen e-mails openen die van Trezor lijken te komen” en ervoor zorgen dat ze anonieme e-mailadressen gebruiken voor “Bitcoin-gerelateerde activiteiten”, drong het bedrijf aan.
Bron: https://cryptoslate.com/hackers-target-trezor-crypto-wallet-users-after-mailing-list-got-compromised/