NameCheap 的电子邮件被黑客攻击以发送 Metamask、DHL 钓鱼电子邮件

域名注册商 Namecheap 的电子邮件帐户在周日晚上遭到破坏，导致大量 MetaMask 和 DHL 网络钓鱼电子邮件试图窃取收件人的个人信息和加密货币钱包。

网络钓鱼活动大约在美国东部时间下午 4:30 开始，起源于 SendGrid，这是 Namecheap 过去用来发送续订通知和营销电子邮件的电子邮件平台。

在收件人开始在 Twitter 上抱怨后，Namecheap 首席执行官 Richard Kirkendall 确认该帐户已被盗用，并且他们在调查此问题时通过 SendGrid 禁用了电子邮件。

Kirkendall 还表示，他们认为此次违规可能与 CloudSek 去年 12 月的一份报告有关，该报告称 Mailgun、MailChimp 和 SendGrid 的 API 密钥在移动应用程序中暴露。

大量电子邮件

此活动中发送的网络钓鱼电子邮件冒充 DHL 或 MetaMask。

DHL 网络钓鱼电子邮件伪装成完成包裹递送所需的递送费账单。 虽然 OZABC 没有收到这封电子邮件，但我们被告知嵌入式链接指向一个试图窃取目标信息的钓鱼页面。

谨防来自@Namecheap 的@SendGrid 帐户的网络钓鱼电子邮件。 DHL、MetaMask、与 DKIM 进行数字签名。 看起来低级黑客能够进入他们的系统。 PII 看起来暴露了。 pic.twitter.com/IuLE8mo2w6

- 凯西赞特 (@kathyzant) 2023 年 2 月 12 日

OZABC 确实收到了 MetaMask 网络钓鱼电子邮件，该电子邮件伪装成必需的 KYC（了解你的客户）验证，以防止钱包被暂停。

“我们写信通知您，为了继续使用我们的钱包服务，获得 KYC（了解您的客户）验证非常重要。KYC 验证有助于我们确保我们向合法客户提供服务，” 阅读 MetaMask 网络钓鱼电子邮件。

“通过完成 KYC 验证，您将能够安全地存储、提取和转移资金，而不会受到任何干扰。它还有助于我们保护您免受金融欺诈和其他安全威胁。”

“我们敦促您尽快完成 KYC 验证，以免您的钱包被暂停。”

此电子邮件包含来自 Namecheap (https://links.namecheap.com/) 的营销链接，该链接将用户重定向到伪装成 MetaMask 的网络钓鱼页面。

此页面提示用户输入他们的“秘密助记词”或“私钥”，如下所示。

一旦用户提供恢复短语或私钥，威胁者就可以使用它们将钱包导入他们自己的设备并窃取所有资金和资产。

如果您今晚收到来自 Namecheap 的 DHL 或 MetaMask 网络钓鱼电子邮件，请立即将其删除并且不要点击任何链接。

Namecheap 指责“上游系统”

Namecheap 周日晚上发表声明称，他们的系统并未遭到破坏，而是他们用于电子邮件的上游系统出现问题。

“我们有证据表明，我们用于发送电子邮件（第三方）的上游系统涉及向我们的客户邮寄未经请求的电子邮件。因此，您可能收到了一些未经授权的电子邮件，” Namecheap 发表的声明。

“我们向您保证，Namecheap 自己的系统没有遭到破坏，您的产品、帐户和个人信息仍然安全。”

网络钓鱼事件发生后，Namecheap 表示他们停止了所有电子邮件，包括双因素身份验证代码传送、受信任设备的验证和密码重置电子邮件，并开始与上游提供商一起调查此次攻击。 服务于当晚美国东部标准时间晚上 7:08 恢复。

虽然 Namecheap 没有说明这个上游系统的名称，但 Namecheap 的首席执行官之前发推文说他们正在使用 SendGrid，钓鱼邮件的邮件标题也证实了这一点。

然而，Twilio SendGrid 告诉 OZABC，Namecheap 的事件并不是电子邮件服务提供商系统遭到黑客攻击或妥协的结果，这让人们对所发生的事情更加困惑。

“Twilio SendGrid 非常重视欺诈和滥用行为，并在技术和人员方面投入巨资，专注于打击欺诈和非法通信。 我们了解有关使用我们的平台发送网络钓鱼电子邮件的情况，我们的欺诈、合规和网络安全团队正在处理此事。 这种情况不是 Twilio 网络遭到黑客攻击或妥协的结果。 我们鼓励所有最终用户和实体采取多管齐下的方法来打击网络钓鱼攻击，部署安全预防措施，例如双因素身份验证、IP 访问管理和使用基于域的消息传递。 我们仍在调查情况，目前无法提供更多信息。” Twilio 公司

OZABC 就此事件进一步询问了 Twilio，但并未立即得到答复。

我们还在今晚早些时候联系了 Namecheap，询问有关该事件的问题，但没有收到回复。

美国东部时间 23 年 2 月 12 日晚上 11:54 更新：添加了 Namecheap 的声明。

非常感谢我们的读者 Isaac 分享新闻。