Amenazas internas: Empleados de GoDaddy utilizados en ataques a múltiples servicios de criptomonedas

GoDaddy Employees Used in Attacks

Los ciberdelincuentes redirigieron el correo electrónico y el tráfico web destinado a varias plataformas de comercio de criptomonedas durante la semana pasada. Los ataques fueron facilitados por estafas dirigidas a los empleados de GoDaddy , el registrador de nombres de dominio más grande del mundo.

El incidente es la última incursión externa en GoDaddy que se basó en engañar a los empleados para que transfirieran la propiedad y/o el control de los dominios específicos a los estafadores. En marzo, una estafa de phishing de voz dirigida a los empleados de soporte de GoDaddy permitió a los atacantes asumir el control de al menos media docena de nombres de dominio, incluido el sitio de corretaje de transacciones escrow.com. Y en mayo de este año, GoDaddy reveló que 28,000 de las cuentas de alojamiento web de sus clientes se vieron comprometidas luego de un incidente de seguridad en octubre de 2019 que no se descubrió hasta abril de 2020.

Esta última campaña de ataques parece haber comenzado alrededor del 13 de noviembre, con un ataque a la plataforma de comercio de criptomonedas liquid.com.

Dan Race, portavoz de GoDaddy se negó a especificar cómo se engañó a sus empleados para que hicieran cambios no autorizados, diciendo que el asunto aún estaba bajo investigación. Pero en los ataques a principios de este año que afectaron a escrow.com y varios otros dominios de clientes de GoDaddy, los agresores atacaron a los empleados por teléfono y pudieron leer notas internas que los empleados de GoDaddy habían dejado en las cuentas de los clientes.

En agosto de 2020, diferentes expertos advirtieron sobre un marcado aumento en las grandes corporaciones que son blanco de sofisticadas estafas de phishing o «vishing» de voz. Los expertos dicen que el éxito de estas estafas se ha visto favorecido en gran medida por muchos empleados que trabajan de forma remota gracias a la pandemia de coronavirus en curso.

Una estafa típica de vishing comienza con una serie de llamadas telefónicas a los empleados que trabajan de forma remota en una organización específica. Los phishers a menudo explican que están llamando desde el departamento de TI del empleador para ayudar a solucionar problemas con el correo electrónico de la empresa o la tecnología de redes privadas virtuales (VPN).

El objetivo es convencer al objetivo de que divulgue sus credenciales por teléfono o de que las ingrese manualmente en un sitio web creado por los atacantes que imita el correo electrónico corporativo o el portal VPN de la organización.

El 15 de julio, se utilizaron varias cuentas de Twitter de alto perfil para tuitear una estafa de bitcoin que ganó más de $ 100,000 en unas pocas horas. Según Twitter, ese ataque tuvo éxito porque los perpetradores pudieron hacer ingeniería social a varios empleados de Twitter por teléfono para que dieran acceso a herramientas internas de Twitter.

Una alerta emitida conjuntamente por el FBI y la Agencia de Seguridad de la Infraestructura y Ciberseguridad (CISA) dice que los perpetradores de estos ataques de vishing compilan expedientes sobre los empleados de sus empresas objetivo utilizando el raspado masivo de perfiles públicos en plataformas de redes sociales, herramientas de reclutamiento y marketing, disponibles públicamente, servicios de verificación de antecedentes e investigación de código abierto.