圖片來源: 

MailChimp

電子郵件行銷公司MailChimp在3月下旬遭到駭客入侵,駭客存取了該公司的內部工具,進而取得MailChimp客戶的API金鑰,藉由MailChimp行銷平臺鎖定加密貨幣業者展開網釣攻擊,加密貨幣硬體錢包業者Trezor已確定受到牽連,多名Trezor用戶在不知情的狀況下交出了自己的助記詞(Seed Words),而讓駭客盜轉了他們的加密貨幣。

MailChimp向《BleepingComputer》與《TechCrunch》透露,駭客是先針對該公司員工進行社交工程攻擊,藉由所取得的員工憑證在3月26日存取了客服及帳號管理團隊所使用的內部工具,繼之存取了319個MailChimp客戶的帳號,並匯出其中102個客戶的用戶名單,同時取得了部分客戶的API金鑰,駭客即可透過這些API金鑰廣發行銷郵件。

目前至少確定Trezor的API金鑰遭駭客盜用,因為駭客假借Trezor的名義發送了網釣郵件予使用者,在郵件中宣稱Trezor發生資安意外,要求使用者下載最新的Trezor Suite軟體版本並重設PIN碼。

圖片來源/Life in DeFi on twitter

然而,當Trezor用戶下載並安裝該軟體時,它會要求使用者輸入助記詞(Seed Words),由於助記詞是在錢包毀損時用以恢復或重新存取錢包的重要依據,一旦使用者交出助記詞,駭客便得以盜轉錢包中的所有加密資產。由於駭客不僅採用Trezor的官方圖示,也建立了與Trezor幾乎一樣的網釣網站,而讓許多使用者信以為真。

縱使MailChimp很快就變更及終止被盜用的員工憑證與API金鑰,且Trezor亦採取行動以關閉這些網釣網站,但已有使用者受害,而且可能還有其它的MailChimp客戶受害。

這起意外屬於供應鏈攻擊,駭客藉由行銷平臺廣發容易令人信以為真的網釣郵件,如同日前駭客於Discord上多個NFT專案的官方社群發布訊息一樣,另外值得注意的是,身分竊盜所能造成的災害已愈來愈嚴重,例如Lapsus$駭客集團已藉由此一手法成功入侵Nvidia、三星、Okta與微軟,盜走這些知名企業的機密資料並向它們勒索。

熱門新聞

Advertisement