El principal productor de billeteras de hardware de criptomonedas, Trezor, ha advertido que todos los usuarios que están registrados en su boletín informativo deben esperar ataques de phishing, pero no solo los clientes de Trezor se ven afectados.
Lo que ha sucedido
Trezor advirtió en un tuit del domingo que estaba investigando “una posible violación de datos de un boletín de suscripción alojado en Mailchimp” y que los usuarios deberían evitar abrir correos electrónicos de “noreply@trezor.us”.
La compañía explicó que su software de gestión de marketing y automatización de correos electrónicos Mailchimp fue comprometido por un insider que tenía como objetivo las empresas de criptomonedas Trezor eliminó el dominio de phishing y recomendó que los usuarios se aseguren de “usar direcciones de correo electrónico anónimas para actividades relacionadas con bitcoin”.
Según una información de TechCrunch del lunes, Mailchimp confirmó una violación de datos después de que los piratas informáticos comprometieran una herramienta interna para acceder a las cuentas de los clientes, lo que demuestra que no solo Trezor y sus usuarios se ven afectados por la violación. La directora de seguridad de la información de la compañía, Siobhan Smyth, ha afirmado que la compañía se dio cuenta de la violación el 26 de marzo, tras identificar a un actor malicioso que pudo usar una herramienta destinada al uso interno de la compañía para acceder a las cuentas de los clientes.
Los atacantes obtuvieron acceso a los sistemas a través de la ingeniería social, lo que significa que en lugar de comprometer el software, pudieron engañar a las personas involucradas en la empresa de manera que les permitieran acceder a la herramienta interna de Mailchimp. La firma asegura que “actuó rápidamente para abordar la situación al cancelar el acceso a las cuentas de los empleados comprometidos y tomó medidas para evitar que otros empleados se vieran afectados”.
A pesar de esto, los piratas informáticos pudieron ver alrededor de 300 cuentas de Mailchimp y exportaron los datos de audiencia de 102 de ellas, apuntando a clientes en los sectores de criptomonedas y finanzas. Además, los atacantes también obtuvieron acceso a las claves de la interfaz de programación de aplicaciones (API) para un número no especificado de usuarios, lo que les permite enviar correos electrónicos que parecen enviados por el cliente.
Lo que los usuarios deben esperar
Afortunadamente, esas claves API ahora se han deshabilitado, pero los usuarios de criptomonedas deben anticipar recibir correos electrónicos de phishing que contengan malware o intenten extraer credenciales como correos electrónicos, contraseñas o incluso claves privadas o palabras de recuperación para billeteras que contienen criptomonedas como Bitcoin (CRYPTO:BTC).Estos correos electrónicos podrían haber sido potencialmente enviados por direcciones propiedad de empresas en las que los usuarios confían a través de las API de Mailchimp.
Además, dado que se desactivaron dichas API, los piratas informáticos no tienen una manera fácil de continuar utilizando las direcciones de correo electrónico oficiales de las firmas financieras y criptográficas comprometidas. Aún así, los atacantes tienen las direcciones de correo electrónico de cientos de usuarios involucrados con esas empresas, por lo que se deben esperar correos electrónicos de phishing provenientes de diferentes direcciones de correo electrónico, presumiblemente a menudo haciéndose pasar por empresas confiables con las que los usuarios están familiarizados.
Foto: Cortesía de en Flickr.