Güvenlik araştırmacısı Brian Krebs, kripto para birimi ticaret platformu Singapur merkezli Liquid.com’a ve birkaç başka kripto para platformuna 13 kasım civarında başlatılan saldırının, GoDaddy çalışanlarına yapılan sosyal mühendislik ile gerçekleştirildiğini yazdı. Krebs şöyle dedi [1]:
“Dolandırıcılar geçen hafta birkaç kripto para birimi ticaret platformuna yönelik e-postaları ve web trafiğini yeniden yönlendirdiler “
Yani KrebsOnSecurity’e göre, dünyanın en büyük alan adı kayıt şirketi GoDaddy’nin çalışanları dolandırıcılık saldırısını kolaylaştırdı.
Kripto para birimi ticaret platformu Liquid.com’a yapılan bir saldırı hakkında CEO Mike Kayamori şöyle yazdı [2] :
“Temel alan adlarımızdan birini yöneten bir alan barındırma sağlayıcısı ‘GoDaddy’, hesabın ve alan adının kontrolünü yanlışlıkla kötü niyetli bir aktöre devretti. Bu, aktöre DNS kayıtlarını değiştirme ve karşılığında bir dizi dahili e-posta hesabının kontrolünü alma yeteneği sağladı. Zamanla kötü niyetli kişi, altyapımızı kısmen tehlikeye attı ve belge depolamaya erişim elde etti.”
18 Kasım sabah erken saatlerinde, Kripto para madencilik hizmeti NiceHash, GoDaddy’deki etki alanı kayıt kayıtlarının bazı ayarlarının yetkisiz değiştirildiğini ve site için e-posta ve web trafiğini kısaca yeniden yönlendirdiğini açıkladı. NiceHash, alan ayarlarının orijinal ayarlarına geri döndürüldüğünü doğrulayana kadar yaklaşık 24 saat boyunca tüm müşteri fonlarını dondurdu. Şirket şöyle bir açıklama yayınladı :
“Şu anda e-posta, şifre veya herhangi bir kişisel veriye erişilmemiş gibi görünüyor, ancak şifrenizi sıfırlamanızı ve 2FA güvenliğini etkinleştirmenizi öneririz”
NiceHash’ın kurucusu Matjaz Skorjanc, yetkisiz değişikliklerin GoDaddy’deki bir İnternet adresinden yapıldığını ve saldırganların, Slack ve Github dahil olmak üzere çeşitli üçüncü taraf hizmetlerinde şifre sıfırlamaları gerçekleştirmek için gelen NiceHash e-postalarına erişimlerini kullanmaya çalıştıklarını söyledi.
Ancak GoDaddy’ye o sırada ulaşmanın imkansız olduğunu, çünkü telefon ve e-posta sistemlerinin yanıt vermediğini ve yaygın bir sistem kesintisinden geçtiğini söyledi .
Bibox.com, Celcius.network ve Wirex.app dahil olmak üzere diğer tüm kripto para birimi platformları da aynı grup tarafından hedef alınmış olabileceği düşünülüyot.
GoDaddy, KrebsOnSecurity’den gelen sorulara yanıt olarak, “sınırlı” sayıda GoDaddy çalışanının bir sosyal mühendislik dolandırıcılığına kapılmasının ardından “az sayıda” müşteri alan adının değiştirildiğini kabul etti.
[1] GoDaddy Employees Used in Attacks on Multiple Cryptocurrency Services