เมื่อวันที่ 23 มิถุนายน 2024 เวลา 00:19 น. UTC อีเมลฟิชชิ่งถูกส่งออกไปยังที่อยู่อีเมล 35,794 แห่งโดย อัปเดต@weblog.ethereum.org โดยมีเนื้อหาดังนี้
ผู้ใช้ที่คลิกลิงก์ในอีเมลถูกส่งไปยังเว็บไซต์ที่เป็นอันตราย:
เว็บไซต์นี้มีโปรแกรมระบายคริปโตทำงานอยู่เบื้องหลัง และหากผู้ใช้เริ่มต้นใช้กระเป๋าเงินของตนและลงนามในธุรกรรมที่เว็บไซต์ร้องขอ กระเป๋าเงินของพวกเขาก็จะถูกระบายออกไป
ทีมรักษาความปลอดภัยภายในของเราเริ่มการสืบสวนทันทีเพื่อช่วยพิจารณาว่าใครเป็นผู้ก่อการโจมตี วัตถุประสงค์ของการโจมตีคืออะไร เกิดขึ้นเมื่อใด ใครได้รับผลกระทบ และเกิดขึ้นได้อย่างไร
การดำเนินการเบื้องต้นบางประการมีดังนี้:
- ป้องกันไม่ให้ผู้ก่อให้เกิดภัยคุกคามส่งอีเมลเพิ่มเติม
- ส่งการแจ้งเตือนผ่านทวิตเตอร์และอีเมลเพื่อไม่ให้คลิกลิงก์ที่ต้องการ
- ปิดเส้นทางการเข้าถึงอันเป็นอันตรายที่ผู้คุกคามใช้เพื่อรับสิทธิ์ในการเข้าถึงผู้ให้บริการรายชื่อส่งจดหมาย
- ส่งลิงก์ที่เป็นอันตรายไปยังบัญชีดำต่างๆ จากนั้นจึงถูกบล็อกโดยผู้ให้บริการกระเป๋าสตางค์ Web3 ส่วนใหญ่และ Cloudflare
การสอบสวนของเราเกี่ยวกับการโจมตีแสดงให้เห็นว่า:
- ผู้ก่อภัยคุกคามได้นำรายชื่ออีเมลจำนวนมากของตนเองเข้าสู่แพลตฟอร์มรายชื่อส่งจดหมายเพื่อใช้สำหรับแคมเปญฟิชชิ่ง
- ผู้ก่อภัยคุกคามได้ส่งออกที่อยู่อีเมลในรายการส่งจดหมายของบล็อก ซึ่งมีทั้งหมด 3,759 ที่อยู่อีเมล
- เมื่อเราเปรียบเทียบอีเมลในรายชื่ออีเมลที่ผู้คุกคามนำเข้ามา เราจะเห็นว่ารายชื่ออีเมลบล็อกมีที่อยู่อีเมล 81 รายการที่ผู้คุกคามไม่เคยทราบมาก่อน และที่เหลือเป็นที่อยู่อีเมลที่ซ้ำกัน
- การวิเคราะห์ธุรกรรมบนเครือข่ายที่เกิดขึ้นกับผู้ก่อภัยคุกคามระหว่างเวลาที่พวกเขาส่งแคมเปญอีเมลและเวลาที่โดเมนที่เป็นอันตรายถูกบล็อก ดูเหมือนจะแสดงให้เห็นว่าไม่มีเหยื่อรายใดสูญเสียเงินทุนระหว่างแคมเปญที่ส่งโดยผู้ก่อภัยคุกคามนี้
ในขณะที่เราดำเนินการแก้ไขปัญหานี้ต่อไป เราก็ได้ใช้มาตรการเพิ่มเติม เช่น การย้ายบริการเมลบางส่วนไปยังผู้ให้บริการรายอื่น เพื่อช่วยลดความเสี่ยงที่เหตุการณ์เช่นนี้จะเกิดขึ้นอีก
เราเสียใจเป็นอย่างยิ่งที่เกิดเหตุการณ์นี้ขึ้น และเรากำลังดำเนินการอย่างเต็มที่ร่วมกับทีมงานรักษาความปลอดภัยภายในและภายนอก เพื่อช่วยจัดการและสืบสวนเหตุการณ์นี้ต่อไป
สามารถสอบถามเพิ่มเติมได้ ความปลอดภัย@ethereum.org–
