电子邮件营销公司MailChimp在3月下旬遭到黑客入侵,黑客访问了该公司的内部工具,进而取得MailChimp客户的API密钥,借由MailChimp营销平台锁定加密货币企业展开网络钓鱼攻击,加密货币硬件钱包企业Trezor已确定受到牵连,多名Trezor用户在不知情的状况下交出了自己的助记词(Seed Words),而让黑客盗转了他们的加密货币。
MailChimp向《BleepingComputer》与《TechCrunch》透露,黑客是先针对该公司员工进行社交工程攻击,借由所取得的员工凭证在3月26日访问了客服及账号管理团队所使用的内部工具,之后访问了319个MailChimp客户的账号,并导出其中102个客户的用户名单,同时取得了部分客户的API密钥,黑客即可通过这些API密钥广发营销邮件。
目前至少确定Trezor的API密钥遭黑客盗用,因为黑客假借Trezor的名义发送了网络钓鱼邮件给用户,在邮件中宣称Trezor发生安全意外,要求用户下载最新的Trezor Suite软件版本并重设PIN码。
图片来源/Life in DeFion twitter
然而,当Trezor用户下载并安装该软件时,它会要求用户输入助记词(Seed Words),由于助记词是在钱包毁损时用以恢复或重新访问钱包的重要依据,一旦用户交出助记词,黑客便得以盗转钱包中的所有加密资产。由于黑客不仅采用Trezor的官方图标,也创建了与Trezor几乎一样的网络钓渔网站,而让许多用户信以为真。
纵使MailChimp很快就变更及终止被盗用的员工凭证与API密钥,且Trezor也采取行动以关闭这些网络钓渔网站,但已有用户受害,而且可能还有其它的MailChimp客户受害。
这起意外属于供应链攻击,黑客借由营销平台广发容易令人信以为真的网络钓鱼邮件,如同日前黑客于Discord上多个NFT项目的官方社群发布消息一样,另外值得注意的是,身份窃盗所能造成的灾害已越来越严重,例如Lapsus$黑客集团已借由该手法成功入侵Nvidia、三星、Okta与微软,盗走这些知名企业的机密资料并向它们勒索。