Se descubrió que los delincuentes robaron dominios de GoDaddy utilizando técnicas de ingeniería social contra empleados de la empresa.

Los estafadores redirigieron el correo electrónico y el tráfico web destinado a múltiples intercambios de criptomonedas. Como se dio a conocer a KrebsOnSecurity, los delincuentes llevaron a cabo ataques de phishing. Se destinaron contra los empleados del registrador de nombres de dominio más grande del mundo, GoDaddy. Los ciberdelincuentes engañaron para obligar a los empleados de la empresa a transferir la propiedad y/o el control de los dominios.

En marzo, las estafas de mensajes de voz permitieron a los delincuentes obtener el control de al menos cinco nombres de dominio bastante importantes. En mayo de este año, GoDaddy informó que 28,000 cuentas de sus clientes se vieron comprometidas después de un incidente en octubre de 2019. Por lo tanto, solo se descubrió en abril de 2020.

La última campaña supuestamente comenzó el 13 de noviembre con un ataque a un servicio de intercambio de criptomonedas liquid[.]com.

“El proveedor de alojamiento de dominios GoDaddy, que opera uno de nuestros nombres de dominio principales, ha transferido el control de la cuenta y el dominio a los atacantes. Esto les permitió cambiar los registros DNS y controlar una serie de cuentas de correo electrónico internas. Con el tiempo, un atacante pudo comprometer parcialmente nuestra infraestructura y obtener acceso al repositorio de documento.”, dijo el CEO de Liquid, Mike Kayamori , en una publicación de blog.

Ingenieria social – una de las herramientas más peligrosas de phishing

El 18 de noviembre, el servicio de minería de criptomonedas NiceHash descubrió que algunas de sus configuraciones de dominio GoDaddy se habían cambiado sin autorización. Como resultado, la web estaba redirigiendo todo el tráfico a otro sitio. NiceHash congeló todos los fondos de sus clientes durante aproximadamente 24 horas hasta que pudo verificar que la configuración de su dominio se restableció a su configuración original.

Según el fundador de NiceHash, Matjaz Skorjanc, se realizaron cambios no autorizados desde el dominio GoDaddy. Los atacantes intentaron usar su acceso a los correos electrónicos entrantes de NiceHash para restablecer las contraseñas en varios servicios de terceros, incluidos Slack y Github. Además, en ese momento era imposible contactar a GoDaddy porque la compañía estaba experimentando un fallo general del sistema.

Sin embargo, GoDaddy reconoció que “una pequeña cantidad” de dominios estaban en manos de los estafadores. También comentaron que varios empleados de GoDaddy fueran víctimas de estafas de ingeniería social. Los especialistas bloquearon las cuentas asociadas con el incidente, revirtieron todos los cambios en la cuenta y ayudaron a los clientes afectados a recuperar el acceso a sus cuentas.

Robaron dominios de GoDaddy, que mas da?

Es un fallo muy serio porque la importancia de dominios fuertes es fenomenal. El caso puede tener graves consecuencias para los propietarios, tanto de reputación como pérdidas de dinero. Imaginase entrar a la web de noticias de fútbol y os redirige al sitio de apuestas. Por una parte, seria raro, pero por otra, puede servir como garantía y motivación adicional para empezar a interactuar con el sitio.