Użytkownicy portfeli Trezor celem ataków phishingowych

Trezor w ten weekend padł ofiarą kampanii phishingowej. Firma zapowiedziała, że prowadzi już dochodzenie w tej sprawie oraz ostrzegła użytkowników przed otwieraniem podejrzanych emaili.

Atak phishingowy

Wszystko zaczęło się, gdy kilku użytkowników poinformowało na Twitterze, że otrzymali e-maile z prośbą o pobranie aplikacji z domeny “trezor.us“. Oficjalna domena Trezora to jednak “trezor.io“. Firma potwierdziła później, że adresy e-mail użytkowników, którzy otrzymali phishing pochodziły z bazy osób zapisanych do newslettera na Mailchimp.

Hey trezor, are you aware of a phishing campaign going on? I just received this email with my actual email on it. It looked very legit. pic.twitter.com/GF0Od6llr2

— josearkaos ⚡️ (@josearkanos) April 3, 2022

W mailu, który oszuści wysłali do klientów Trezor można było przeczytać:

Z przykrością informujemy, że Trezor doświadczył incydentu bezpieczeństwa związanego z danymi należącymi do 106 856 naszych klientów oraz, że portfel powiązany z Twoim adresem e-mail znajduje się wśród tych, których dotyczyło naruszenie.

Oszuści zaproponowali użytkownikom rozwiązanie problemu. Nakazali im pobranie najnowszej Trezor Suite w celu ustawienia nowej frazy seed na ich portfelu sprzętowym. E-mail zawiera również przycisk “Pobierz najnowszą wersję”, który kieruje użytkowników na stronę phishingową. Po wpisaniu frazy seed, trafia ona prosto w ręce hakerów.

Raporty sugerują również, że oszuści stojący za atakiem pobrali kod źródłowy oryginalnego Trezor Suite (ponieważ jest on open-source) i stworzyli własną, zmodyfikowaną podróbkę aplikacji, która wygląda identycznie jak ta legalna. Fałszywe oprogramowanie, jak na ironię, miało również baner na górze ekranu, który ostrzegał użytkowników przed atakami phishingowymi.

Potwierdzenie od Trezora

W swoim oświadczeniu Trezor ujawnił, że atak phishingowy przeprowadziła “osoba z wewnątrz” MailChimp.

MailChimp potwierdził, że ich usługa została naruszona przez osobę współpracującą z firmą, której celem były firmy kryptowalutowe. Udało nam się wyłączyć domenę phishingową z sieci. Próbujemy ustalić, jak wiele adresów e-mail zostało dotkniętych atakiem.

MailChimp have confirmed that their service has been compromised by an insider targeting crypto companies.

We have managed to take the phishing domain offline. We are trying to determine how many email addresses have been affected. 1/

— Trezor (@Trezor) April 3, 2022

Firma ostrzegła również, że nie będzie komunikować się za pomocą newslettera do czasu rozwiązania sytuacji i wezwała swoich użytkowników, aby do odwołania nie otwierali żadnych e-maili, które wydają się pochodzić od niej.