Trezor (¿y más?) -Ojo- Campaña de phishing tras filtración de datos en MailChimp

[DdmrDdmr]

MailChimp es utilizado por multitud de compañías para realizar el envió de sus correos y newsletters corporativos. Como tal, hospeda datos de muchas compañías durante un tiempo que dependerá, cuanto menos, del proceder de cada compañía cliente de MailChimp.

Trezor es una de esas compañías que utiliza los servicios de MailChimp en sus comunicados. Desafortunadamente, parece que MailChimp ha sufrido una filtración de datos por parte de alguien desde dentro, focalizando en compañías cripto. Dado el fraseado de Trezor al respecto, es de esperar que no sólo Trezor se vea suplantada en los próximos días.

En el caso de Trezor, los atacantes intentan, mediante sus correos falsos, convencer al receptor para que descargue código malicioso, bajo el pretexto de ser la última versión de Trezor Suite:

https://twitter.com/pbnather/status/1510506712612184068

Ver:
 https://www.theblockcrypto.com/linked/140346/crypto-hardware-wallet-trezor-issues-warning-about-newsletter-phishing-attack

Seguimiento:
https://twitter.com/Trezor/status/1510558771944333312

[1714669915]

1714669915

[1714669915]

1714669915

[1714669915]

1714669915

[seoincorporation]

Esto es malo colega.

Como bien comentas, MailChimp es uno de los principales servicios de correos masivos y el echo de que les robaran la base de datos de cripto usuarios es algo muy grave ya que estamos hablando de miles de correos.

Esperemos que los usuarios sean informados antes de ser victimas de algún ataque.

[Hispo]

Agredecido que compartas esta noticia aquí, de otra manera no me entero tán rápido. Y me interesa, como usario de Trezor.

Personalmente, por ahora no noto ningún email extraño en mi bandeja de entrada, así que asumo que quizá solo ha afectado a las personas que efectivamente se habían suscrito para recibir correos regularmente desde Trezor.

Por otro lado, no esjustificable que Trezor haya usado un servicio ajeno o tercero para que se encargase de la administración de estas direcciones de email, cometieron el mismo pecado que cometió Ledger al depender de Shopify para manejar los datos de venta de sus productos, al parecer no aprenderieron del error de su competidor principal y no se tomaron la molestía de volverse autónomos en el manejo de los correos de sus clientes, más allá de la venta de sus dispositivos.

Este caso, aunque no involucre las direcciones de piso de los afectados (como si fue en el caso de Ledger), no se le puede justificar a Trezor este error y personalmente aspiro a que este pellizco en su brazo les sirva de lección para que no pase nada peor en el futuro.  

[DdmrDdmr]

Como comentario general, que no sólo respecto de los casos cripto que estamos viendo últimamente, muchas empresas recurren a servicios de terceros para realizar determinadas gestiones en su nombre con un conjunto de nuestros datos. La cesión de los datos para llevar a cabo estos servicios normalmente vendrá amparada en algún párrafo de los términos de servicio como un potencial, sin hacer mención explícita de a quién traspasan datos y exactamente para qué.

El problema es que, aunque pidas que la cadena de valor contratada cumpla ciertos requisitos, tengas la opción de auditarlos (práctica que casi nunca se lleva a cabo de manera preventiva), solicites un protocolo estricto en su gestión, cada punto de la cadena se convierte en un punto más de ataque y vulnerabilidad.   

Comentar que en el caso de MailChimp, no espero que ellos hagan público qué clientes (empresas) suyos han sido impactados, sino que deberían ser los clientes (empresas), una vez notificados, los que se encarguen de trasladar la incidencia a aquellas personas impactadas. Esto tiene, según el país, unos plazos que exigen diligencia, por lo que deberíamos oir más al respecto en breve.


Edit:

El alcance es notorio: Los hackers han logrado, mediante ingeniería social, hacerse haber accedido a más de 300 cuentas (empresas), y haber descargado datos de 102 cuentas (empresas) de los sectores cripto y financiero …

Ver:
https://techcrunch.com/2022/04/04/mailchimp-internal-tool-breach/
https://therecord.media/hacker-accessed-319-crypto-and-finance-related-mailchimp-accounts-company-said/

[DdmrDdmr]

Por segunda vez en seis meses ha sucedido lo mismo: Mailchimp ha identificado un acceso no autorizado a su sistema, el cual accedió al uso de las herramientas de soporte al cliente y administración de cuentas. Nuevamente se supone que las credenciales se obtuvieron mediante ingeniería social sobre empleados de Mailchimp.

En esta ocasión, se supone que los hackers han logrado acceder a 133 cuentas de clientes (corporaciones) distintas.

La única cuenta corporativa que conocemos por ahora como comprometida por este ataque es la de woocommerce. Esta plataforma permite crear webs de comercio electrónico, por lo que a su vez, puede suponer el filtraje de múltiples clientes corporativos embebidos en su plataforma. La plataforma tiene varias extensiones para aceptar pagos con criptomonedas, como esta de Coinbase, por lo que pueden haber intentos de phising con regusto crypto bien en alguno de las 133 cuentas de clientes de manera directa por su actividad, bien de manera derivada en woocommerce.


Ver:
https://mailchimp.com/january-2023-security-incident/?=7194ef805fa2d04b0f7e8c9521f97343
https://techcrunch.com/2023/01/18/mailchimp-hacked/
https://twitter.com/Arm_i_n/status/1615719010921844737

[darxiaomi]

Bueno viendo esto digamos que si bien ninguna compañia es 100% segura Mailchimp ya esta quedando bastante mal parada con estos casos, y mas tratandose de una empresa referente en el mercado en lo que se dedica.

Ademas de que es realmente un peligro potencial bastante alto el que genera.

La unica forma de "zafar" como siempre es la mas vieja, chequear bien la direccion de la cual nos la envian.

[Hispo]

Cualquiera pensaría que parte de la capacitación de los empleados de una empresa como esta sería el saber cuando están siendo target de un intento de robo de credenciales mediante ingeniería social. Creo que lo he dicho antes.

Hay redito en poder hacerse con credenciales utilizando exploting y lineas de código, es algo de lo que no se puede culpar a nadie en una posición de manejo de simples contraseñas y número de usuario, pero el más bajo tipo de "hacker" es aquel que piensa que sus victimas potenciales son idiotas y están dispuestos a demostrarlo con ataques como estos.

Es para que servicios de activos (crypto y tradicionales) se alejen de esta empresa de emails, hasta que se encarguen de dar un buen curso de seguridad a todos los empleados.

[darxiaomi]

Si pero vos podes dar todos los cursos que quieras, pero si ya socialmente viene predispuesto a ser vulnerable la persona ante este tipo de ataques estas medio jodido, y yo considero que esos empleados encuadran con un tipo humano particular hay que ver hasta donde llega la "ingenieria social" que se esta utilizando y con esto para no ser TAN enigmatico me refiero a XXX chicas etc.

[DdmrDdmr]

Si pudiésemos conocer el mapa topológico de empresas en los cuales tenemos algún dato personal nuestro, nos escandalizaríamos. Es muy habitual que datos nuestros residan en compañías de servicios terceras, y más hoy por hoy, con la tendencia a los servicios cloud que ha desbancado en muchos casos la tenencia in-house.

En este sentido, las tareas de comunicación con clientes suelen muy habitualmente recurrir a servicios terceros para su envío, por lo que debe haber centenares de miles de corporaciones realizando una cesión legal de sus datos a terceros para prestar el servicio.

En el ámbito cripto, entiendo que la mayoría de las empresas usan software cloud de terceros para la gestión de sus comunicaciones electrónicas, de ahí que éstos proveedores se conviertan en targets más golosos, a modo de caballos de troya para acceder a millones de registros de contacto de múltiples corporaciones.

[Porfirii]

En cuanto a la ingeniería social, la verdad es que no hay que ser ningún genio para explotar tales vulnerabilidades. Hace ya unos años que me incorporé al mercado laboral, y me sigo sorprendiendo de lo mal que trabaja la gente, en general.

Nos imaginamos una estrategia elaborada milimétricamente para engañar, sobornar o extorsionar a un empleado con acceso a datos sensibles, al estilo de ocean's eleven, y que si sale mal se corre el riesgo de ser pillado o, en el mejor de los casos, se habrá perdido una oportunidad única.

Pero la realidad es menos romántica que todo eso, con una gran mayoría de empleados que no bloquean sus sesiones cuando se ausentan del puesto de trabajo, o cuya hora del café es sagrada, así se hunda la empresa en su ausencia, por ejemplo. Tonterías que denotan una falta de profesionalidad sistémica, que hace que individuos con pocos escrúpulos y cierta motivación, sin ser tampoco unos lumbreras, parasiten eficazmente. Y eso cuando no haya mala fe por parte del responsable/delegado de los datos, claro, que ese es otro cuento que también nos suena.

Como al parecer esto es así y no tiene pinta de que vaya a cambiar, cada uno debería responsabilizarse más de lo que hace con sus datos, al estilo que aquí nos responsabilizamos de nuestras monedas; y, como a veces el destino de los mismos se escapa a nuestro control (porque se pasen el consentimiento por el forro o porque obligatoriamente haya que realizar un KYC), la mejor decisión bajo mi punto de vista es controlarse uno mismo a la hora de utilizar servicios online prescindibles.

[Silberman]

...

Todo esto es muy cierto, sin embargo, también hay que añadir que por naturaleza las personas son muy crédulas, algo que no es necesariamente malo dado que sería muy difícil vivir la vida dudando de cada cosa que vemos o escuchamos, y por lo tanto si algo parece un pato y suena como pato simplemente asumimos que es un pato.

Recuerdo que una vez fui a ver a alguien al hospital y necesitaba registrarme como visitante y pasar un filtro de seguridad, pero cuando llegué al hospital lo olvidé y fui directo al filtro, simplemente saludé, sonreí y seguí mi camino y nadie me detuvo o fue a buscar, no fue hasta que terminó la visita y ya había salido del hospital cuando me di cuenta de lo que pasó, me metí hasta la cocina y nadie me dijo nada, lo mas probable es que simplemente mi presencia no haya parecido fuera de lugar en el hospital y por eso me dejaron pasar sin problema, a pesar de que esto no debió ser así.

Así que no es de sorprender que la ingeniería social funcione tan bien, o tan mal dependiendo de la perspectiva por donde se mire, por lo tanto, la única manera de disminuir el riesgo de una filtración de nuestros datos sea compartirlos lo menos posible.

[Porfirii]

...

<...>

También es depende de con quién des: con el tema de las mascarillas, por poner el ejemplo más gráfico y reciente aunque se sale un poco del topic, había autoridades (guardias, funcionarios...) que pasaban olímpicamente de mojase cuando veían alguna infracción aislada, mientras que otros se extralimitaban en sus funciones. Por eso, en parte, es una cuestión de las personas. De hecho, por lo que comentas, el día que entraste de esa manera en el hospital parece más bien un error humano el que te dejaran pasar sin verificar el registro: de ahí que se nos conozca como el eslabón más débil en la seguridad.

Pero aparte de las personas también es problemático en muchas ocasiones el tema de la organización. Me imagino que se habrán utilizado millones de veces las expresiones: "-Sí, debería haber alguien controlando la seguridad del sistema, pero si hago eso no hago otra cosa."; "-Estaba previsto pero al final, por falta de presupuesto/personal se está dejando."; "-Sería mucha casualidad que justo estos meses que no tenemos a nadie controlando pasara algo...". Quiero decir con esto que, aunque las personas estén dispuestas a hacer bien su trabajo, si no se les facilitan los medios es lógico también que haya filtraciones.

Y, por último, también están los casos de dolo y no de mera negligencia, donde los empleados con acceso a datos sensibles se aprovechan, pero ese supuesto ya se sugería en el OP cuando DdmrDdmr hablaba de "alguien de dentro".

[Artemis3]

Hay, nada mas porque el presidente Biden se llevó para su casa unos documentos clasificados como "Secreto", ¿que podrían hacer los demás?

[DdmrDdmr]

En relación a este ultimo hackeo de Mailchimp, ya tenemos la primera empresa conocida del ámbito cripto que se ha visto impactada: Tuga Labs.

No detalla el proceder de la ingeniería social para obtener el acceso a las cuentas de los empleados de la compañía, pero siendo Mailchimp reincidente en un corto espacio de tiempo, uno esperaría que tendrían unos protocolos revisados y más férreos.

Digamos que si yo tuviese las credenciales de acceso de un empleado, no debería poder acceder de manera directa a los sistemas corporativos remotamente, y únicamente debería tener visos de éxito si se realiza desde dentro de las instalaciones, o controlando un equipo con acceso de manera remota (ej/ controlar remotamente el equipo de un empleado). Y aun así, como indicaba antes, deberían haber alertas que avisasen e incluso bloqueasen patrones anómalos, y requiriesen usar 2FA al acceder a descargar datos de cuentas de clientes.

Ver: https://es.beincrypto.com/yuga-labs-revela-hack-cuenta-mailchimp-afirma-nft-seguros/

[DdmrDdmr]

Puede o no que tenga relación, pero comentar que Trezor ha avisado en su Twitter de que hay una campaña de Phishing en curso, dirigiéndose a los potenciales a través de email, SMS, e incluso llamadas telefónicas.

Por si alguien quiere echarle un vistazo, dejo el Tweet y un hilo del foro donde se avisa del hecho.

Ver:
https://twitter.com/Trezor/status/1630526933199998977
https://bitcointalk.org/index.php?topic=5441593.msg61832716#msg61832716