Los hackers secuestran uno de los dominios de Coincheck para ataques de phishing


Coincheck

El intercambio japonés de criptomonedas Coincheck dice que los piratas informáticos tomaron el control de su cuenta en un registrador de dominio nearby y secuestraron uno de sus nombres de dominio, que luego usaron para contactar a algunos de sus clientes.

El intercambio detuvo las operaciones de remesas en su plataforma el martes mientras investigaba el incidente. Otras operaciones, como retiros o depósitos, no han sido bloqueadas.

De acuerdo con un reporte de incidente publicada ayer, la compañía dijo que el ataque inicial tuvo lugar el domingo 31 de mayo. Los piratas informáticos obtuvieron acceso a la cuenta de Coincheck en Oname.com, el proveedor de registro de dominios de la compañía. Oname también confirmó el incidente.

Si bien Coincheck no proporcionó detalles técnicos sobre el ataque, el investigador de seguridad japonés Masafumi Negishi dijo que los piratas informáticos modificaron la entrada DNS principal para el dominio coincheck.com de Coincheck.

Coincheck utiliza el servicio DNS administrado de Amazon, lo que significa que un servidor DNS de Amazon estaba manejando la operación de devolver la dirección IP del servidor donde los clientes de los usuarios (navegador, aplicaciones móviles, billeteras) necesitaban conectarse para el dominio coincheck.com.

De acuerdo con Masafumi, el hacker registró un dominio related en el servidor de AWS y reemplazó el original awsdns-61.org con awsdns-061.org (nota el more en frente de 61) dentro del backend de Oname.com. Esto permitió al pirata informático gestionar consultas DNS para el portal Coincheck.

choincheck-dns.png "src =" https://zdnet2.cbsistatic.com/hub/i/2020/06/03/0fd86b24-3f33-46b6-9fdf-b40eaaf5445d/choincheck-dns.png

Los hackers no utilizaron este acceso para redirigir todo el tráfico web del intercambio a un clon de Coincheck. Tal ataque habría sido detectado de inmediato.

En cambio, los piratas informáticos enviaron correos electrónicos de phishing a ciertos usuarios al hacerse pasar por el dominio coincheck.com y redirigir las respuestas de correo electrónico a sus propios servidores.

Coincheck dice que detectó el ataque después de observar anomalías en el tráfico. Los hackers tuvieron acceso al dominio de la compañía hasta el lunes 1 de junio a las 20:52, hora de Tokio, cuando la compañía recuperó el acceso a su dominio.

Se cree que los piratas informáticos se acercaron a los clientes y les pidieron que verificaran la información de la cuenta, que podrían reutilizar en una fecha posterior para hackear cuentas y robar fondos.

Coincheck dijo que alrededor de 200 clientes parecen haberse involucrado con los piratas informáticos, creyendo que se estaban comunicando con el private oficial de Coincheck.

El intercambio dijo que no tenía evidencia para confirmar que los piratas informáticos utilizaron cualquier información que pudieron haber aprendido durante las conversaciones de correo electrónico recientes para violar cuentas y robar fondos.

Coincheck está actualmente en el puesto n. ° 39 en la lista de los principales intercambios de CoinMarketCap. La compañía es famosa por ser pirateada en enero de 2018 y perder $ 500 millones, El mayor atraco criptográfico de la historia.





Enlace a la noticia unique