Aanvallers versturen phishingmails via officieel e-mailaccounts Namecheap

De Amerikaanse registrar en webhoster Namecheap is getroffen door een cyberaanval. Aanvallers namen de controle over van het e-mailaccount van Namecheap en verzonden phishingmails uit naam van zowel bezorgdienst DHL als cryptowallet MetaMask naar klanten.

Bleeping Computer meldt dat de phishingcampagne zondagnacht is opgezet via SendGrid. Dit is een e-mailplatform dat Namecheap gebruikt voor het verzenden van e-mails naar klanten, onder meer met het oog op marketing en het vernieuwen van registraties.

Verzonden uit naam van DHL en MetaMask

Aanvallers verzonden phishingmails uit naam van zowel DHL als MetaMask. In het geval van DHL claimen de aanvallers dat ontvangers bezorgkosten moet betalen om een pakketje dat naar hen onderweg is ontvangst te kunnen nemen. In het geval van MetaMask zou het gaan om een KYC (Know Your Customer)-verificatie die nodig zou zijn om blokkade van het MetaMask-account te voorkomen.

Klanten van Namecheap maakten op Twitter melding van phishingmails die zijn verstuurd uit naam van klanten van Namecheap.CEO Richard Kirkendall bevestigde korte tijd later dat aanvallers de controle over het e-mailaccount van Namecheap hebben overgenomen. Als maatregel is door Namecheap het versturen van e-mails via SendGrid geblokkeerd. Ook is de registrar een onderzoek gestart naar de aanval. Kirkendall vermoedt dat de aanval verband houdt met een recent beveiligingsprobleem, waarbij API-sleutels van zowel Mailgun, MailChimp als SendGrid toegankelijk bleken via mobiele apps.