Le système d’e-mails de Namecheap détourné pour envoyer du phishing !
Des pirates sont parvenus à détourner un service de messagerie utilisé par Namecheap, leur permettant d'envoyer de nombreux e-mails de phishing aux couleurs de DHL et MetaMask à partir d'adresses e-mail valides. Que s'est-il passé ?
Pour rappel, Namecheap est un bureau d'enregistrement de noms de domaines accrédité par l'ICANN, qui propose également des services d'hébergement Web. Cette entreprise est située aux États-Unis.
Cette campagne de phishing a débuté dimanche en provenance de la plateforme SendGrid, cette dernière étant utilisée par Namecheap pour envoyer des notifications par e-mail (pour le renouvellement d'un service, par exemple), mais également des e-mails de marketing.
Des e-mails aux couleurs de DHL et MetaMask
Les pirates ont profité de cet accès au service SendGrid pour envoyer des e-mails aux couleurs de DHL et MetaMask dans le but de piéger des utilisateurs.
Comme souvent lorsqu'il s'agit d'un service de livraison, comme ici avec DHL, l'e-mail précise qu'il y a des frais à régler dans le cadre de la livraison d'un colis. Le lien contenu dans l'e-mail redirige l'utilisateur vers une page falsifiée dans le but de récupérer les informations de l'utilisateur.
En ce qui concerne MetaMask, un service pour disposer d'un portefeuille de cryptomonnaies, les pirates ont envoyé un e-mail ayant pour titre "Votre portefeuille est sur le point d'être suspendu. Effectuez une vérification KYC". Le site BleepingComputer précise que le lien de cet e-mail contient un lien marketing de Namecheap sous la forme "https://links.namecheap.com/" qui redirige l'utilisateur vers un site malveillant piloté par les cybercriminels. Page sur laquelle l'utilisateur est invité à saisir sa clé secrète permettant de déverrouiller son portefeuille de cryptomonnaies.
Namecheap se veut rassurant
Que s'est-il passé chez Namecheap ? À ce sujet, une publication officielle de Namecheap précise que les systèmes n'ont pas été compromis : "Nous tenons à vous assurer que les systèmes de Namecheap n'ont pas été compromis, et que vos produits, comptes et informations personnelles restent sécurisés."
C'est bien le service tiers sur lequel s'appuie Namecheap qui serait en cause : "Nous avons la preuve que le système en amont que nous utilisons pour l'envoi d'e-mails (tiers) est impliqué dans l'envoi d'e-mails non sollicités à nos clients. Par conséquent, il se peut que vous ayez reçu des courriels non autorisés." - Même si le fournisseur en question n'est pas précisé clairement, il s'agirait de SendGrid, mentionné quelques heures plus tôt par Richard Kirkendall, le CEO de Namecheap.
Dans le même temps, SendGrid affirme que son système d'envoi d'e-mail n'a pas été compromis : "Nous sommes conscients de la situation concernant l'utilisation de notre plateforme pour envoyer des e-mails de phishing et nos équipes de fraude, de conformité et de cybersécurité sont engagées dans cette affaire. Cette situation n'est pas le résultat d'un piratage ou d'une compromission du réseau de Twilio." - Au final, il y a une certaine confusion...!
En résumé : si, ces dernières heures, vous avez reçu une notification de la part de DHL ou MetaMask, vous devriez la supprimer sans réfléchir...! Cela est d'autant plus dangereux que les e-mails sont valides et que la signature DKIM serait valide !
