佳佳币资讯站概述简述
利用社会工程学的手段,攻击者成功入侵了Steakhouse Financial的域名注册商账户。幸运的是,该公司在数小时内便夺回了控制权,用户的资金并未遭受损失。
攻击者的入侵方式
攻击者假扮成账户所有者向域名注册商打电话,在通过电话身份验证后,客服人员移除了账户的硬件双因素认证。登录后,攻击者立即启动自动化脚本,删除了所有二次验证设备并替换为自己的设备。接着,他们将域名解析服务器重定向到了他们控制的服务器。此外,他们还把网站指向了托管在其他服务商的克隆网站,这个克隆网站携带了与已知钱包盗取工具相关的恶意代码。攻击者迅速获得了安全证书,使得钓鱼网站在标准浏览器中显示为合法站点,但多个主流钱包扩展程序均迅速将其识别为恶意网站。
迅速的应对与安全恢复
Steakhouse Financial团队在08:47 UTC发现了异常的邮件变更通知,并立即联系了注册商。钓鱼网站大约在09:59 UTC开始运行。团队在网站激活后30分钟内通过社交平台发布了公开警告,并在攻击仍在进行时引入了专业安全联盟的协助。团队通过多线并行工作,包括账户恢复、DNS取证和转移取消。攻击者曾尝试发起域名转出申请,但国际域名管理机构的五天转移锁定机制为团队提供了取消转移的时间。团队直接联系接收方服务商阻止转移,该服务商随后冻结并关闭了涉事账户。
到12:56 UTC时,团队已夺回注册商账户的控制权,域名解析服务大约在13:55 UTC完全恢复。公司确认所有域名在4月1日前均可安全使用。此后,公司已迁移至支持硬件密钥多因素认证及注册商级别锁定的服务商,并建立了持续的域名系统实时监控体系。据公司发布的事件报告,正在对所有供应链供应商建立完整的安全审查流程。公司运营负责人发表了个人致歉,表示识别此类攻击向量是其职责,并承诺将全力推动后续的安全强化工作。