BleepingComputer a verificat că portalul de suport al unui producător de routere trimite în prezent e-mailuri de phishing MetaMask în răspuns la cererile de asistență nou depuse, în ceea ce pare a fi o compromitere.
Producătorul canadian de routere, Mercku, furnizează echipamente furnizorilor de servicii de internet (ISP) canadieni și europeni, precum Start.ca, FibreStream, Innsys, RealNett, Orion Telekom și Kelcom.
Cererile de suport depuse către producătorul de routere, Mercku, primesc automat e-mailuri de phishing, a confirmat BleepingComputer.
În momentul în care formularul online este trimis, utilizatorul primește un e-mail intitulat „Metamask: Actualizare obligatorie a contului Metamask necesară”, care îi solicită să își actualizeze contul Metamask în 24 de ore pentru a evita pierderea accesului la cont.
Mercku, cu birouri în Canada, China, Germania și Pakistan, produce routere și echipamente WiFi mesh. ISP-urile, inclusiv Start.ca, FibreStream, Innsys, RealNett, Orion Telekom și Kelcom, furnizează echipamentele Mercku clienților lor.
E-mailul de recunoștință primit este un mesaj de phishing. Utilizatorii nu ar trebui să răspundă la el și să nu deschidă niciun link sau atașament conținut în el.
MetaMask este un portofel de criptomonede care folosește blockchain-ul Ethereum și este disponibil sub formă de extensie de browser și aplicație mobilă.
Datorită popularității sale, MetaMask a devenit adesea o țintă pentru atacatori, inclusiv actori de phishing și escroci cripto.
Legătura de phishing inclusă în e-mail are o structură interesantă, îndrumând utilizatorii către un alt site decât cel aparent vizat.
Atacatorii au abuzat de variatiile permise de specificațiile IETF pentru a viza utilizatorii neatenți cu atacuri de phishing.
În practică, partea de „userinfo” a schemei URI este rar folosită dintr-o perspectivă tehnică. Chiar dacă browserul web va trimite în continuare „userinfo” către server, acesta va fi ignorat de către server, iar cererea va fi procesată ca și cum partea de „userinfo” ar fi absentă.
Indiferent, această caracteristică poate fi și a fost abuzată de actorii amenințării pentru a da impresia falsă că un utilizator accesează un URL de afaceri legitim când, în realitate, nu este așa.
În acest caz particular, făcând clic pe link-ul de phishing, utilizatorii sunt redirecționați către un alt site, care, în timpul testelor, indica că contul de găzduire al domeniului .store a fost „suspendat” și, prin urmare, alte atacuri au fost oprite pentru moment.
BleepingComputer a contactat echipele de suport și de presă ale Mercku în weekend pentru a-i notifica despre această compromitere și pentru a le adresa întrebări suplimentare despre cum a avut loc aceasta.
Până atunci, clienții și potențialii clienți Mercku ar trebui să se abțină de la utilizarea portalului de suport al producătorului și de la interacțiunea cu orice comunicare provenită de acolo.
Leave a Reply