Hacker tricksen Mitarbeiter des Webhosters GoDaddy aus

Internetbetrüger haben in der vergangenen Woche E-Mails und Web-Traffic von mehren Handelsplattformen für Kryptowährungen umgeleitet. Wie der Sicherheitsexperte Brian Krebs berichtet, ist es ihnen zuvor gelungen, Mitarbeiter von GoDaddy zu täuschen, um sich die Kontrolle über die Domains der Handelsplätze zu erschleichen – das Unternehmen gilt als weltgrößte Registrierungsstelle für Domain-Namen. Die Angriffe begannen demnach am 13. November.

Zuerst betroffen war die Trading-Plattform Liquid.com. „Der Domain-Hosting-Provider GoDaddy, der einen unserer Haupt-Domain-Namen verwaltet, hat die Kontrolle über das Konto und die Domain fälschlicherweise an einen böswilligen Akteur übertragen“, heißt es in einem Blogeintrag von Liquid-CEO Mike Kayamori. „Das gab dem Akteur die Möglichkeit, DNS-Einträge zu ändern und im Gegenzug die Kontrolle über eine Reihe von internen E-Mail-Konten zu übernehmen. Zu gegebener Zeit war der böswillige Akteur in der Lage, unsere Infrastruktur teilweise zu kompromittieren und Zugang zum Dokumentenspeicher zu erlangen.“

Am 18. November entdeckte dem Bericht zufolge auch NiceHash die Manipulation seiner bei GoDaddy registrierten Domain-Daten. Auch hier war es den Hackern gelungen, Web- und E-Mail-Verkehr umzuleiten. Das Unternehmen fror darauf sämtliche Geldmittel aller Kunden für rund 24 Stunden ein – bis die Daten auf die ursprünglichen Einstellungen zurückgesetzt waren.

NiceHash begründete die Verzögerung bei der Wiederherstellung seiner Domain-Daten mit technischen Problemen bei GoDaddy. Aufgrund einer Störung seines E-Mail- und Telefonsystems sei der Hoster nicht erreichbar gewesen. Trotzdem sei es gelungen, den Angriff abzuwehren und unbefugte Zugriffe auf wichtige Systeme zu verhindern.

Eine weitere Analyse ergab, dass die E-Mails von NiceHash auf die Domain privateemail.com umgeleitet wurden. Diese Domain wurde Krebs zufolge auch benutzt, um elektronische Kommunikation der Kryptowährungsplattformen Bibox.com, Celsisus.network und Wirex.app abzufangen. Allerdings reagierten die Firmen nicht auf Nachfragen des Sicherheitsexperten.

GoDaddy indes bestätige, dass eine geringe Zahl von Kunden-Domains verändert wurde, nachdem wenige Mitarbeiter des Unternehmens auf einen Social-Engineering-Betrug hereingefallen seien. Der Ausfall der eigenen Systemen sei jedoch nicht durch einen Hacking-Angriff, sondern durch Probleme während einer geplanten Wartung aufgetreten.

Die von den nicht autorisierten Änderungen betroffenen Konten seien vorübergehend gesperrt und alle Änderungen zurückgesetzt worden, betonte ein Sprecher von GoDaddy. Zudem würden Mitarbeiter kontinuierlich über neue Angriffsmethoden von Hackern informiert und neue Sicherheitsmaßnahmen eingeführt, um künftige Attacken abzuwehren.

Wie die GoDaddy-Mitarbeiter getäuscht wurden, ließ der Sprecher indes offen. Bei früheren ähnlichen Vorfällen bei GoDaddy wurden Mitarbeiter per Telefon angesprochen. Im März gelang es Cyberkriminellen beispielsweise, die Kontrolle über mehr als ein halbes Dutzend Domains zu erlangen,