Злоумышленники похитили электронные адреса пользователей GEDmatch и атаковали их фишинговыми письмами.
На прошлой неделе пользователи двух крупнейших генеалогических сервисов стали жертвами киберпреступников.
Сначала 19 июля пользователи сайта GEDmatch обнаружили , что настройки конфиденциальности их учетных записей автоматически изменились, и данные стали доступными для полиции. Затем 21 июля администрация сайта MyHeritage уведомила своих пользователей о фишинговых атаках. Очевидно, воспользовавшись похищенными у GEDmatch электронными адресами, злоумышленники пытались выманить у пользователей их учетные данные.
Согласно заявлению GEDmatch в Facebook, настройки конфиденциальности пользователей были изменены с помощью «изощренной атаки на один из серверов, осуществленную через учетную запись существующего пользователя». Атакующие сбросили настройки учетных записей, в результате чего в течение трех часов все профили стали видны всем.
В течение этого времени профили с настройками, скрывающими данные от полиции, стали доступны для правоохранительных органов, а все полицейские профили стали видны остальным пользователям GEDmatch. До инцидента доступными для полиции были только 280 тыс. профилей из 1,45 млн. Воспользовались ли сотрудники правоохранительных органов вновь открывшейся возможностью, неизвестно.
После первоначального взлома 19 июля GEDmatch быстро заработал снова, однако уже 20-го настройки пользователей снова были изменены, и администрации сервиса пришлось отключить сайт и обратиться за помощью в расследовании инцидента к ИБ-компании.
Согласно уведомлению GEDmatch, данные пользователей не были ни скомпрометированы, ни загружены посторонними. Тем не менее, начавшиеся 21 июля фишинговые атаки на пользователей другого генеалогического сервиса, MyHeritage, свидетельствуют об обратном. Злоумышленники атаковали тех пользователей, у которых также есть профили в GEDmatch, что наводит на мысль о связи между двумя инцидентами.
Жертвам рассылались фишинговые письма с просьбой авторизоваться в своей учетной записи и ссылкой на поддельную страницу авторизации myheritaqe.com. На первый взгляд домен выглядит настоящим, но на самом деле он отличается от оригинального одной буквой – вместо «g», как в названии MyHeritage, использовалась буква «q».
Администрация сервиса связалась с затронутыми пользователями и попросила сменить пароли и включить двухфакторную аутентификацию.
Разбираем кейсы, делимся опытом, учимся на чужих ошибках