骇客网钓GoDaddy员工骗到网域控管资料，以骇入GoDaddy代管客户系统

资安部落格KrebsonSecurity报导，全球最大网站代管暨网域名注册商GoDaddy代管的加密货币交换平台客户本月先后被骇，元凶疑似是GoDaddy将网域控制权误交给了骇客。

受害者是加密货币交换平台Liquid.com与NiceHash。根据Liquid.com首席执行官Mike Kayamori 2周前公告指出，本月13日代管其核心网域名的GoDaddy误将该公司账号及网域控制权交给了恶意人士，让后者得以变更DNS纪录、控制他们多个内部邮件账号。在这场骇入事件中，虽然这家数位交易平台表示，客户资金、电子钱包等没有受到影响，但攻击者得以入侵该公司部分基础架构，并且存取了文件储存系统。

而NiceHash则在上周公告，他们在GoDaddy的网域注册纪录未经授权遭到修改，而使得通往该公司的电子邮件和网页流量被导向恶意网站，使他们一度取消了用户提款的服务。

该公司创办人指出，非授权变更是来自GoDaddy 某个IP，骇客企图存取NichHash电子邮件以变更第三方服务，像是Slack和GitHub的密码。但是刚好GoDaddy当时（11月17日）发生大规模停机，无法上网，所以不太可能是GoDaddy所为，他们立即察觉是骇客攻击，所有信件都被导向一个名为privateemail[.]com的网域。

根据这个线索，KrebsonSecurity追查2周前所有电子邮件纪录被变更的GoDaddy网域代管客户，最后比对最受欢迎网站清单，发现受害者还不只上述两家。攻击者的目标还包括其他加密货币交易平台，包括Bibox.com、Celsius.network及Wirex.app等。

GoDaddy坦承，在“少数”公司员工上了社交工程诈骗邮件的当后，“少部分”客户网域名遭到变更。该公司也表示已立即封锁了此次事件中受影响的客户账号，并协助客户重新取回控制权。但GoDaddy澄清上周的断线事件并非资安事件，仅为预期性的网络维修。

GoDaddy员工如何“误交出”客户资讯目前不得而知。但武汉肺炎疫情让其员工成为攻击目标。受到疫情影响，GoDaddy和许多科技公司一样让员工在家远端作业，这也使他们的员工更容易遭到佯称是公司IT部门寄来的诈骗邮件或打来的诈骗电话。

另外，2019年4月也曾有骇客以钓鱼信件骗得GoDaddy员工帐密，以变更并挟持其他企业客户的DNS服务器。

GoDaddy今年5月也通知网站代管客户，他们的账号被不明人士使用其帐密进行SSH存取，媒体报导时间发生在去年10月。而这次事件共影响2.8万家代管客户。