ATTACCO DNS HIJACK SU TANTI DOMINI SQUARESPACE, EX Google DOMAINS
Dopo anni di attività, Squarespace ha acquisito Google Domains a settembre 2023, insieme con tutti i clienti della piattaforma.
Negli ultimi giorni, un’ondata di attacchi coordinati di DNS hijacking hanno preso di mira i domini di alcune note piattaforme di Finanza decentralizzata (DeFi). C’è un unico denominatore: tutti i siti coinvolti si appoggiano al registrar Squarespace e i visitatori sono indirizzati verso pagine phishing, congegnate per rubare denaro dai portafogli in criptovaluta delle vittime.
Diverse piattaforme hanno immediatamente invitato gli utenti, tramite social, ad astenersi dal visitare i loro siti fino a nuovo avviso.
Come abbiamo spiegato in apertura, questi attacchi sono generalmente sferrati compromettendo i server DNS e modificandone i record originali.
ATTACCHI LEGATI AL REGISTRAR SQUARESPACE
Sebbene la causa del problema non sia stata ancora accertata, i domini presi di mira erano stati originariamente registrati su Google Domains e successivamente trasferiti a Squarespace nel 2023, proprio a seguito dell’accordo con la società di Mountain View.
Durante la migrazione verso Squarespace (si calcola che i nomi di dominio interessati possano essere circa 10 milioni), l’autenticazione a più fattori – precedentemente implementata su Google Domains – è ovviamente venuta meno. Da parte sua, Squarespace aveva tuttavia invitato gli utenti ex Google Domains a riabilitarla.
Non è chiaro come gli attaccanti siano riusciti a condurre in porto l’attacco. Tuttavia, secondo i ricercatori Taylor Monahan e Andrew Mohawk, il DNS hijacking potrebbe essere correlato proprio alla disabilitazione dell’autenticazione a più fattori durante il processo di migrazione e alla creazione automatica di account per gli utenti associati ai domini.
Alcuni clienti Squarespace hanno riferito di aver ricevuto email sospette per il reset della password: ciò potrebbe indicare che si tratta di un attacco più ampio alle credenziali degli account.
I ricercatori hanno compilato una lista di domini legati a progetti crypto e DeFi che potrebbero essere stati colpiti. È bene non abbassare la guardia, almeno fintanto che la situazione non sarà chiarita.
Credit immagine in apertura: iStock.com – Funtap
CONCLUSIONE
In definitiva, l’attacco di DNS hijacking sui domini SquareSpace precedentemente ospitati su Google Domains rappresenta una minaccia seria per la Sicurezza informatica degli utenti. La vulnerabilità dei record DNS e la compromissione delle credenziali degli account sono questioni di fondamentale importanza da affrontare per prevenire futuri attacchi simili.
È necessario che le piattaforme coinvolte adottino misure di sicurezza aggiuntive e che gli utenti tengano sempre alta la guardia, verificando attentamente l’autenticità dei siti web che visitano e proteggendo le proprie password con metodi di autenticazione a più fattori.
La collaborazione tra esperti di sicurezza informatica e le aziende proprietarie dei domini è essenziale per individuare le cause degli attacchi e implementare le contromosse necessarie per proteggere le sicurezza degli utenti online.