Comme si les créanciers de FTX n’avaient pas assez sur le dos, ils doivent maintenant faire face à des attaques de phishing inévitables suite à la récente violation de données chez Kroll.
Kroll, une entreprise financière qui gère les créances en faillite pour les entreprises de crypto-monnaies insolventes FTX, BlockFi et Genesis, a confirmé qu’un acteur de menace a réussi à compromettre le compte d’un de ses employés et à l’utiliser pour voler certaines données d’un nombre limité d’utilisateurs.
FTX et BlockFi ont posté un message sur Twitter, disant que l’attaque a entraîné le vol de « données clients non sensibles et limitées de certains demandeurs ».
Saison de Phishing
Apparemment, l’attaquant est parvenu à usurper l’identité de l’un des employés de Kroll via un compte T-Mobile et l’utiliser pour contourner le protocole de sécurité d’authentification multi-facteurs (MFA) et pénétrer dans les systèmes de l’entreprise. Une fois à l’intérieur, il a dérobé des informations telles que des noms complets, des adresses postales, des adresses électroniques et des détails de créances de débiteurs, d’un nombre inconnu de créanciers.
Plusieurs entreprises de crypto-monnaies ont fait faillite en 2022, perdant des milliards de dollars en cryptomonnaies des personnes qui utilisaient leurs services. Certaines de ces entreprises sont maintenant en plein milieu de leurs procédures de faillite.
Kroll a déclaré qu’il notifierait directement les individus concernés. La violation a depuis été contenue, a-t-on ajouté.
Alors que les attaquants ont peut-être été expulsés, les dégâts ont été faits. Certaines personnes ont déjà pris les devants sur les réseaux sociaux pour signaler des courriers électroniques de phishing qu’ils ont reçus. Dans la plupart des cas, les attaquants se font passer pour FTX et disent aux victimes que le retrait d’actifs crypto a été réactivé. Cependant, l’objectif de la campagne est de tromper les victimes pour qu’elles donnent les cryptomonnaies qu’elles possédaient ailleurs.
Enfin, un porte-parole de Kroll a déclaré à la publication qu’il n’y avait aucune preuve que l’attaquant avait réussi à se déplacer latéralement vers d’autres comptes d’utilisateurs ou systèmes. L’attaque a été limitée à ces trois entreprises.