電子郵件行銷公司MailChimp遭駭，牽連加密貨幣業者

電子郵件行銷公司MailChimp在3月下旬遭到駭客入侵，駭客存取了該公司的內部工具，進而取得MailChimp客戶的API金鑰，藉由MailChimp行銷平臺鎖定加密貨幣業者展開網釣攻擊，加密貨幣硬體錢包業者Trezor已確定受到牽連，多名Trezor用戶在不知情的狀況下交出了自己的助記詞（Seed Words），而讓駭客盜轉了他們的加密貨幣。

MailChimp向《BleepingComputer》與《TechCrunch》透露，駭客是先針對該公司員工進行社交工程攻擊，藉由所取得的員工憑證在3月26日存取了客服及帳號管理團隊所使用的內部工具，繼之存取了319個MailChimp客戶的帳號，並匯出其中102個客戶的用戶名單，同時取得了部分客戶的API金鑰，駭客即可透過這些API金鑰廣發行銷郵件。

目前至少確定Trezor的API金鑰遭駭客盜用，因為駭客假借Trezor的名義發送了網釣郵件予使用者，在郵件中宣稱Trezor發生資安意外，要求使用者下載最新的Trezor Suite軟體版本並重設PIN碼。

圖片來源／Life in DeFi on twitter

然而，當Trezor用戶下載並安裝該軟體時，它會要求使用者輸入助記詞（Seed Words），由於助記詞是在錢包毀損時用以恢復或重新存取錢包的重要依據，一旦使用者交出助記詞，駭客便得以盜轉錢包中的所有加密資產。由於駭客不僅採用Trezor的官方圖示，也建立了與Trezor幾乎一樣的網釣網站，而讓許多使用者信以為真。

縱使MailChimp很快就變更及終止被盜用的員工憑證與API金鑰，且Trezor亦採取行動以關閉這些網釣網站，但已有使用者受害，而且可能還有其它的MailChimp客戶受害。

這起意外屬於供應鏈攻擊，駭客藉由行銷平臺廣發容易令人信以為真的網釣郵件，如同日前駭客於Discord上多個NFT專案的官方社群發布訊息一樣，另外值得注意的是，身分竊盜所能造成的災害已愈來愈嚴重，例如Lapsus$駭客集團已藉由此一手法成功入侵Nvidia、三星、Okta與微軟，盜走這些知名企業的機密資料並向它們勒索。