The Sandbox (SAND), компания метавселенной, основанной на блокчейне, выпустила предупреждение о инциденте безопасности.
Компания объяснила в своем блоге в четверг, что неавторизованная третья сторона получила доступ к компьютеру сотрудника и отправила мошенническое электронное письмо пользователям платформы.
Мошенническое электронное письмо называлось «The Sandbox Game (PURELAND) Access». Оно было отправлено 26 февраля, и содержало ссылки, которые могли установить вредоносное ПО на компьютер пользователя. Вредоносная программа предоставит третьей стороне контроль над компьютером пользователя, открывая доступ к его личной информации. Компания заявила, что третья сторона имела доступ только к компьютеру одного сотрудника и не могла получить доступ к какой-либо другой службе или учетной записи The Sandbox.
По словам компании, единственными данными, к которым злоумышленник имел доступ, были адреса электронной почты пользователей The Sandbox. Пока о финансовых потерях не сообщается.
The Sandbox предупредила пользователей о возможных фишинговых атаках после взлома, предупредив целевых пользователей «не открывать, не играть и не загружать что-либо с веб-сайта, на который есть гиперссылка». Также рекомендуется, чтобы пользователи усилили свои пароли, внедрили двухфакторную аутентификацию и не переходили по подозрительным ссылкам.
Фишинговый бизнес
Проект предпринял быстрые действия для решения этой проблемы, в том числе отправил электронное письмо пользователям, которые могли получить мошенническое электронное письмо, заблокировал учетные записи сотрудников и доступ и сброс всех связанных паролей с помощью двухфакторной аутентификации. Ноутбук сотрудника также был переформатирован, и компания заявила, что работает над улучшением своей политики и практики безопасности.
Это нарушение является еще одним в череде попыток фишинга по электронной почте, направленных на кражу криптоактивов или извлечение информации о криптопользователях. Совсем недавно система электронной почты регистратора доменных имен Namecheap была взломана, что привело к широко распространенной поддельной фишинговой кампании, в которой пользователям предлагалось обновить криптокошельки.
Иногда хакерам удается украсть большие суммы денег с помощью таких фишинговых кампаний по электронной почте. Например, в феврале 2022 года злоумышленник украл NFT на сумму около 2 миллионов долларов у пользователей OpenSea, обманом заставив их подписать вредоносную транзакцию, отправленную по электронной почте.