自動投資プラットフォーム Betterment の顧客は、攻撃者が一部のユーザー データを取得し、ビットコインとイーサリアムの入金で巨額の収益を約束する偽メールを送信することを可能にしたデータ侵害を受けて、暗号通貨報酬詐欺の標的にされています。
Betterment の Web サイトに掲載された(および電子メールでユーザーに送信された)1 月 12 日のセキュリティ更新プログラムによると、ハッカーは 1 月 9 日にマーケティングと運営に使用されるサードパーティのプラットフォームに不正アクセスしました。侵害後、彼らは一部の顧客に暗号通貨への投資を 3 倍にするという詐欺メッセージを送信しました。
この詐欺メールは、データ侵害直後の 1 月 9 日に Betterment ユーザーに送信され、件名は「あなたの暗号通貨を 3 倍にします!」などでした。中のメッセージには、Bettermentが期間限定で「還元」し、指定されたウォレットへのビットコインとイーサリアムの入金を最大75万ドルの3倍にすると主張していた。攻撃者は、プロモーションの有効期限を設定して緊迫感を演出しようとしました (典型的な詐欺戦術)。
メッセージは正規の Betterment サブドメインである (email protected) から送信されており、ユーザーの受信トレイでは確認済みとして表示されます。これは、Betterment がセキュリティ アップデートをすべての顧客に送信するために使用したのと同じ電子メール アドレスであることに注意してください。
12月には、ほぼ同一の暗号スキームがGrubhubユーザーを標的にし、同じく本物のGrubhubサブドメインから送信され、入金されたビットコイン1,000ドルの10倍の利益を宣伝する電子メールを送信した。
サイバー犯罪者は、侵害されたシステムから名前、電子メール アドレス、住所、電話番号、生年月日などの顧客情報の一部を盗むことができました。ベターメント社は、この侵害にはパスワードや資格情報は含まれておらず、攻撃者がユーザー アカウントにアクセスすることもなかったと述べている。公式な詳細はほとんど公表されていないが、同社は分散型サービス妨害(DDoS)攻撃の標的として恐喝されていると伝えられている。
あなたが Betterment の顧客である場合は、今後数日から数週間以内に、あなたのアカウントに関する一方的なコミュニケーションに注意してください。詐欺師はこのようなイベントをフィッシングの機会として利用します。 Betterment (および他の正規の企業) が電子メール、テキスト メッセージ、または電話でパスワードやその他の個人情報を要求することはありません。アカウントに懸念がある場合、または資格情報やその他のデータを更新したい場合は、Web サイトまたはアプリに直接アクセスして、そこで更新してください。Betterment からのメッセージが正当である (またはそう見える) 場合でも、通信中のリンクをクリックするよりもこの方が一般的に安全です。