Declaración de SDF sobre el Incidente de Correo Electrónico del 29 de Nov

El domingo, 29 de noviembre, nos dimos cuenta de un intento de phishing que alcanzó a algunos miembros de la comunidad Stellar. Los correos electrónicos de phishing pretendían ser enviados por Stellar Development Foundation (SDF), afirmaban que se había recibido una solicitud para generar una nueva clave secreta para la billetera Stellar del destinatario, y pedían al destinatario hacer clic en botones en el correo electrónico para cancelar o autorizar esta solicitud. Los destinatarios que hicieron clic en los botones fueron llevados a un dominio controlado por el atacante que solicitaba al destinatario ingresar información, como su clave secreta, la cual podría ser capturada por los atacantes.

SDF no envió estos correos electrónicos, no puede restablecer cuentas, no puede generar o restablecer una nueva clave secreta, y como hacemos regularmente claro en nuestras comunicaciones, nunca pediremos claves secretas.

Al enterarnos de este ataque, nuestro equipo respondió rápidamente para interrumpir la actividad de phishing de modo que cualquier persona que hiciera clic en un enlace en el correo electrónico vería un mensaje de error y no sería llevado al dominio controlado por el atacante. También alertamos a la comunidad Stellar.

También comenzamos una investigación sobre el origen de este ataque. Los atacantes no obtuvieron acceso a ninguna de la infraestructura de la red Stellar. Por diseño, ni SDF ni ningún tercero pueden acceder, restablecer, revertir, modificar, ver o almacenar la información de cuenta de los usuarios en la red Stellar. Tampoco hay indicación de que los atacantes obtuvieron acceso a alguna de la infraestructura o sistemas de SDF. En cambio, lo que hemos aprendido es que el atacante obtuvo acceso a las claves API utilizadas para acceder a un servicio de correo electrónico de terceros que habíamos autorizado para enviar ciertos correos electrónicos de notificación desde un dominio Stellar en nombre de SDF. Estas notificaciones estaban relacionadas con actualizaciones desde la red Stellar legada a la red actual, lanzada en 2015. Inicialmente, los correos electrónicos de phishing fueron enviados desde este dominio Stellar a direcciones de correo electrónico que estaban en una lista mantenida y utilizada por el servicio de correo electrónico de terceros. Después de que terminamos la capacidad del atacante de enviar los correos electrónicos de phishing desde el dominio Stellar, el atacante envió los mismos correos electrónicos de phishing desde dominios asociados con otros clientes (no-Stellar) del servicio de correo electrónico de terceros. Entendemos que el servicio de correo electrónico de terceros trabajó con esos clientes para interrumpir esta segunda ola de correos electrónicos de phishing. Para los correos electrónicos de phishing que los atacantes enviaron desde nuestro propio dominio, hasta la fecha, solo alrededor de 2500 fueron abiertos por los destinatarios.

En cuanto a cómo el atacante obtuvo acceso a las claves API utilizadas para acceder al servicio de terceros, nuestra investigación está en curso y el servicio de correo electrónico de terceros está asistiendo en nuestros esfuerzos. También hemos referido este incidente a las autoridades policiales.

Estamos muy agradecidos por los miembros de las comunidades Stellar y de ciberseguridad que compartieron información valiosa sobre este ataque y por aquellos que tomaron medidas por su cuenta para ayudar a limitar su alcance y advertir a la comunidad.

Desafortunadamente, el fraude cibernético es rampante y solo ha aumentado durante la pandemia de COVID-19. Animamos a todos a revisar nuestra guía de seguridad para aprender más sobre cómo protegerse de estafas y intentos de phishing como este. El ecosistema más amplio de Stellar también es una gran fuente para encontrar advertencias en tiempo real sobre estafas. Por ejemplo, hay un canal en Keybase donde los miembros de la comunidad Stellar comparten información sobre estafas que se identifican en el ecosistema (stellar.public#-scam-alert-). También puedes encontrar este tipo de información en Reddit y reportar estafas a esfuerzos impulsados por la comunidad como stellarscam.report y stellar.expert.