اسٹیک ہاؤس فنانشل پر سائبر حملہ پسپا، صارفین کے اثاثے برقرار ہیں۔
ایک ڈھٹائی سے سوشل انجینئرنگ کے استحصال میں، ہیکرز نے 30 مارچ 2026 کو اسٹیک ہاؤس فنانشل کی ویب سائٹ کو عارضی طور پر ہائی جیک کر لیا، صارفین کو ایک بدنیتی پر مبنی فشنگ پیج کی طرف ہدایت کی۔ OVHcloud کے معاون عملے کے ساتھ ہیرا پھیری کرتے ہوئے، حملہ آور اہم حفاظتی اقدامات کو نظرانداز کرنے میں کامیاب ہو گئے، اس کمزوری کا فائدہ اٹھاتے ہوئے جس نے انہیں اکاؤنٹ کے مالک کے طور پر ظاہر کرنے اور فون پر مبنی تصدیقی عمل کو پاس کرنے کے لیے یقین سے ذاتی تفصیلات فراہم کرنے کی اجازت دی۔ اس نے ایک OVH سپورٹ ایجنٹ کو دھوکہ دے کر اکاؤنٹ کی ہارڈویئر پر مبنی دو عنصر کی تصدیق کو غیر فعال کر دیا، حملہ آوروں کو بلا روک ٹوک رسائی فراہم کی۔
رسائی حاصل کرنے پر، ہیکرز نے تیزی سے خودکار اسکرپٹس کو تعینات کیا، ہر ثانوی توثیق کرنے والے آلے کو ہٹا دیا اور سیکنڈوں کے معاملے میں ان کی اپنی فہرست میں شامل کر لیا - ایک احتیاط سے پہلے سے طے شدہ آپریشن کا واضح اشارہ۔ حملہ آوروں نے پھر چالاکی سے ڈومین کے نیم سرورز کو اپنے سرورز پر ری ڈائریکٹ کیا اور ہوسٹنگر پر ہوسٹنگ کی ہوسٹنگ اسٹیک ہاؤس ویب سائٹ کے جعلی ورژن کی طرف اشارہ کرنے کے لیے سائٹ کے A ریکارڈز کو دوبارہ ترتیب دیا۔ یہ کلون کردہ سائٹ ایک پرس نکالنے والے میلویئر سے لیس تھی جو بدنام زمانہ Inferno Drainer سے منسلک تھی، جو کہ ایک ڈرینر-ایس-ایک-سروس تنظیم ہے۔
فشنگ سائٹ کو مزید جائز بنانے کے لیے، حملہ آوروں نے تیزی سے Let's Encrypt TLS سرٹیفکیٹ حاصل کر لیے، جس سے سائٹ کو مستند اسٹیک ہاؤس ویب سائٹ سے معیاری ویب براؤزرز تک بالکل الگ نہیں کیا جا سکتا۔ تاہم، Phantom، MetaMask، اور Rabby کی جانب سے والیٹ ایکسٹینشنز نے تیزی سے سائٹ کو نقصان دہ کے طور پر جھنڈا لگایا، آزادانہ طور پر خطرے کی گھنٹی بجا دی۔
اسٹیک ہاؤس فنانشل کی ٹیم 08:47 UTC پر ایک غیر مجاز ای میل تبدیلی کی اطلاع ملنے پر کارروائی میں آگئی، واقعے کی اطلاع دینے کے لیے فوری طور پر OVH سے رابطہ کیا۔ فشنگ سائٹ تھوڑی دیر بعد، 09:59 UTC پر لائیو ہو گئی، جس نے ٹیم کو X پر 10:34 UTC تک عوامی انتباہ جاری کرنے کا اشارہ کیا۔ سیکورٹی الائنس (SEAL) کو 11:25 UTC پر فوری طور پر اندراج کیا گیا، جبکہ حملہ ابھی جاری تھا۔
متعدد محاذوں پر انتھک کام کرتے ہوئے، ٹیم نے اکاؤنٹ کی بازیابی، DNS فرانزک، اور منتقلی کی منسوخی سے نمٹا۔ حملہ آوروں نے آؤٹ باؤنڈ ڈومین ٹرانسفر شروع کیا تھا، لیکن ICANN کے پانچ روزہ ٹرانسفر لاک آؤٹ نے ٹیم کو ٹرانسفر کو منسوخ کرنے کے لیے ایک اہم ونڈو فراہم کی۔ ٹیم نے براہ راست Hostinger سے رابطہ کیا، جس نے بعد میں تصدیق کی کہ توہین آمیز اکاؤنٹ منجمد اور بند کر دیا گیا ہے۔ 12:56 UTC تک، ٹیم نے کامیابی کے ساتھ OVH اکاؤنٹ پر دوبارہ کنٹرول حاصل کر لیا تھا، اور DNS خدمات تقریباً 13:55 UTC تک مکمل طور پر بحال ہو گئی تھیں۔
اس کے بعد، Steakhouse Financial نے تصدیق کی کہ 1 اپریل تک تمام ڈومین استعمال کرنے کے لیے محفوظ تھے۔ کمپنی نے اس کے بعد سے فعال اقدامات کیے ہیں، ایک ایسے رجسٹرار کو منتقل کیا گیا ہے جو ہارڈ ویئر کی ملٹی فیکٹر تصدیق اور رجسٹرار کی سطح کے تالے کو سپورٹ کرتا ہے، اور ساتھ ہی ساتھ ایک مسلسل DNS مانیٹرنگ سسٹم کو لاگو کر رہا ہے تاکہ تمام سٹیک ہاؤس میں حقیقی ڈومین پر چوکنا رہے۔ مزید برآں، تمام سپلائی چین وینڈرز کے لیے ایک جامع وینڈر سیکیورٹی کا جائزہ لینے کا عمل قائم کیا جا رہا ہے۔
اسٹیک ہاؤس فنانشل کے آپریشنز کے ذمہ دار پارٹنر Adrian Cachinero Vasiljevic نے ذاتی معافی نامہ جاری کیا، اس بات کو تسلیم کرتے ہوئے کہ اس حملے کے ویکٹر کی شناخت کرنا ان کی ذمہ داری تھی اور آگے بڑھتے ہوئے سیکیورٹی کو سخت کرنے کی کوششوں کو آگے بڑھانے کا عہد کیا۔ یہ واقعہ کرپٹو لینڈ سکیپ میں ابھرتے ہوئے خطرات اور جدید ترین سوشل انجینئرنگ حملوں سے تحفظ کے لیے مضبوط حفاظتی اقدامات کی اہمیت کی واضح یاد دہانی کا کام کرتا ہے۔