Social Engineering: Krypto-Anleger verliert Bitcoin im Wert von 90 Millionen USD
Betrügern ist es offenbar gelungen, einem Krypto-Anleger am vergangenen Dienstag durch gezieltes Social Engineering mehr als 783 Bitcoin zu stehlen. Der Wert dieser Coins belief sich zum Zeitpunkt des Vorfalls auf über 90 Millionen US-Dollar respektive 77 Millionen Euro. Aufgedeckt und untersucht wurde der Vorfall von dem bekannten Blockchainexperten ZachXBT, der seine Erkenntnisse diesbezüglich auf X geteilt(öffnet im neuen Fenster) hat.
Wie aus dem X-Beitrag hervorgeht, gaben sich die Betrüger dem Geschädigten gegenüber als Support-Mitarbeiter einer Kryptobörse und eines Hardware-Wallet-Anbieters aus. Details zum Hergang werden nicht genannt. Offenkundig konnten die Betrüger dem Krypto-Anleger irgendwie glaubhaft machen, dass es eine gute Idee sei, ihnen seine Bitcoin zu übertragen oder die private Seed Phrase seiner Wallet preiszugeben.
Die Wallet des Geschädigten wurde am 19. August gegen 3 Uhr nachts geplündert, wie etwa auf Btcscan.org zu sehen ist(öffnet im neuen Fenster) . Laut ZachXBT wurden die erbeuteten BTC einen Tag später auf eine Wasabi-Wallet transferiert. Dabei handelt es sich um eine quelloffene(öffnet im neuen Fenster) Bitcoin-Wallet mit Fokus auf Datenschutz, die eine Anonymisierung des Zahlungsverkehrs ermöglichen soll – also ein ideales Werkzeug für Geldwäsche.
Kein Support fragt eine Seed Phrase ab
Bei Social-Engineering-Angriffen bedienen sich die Angreifer häufig persönlicher Daten aus bekannten Datenlecks, um ihre Opfer telefonisch oder per Textnachricht dazu zu verleiten, weitere vertrauliche Informationen preiszugeben. Die Nennung bereits bekannter Daten im passenden Kontext soll dabei Vertrauen schaffen, so dass die jeweils anvisierte Zielperson eher geneigt ist, die von den Betrügern angefragten Informationen zu teilen.
Krypto-Anleger sind dabei besonders beliebte Angriffsziele. Wer die Seed Phrase seiner Wallet teilt, gibt der anderen Person damit im Grunde eine Vollmacht über seine Krypto-Bestände. In der Vergangenheit gab es schon viele Vorfälle, bei denen auf diesem Wege große Geldbeträge unerwartet den Besitzer wechselten .
Wer sich vor solchen Angriffen schützen will, sollte darauf achten, dass er unter keinen Umständen seine Seed Phrase mit einer fremden Person teilt. Auch Supportmitarbeiter von Wallet-Anbietern und Kryptobörsen fragen diese aus 12 oder 24 Wörtern bestehende Wortfolge grundsätzlich nicht ab.
Passiert dies doch, so sollte dies immer als Betrugsversuch gewertet und die Unterhaltung sofort abgebrochen werden. Auch ZachXBT empfiehlt(öffnet im neuen Fenster) , zum Schutz vor Social-Engineering-Angriffen immer davon auszugehen, "dass jeder Anruf oder jede E-Mail, die Sie erhalten, standardmäßig ein Betrugsversuch ist" .