Crypto Prices

Zehn Jahre Cybersecurity-Erfahrung: Ein fast erfolgreicher Phishing-Angriff

vor 11 Stunden
10 minuten gelesen
2 ansichten

Einführung

Originalautor: Christopher Rosa
Originalübersetzung: AididiaoJP, Foresight News

Am Wochenende wurde bekannt, dass ein massives Datenset von 16 Milliarden Benutzeridentitäten, einschließlich vergangener Datenpannen und neu gestohlener Anmeldedaten, online kursiert. Es ist unklar, wer das Datenset aktualisiert und erneut veröffentlicht hat. Während ein Großteil der Datenbank eine Wiederholung vergangener Datenpannen ist, ist die Tatsache, dass sie erneut aktualisiert wurde, beunruhigend. Das Datenset gilt als eine der größten Sammlungen kompromittierter Konten aller Zeiten. Hacker nutzen diese Daten, um verschiedene Angriffe durchzuführen, und ich bin eines ihrer Ziele geworden. Der Phishing-Angriff auf meine persönlichen Geräte und Konten am 19. Juni war der ausgeklügeltste, dem ich in meiner zehnjährigen Karriere in der Cybersecurity begegnet bin.

Der Angriffsprozess

Die Angreifer schufen zunächst den Eindruck, dass meine Konten auf mehreren Plattformen angegriffen wurden, und gaben sich dann als Mitarbeiter von Coinbase aus, um Hilfe anzubieten. Sie kombinierten klassische Social-Engineering-Taktiken mit koordinierten Methoden über Textnachrichten, Telefonanrufe und gefälschte E-Mails, die alle darauf abzielten, ein falsches Gefühl von Dringlichkeit, Glaubwürdigkeit und Umfang zu erzeugen. Die Reichweite und Autorität dieses gefälschten Angriffs war entscheidend für seine täuschende Natur.

Im Folgenden werde ich den Angriffsprozess detailliert beschreiben, die Warnsignale analysieren, die ich während des Prozesses bemerkt habe, und die Schutzmaßnahmen, die ich ergriffen habe. Gleichzeitig werde ich wichtige Lektionen und praktische Vorschläge teilen, um Krypto-Investoren zu helfen, sich in einem sich ständig verschärfenden Bedrohungsumfeld zu schützen.

Der Angriff

Der Angriff begann am Donnerstag gegen 15:15 Uhr ET mit einer anonymen Textnachricht, in der stand, dass jemand versuchte, meinen Mobilfunkanbieter dazu zu bringen, meine Telefonnummer an jemand anderen weiterzugeben, eine Taktik, die als SIM-Swapping bekannt ist. Bitte beachten Sie, dass diese Nachricht nicht von einer SMS-Nummer stammt, sondern von einer regulären 10-stelligen Telefonnummer. Legitime Unternehmen verwenden Kurzwahlen, um SMS-Nachrichten zu senden. Wenn Sie eine Textnachricht von einer unbekannten Standardnummer erhalten, die vorgibt, von einem Unternehmen zu stammen, handelt es sich höchstwahrscheinlich um einen Betrug oder einen Phishing-Versuch.

Die Nachrichten enthielten auch Widersprüche: Die erste Textnachricht deutete darauf hin, dass die Datenpanne in der San Francisco Bay Area begann, während eine nachfolgende Nachricht sagte, sie habe in Amsterdam stattgefunden. SIM-Swapping ist extrem gefährlich, wenn es erfolgreich ist, da Angreifer Einmal-Verifizierungscodes erhalten können, die die meisten Unternehmen verwenden, um Passwörter zurückzusetzen oder auf Konten zuzugreifen. Dies war jedoch kein echtes SIM-Swapping, und die Hacker legten die Grundlage für einen ausgeklügelteren Betrug.

Der Angriff eskalierte dann, und ich begann, Einmal-Verifizierungscodes zu erhalten, die angeblich von Venmo und PayPal stammten und per SMS und WhatsApp gesendet wurden. Dies ließ mich glauben, dass jemand versuchte, auf meine Konten auf verschiedenen Finanzplattformen zuzugreifen. Im Gegensatz zu verdächtigen SMS-Nachrichten von Anbietern kamen diese Verifizierungscodes tatsächlich von Kurzwahlen, die legitim aussahen.

Der Kontakt mit den Angreifern

Etwa fünf Minuten nach Erhalt der Textnachricht erhielt ich einen Anruf von einer kalifornischen Nummer. Der Anrufer, der sich Mason nannte, sprach mit reinem amerikanischem Akzent und behauptete, vom Coinbase-Ermittlungsteam zu sein. Er sagte, dass in den letzten 30 Minuten mehr als 30 Versuche unternommen wurden, Passwörter zurückzusetzen und in Konten über das Coinbase-Chatfenster einzudringen. Laut Mason hat der sogenannte Angreifer die erste Sicherheitsüberprüfung für das Zurücksetzen des Passworts bestanden, aber in der zweiten Authentifizierungsstufe versagt.

Er erklärte, dass die andere Partei die letzten vier Ziffern meines Ausweises, die vollständige Führerscheinnummer, die Wohnadresse und den vollständigen Namen angeben konnte, aber die vollständige Ausweisnummer oder die letzten vier Ziffern der mit dem Coinbase-Konto verbundenen Bankkarte nicht angeben konnte. Mason erklärte, dass es dieser Widerspruch war, der den Alarm des Coinbase-Sicherheitsteams auslöste und sie dazu veranlasste, mich zu kontaktieren, um die Authentizität zu überprüfen.

Offizielle Börsen wie Coinbase werden niemals proaktiv Benutzer anrufen, es sei denn, Sie initiieren eine Serviceanfrage über die offizielle Website.

Nachdem er mir die schlechten Nachrichten mitgeteilt hatte, schlug Mason vor, mein Konto zu schützen, indem er zusätzliche Angriffswege blockierte. Er begann mit API-Verbindungen und zugehörigen Wallets und behauptete, dass diese widerrufen würden, um das Risiko zu verringern. Er listete mehrere Verbindungen auf, darunter Bitstamp, TradingView, MetaMask-Wallets usw., von denen ich einige nicht erkannte, aber ich nahm an, dass ich sie möglicherweise eingerichtet und vergessen hatte. An diesem Punkt war meine Wachsamkeit gesunken, und ich fühlte mich sogar durch die aktive Schutzmaßnahme von Coinbase beruhigt.

Die Eskalation des Angriffs

Dann kam der erste Versuch, Druck auszuüben, indem ein Gefühl von Dringlichkeit und Verwundbarkeit geschaffen wurde. Nach Abschluss der sogenannten Sicherheitsüberprüfung behauptete Mason, dass mein Kontoschutz für den Coinbase One-Abonnementdienst beendet worden sei, da mein Konto als hochriskant eingestuft wurde. Das bedeutete, dass meine Coinbase-Wallet-Vermögenswerte nicht mehr durch die FDIC-Versicherung abgedeckt waren und ich keine Entschädigung erhalten würde, wenn der Angreifer erfolgreich die Gelder stahl.

Rückblickend hätte dieses Argument ein offensichtlicher Fehler sein müssen. Im Gegensatz zu Bankeinlagen sind Krypto-Vermögenswerte niemals durch die FDIC-Versicherung geschützt, und während Coinbase möglicherweise Kundendollars bei FDIC-versicherten Banken hält, ist die Börse selbst keine versicherte Institution.

Mason warnte auch, dass der 24-Stunden-Countdown begonnen habe und überfällige Konten gesperrt würden. Das Entsperren würde einen komplizierten und langwierigen Prozess erfordern. Noch beängstigender war, dass er behauptete, wenn ein Angreifer während dieses Zeitraums meine vollständige Sozialversicherungsnummer erlangte, könnte er sogar Gelder von dem eingefrorenen Konto stehlen.

Später konsultierte ich das echte Coinbase-Kundendienstteam und erfuhr, dass das Sperren des Kontos die Sicherheitsmaßnahme ist, die sie empfehlen. Der Entsperrprozess ist tatsächlich einfach und sicher: Ein Foto Ihres Ausweises und ein Selfie bereitzustellen, und die Börse wird Ihre Identität überprüfen und schnell den Zugang wiederherstellen.

Die Täuschung

Ich erhielt dann zwei E-Mails. Die erste war eine Bestätigungs-E-Mail für das Coinbase Bytes-Nachrichtenabonnement, die nur eine normale E-Mail war, die durch den Angreifer ausgelöst wurde, der meine E-Mail-Adresse über das offizielle Website-Formular eingereicht hatte. Dies war offensichtlich ein Versuch, mein Urteil mit der offiziellen E-Mail von Coinbase zu verwirren, um die Glaubwürdigkeit des Betrugs zu erhöhen.

Die zweite, beunruhigendere E-Mail kam von no-reply und teilte mit, dass mein Coinbase One-Kontenschutz entfernt worden sei. Diese E-Mail, die anscheinend von der legitimen Coinbase-Domain stammte, war extrem täuschend – es wäre leicht gewesen, sie zu erkennen, wenn sie von einer verdächtigen Domain gekommen wäre, aber sie sah authentisch aus, weil sie von einer offiziellen Adresse zu stammen schien.

Mason schlug dann vor, meine Vermögenswerte aus Sicherheitsgründen in eine Multi-Signatur-Wallet namens Coinbase Vault zu übertragen. Er bat mich sogar, „Coinbase Vault“ zu googeln, um die offizielle Dokumentation zu überprüfen, um zu beweisen, dass dies ein legitimer Service ist, den Coinbase seit vielen Jahren anbietet. Ich sagte, ich sei zögerlich, eine so große Änderung vorzunehmen, ohne dies vollständig zu untersuchen. Er verstand und ermutigte mich, sorgfältig zu recherchieren, und unterstützte mich dabei, zuerst den Anbieter zu kontaktieren, um SIM-Swapping zu verhindern. Er sagte, er würde mich in 30 Minuten zurückrufen, um die nächsten Schritte fortzusetzen.

Die Entdeckung

Nach dem Auflegen erhielt ich sofort eine Textnachricht, die den Anruf und den Termin bestätigte. Nachdem ich bestätigt hatte, dass es keinen SIM-Übertragungsversuch vom Anbieter gab, änderte ich sofort alle Kontopasswörter. Mason rief wie geplant zurück und wir begannen, die nächsten Schritte zu besprechen. An diesem Punkt hatte ich überprüft, dass Coinbase Vault tatsächlich ein echter Service von Coinbase ist. Es handelt sich um eine Verwahrungslösung mit erhöhter Sicherheit durch Multi-Signatur-Autorisierung und 24-Stunden-Verzögerungen bei Abhebungen, aber es ist keine echte selbstverwaltete Kalt-Wallet.

Mason schickte mir dann einen Link zu vault-coinbase.com und behauptete, dass er die in dem ersten Anruf besprochenen Sicherheitseinstellungen überprüfen könne. Sobald die Überprüfung abgeschlossen war, könnten die Vermögenswerte in den Vault übertragen werden, und in diesem Moment trat meine Professionalität in der Netzwerksicherheit endlich zutage. Nachdem ich die Fallnummer eingegeben hatte, die er bereitgestellt hatte, zeigte die sich öffnende Seite die sogenannte API-Verbindung entfernt und die Schaltfläche „Coinbase Vault erstellen“. Ich überprüfte sofort das SSL-Zertifikat der Website und stellte fest, dass dieser Domainname, der erst seit einem Monat registriert war, nichts mit Coinbase zu tun hatte.

Obwohl SSL-Zertifikate oft ein falsches Gefühl von Legitimität erzeugen können, haben formelle Unternehmenszertifikate klare Eigentumsverhältnisse, und diese Entdeckung ließ mich die Operation sofort stoppen.

Coinbase hat klar gemacht, dass es niemals inoffizielle Domainnamen verwenden wird. Selbst wenn ein Drittanbieterdienst verwendet wird, sollte es sich um eine Subdomain wie vault.coinbase.com handeln.

Alle Operationen, die mit Börsenkonten zu tun haben, sollten über die offizielle App oder Website durchgeführt werden. Ich äußerte meine Bedenken gegenüber Mason und betonte, dass ich nur über die offizielle App operieren würde. Er argumentierte, dass die APP-Betrieb einen 48-Stunden-Verzug verursachen würde und das Konto nach 24 Stunden gesperrt würde. Ich weigerte mich erneut, eine übereilte Entscheidung zu treffen, also sagte er, dass der Fall an das Level-3-Support-Team eskaliert werden würde, um zu versuchen, meinen Coinbase One-Schutz wiederherzustellen.

Der Abschluss

Nach dem Auflegen des Telefons überprüfte ich weiterhin die Sicherheit anderer Konten, und mein Gefühl der Unruhe wurde stärker. Etwa eine halbe Stunde später rief die texanische Nummer an. Eine andere Person mit amerikanischem Akzent behauptete, ein Level-3-Ermittler zu sein und bearbeite meinen Antrag auf Wiederherstellung von Coinbase One. Er behauptete, dass eine 7-tägige Überprüfungsfrist erforderlich sei, während der das Konto weiterhin nicht versichert sei. Er schlug auch freundlich vor, mehrere Vaults für Vermögenswerte auf verschiedenen Ketten zu eröffnen. Er schien professionell, aber in Wirklichkeit erwähnte er nie spezifische Vermögenswerte, sondern sprach nur vage von Ethereum, Bitcoin usw.

Er erwähnte, dass er beim Rechtsabteilung beantragen würde, die Chatprotokolle zu senden, und begann dann, Coinbase Vault zu bewerben. Als Alternative empfahl er eine Drittanbieter-Wallet namens SafePal. Obwohl SafePal tatsächlich eine reguläre Hardware-Wallet ist, ist es offensichtlich ein Vorbote, um Vertrauen zu täuschen.

Als ich die Domain vault-coinbase.com erneut in Frage stellte, versuchte die andere Partei immer noch, meine Zweifel auszuräumen. An diesem Punkt hatten die Angreifer möglicherweise erkannt, dass es schwierig war, erfolgreich zu sein, und gaben schließlich diesen Phishing-Angriff auf.

Die Lehren

Nachdem ich meinen zweiten Anruf mit dem gefälschten Kundenservice-Vertreter beendet hatte, reichte ich sofort meinen Antrag über Coinbase.com ein. Der echte Kundenservice-Vertreter bestätigte schnell, dass es keine ungewöhnlichen Anmeldungen oder Passwortzurücksetzungsanfragen für mein Konto gab. Er schlug vor, das Konto sofort zu sperren und die Einzelheiten des Angriffs zu sammeln und dem Ermittlungsteam vorzulegen. Ich gab alle betrügerischen Domainnamen, Telefonnummern und Angriffsvektoren an und fragte speziell nach den Versandberechtigungen von no-reply. Der Kundenservice erkannte an, dass dies sehr ernst sei, und versprach, dass das Sicherheitsteam eine gründliche Untersuchung durchführen würde.

Wenn Sie den Kundenservice einer Börse oder Verwahrstelle kontaktieren, stellen Sie sicher, dass Sie dies über offizielle Kanäle tun. Legitime Unternehmen werden niemals proaktiv Benutzer kontaktieren. Obwohl ich das Glück hatte, nicht betrogen zu werden, hat mich diese beinahe-Fall-Erfahrung als ehemaliger Cybersecurity-Praktiker tief beunruhigt. Hätte ich nicht professionell ausgebildet worden, hätte ich möglicherweise getäuscht werden können. Wenn es nur ein gewöhnlicher unbekannter Anruf gewesen wäre, hätte ich sofort aufgelegt. Es war die sorgfältig gestaltete Kette von Aktionen der Angreifer, die ein Gefühl von Dringlichkeit und Autorität erzeugte, das dieses Phishing so gefährlich machte.

Warnsignale und Schutzvorschläge

Ich habe die folgenden Warnsignale und Schutzvorschläge zusammengefasst, in der Hoffnung, Krypto-Investoren zu helfen, die Sicherheit ihrer Gelder in der aktuellen Netzwerkumgebung zu gewährleisten.

  • Koordinierte Fehlalarme zur Schaffung von Verwirrung und Dringlichkeit: Die Angreifer schufen zunächst den Eindruck eines gleichzeitigen Angriffs auf mehreren Plattformen durch eine Reihe von SIM-Swap-Warnungen und Anfragen nach Einmal-Verifizierungscodes von Diensten wie Venmo und PayPal.
  • Mischung von Kurzwahlen mit regulären Telefonnummern: Phishing-Nachrichten werden unter Verwendung einer Kombination aus SMS-Kurzwahlen und regulären Telefonnummern gesendet.
  • Anfragen, über inoffizielle oder unbekannte Domainnamen zu operieren: Überprüfen Sie immer die Domainnamen und SSL-Zertifikate, bevor Sie Informationen eingeben.
  • Unaufgeforderte Anrufe und Folgekommunikationen: Coinbase und die meisten anderen Finanzinstitute werden Sie niemals anrufen, ohne eine Supportanfrage zu initiieren.
  • Unaufgeforderte Notfall- und Konsequenzwarnungen: Phishing-Angreifer verwenden häufig Angst und Dringlichkeit, um Opfer zu zwingen, ohne Nachdenken zu handeln.
  • Anfragen, offizielle Kanäle zu umgehen: Jeder Rat, die offizielle App oder Website eines Unternehmens zu vermeiden, sollte sofort Alarmglocken läuten.
  • Unbestätigte Fallnummern oder Support-Tickets: Kein legitimer Dienst würde Benutzer auffordern, ihre Identität zu überprüfen oder Maßnahmen über einen externen benutzerdefinierten Link mit einer Fallnummer zu ergreifen.
  • Gemischte wahre und falsche Informationen: Angreifer mischen häufig echte persönliche Informationen mit vagen oder ungenauen Informationen, um die Glaubwürdigkeit zu erhöhen.
  • Verwendung echter Firmennamen in alternativen Vorschlägen: Die Einführung vertrauenswürdiger Namen könnte eine Ablenkungstaktik sein.
  • Übermäßiger Eifer ohne Überprüfung: Jede unaufgeforderte Hilfe, die zu gut erscheint, um wahr zu sein, sollte mit Misstrauen betrachtet werden.
  • Aktivieren Sie die Transaktionsverifizierung auf Börsen: Aktivieren Sie die Zwei-Faktor-Authentifizierung und die captcha-basierte Verifizierung in Ihren Börseneinstellungen.
  • Kontaktieren Sie Dienstanbieter immer über legitime, verifizierte Kanäle: Dies ist der sicherste und einzige angemessene Weg, um mit dem Kundenservice zu interagieren.
  • Erwägen Sie die Verwendung einer Multi-Signatur-Wallet oder einer Kaltlagerlösung: Beide Methoden sind effektiv, um langfristige Bestände vor Remote-Phishing oder Malware-Angriffen zu schützen.
  • Lesezeichen Sie offizielle Websites und vermeiden Sie das Klicken auf Links aus unaufgeforderten Nachrichten: Das manuelle Eingeben der URL ist der beste Weg, um Domain-Spoofing zu vermeiden.
  • Verwenden Sie einen Passwortmanager: Passwortmanager helfen, Phishing-Versuche zu verhindern, indem sie Autofill auf gefälschten oder unbekannten Domains verweigern.
  • Überprüfen Sie regelmäßig verknüpfte Apps, API-Schlüssel und Integrationen von Drittanbietern: Widerrufen Sie den Zugriff auf alle Apps oder Dienste, die Sie nicht mehr verwenden oder nicht erkennen.
  • Aktivieren Sie Echtzeit-Kontoalarme, wo verfügbar: Benachrichtigungen über Anmeldungen, Abhebungen oder Änderungen an Sicherheitseinstellungen können kritische Frühwarnungen bieten.
  • Melden Sie alle verdächtigen Aktivitäten dem offiziellen Support-Team des Dienstanbieters: Frühzeitige Meldungen helfen, breitere Angriffe zu verhindern.

Fazit

Für Finanzinstitute, IT-Sicherheitsteams und Führungskräfte hebt der Angriff hervor, wie historische Daten, wenn sie umfunktioniert und mit Echtzeit-Social-Engineering kombiniert werden, Hackern ermöglichen können, selbst die ausgeklügeltsten Sicherheitsvorkehrungen zu umgehen. Bedrohungsakteure verlassen sich nicht mehr ausschließlich auf Brute-Force-Angriffe, sondern führen stattdessen koordinierte Cross-Channel-Strategien aus, um Vertrauen zu gewinnen und Benutzer zu täuschen.

Wir müssen nicht nur die System- und Netzwerksicherheit schützen, sondern auch Bedrohungen identifizieren und Maßnahmen ergreifen, um uns zu schützen. Egal, ob wir in einer Krypto-Agentur arbeiten oder Krypto-Vermögenswerte zu Hause verwalten, jeder muss verstehen, wie persönliche Sicherheitsanfälligkeiten zu systemischen Risiken werden können. Um sich gegen diese Bedrohungen zu schützen, müssen Organisationen Verteidigungen wie Domainnamenüberwachung, adaptive Authentifizierung, Multi-Faktor-Authentifizierung zur Verhinderung von Phishing und klare Kommunikationsprotokolle schichten.

Es ist auch wichtig, dass Unternehmen eine Kultur der Cybersecurity-Literacy fördern, damit jeder Mitarbeiter, von Ingenieuren bis hin zu Führungskräften, seine Rolle beim Schutz des Unternehmens versteht. In der heutigen Umgebung ist Sicherheit nicht nur eine technische Funktion, sondern auch eine Verantwortung, die von Einzelpersonen und der gesamten Organisation geteilt werden muss.

Tags

Verwandte Seiten

Beliebt