Nach einem Hack im Wert von 655.000 US-Dollar rät MetaMask seinen Nutzern mit Apple-Geräten davon ab, das automatische iCloud-Backup zu deaktivieren. Tatsächlich gaben sich böswillige Personen gegenüber einem Opfer als Apple aus, das die böse Überraschung erlebte, dass sein gesamtes Portemonnaie gestohlen wurde.
MetaMask warnt Apple-Nutzer
Am vergangenen Freitag erhielt ein Investor namens Domenic Iacovone einen angeblichen Anruf vom Apple-Kundendienst. Die Diebe führten daraufhin Manipulationen an ihm durch, um seine gesamte MetaMask-Wallet zu entwenden.
Hey y’all, lassen Sie uns sehen, wie toll diese Gemeinschaft sein kann. Meine gesamte Geldbörse wurde einfach gestohlen. Totally wiped out,
MAYC 28478, MAYC 8952, MAYC 7536
Gutter cat 2280 , 2769, 2325
Auch stole 100k in ape coin.
Looking for all the help I can get.100kreward @BoredApeYC @GutterCatGang
– Domenic Iacovone (@revive_dom) April 14, 2022
Die Brieftasche enthielt mehrere nicht fungible Token (NFT) der Sammlungen Mutant Ape Yatch Club und Gutter Cat Gang sowie 100.000 US-Dollar in ApeCoin (APE). Insgesamt beläuft sich der Diebstahl auf einen Wert von rund 655.000 US-Dollar.
Der Twitter-Nutzer mit dem Pseudonym Serpent beschreibt, was Domenic Iacovone passiert ist, um in diese Lage zu kommen:
NEUER PHISHING SCAM .
Bereits 650.000 Dollar von einer Einzelperson gestohlen und es wird noch viel mehr Menschen passieren.
This is how it happened
– Snake (@Serpent) April 17, 2022
Zunächst lösten die Diebe zufällige Rücksetzungen der Apple-ID des Opfers aus, um dieses auf die Palme zu bringen. Dann riefen sie mehrmals mit einer falschen Anrufer-ID an, damit Domenic Iacovone an verpasste Anrufe von Apple dachte.
Daraufhin rief er die Nummer erneut an und wurde aufgefordert, seine ID wegen angeblich verdächtiger Aktivitäten selbst zurückzusetzen und dann unter dem Vorwand, seine Identität beweisen zu wollen, den Code für die doppelte Authentifizierung zu übermitteln.
Durch diese Manipulation erhielten die Diebe so Zugang zu Domenic Iacovones Apple iCloud-Dienst und konnten den Inhalt seiner MetaMask-Wallet stehlen.
Aufgrund dieser Geschichte veröffentlichte MetaMask eine Warnung vor automatischen Backups und erklärte die Vorgehensweise, um diese zu verhindern:
Wenn Sie iCloud-Backup für App-Daten aktiviert haben, wird dieses Ihr password-encrypted MetaMask vault beinhalten. Wenn Ihr Passwort nicht stark genug ist und jemand Ihre iCloud-Anmeldedaten phisht, kann dies bedeuten, dass Geld gestohlen wurde. (Read on ) 1/3
– MetaMask (@MetaMask) April 17, 2022
Ein lokales Backup des privaten Schlüssels
Nach diesem Missgeschick war das Opfer beleidigt, als es erfuhr, dass MetaMask die privaten Schlüssel ohne unser Wissen sicherte. In Wahrheit waren sie kein Geheimnis. Es ist sogar logisch, dass diese lokal gespeichert werden, da wir sonst nicht auf unsere Wiederherstellungsphrase in den Sicherheitseinstellungen der Brieftasche zugreifen könnten.
Das erklärte übrigens Charles Guillemet, technischer Direktor bei Ledger, in einem Interview mit Cryptoast:
Der private Schlüssel einer Hot Wallet wird auf unserem Rechner (oder iCloud in diesem Fall) gespeichert und dieser wird einfach verschlüsselt. Aber jemand, der qualifiziert genug ist, diese Verschlüsselung zu umgehen, hat dann Zugriff auf die gesamte Wallet. Der effektivste Weg, sich vor diesem Problem zu schützen, ist eine Hardware-Wallet, insbesondere bei so großen Beträgen.
Hätte Domenic Iacovone eine solche Wallet besessen, wäre der Phishing-Angriff auf ihn fehlgeschlagen. Da er auf seinem Twitter und Instagram sehr aktiv ist, ist es sehr wahrscheinlich, dass er gezielt angesprochen wurde und dass die Diebe nach einer Zeit der Beobachtung und Vorbereitung ihren Coup vorbereitet hatten.
Auch wenn diese unglückliche Episode einen Apple-Nutzer getroffen hat, sollten wir nicht vergessen, dass dies auf jedem beliebigen Rechner hätte passieren können. Niemand ist vor dieser Art von Angriffen sicher, und oft bleibt der Mensch die größte Schwachstelle.
Das erinnert uns daran, dass wir bei Kryptowährungen die volle Verantwortung für unser Geld und damit auch für die damit verbundene Sicherheit tragen.
