Na een hack van 655.000 dollar adviseert MetaMask zijn gebruikers met Apple-apparaten om de automatische back-up van iCloud te deactiveren. Inderdaad, kwaadwillende mensen deden alsof ze Apple waren voor een slachtoffer, die onaangenaam verrast was te ontdekken dat zijn hele portemonnee was gestolen
MetaMask waarschuwt Apple gebruikers
Afgelopen vrijdag kreeg een investeerder, Domenic Iacovone, een telefoontje van de klantendienst van Apple…
Hey y’all, laten we eens kijken hoe geweldig deze gemeenschap kan zijn. Mijn hele portefeuille is net gestolen. Helemaal weggevaagd,
MAYC 28478, MAYC 8952, MAYC 7536
Goot cat 2280 , 2769, 2325
Ook 100k aan apenmunten gestolen.
Ik zoek alle hulp die ik kan krijgen.100kreward @BoredApeYC @GutterCatGang
– Domenic Iacovone (@revive_dom) April 14, 2022
De portemonnee bevatte verschillende niet-fungibele tokens (NFT’s) van de Mutant Ape Yatch Club en Gutter Cat Gang collecties, evenals $100.000 in ApeCoin (APE). De totale waarde van de diefstal is ongeveer $655,000.
De Twitter gebruiker onder het pseudoniem Snake, beschrijft wat er met Domenic Iacovone is gebeurd om tot dit punt te komen:
NIEUWE PHISHING OPLICHTING
Al 650.000 dollar gestolen van één persoon en het zal nog veel meer mensen overkomen.
Dit is hoe het gebeurde
– Serpent (@Serpent) April 17, 2022
Eerst hebben de dieven de Apple ID van het slachtoffer willekeurig gereset om het slachtoffer op zijn hoede te zetten. Toen belden ze herhaaldelijk met een vals nummer, zodat Domenic Iacovone zou denken dat het een gemiste oproep van Apple was.
Dus belde hij het nummer terug en werd hem gevraagd zijn ID zelf opnieuw in te stellen wegens vermeende verdachte activiteiten, en vervolgens de dubbele verificatiecode door te geven onder het voorwendsel zijn identiteit te bewijzen.
Met deze manipulatie kregen de dieven toegang tot de Apple iCloud-dienst van Domenic Iacovone en konden ze de inhoud van zijn MetaMask-portemonnee stelen.
Naar aanleiding van dit verhaal heeft MetaMask een waarschuwing uitgegeven over automatische back-ups en uitgelegd hoe je ze kunt voorkomen:
Als u iCloud-back-up voor app-gegevens hebt ingeschakeld, omvat deze ook uw met een wachtwoord versleutelde MetaMask-opslag. Als je wachtwoord niet sterk genoeg is en iemand probeert je iCloud-gegevens te stelen, kan dat gestolen geld betekenen. (Lees verder ) 1/3
– MetaMask (@MetaMask) April 17, 2022
Een lokale private sleutel back-up
Na dit ongeluk was het slachtoffer beledigd toen hij hoorde dat MetaMask back-ups maakte van privé-sleutels zonder ons medeweten. In werkelijkheid, was het geen geheim. In feite is het logisch dat ze lokaal worden opgeslagen, anders zouden we geen toegang hebben tot onze herstelzin in de beveiligingsinstellingen van de portemonnee.
Dit is wat Charles Guillemet, de CTO van Ledger, uitlegde in zijn interview met Cryptoast:
De private sleutel van een hot wallet wordt opgeslagen op onze machine (of iCloud in dit geval) en is eenvoudig versleuteld. Maar iemand die bekwaam genoeg is om deze encryptie te omzeilen, heeft dan toegang tot de hele portefeuille. De meest effectieve manier om je hiertegen te beschermen is het gebruik van een hardware wallet, zeker voor zulke grote bedragen.
Als Domenic Iacovone er een had gehad, zou de phishing aanval op hem mislukt zijn. Aangezien hij zeer actief is op zijn Twitter en Instagram, is het zeer waarschijnlijk dat hij een specifiek doelwit was en dat de dieven hun zet hadden voorbereid na een periode van observatie en voorbereiding.
Hoewel dit onfortuinlijke voorval een Apple-gebruiker trof, mag niet uit het oog worden verloren dat het op elke machine had kunnen gebeuren. Niemand is immuun voor dit soort aanvallen, en vaak blijft de mens de grootste kwetsbaarheid.
Dit herinnert ons eraan dat we bij cryptocurrencies volledig verantwoordelijk zijn voor ons geld en dus ook voor de veiligheid die ermee gepaard gaat.
