Eine Kombination vom gewieften Social Engeniering und nicht gut durchdachter App-Programmierung hat dazu geführt, dass ein Nutzer letzte Woche knapp 650.000 US-Dollar, also umgerechnet 600.000 Euro an Crypto-Währung aus seiner Crypto-Wallet auf dem iPhone verlor. Begonnen hat es mit einem Anruf, der scheinbar von Apple kam, der Support habe verdächtige Aktivitäten mit der Apple-ID registriert, der Nutzer möge den sechsstelligen Vertrauenscode durchgeben, den ein mit der Apple-ID verknüpftes Apple-Gerät einblendet, wenn man sich irgendwo neu anmelden möchte (2FA). Ein paar Sekunden später war sein Konto in einer Crypto-App leer geräumt.
Hey y’all, let’s see how amazing this community can be. My entire wallet was just stolen. Totally wiped out,
— Domenic Iacovone (@revive_dom) April 14, 2022
MAYC 28478, MAYC 8952, MAYC 7536
Gutter cat 2280 , 2769, 2325
Also stole 100k in ape coin.
Looking for all the help I can get.
100kreward @BoredApeYC @GutterCatGang
Was genau passiert ist, erklärt der Sicherheitsexperte @Serpent auf Twitter : Die Angreifer müssen von dem Nutzer die E-Mail zum Apple-ID-Konto und seine Telefonnummer kennen. Angesichts der vielen großen Hacks der letzten Jahre kein großes Problem. Die Angreifer versuchen, mittels der E-Mail-Adresse das Passwort der Apple-ID wiederherzustellen. Der Nutzer bekommt eine automatische Warnmail, die noch legitim ist. Danach ruft jemand an, der scheinbar ein Apple-Mitarbeiter ist. Zumindest weist ihn seine Caller-ID als einen Apple-Mitarbeiter aus. Dieser berichtet, man habe bei der Apple-ID etwas Verdächtiges bemerkt. Der Angerufene möge sich bitte als rechtmäßiger Inhaber dieser Apple-ID ausweisen. Dafür solle er das Passwort bei der Apple-ID zurücksetzen und den sechsstelligen Verifizierungscode durchgeben. Bis der Nutzer dies erledigt, setzen die Angreifer das Passwort der Apple-ID selbst zurück und nutzen den durchgegebenen 2FA-Code für die Verifizierung. Ab dann können sie im erbeuteten iCloud-Konto schalten und walten, wie sie möchten.
Im Fall von Domenic Iacovone aus den USA haben sie ein neues iPhone mit dem vorhandenen iCloud-Backup eingerichtet. Dort war seine Crypto-Wallet-App “Metamask” gespeichert. Unglücklicherweise speichert die App im gleichen iCloud-Backup noch die sogenannte “Seed Phrase” – zwölf bis 24 Wörter, die als Zugang zum Crypto-Wallet dienen. Das heißt, der Crypto-Wallet und das Passwort dazu werden in einem Ort gespeichert. So war kein Wunder, dass die Scammer die App des Nutzers ohne Probleme leeren konnten.
? If you have enabled iCloud backup for app data, this will include your password-encrypted MetaMask vault. If your password isn’t strong enough, and someone phishes your iCloud credentials, this can mean stolen funds. (Read on ?) 1/3
— MetaMask ?? (@MetaMask) April 17, 2022
In dem Fall ermittelt das FBI, der Nutzer hat sich ebenfalls über Metamask bei Better Business Bureau (BBB) eingereicht, dies ist eine private Alternative in den USA zu unserer Verbraucherschutzzentrale.