Das beliebte Kryptowährungs-Wallet-Unternehmen Trezor kündigte an, die E-Mail-Phishing-Kampagne zu untersuchen, die sich an diesem Wochenende gegen seine Benutzer richtete.
Die kompromittierte Mailingliste wurde verwendet, um gefälschte Benachrichtigungen über Datenschutzverletzungen zu versenden, und es wurde versucht, Gelder aus Brieftaschen zu stehlen.
Phishingangriff
Alles begann, als mehrere Benutzer auf Twitter über den Erhalt von E-Mails zum Herunterladen einer App von der Domain „trezor.us“ berichteten. Der offizielle Trezor-Domainname lautet jedoch – „trezor.io“. Das Unternehmen bestätigte später, dass die kompromittierten E-Mail-Adressen den Benutzern gehörten, die Newsletter abonniert hatten, die auf Mailchimp, einem E-Mail-Marketing-Dienstleister, gehostet wurden.
Die Gesichts-E-Mail lautete,
„Wir bedauern, Ihnen mitteilen zu müssen, dass Trezor einen Sicherheitsvorfall mit Daten von 106.856 unserer Kunden erlebt hat und dass die Brieftasche mit Ihrer E-Mail-Adresse verknüpft ist [email here] liegt bei denen, die von der Verletzung betroffen sind.“
Es fordert die Benutzer außerdem auf, die neueste Trezor Suite herunterzuladen, um eine neue Seed-Phrase auf ihrer Hardware-Wallet einzurichten. Die E-Mail enthält auch die Schaltfläche „Neueste Version herunterladen“, die Benutzer auf eine Phishing-Site weiterleitet, auf der sie beim Betreten des Seeds alle Gelder verlieren.
Berichte deuten auch darauf hin, dass die Betrüger hinter dem Angriff auch den Quellcode der ursprünglichen Trezor Suite heruntergeladen haben (da es sich um Open Source handelt) und ihre eigene modifizierte gefälschte App erstellt haben, um mit der legitimen identisch auszusehen. Ironischerweise hatte die gefälschte Suite oben auf dem Bildschirm auch ein Banner, das die Benutzer vor Phishing-Angriffen warnte.
Trezors Bestätigung
In einer Erklärung gab Trezor bekannt, dass ein „Insider“ von MailChimp den Phishing-Angriff durchgeführt hatte, indem er bösartige Links an Benutzer sendete.
„MailChimp hat bestätigt, dass ihr Dienst von einem Insider kompromittiert wurde, der es auf Kryptounternehmen abgesehen hat. Wir haben es geschafft, die Phishing-Domain offline zu schalten. Wir versuchen festzustellen, wie viele E-Mail-Adressen betroffen sind.“
Das Krypto-Wallet-Unternehmen versicherte auch, dass es nicht per Newsletter kommunizieren werde, bis die Situation geklärt sei, und forderte seine Benutzer auf, bis auf Weiteres keine E-Mails zu öffnen, die scheinbar von Trezor stammen. Bisher wurde auch darüber informiert, dass die Phishing-Domains – trezor(.)us und suite(.)xn--trzor-o51b(.)com – abgeschaltet wurden.
Die neueste Entwicklung kommt nur zwei Wochen, nachdem die Krypto-Kreditplattform BlockFi zusammen mit Circle, Pantera Capital, NYDIG einen Datenverstoß durch einen Drittanbieter – HubSpot – erlitten hat. Der Betrüger zielte auf Personen in der Kryptowährungsbranche ab.
