- Die Betreiber der Ethereum-basierten Wallet MetaMask warnen ihre Kunden vor einem Phishing-Scam, für den die in der Backup-App gespeicherten Daten benutzt werden.
- Krypto-Kunden wurden erneut darauf hingewiesen, ihre Anmeldedaten, Verifizierungscodes und andere personenbezogenen Daten auf keinen Fall anderen zugänglich zu machen.
Der Krypto-Wallet-Anbieter Metamask hat die Krypto-Community vor Phishing-Angriffen gewarnt, die auf Apple-Geräten durchgeführt werden. Die App-Daten von iPhone-, Mac- oder iPad-Benutzern sind in den Standardeinstellungen der iCloud gesichert. Von dort können die Angreifer sie mit dem richtigen Passwort auslesen.
Speziell bei MetaMask sendet die automatische Sicherung die Seed-Phrase des Benutzers oder den passwortverschlüsselten MetaMask-Datenspeicher an die iCloud. Mit den iCloud-Anmeldedaten kann ein Angreifer diesen Tresor einsehen und versuchen, per Brute-Force zu knacken. Wenn das Passwort nicht stark genug ist, läuft der Kunde Gefahr, alle digitalen Assets zu verlieren, die er auf MetaMask gespeichert hat.
Sicherheitslücke in der MetaMask-Wallet für Apple-Kunden
Der ConsenSys-eigene Wallet-Anbieter hatte nach einem kürzlichen Diebstahl-Vorkommnis auf diesen Sachverhalt hingewiesen. Vor drei Tagen twitterte der NFT-Sammler und Twitter-Nutzer „revive_dom“, dass seine gesamte Geldbörse gelöscht wurde. Darin befanden sich Kryptowährung und NFTs im Wert von 650.000 Dollar. Der Twitter-Nutzer „Serpent“ – Gründer des DAPE-NFT-Projekts – trug ebenfalls dazu bei, die Aufmerksamkeit von MetaMask zu gewinnen, indem er die Geschichte en Détail mit seinen 277.0000 Followern teilte.
Laut „Serpent“ erhielt das Opfer mehrere Nachrichten, in denen es aufgefordert wurde, sein Apple-ID-Passwort zurückzusetzen. Außerdem erhielt er einen Anruf von Apple der, wie sich später herausstellte, natürlich nicht von Apple gekommen war. Ahnungslos übergab das Opfer einen sechsstelligen Verifizierungscode, um zu beweisen, dass ihm das Apple-Konto gehörte. Der Betrüger legte auf und griff sofort auf das MetaMask-Konto des Opfers zu, wobei er die iCloud-gestützte Daten verwendete.
MetaMask hat seine mehr als 21 Millionen monatliche Kunden nun aufgefordert, ihre iCloud-Backups für das digitale Wallet zu deaktivieren. „Serpent“ hat die Krypto-Community erneut auf etwas hingewiesen, das eigentlich eine Selbstverständlichkleit sein sollte aber immer noch oft ignoriert wird:
„Geben Sie niemals Verifizierungscodes heraus, an NIEMANDEN. Unternehmen wie Apple werden Sie niemals anrufen.“
Außerdem forderte er die Eigentümer digitaler Vermögenswerte auf, ihre Wertsachen IMMER in „kalten“ Wallets aufzubewahren.
Wer trägt nun die Schuld an solachen Scams? Die Geschädigten selbst, das Wallet oder Apple?
Die jüngsten Ereignisse haben gezeigt, dass selbst „kalte“ Hardware-Wallets ein gewisses Maß an Anfälligkeit aufweisen. Bei den Wallet-Anbietern Trezor und Ledger gab es einen Phishing-Versuch bzw. eine massive Datenpanne.
Inzwischen beschuldigt ein frustrierter „revice_dom“ sowohl die Ethereum-basierte Wallet als auch Apple, die Nutzer nicht über das automatische Backup informiert zu haben:
„Ich sage nicht, dass sie es nicht tun sollten, aber sie sollten es uns sagen. Sagen Sie uns nicht, dass wir unsere Seed-Phrase niemals digital speichern sollen, und tun Sie es dann hinter unserem Rücken selbst. Wenn 90% der Leute das wüssten, würde ich wetten, dass keiner von ihnen die App oder iCloud eingeschaltet hätte.“
