Gauner haben interne Tools von Mailchimp verwendet, um Kund:innen des Mail-Marketing-Dienstes anzugreifen. Darunter fielen auch Nutzer:innen der Kryptowährungs-Wallet Trezor. The Verge berichtet, dass die Angreifer:innen Software nutzten, die Mailchimp-Teams für den Kundensupport und Kontoverwaltung verwenden. Sie erhielten Zugriff auf die Datenbank und zogen Audience-Daten von 102 Nutzer:innen. Anschließend schrieben sie zielgerichtet die Wallet-Besitzer:innen an und lenkten sie auf gefälschte Apps. Ob und wie viel Kryptogeld sie erbeuteten, ist unklar. Sicher ist jedoch, dass auch andere Plattformen betroffen sein werden.
Trezor: Angriff „außergewöhnlich raffiniert“
Die Hardware-Wallet-Schmiede spricht in einem Blogbeitrag von einem besonders raffinierten Plan, in dem jeder Schritt in den anderen greife. Zunächst hätten die Kriminellen mittels Social-Engineering-Angriff auf einen Mailchimp-Mitarbeiter dessen Login-Daten erbeutet. Damit hätten sie das Tool einsetzen können und Zugang zu der Datenbank gehabt. Die Phishing-Mail verweise auf eine geklonte Version der Trezor Suite, die „sehr realistische Funktionen“ enthalte. Wer dort seinen Seed eingebe, bringe ein Skript in Gang, das sofort das gesamte Guthaben auf der Wallet auf eine Geldbörse des Angreifers transferiere.
Betriebssysteme warnen vor der Installation
Einen Sicherheitsmechanismus konnten die Cyberbanditen jedoch nicht aushebeln: Die meisten Betriebssysteme erkennen in dem Suite-Klon eine nicht-zertifizierte Software und warnen vor der Installation. Trezor rät, diese Warnungen nie zu missachten, da jede offizielle Software von Satoshilabs digital signiert sei. Außerdem betont das Unternehmen, Nutzer:innen sollten niemals den Seed in irgendeine Maske einzugeben – außer auf der Orginal-Trezor-App selbst. Wessen Wallet kompromittiert wurde, könne dasselbe Gerät weiter verwenden – nur den Seed sollte man löschen und einen Neuen erstellen. Des Weiteren empfiehlt Trezor, für Newsletter andere E-Mail-Adressen als für sensible Logins zu nutzen. Neue Phishing-Versuche sollen Kund:innen an security@trezor.io melden.
Vermutlich weitere Plattformen betroffen
Beobachter:innen vermuten, dass noch weitere Kund:innen von anderen Bezahldiensten kompromittiert wurden. Sie erwarten, dass sich im Laufe der nächsten Zeit diverse Dienstleister an ihre Klientel wenden, um entsprechende Einbrüche und nachfolgende Sicherheitsmaßnahmen zu verkünden.