Nach Berichten von Coindesk und The Block Crypto warnen Websites wie Etherscan, Coingecko und Dextools ihre Nutzenden vor dem Klick auf jedweden Link, der ihnen in einem Popup vorgeschlagen wird. Jedenfalls raten die Websites dringend dazu, keinerlei Transaktionen aus einem Popup heraus zu starten.

Erneut nutzen die Angreifenden einen vermeintlichen Link zum Bored-Ape-Yacht-Club-Projekt, um an die Wallets der Nutzenden zu kommen. Das Popup, das zu einer nicht mehr funktionalen Website unter der URL nftapes.win, fordert die Seitenbesuchenden auf, ihre Metamask-Wallets mit dieser Website zu verbinden.

Das Problem an der Sache: Die Popups erscheinen auf Websites, die Krypto-Aficionados als legitim betrachten und täglich nutzen. Insofern ist davon auszugehen, dass nicht wenige Nutzende auf den Phishing-Trick hereingefallen sein dürften.

Etherscan reagierte schnell und deaktivierte die Integration von Drittanbietern bis auf Weiteres vollständig. Bei Coingecko will man die Quelle des bösartigen Popups bei Coinzilla identifiziert haben. Das ist ein Werbenetzwerk, das gegenüber seinen Kunden damit wirbt, es könne über eine Milliarde Impressionen pro Monat auf mehr als 600 seriösen Krypto-Websites liefern.

Möglicherweise geht das Popup-Phishing auf eine Technik zurück, die im vergangenen November durch das Sicherheitsunternehmen Check Point Research entdeckt wurde. Damals wurde über Google-Anzeigen versucht, die Anmeldedaten von Seitenbesuchenden zu stehlen oder sie dazu zu bringen, sich bei der Wallet des Angreifers anzumelden, um so das Ziel möglicher Transaktionen umzuleiten. Bei einem Phishing-Angriff im Februar waren auf ähnliche Weise NFTs im Wert von 1,7 Millionen US-Dollar von Opensea-Nutzenden gestohlen worden.