Eine Phishing-Kampagne versucht, Angestellten in Firmen die Passwörter für Bitcoin-Geldbörsen zu entlocken und auf diese Weise an das firmeneigene Wallet zu gelangen, um die anonyme Währung in eine eigene Börse weiterzuleiten. Bisher wurden über 400 Unternehmen als Opfer identifiziert. Dies berichtet das kalifornische Sicherheitsunternehmen Proofpoint.
Die Forscher melden eine Klickrate von 2,7 Prozent. Dies schaffen die Phisher, indem sie von angeblichen Versuchen Dritter berichten, ins mit Nummer identifizierte Wallet der Opfer einzudringen. Der angebliche Angreifer sei nach Sichuan in China zurückverfolgt worden. Ein Passwortwechsel sei ratsam.
Wer auf diese Weise der Spur vermeintlicher chinesischer Eindringlinge nachzugehen glaubt, liefert sich gerade dadurch den echten Betrügern aus. Der in der Mail enthaltene Log-in Link führt nämlich auf eine Betrügersite. Proofpoint zufolge wurden mindestens 12.000 solcher Nachrichten verschickt – mit kleinen Änderungen im Lauf der Tage, um Spamfilter zu umgehen.
Die Kryptowährung Bitcoin wird nicht zentral reguliert. Ihr Vorteil der Anonymität gilt auch für Diebe. Dabei ist eine Bitcoin derzeit über 500 Dollar wert.
Laut dem beliebten Bitcoin-Wallet-Anbieter Blockchain.info ist die Zahl der Bitcoin-Wallets seit September vor einem Jahr um 500 Prozent gestiegen – trotz massiver Kursverluste zu Jahresanfang und Diebstählen bei Wechselbörsen wie Mt. Gox. In der Summe gebe es jetzt mehr als 2 Millionen solche virtuelle Geldbörsen, und die Zahl der täglichen Transaktionen haben sich innerhalb der Jahresfrist auf 30.000 verdreifacht.
Proofpoint weist darauf hin, dass die Kampagne mit einfachsten Mitteln Erfolg hatte. Ein denkbarer raffinierterer Nachfolger stelle eine ernsthafte Bedrohung dar.
Nicht wiederholen wird sich dagegen nach aller Wahrscheinlichkeit der vor zwei Wochen gemeldete Exploit, der Bitcoin-Diebstahl aus einem Mining-Pool ermöglichte. Über einen falschen Broadcast wurden Netzwerke von ISPs kompromittiert. Von dort aus lenkte das Programm Mining-Verbindungen teilweise um, um Profite abzuschöpfen. Mindestens ein Hacker hat damit innerhalb von vier Monaten mindestens 83.000 Dollar erbeutet.
[mit Material von Charlie Osborne, ZDNet.com]
Tipp: Wie sicher sind Sie bei der Sicherheit? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de
Die Hintermänner haben es auf Zugangsdaten zu Microsoft Azure abgesehen. Die Kampagne ist bis mindestens…
Cloud-Plattform für elektronische Beschaffungsprozesse mit automatisierter Abwicklung elektronischer Rechnungen.
Mindestens eine Schwachstelle erlaubt eine Remotecodeausführung. Dem Entdecker zahlt Google eine besonders hohe Belohnung von…
Nur rund die Hälfte schaltet während der Feiertage komplett vom Job ab. Die anderen sind…
Security-Experten von Check Point sind einer neuen Angriffsart auf die Spur gekommen, die E-Mail-Schutzmaßnahmen umgehen…
Hinter 84 Prozent der Zwischenfälle bei Herstellern stecken Schwachstellen in der Lieferkette. Auf dem Vormarsch…