Kriminelle Gruppen haben eine neue Welle von Kryptowährungsbetrügereien gestartet, indem sie physische Briefe an Besitzer von Hardware-Wallets versenden. Die Briefe geben sich als vertrauenswürdige Marken aus und setzen die Empfänger unter Druck, schnell zu handeln. Anstelle von Phishing-E-Mails setzen die Angreifer nun auf gedruckte Post und QR-Codes.
Folglich könnten die Opfer der Nachricht vertrauen, da sie in einem offiziellen Umschlag eintrifft. Sicherheitsexperten warnen, dass diese Taktik die Glaubwürdigkeit erhöht und das Misstrauen senkt. Die Kampagne richtet sich hauptsächlich an Nutzer von Trezor- und Ledger-Geräten.
In den Briefen wird behauptet, die Nutzer müssten verpflichtende Sicherheitsüberprüfungen durchführen, um den Zugang zur Wallet nicht zu verlieren. Einige Hinweise beziehen sich auf einen „Authentication Check“, während andere einen „Transaction Check“ bewerben.
Neben dringenden Fristen warnen die Briefe vor Geräteunterbrechungen und eingeschränkter Funktionalität. Die QR-Codes führen die Opfer auf Websites, die den offiziellen Wallet-Einrichtungsseiten täuschend ähnlich sehen.
Ermittler identifizierten Domains wie trezor.authentication-check[.]io und ledger.setuptransactioncheck[.]com. Obwohl eine Phishing-Domain offline gegangen ist, sind andere noch aktiv oder waren es kürzlich. Die gefälschten Seiten fordern Wiederherstellungsphrasen unter dem Vorwand, die Eigentümerschaft zu überprüfen. Darüber hinaus zeigen die Seiten Countdown-Fristen, um die Opfer zu schnellem Handeln zu drängen.
Sicherheitsexperten vermuten, dass frühere Datenlecks möglicherweise die Postadressen der Kunden offengelegt haben. Sowohl Trezor als auch Ledger hatten in der Vergangenheit Lecks, bei denen Kontaktinformationen von Nutzern betroffen waren. Daher könnten die Angreifer auf diese Datensätze zurückgreifen, um die Briefe zu personalisieren und gezielt bestimmte Haushalte anzusprechen. Die Behörden haben jedoch die genaue Quelle der Mailinglisten nicht bestätigt.
Sobald die Opfer auf der Phishing-Seite landen, fordert die Seite eine Wiederherstellungsphrase mit 12, 20 oder 24 Wörtern an. Die Seite behauptet, die Phrase ermögliche die Synchronisierung des Geräts und die Aktivierung von Funktionen. In Wirklichkeit erfassen die Angreifer die Phrase über eine Backend-API. Dadurch erhalten sie die vollständige Kontrolle über die Wallet und deren Guthaben.
Wiederherstellungsphrasen stellen die Generalschlüssel zu Kryptowährungs-Wallets dar. Jeder, der sie erhält, kann die Wallet auf ein anderes Gerät importieren. Kein Hersteller von Hardware-Wallets fordert jemals Wiederherstellungsphrasen über Websites oder per Post an. Nutzer sollten Wiederherstellungsphrasen nur direkt auf dem physischen Gerät während der Wiederherstellung eingeben.
(adsbygoogle = window.adsbygoogle || []).push({});IT-Sicherheitsexperten raten Wallet-Besitzern, unaufgeforderte Briefe mit dringenden Forderungen zu ignorieren. Außerdem sollten Nutzer alle Sicherheitsmitteilungen über die offiziellen Webseiten der Unternehmen überprüfen.
Experten empfehlen, legitime Domains als Lesezeichen zu speichern, anstatt QR-Codes zu scannen. Darüber hinaus sollten Nutzer Ankündigungen der Wallet-Hersteller bezüglich Updates oder Sicherheitsfunktionen verfolgen.
