BTC
$0.00
0.00%
Mein Name ist Serge Philosopher, ich bin investigativer Journalist, und diese Geschichte über die größten Kryptowährungsdiebstähle mittels Social Engineering ist bis heute unveröffentlicht. Aber der Reihe nach.
In den letzten zwei Jahren habe ich an einem Artikel für eine Wirtschaftszeitung gearbeitet und schließlich eine Person ausfindig gemacht, die bereit war, mir Informationen zu geben. Wie sich jedoch herausstellte, war mein Gesprächspartner kürzlich nach Spanien gezogen, und um ihn zu treffen und Einzelheiten über seine Aktivitäten im Bereich des Kryptobetrugs zu erfahren, musste ich eine Reise von London nach Torrevieja in der Provinz Alicante planen. Wir verabredeten uns an einem idyllischen Ort, wo Seen und Stille ein seltsames Gefühl der Abgeschiedenheit von der Welt erzeugen – Lagunas de La Mata y Torrevieja.
Um also an diese Sensationsmeldung zu kommen, kaufte ich mir Tickets und machte mich auf den Weg in die Stadt, deren Name übersetzt „Alter Turm“ bedeutet.
Während wir in einem gemütlichen Café im Schatten ausladender Bäume saßen, erklärte Michael (ehemals Mitglied einer internationalen Gruppe, die sich auf den Diebstahl von Krypto-Assets spezialisiert hatte), wie man die Multi-Faktor-Authentifizierung nicht durch Programmcode, sondern durch einfachen Vertrauensmissbrauch umgehen kann.
Als er von den spektakulärsten Fällen von Krypto-Diebstahl berichtete, merkte er an: Die Angriffe auf das Ronin Network (625 Mio. $), die BNB Bridge (569 Mio. $) und das Poly Network (611 Mio. $) seien nur „Kleinigkeiten“ im Vergleich zu den Summen, die ihre Hacker-Community von fremden Krypto-Konten abgezogen habe.
„Die größte Schwachstelle jedes Systems ist der Mensch. Und jedes Kryptosystem bildet da keine Ausnahme“, erzählte er begeistert von einigen Feinheiten seiner „Arbeit“.
Das Schema wirkte immer überzeugend. Zunächst schrieben sie dem Opfer im Namen des technischen Supports. Der nächste Schritt in der Masche war eine Einladung zu einer „Beratung“. Die E-Mail wurde an mehrere Adressen gesendet, was den Anschein von Offiziellkeit und vollständiger Kontrolle über die Situation erweckte. Tatsächlich waren diese Adressen zwar ähnlich, aber dennoch fiktiv.
Dann begann die entscheidende Phase des Betrugs. Den Opfern wurde ein Dokument mit Anweisungen zur Anmeldung auf einer Online-Plattform zugesandt. All dies sah wie ein standardmäßiges Sicherheitsverfahren aus. In Wirklichkeit gewährte dieses Passwort jedoch vollständigen Zugriff auf das Konto und damit auf alle Konten. Die Kampagne konnte Wochen, Monate und manchmal sogar Jahre dauern.
Ihm zufolge haben Forscher der Google Threat Intelligence Group dennoch Kampagnen dokumentiert, bei denen Hacker Social Engineering einsetzten, um die Opfer dazu zu bringen, Passwörter für Apps und Krypto-Wallets zu erstellen und weiterzugeben. Aufgrund des Detaillierungsgrades der Angriffe zogen Cybersicherheitsexperten schließlich den Schluss, dass staatlich finanzierte Strukturen an den Kryptowährungsdiebstählen beteiligt waren. Und alle Spuren führten in eines der postsowjetischen Länder.
Als ich nach Großbritannien zurückkehrte, hielt mich am Flughafen ein völlig unscheinbarer Mann an: „Verschieben Sie die Veröffentlichung des Artikels um ein halbes Jahr“, sagte er unmissverständlich und ruhig. Ich kannte diesen Geheimdienstmitarbeiter, und genau deshalb ist dieser Enthüllungsartikel über die größten Kryptowährungsdiebstähle, die mithilfe von Social Engineering begangen wurden, bis heute nicht veröffentlicht worden.
