Cisco und ukrainische Cyberpolizei decken Bitcoin-Phishing-Betrug auf

Der Technologiekonzern Cisco und die ukrainische Cyberpolizei haben einen ukrainischen Bitcoin (BTC) Phishing-Ring entdeckt. Dieser hat über einen Zeitraum von drei Jahren über 40 Mio. Euro gestohlen. Das geht aus einem Bericht von Talos, dem Analyseteam für Bedrohungen bei Cisco hervor.

Talos wurde erstmals am 24. Februar 2017 auf die Phishing-Bedrohung aufmerksam gemacht, als ein ukrainisches Phishing-Programm namens COINHOARDER den Wallet-Dienst blockchain.info durch Google-Anzeigen ins Visier nahm. Diese enthielten "Gateway-Phishing-Links" und generierten über 200.000 Client-Suchanfragen.

Die Google-Anzeigen sollten wie der echte Bitcoin-Wallet von blockchain.info aussehen, indem Domain-Namen verwendet wurden, die denen der tatsächlichen Wallets sehr ähnlich sind, wie z.B. blockchein.info. Die Phishing-Seiten selbst sind so gestaltet, dass sie mit Ausnahme des Domain-Namens in jeder Hinsicht wie die reale Website aussehen.

Blockchain

Talos berichtet, dass COINHOARDER begann, seine Phishing-Seite im Laufe der Zeit immer echter zu gestalten, indem Rogue-SSL-Zertifikate in Kombination mit "Typosquatting", "Marken-Spoofing" und "Homographangriffen" verwendet wurden.

Talos stellte fest, dass das Phishing auf Länder abzielte, in denen die lokalen Währungen instabil waren und Englisch nicht die Erstsprache der Region war. Beispiele dafür sind Länder wie Nigeria und Ghana, da die Opfer dort die geringfügigen Unterschiede in den Domain- und SSL-Namen eher übersehen.

Ciscos Zusammenarbeit mit der ukrainischen Cyberpolizei half dabei, die BTC-Wallet-Adresse des Angreifers ausfindig zu machen. Talos schreibt, dass "rund 8 Mio. Euro" im Zeitraum von September bis Dezember 2017 gestohlen wurden.

Nachdem dieses umfangreichen Phishing-Schema entdeckt wurde, hat Cisco damit begonnen, die zugehörigen Domänen als verdächtig zu kennzeichnen. Dann wurden DNS-Anfragen verwendet, um weitere Domains zu finden und zu blockieren, die von der gleichen Person geöffnet wurden, wie die ursprüngliche Website.

Talos schließt seinen Bericht mit einer Liste der IP-Adressen, die mit dem Phishing-Betrug in Verbindung gebracht werden. Außerdem geben sie Cisco-Kunden Tipps, wie sie sich vor ähnlichen Bedrohungen schützen können.

Krypto-Phishing-Betrügereien auf Twitter kommen in letzter Zeit viel häufiger vor. Nutzer erstellen Falsch-Konten, die denen von Krypto-Experten wie Charlie Lee oder Vitalik Buterin ähneln und bewerben damit falsche Krypto-Geschenke.

  • Folgen Sie uns auf: