Der Krypto-Kreditleister BlockFi ist von Hackern angegriffen worden. Diesen gelang durch ein sogenanntes SIM-Swapping der Zugriff auf Teile des Backoffices von BlockFi. Der Versuch, auch Kryptogelder zu stehlen, sei aber misslungen.
Mehr als 600 Millionen US-Dollar in diversen Kryptowährungen verwaltet das US-Unternehmen BlockFi, welches sich auf Kryptokredite spezialisiert hat. Auch viele deutsche Anleger vertrauen BlockFi ihre Bitcoin (BTC) und andere Kryptowährungen wie Ethereum (ETH) an, um attraktive Zinsen zu kassieren. Jetzt aber schreckt die Nachricht auf, dass BlockFi ins Visier von Cyberkriminellen geraten ist. Wie BlockFi mitteilt, war es Angreifern gelungen, über einen SIM-Swap quasi das Mobiltelefon eines Angestellten zu kapern. Damit war der Zugriff auf das Backoffice von BlockFi für mehr als eine Stunde für die Hacker geöffnet. BlockFi gibt aber Entwarnung: Es seien keine sensiblen Kundendaten wie Kreditkarteninformationen entwendet worden und Versuche, Gelder von BlockFi auf fremde Konten zu überweisen, seien fehlgeschlagen.
Hintergrund zum Angriff auf BlockFi
BlockFi musste einräumen, dass bei dem Eindringen in das interne System Kundendaten ausgelesen wurden, die für das Marketing benutzt werden, im Detail Name , E-Mail-Adresse, Geburtsdatum, Wohnadresse und Aktivitätsprotokoll. Mit diesen Informationen sei aber normalerweise nicht möglich, geldwerte Aktionen durchzuführen, da dafür zusätzlich etwa Passwörter oder andere Identifikationsmethoden notwendig sind.
Laut BlockFi wurde der Angriff schnell erkannt und ein zweiter Versuch bereits verhindert. Als Sofortmaßnahmen wurden Zugriffsrechte auf die internen Systeme von Angestellten eingeschränkt und deren Mobiltelefone mit einem Sicherheitsupdate versorgt. Zudem führe man weitere generelle Sicherheitsprüfungen durch und verkürze die Zeit, die für ein Abriegeln des Systems bei einer Attacke gebraucht werde.
Der Report von BlockFi liest sich transparent. Doch die Frage, warum BlockFi erst fünf Tage nach dem Vorfall vom 14. Mai damit an die Öffentlichkeit gegangen ist, bleibt unbeantwortet. Auch auf seinen Präsenzen in den sozialen Netzwerken berichtet BlockFi nicht von dem Angriff. Insofern können die Empfehlungen, die BlockFi seinen Kunden nun zu mehr Sicherheit gibt, im Zweifelsfall gar nicht alle erreichen.
Was Kunden von BlockFi jetzt machen sollen
BlockFi rät, Accounts unbedingt mit einer Zwei-Faktoren-Authentifizierung (2FA) abzusichern und dabei nicht SMS oder zweite E-Mail-Adressen als Methode zu benutzen. Stattdessen solle 2FA besser über eine Authentifizierung-App oder Push Nachrichten abgewickelt werden. Wer auf 2FA verzichte, laufe Gefahr, durch schlichtes Anklicken von Angreifern auf “Password vergessen” bei BlockFi die Kontrolle über sein Konto zu verlieren. Denn wenn diese ein E-Mail-Konto unter ihre Kontrolle bringen, können sie ohne 2FA schnell erfolgreich sein.
Als zweite Sicherheitsmaßnahme empfiehlt BlockFi, Whitelisting zu aktivieren. Damit werden Wallet Adressen für Abhebungen erst nach 72 Stunden freigeschaltet, im Fall der Fälle haben Kunden also mehr Zeit, auf verdächtige Aktionen zu reagieren und einen Abfluss ihrer Gelder zu verhindern.
Fazit: Auch BlockFi ist nicht unverwundbar
Es liegt in der Natur von dezentral organisierten Kryptowährungen, dass sie ein attraktives Ziel für Cyberkriminelle sind. Falls Hacker hier Beute machen, können die Transfers nicht mehr zurückgedreht werden. BlockFi ist mit einem blauen Auge davongekommen. Die Krux: Alle Experten empfehlen, Bestände in Bitcoin und Co. auf Hardware Wallets sicher zu verwahren. Doch bei Leihgeschäften wie mit BlockFi ist das nicht möglich, da die Coins tatsächlich an den Dienstleister übertragen werden müssen. Hier musst Du Dich auf die Seriosität der Anbieter verlassen. BlockFi verweist darauf, dass man ständige Sicherheitschecks von unabhängigen Experten durchführen lässt und 95 Prozent seiner Gelder auf Cold Wallets parkt, wo sie prinzipiell online nicht angreifbar sind.
Wer noch keine Bitcoins hat kann diese hier kaufen:
Be the first to comment