Ice Phishing: Neue Art von Blockchain-Betrug auf dem Vormarsch

Bei dieser Phishing-Vatiante wird ein Benutzer mittels Social Engineering dazu verleitet, eine Transaktion zu unterzeichnen

[datensicherheit.de, 02.03.2022] Die Technologien, welche unsere globale Kommunikation und Interaktion ermöglichten, entwickelten sich ständig weiter – was den Nutzern enorme Vorteile biete, gleichzeitig eröffne es aber auch neue Angriffsflächen für Bedrohungsakteure, so KnowBe4 in einer aktuellen Stellungnahme. „Social Engineering“ stelle dabei eine Bedrohung dar, welche es praktisch auf jede, Menschen miteinander verbindende Technologie abgesehen habe. Die aktuelle Analyse der Sicherheitsforscher von Microsoft eines Phishing-Angriffs habe das Bedrohungspotenzial bestätigt und betone die Bedeutung umfassender Sicherheitsarchitekturen.

Mehrere Arten von Phishing-Angriffen in der web3-Welt

Microsoft warnt demnach vor einer neuen Art von blockchain-zentrierten Angriffen, welche auf „web3“ (die auf der Blockchain geschaffene dezentrale Umgebung) abzielten. In diesem Zusammenhang habe das „Microsoft 365 Defender Research Team“ den jüngsten „Badger DAO“-Angriff analysiert, bei dem im November und Dezember 2021 mehr als 120 Millionen US-Dollar von Blockchain-Nutzern gestohlen worden seien.

Die Sicherheitsexperten befürchten, dass diese Angriffe auf dem Vormarsch sind: „Es gibt mehrere Arten von Phishing-Angriffen in der ,web3‘-Welt“, so Christian Seifert, Mitglied des „Microsoft 365 Defender Research Teams“. Diese Technologie sei noch aufkeimend und es könnten neue Arten von Angriffen entstehen.

Ice-Phishing-Angriff korrumpiert gängige Transaktionsart

Während beim Eisfischen ein Loch in ein gefrorenes Gewässer geschnitten werde, um Fische zu fangen, werde beim „Ice Phishing“ (wie es das Defender-Team nennt) ein Benutzer durch „Social Engineering“ dazu verleitet, eine Transaktion zu unterzeichnen, welche die Genehmigung der Token des Benutzers an den Angreifer delegiere, „ohne dass dabei die privaten Schlüssel gestohlen werden“. Dieser Angriff korrumpiere eine gängige Transaktionsart, welche Interaktionen mit „DeFi-Smart Contracts“ ermögliche, da diese verwendet würden, um mit den Token des Nutzers zu interagieren (z.B. „Swaps“). Bei einem „Ice-Phishing“-Angriff müsse der Angreifer lediglich die Adresse des Spenders in die Adresse des Angreifers ändern.

Dies könne sehr effektiv sein, da auf der Benutzeroberfläche nicht alle relevanten Informationen angezeigt würden, „die darauf hinweisen, dass die Transaktion manipuliert wurde“. Sobald die Genehmigungstransaktion unterzeichnet, eingereicht und abgebaut sei, könne der Spender auf das Geld zugreifen. Im Falle eines „Ice-Phishing“-Angriffs könne der Angreifer über einen gewissen Zeitraum Genehmigungen sammeln und dann alle Geldbörsen der Opfer schnell leeren.

Weitere Phishing-Methoden der Bedrohungsakteure:

1. Spear Phishing
Der Cyber-Kriminelle habe sich entweder über die Gruppe informiert oder Daten von Social-Media-Plattformen gesammelt, um Nutzer zu täuschen. Eine Spear-Phishing-E-Mail gehe in der Regel an eine Person oder eine kleine, diesen Dienst nutzende Gruppe von Personen. Sie enthalte eine Form der Personalisierung – vielleicht den Namen der Person oder den Namen eines Kunden.

2. Executive Whaling
Diese Art ziele vor allem auf leitende Angestellte und Verwaltungsangestellte ab, um Geld von Konten abzuschöpfen oder vertrauliche Daten zu stehlen. Diese Art von Betrug zeichne sich durch Personalisierung und detaillierte Kenntnis der Führungskraft und des Unternehmens aus.

3. Social Engineering
Der Einsatz psychologischer Manipulation, um Menschen dazu zu bringen, vertrauliche Informationen preiszugeben oder Zugang zu Geldern zu gewähren. Die Kunst des „Social Engineering“ könne auch darin bestehen, Informationen von Social-Media-Plattformen zu sammeln. „LinkedIn“, „facebook“ und andere Plattformen böten eine Fülle von Informationen über die Mitarbeiter eines Unternehmens.

Effektiver Schutz gegen Phishing: Security Awareness Training

Eine Schulung zum Thema Sicherheit könne die Nutzer und Mitarbeiter in den Unternehmen in die Lage versetzen, diese vielfältigen Arten von Betrug besser zu erkennen. Die effektivste Maßnahme zur Vorbeugung solcher Angriffe sei, ein umfassendes „Security Awareness Training“ für die Mitarbeiter anzubieten und umzusetzen. Grundsätzlich werde hierbei versucht, mithilfe von simulierten Phishing-Mails zu testen, wie aufmerksam die Mitarbeiter sind.

Das Ziel solcher Trainings sei es, eine gesteigerte Sensibilisierung bezüglich der Gefahren und dem Erkennen solcher Attacken zu erreichen. Die Anzahl der erfolgreichen Phishing-Angriffe auf das Unternehmen könne durch ein solches Training sehr stark reduziert werden und neben den technischen Sicherheitsoptionen könnten die Mitarbeiter somit als „menschliche Firewall“ geschult und eingesetzt werden.

Weitere Informationen zum Thema:

datensicherheit.de, 24.01.2022
Phishing-Versuche: DHL meist imitierte Marke im 4. Quartal 2021 / Q4 Brand Phishing Report von Check Point Research zeigt die am häufigsten von Hackern nachgeahmten Marken auf

datensicherheit.de, 10.11.2021
Köder-Angriffe: Hacker werfen ihre Phishing-Netze aus / Dr. Klaus Gheri benennt Best Practices zum Schutz vor Köder-Angriffen

datensicherheit.de, 19.10.2021
Check Point: Warnung vor Social Media als Phishing-Falle / Q3 Brand Phishing Report von Check Point veröffentlicht