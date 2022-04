• Hacker entwenden Kryptowährungen und NFTs im Wert von etwa 650.000 US-Dollar• Betrüger konnten sich mittels Phishing-Angriff Zugriff zur iCloud und Krypto-Wallet des Opfers verschaffen• MetaMask warnt vor Phishing-Strategie, wenn Nutzer die Apple iCloud verwenden

Kürzlich wurde ein Nutzer der Krypto-Wallet MetaMask Opfer eines Phishing-Angriffs. Wie Domenic Iacovone via Twitter berichtete, erhielt er einen ungewöhnlichen Anruf von Apple. Da der Anrufer als Apple Inc. angezeigt wurde, rief Iacovone zurück. Die Person am anderen Ende des Hörers erklärte, dass Iacovones Konto kompromittiert worden sei und dass sie den Code bräuchte, den Apple an sein iPhone geschickt hatte, um sicherzustellen, dass er der Besitzer des Kontos sei. Nachdem Iacovone den Code schließlich telefonisch genannt hatte, war nur wenige Sekunden später seine Krypto-Wallet leergeräumt. Insgesamt wurden Iacovone bei dem Betrug offenbar NFTs und Kryptowährungen im Wert von etwa 650.000 US-Dollar entwendet.

Doch wie konnten Hacker nur durch die iCloud-Zugangsdaten auf die Krypto-Wallet eines Nutzers zugreifen? Erstellt man eine Krypto-Wallet, erhält man eine aus zwölf Wörtern bestehende Seed-Phrase, die für den Zugriff auf die Geldbörse von neuen Geräten aus erforderlich ist, erklärt CNET. Diese sollte so gut wie möglich geschützt werden. Wie der Krypto-Sicherheitsexperte "Serpent" auf Twitter erklärte, speichert die MetaMask-App auf dem iPhone automatisch eine Seed-Phrase-Datei in der iCloud, die dem Hacker wiederum Zugriff auf die Krypto-Wallet der Person gibt.

Serpent hält in dem Twitter-Thread außerdem die wichtigsten Erkenntnisse aus dem Betrugsfall fest. "Verwenden Sie immer ein Cold Wallet [externes Speichermedium, dass den privaten Schlüssel zu der Krypto-Anlage enthält; Anm. d. Red.], um Ihre Wertsachen zu speichern. Geben Sie niemals Verifizierungscodes an andere weiter. Schützen Sie Ihre Informationen, geben Sie nicht Ihre Telefonnummer oder Ihre persönliche E-Mail heraus. Anruferinformationen sind leicht zu fälschen. Unternehmen wie Apple werden Sie niemals anrufen."

