Betterment, ein traditioneller Investmentdienst, wurde von Krypto-Hackern angegriffen. Tausende Nutzer erhielten gefälschte Push-Benachrichtigungen und E-Mails, die für den classic „Krypto-Gewinnspiel“-Betrug warben.
Nutzer erhielten die gefälschten Benachrichtigungen über die Betterment-App. Andere erhielten E-Mails, die für den Gewinnspielbetrug warben. Die gefälschte Nachricht versprach, die Kryptowährungen der Nutzer zu verdreifachen. Die „Aktion“ war drei Stunden gültig.
Krypto-Angreifer geben sich als Betterment aus
In der E-Mail wurden die Nutzer aufgefordert, Beträge zwischen 1 und 750.000 US-Dollar in Bitcoin oder Ether einzuzahlen. Die Benachrichtigung in der mobilen App lautete: „Wenn Sie beispielsweise 10.000 US-Dollar in Bitcoin oder Ethereumsenden, senden wir Ihnen umgehend 30.000 US-Dollar an Ihre ursprüngliche Bitcoin oder Ethereum -Adresse zurück.“
Die Hacker fügten bestimmte Bitcoin und Ether-Wallet-Adressen hinzu. Zum Zeitpunkt der Veröffentlichung dieses Berichts hatte die Bitcoin Wallet erhalten 0,14626084 BTC bzw. 13.290,75 US-Dollar Nettozufluss von 1.779,30 US-Dollar.
Zwei Stunden nach dem Datenleck veröffentlichte das Betterment-Team eine Warnung auf X und Reddit. Auf Reddit antwortete ein Betterment-Vertreter in einem Thread über den Hack: „ Wir entschuldigen uns für die Verwirrung. Dies ist kein echtes Angebot von Betterment…“
Auf dem X-Meldeportal erklärte Betterment auf seinem offiziellen Account, dass sich eine unbefugte Person Zugang zum System verschafft habe. Dadurch sei es dem Angreifer möglich gewesen, im Namen des Unternehmens E-Mails und Push-Benachrichtigungen zu versenden.
Das Unternehmen stellte klar: „Wenn Sie auf die Angebotsbenachrichtigung geklickt haben, wurde die Sicherheit Ihres Betterment-Kontos nicht beeinträchtigt.“ Betterment versicherte den Nutzern, dass „der unbefugte Zugriff behoben wurde“ und eine Untersuchung eingeleitet wurde.
In einem Folgebeitrag erklärte Betterment, die gefälschte Werbeaktion stamme von einem Drittanbietersystem. Das Unternehmen schrieb: „Dies war eine unautorisierte Nachricht, die über ein Drittanbietersystem versendet wurde, das wir für Marketing und andere Kundenkommunikation nutzen.“
Bei genauerer Betrachtung stellte sich heraus, dass die gefälschten E-Mails von zwei Postfächern der Domain e[dot]betterment[dot]com stammten. Dies scheint eine Subdomain der Hauptwebsite von Betterment zu sein.
Ein Reddit-Nutzer schrieb: „Ich habe eine E-Mail dazu erhalten. Alles scheint in Ordnung zu sein, die Header sind korrekt, SPF, DKIM und DMARC wurden erfolgreich geprüft.“ Das bedeutet, die E-Mail wurde kryptografisch authentifiziert. Es handelte sich weder um eine gefälschte Gmail-Adresse noch um eine gefälschte Absenderadresse. Die Domain von Betterment hat die gefälschte E-Mail freigegeben.
Es ist unklar, ob Nutzerdaten aus der Betterment-Datenbank ins Darknet. Darüber hinaus ist das kompromittierte Drittanbieter-Tool noch nichtdent.
Der Vorfall zeigt, dass Krypto-Hacker nicht mehr auf gefälschte Websites oder unaufgeforderte E-Mails angewiesen sind. Angreifer nutzen nun vertrauenswürdige Finanzplattformen als Übermittlungsweg. Sobald ein Nutzer Kryptowährung versendet hat, ist das Geld unwiederbringlich verloren. Keine Rückbuchungen, keine Stornierungen, keine Wiederherstellung.
