Der Bitcoin (BTC) Selbstverwahrungsanbieter Casa warnt vor physischen Angriffen gegen Bitcoin-Inhaber, da sie einen Blog-Post veröffentlichen, der Details eines kürzlichen Vorfalls beschreibt.

Die schlechte Tinder-Erfahrung ihres Kunden kombiniert Elemente von Social Engineering, Sim-Swapping und einem eher old-schooligen Drogen- und Raubüberfall.

Der Atem des Teufels

Laut der Geschichte fand ein angeblicher Bitcoin-Inhaber und -Händler sein Date über die mobile App Tinder, wo er eine Frau kontaktierte, die behauptete, eine „Kryptowährungshändlerin“ zu sein.

Als die beiden sich persönlich trafen, bemerkte er, dass ihre Bilder von Crypto Revolt etwas anders waren als ihr persönliches Aussehen, aber er dachte sich nicht viel dabei.

Das Opfer erinnert sich, dass „sie sagte, dass ihre Eltern ihr 1 Bitcoin für $30.000 gekauft haben, aber ansonsten hat sie für den Rest ihrer gemeinsamen Zeit nicht über Krypto gesprochen.“

Im Laufe ihres Dates beschlossen die beiden, zurück in die Wohnung des Mannes zu gehen, und irgendwo in der Zwischenzeit schnürte die Frau sein Getränk mit Scopolamin, auch „Devil’s Breath“ genannt, oder einem Benzodiazepin, Drogen, die dafür bekannt sind, Gedächtnisverlust sowie Hemmungsstörungen zu verursachen.

Laut dem Posting „glaubt er, dass die Frau sein Telefon in die Hand nahm und ihn bat, ihr zu zeigen, wie man es entsperrt und seine Passwörter findet.“

Der Mann wachte am nächsten Tag auf und sein Telefon war verschwunden, obwohl alle seine anderen Habseligkeiten, einschließlich einer Brieftasche mit Bargeld, Debitkarten und einem Ausweis, noch da waren.

Gerettet von der Multisig

Das Opfer überprüfte sofort „verschiedene Konten von seinem Laptop aus und sah, dass Käufe von seinem Bankkonto bei mehreren Börsen versucht worden waren und Bitcoin-Abhebungen von anderen Depotdiensten versucht worden waren“, als der Angreifer versuchte, ihn nackt auszuziehen, im übertragenen Sinne.

„Viele unserer Kunden haben auch Passwort-Manager und 2FA auf ihrem Telefon. Im Fall dieses Kunden nutzte er zwar keine SMS 2FA, aber TOTP 2FA über eine Google Authenticator App auf dem Telefon. Da der Angreifer den Entsperr-Pin seines Telefons erzwungen hatte, hatte er Zugriff auf 2FA für alle seine Konten“, heißt es in dem Beitrag, wobei der Autor eine Parallele zu sogenannten Sim-Swap-Angriffen zieht.

Letztendlich verlor er nur eine kleine Menge an Bitcoin, da eines seiner Tauschkonten kompromittiert wurde, während der größte Teil seines Gesamtbestandes dank der Multisig-Einrichtung, die er hatte, gerettet wurde.

Der Angreifer hatte nur einen der fünf Schlüssel des Opfers, was es ihm ermöglichte, andere angeforderte Käufe und Abhebungen zu blockieren, indem er die Depotbanken kontaktierte und eine Kompromittierung einreichte.

Comments are closed.