image

BitPay verliest 1,8 miljoen dollar door phishingaanval

donderdag 17 september 2015, 16:46 door Redactie, 5 reacties

BitPay, een verwerker van bitcoinbetalingen, is vorig jaar december het slachtoffer van een phishingaanval geworden waarbij voor 1,8 miljoen dollar aan bitcoins werd gestolen. Bryan Krohn, Chief Financial Officer (CFO) van BitPay, ontving een e-mail van iemand die zich voordeed als David Bailey, de CEO van BTC Media. BTC Media is de uitgever van Bitcoin Magazine en yBitcoin.

De aanvaller had het e-mailaccount van Bailey gehackt. In de phishingmail werd Krohn gevraagd om op een document te reageren. De link naar het document wees naar een phishingpagina waar Krohn de inloggegevens van zijn zakelijk BitPay e-mailaccount invulde. Met de inloggegevens wist de aanvaller drie verschillende transacties van 5.000 bitcoins uit te laten voeren, ter waarde van 1,85 miljoen dollar. Hiervoor stuurde de aanvaller vanaf het gehackte e-mailaccount van Krohn een e-mail naar BitPay CEO Stephen Pair, met het verzoek om 1.000 bitcoins naar de bitcoinportemonnee van een klant over te maken, wat hij ook deed.

Vervolgens verstuurde aanvaller een tweede e-mail om nog eens 1.000 bitcoins over te maken, waar de CEO wederom gehoor aan gaf. De volgende dag stuurde de aanvaller weer een e-mail, dit keer met het verzoek voor een transactie van 3.000 bitcoins. Pair stuurde een e-mail naar Krohn terug om de transactie te bevestigen. De aanvaller reageerde hierop met een e-mail waarin hij stelde dat het om een geldige transactie ging. Pair maakte daarop de 3.000 bitcoins over. De scam werd ontdekt doordat de CEO de echte BitPay-klant aan de laatste e-mail over de transactie van de 3.000 bitcoins toevoegde, en de klant uiteindelijk reageerde dat hij de bitcoins niet had aangeschaft.

Verzekering

BitPay wilde van de verzekering 950.000 dollar om de schade te dekken, maar de verzekeringsmaatschappij weigerde uit te betalen. Volgens de verzekeraar heeft de aanvaller namelijk geen toegang tot het BitPay-systeem of apparaat gekregen. De verzekering dekt geen indirecte verliezen doordat de systemen van anderen worden gehackt. BitPay heeft de verzekeraar nu voor de rechter gesleept (pdf-1, pdf-2), zo meldt de Atlanta Business Chronicle.

Reacties (5)
17-09-2015, 20:07 door karma4
Het verhaal komt zo bekend voor https://bitcointalk.org/index.php?topic=576337 Het is hetzelfde scenario als bij bitcash . Vind de persoon in kwestie die het meest kwetsbaar is... Vermijd de ingebouwde dubbele controles / beveiligingen.
17-09-2015, 20:42 door Anoniem
Tjonge, het blijven toch prutsers in btc wereld. Ook een beetje naief om te verwachten dat een verzekeringsmaatschappij de schade gaat vergoeden (alleen kennis hebbende van nederlandse verzekeringsmaatschappijen).
Ik denk dat die Krohn behoorlijk buiten zijn boekje is gegaan, op zo een email verzoek in te gaan. Waarschijnlijk kunnen ze daarom ook niet het standpunt innemen dat het voor risico van de klant is, het is immers de klant zijn email account dat gekaapt is.
18-09-2015, 05:17 door Anoniem
Waarom zijn er zoveel bedrijven die naar aanleiding van een e-mail gigantische bedragen gaan overboeken? (kijk ook naar de e-mail in the middle aanvallen het afgelopen jaar). Zorg voor out-of-band verificatie met een vooraf bepaalde code en zorg dat er op zijn minst twee personen akkkoord moeten geven bij bedragen > X. Dan heb je in ieder geval je best gedaan om je hier tegen te wapenen.

Ik mag toch hopen dat een verzekering hier niet voor uit gaat keren want dan zal dit gedrag nooit veranderen....
18-09-2015, 08:41 door Anoniem
Zou mij niets verbazen als deze bitcoins gewoon op een z.g.n. cold wallet van hemzelf staan verstopt. Daar word Mark Karpales nu ook van verdacht (Mt. Gox).
Waar geld is, is corruptie.
18-09-2015, 09:56 door Briolet
Lees ik dat goed, en zijn beide e-mail accounts gehacked?
De aanvaller had het e-mailaccount van Bailey gehackt.

Hiervoor stuurde de aanvaller vanaf het gehackte e-mailaccount van Krohn een e-mail

Als beide partijen zo'n slechte beveiliging hebben, kun je inderdaad beter alles per telefoon laten bevestigen. Ik handel ook wel grote orders per mail af, maar dat zijn altijd herhalingsorders. Op het moment dat een rekeningnummer of afleveradres verandert, bel ik toch altijd even op voor een bevestiging.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.