BitPay verliest 1,8 miljoen dollar door phishingaanval
BitPay, een verwerker van bitcoinbetalingen, is vorig jaar december het slachtoffer van een phishingaanval geworden waarbij voor 1,8 miljoen dollar aan bitcoins werd gestolen. Bryan Krohn, Chief Financial Officer (CFO) van BitPay, ontving een e-mail van iemand die zich voordeed als David Bailey, de CEO van BTC Media. BTC Media is de uitgever van Bitcoin Magazine en yBitcoin.
De aanvaller had het e-mailaccount van Bailey gehackt. In de phishingmail werd Krohn gevraagd om op een document te reageren. De link naar het document wees naar een phishingpagina waar Krohn de inloggegevens van zijn zakelijk BitPay e-mailaccount invulde. Met de inloggegevens wist de aanvaller drie verschillende transacties van 5.000 bitcoins uit te laten voeren, ter waarde van 1,85 miljoen dollar. Hiervoor stuurde de aanvaller vanaf het gehackte e-mailaccount van Krohn een e-mail naar BitPay CEO Stephen Pair, met het verzoek om 1.000 bitcoins naar de bitcoinportemonnee van een klant over te maken, wat hij ook deed.
Vervolgens verstuurde aanvaller een tweede e-mail om nog eens 1.000 bitcoins over te maken, waar de CEO wederom gehoor aan gaf. De volgende dag stuurde de aanvaller weer een e-mail, dit keer met het verzoek voor een transactie van 3.000 bitcoins. Pair stuurde een e-mail naar Krohn terug om de transactie te bevestigen. De aanvaller reageerde hierop met een e-mail waarin hij stelde dat het om een geldige transactie ging. Pair maakte daarop de 3.000 bitcoins over. De scam werd ontdekt doordat de CEO de echte BitPay-klant aan de laatste e-mail over de transactie van de 3.000 bitcoins toevoegde, en de klant uiteindelijk reageerde dat hij de bitcoins niet had aangeschaft.
Verzekering
BitPay wilde van de verzekering 950.000 dollar om de schade te dekken, maar de verzekeringsmaatschappij weigerde uit te betalen. Volgens de verzekeraar heeft de aanvaller namelijk geen toegang tot het BitPay-systeem of apparaat gekregen. De verzekering dekt geen indirecte verliezen doordat de systemen van anderen worden gehackt. BitPay heeft de verzekeraar nu voor de rechter gesleept (pdf-1, pdf-2), zo meldt de Atlanta Business Chronicle.
Ik denk dat die Krohn behoorlijk buiten zijn boekje is gegaan, op zo een email verzoek in te gaan. Waarschijnlijk kunnen ze daarom ook niet het standpunt innemen dat het voor risico van de klant is, het is immers de klant zijn email account dat gekaapt is.
Ik mag toch hopen dat een verzekering hier niet voor uit gaat keren want dan zal dit gedrag nooit veranderen....
Waar geld is, is corruptie.
Als beide partijen zo'n slechte beveiliging hebben, kun je inderdaad beter alles per telefoon laten bevestigen. Ik handel ook wel grote orders per mail af, maar dat zijn altijd herhalingsorders. Op het moment dat een rekeningnummer of afleveradres verandert, bel ik toch altijd even op voor een bevestiging.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
