Phishingsite steelt 4 miljoen dollar aan cryptovaluta IOTA
Een phishingsite is erin geslaagd om 4 miljoen dollar aan de cryptovaluta IOTA te stelen. IOTA is een populaire cryptovaluta met een marktkapitalisatie van bijna 7 miljard dollar. Net als andere cryptovaluta maakt IOTA gebruik van zogeheten "wallet seeds" om het digitale geld op te slaan.
Een IOTA wallet seed bestaat uit 81 willekeurig gegenereerde karakters. Gebruikers moeten deze wallet seed zelf genereren en kunnen dit op verschillende manieren doen. Een aanvaller had een malafide website gemaakt genaamd iotaseed.io waar gebruikers hun wallet seed konden genereren. De website genereerde altijd dezelfde IOTA wallet seeds en sloeg die ook op. Op deze manier kon de aanvaller wachten totdat de wallets in kwestie vol waren en ze vervolgens legen. De oprichter van IOTA, David Sonstebo, stelt in een interview met Finance Magnates dat de IOTA-technologie en het netwerk niet zijn gecompromitteerd.
"Niemand was gehackt, omdat hacken inhoudt dat iemand op een bepaalde manier je systeem wist binnen te dringen, zoals het gebruik van een kwetsbaarheid in je code. Dat was niet het geval. Er was geen hack. Het is belangrijk om die terminologie niet te gebruiken, ook al wordt dat nu wel genoemd. Mensen houden van het woord "hack". Wat er wel is gebeurd, is dat veel onfortuinlijke gebruikers hun unieke seed via een phishingsite genereerden", aldus Sonstebo. Hij merkt op dat een advertentie voor de malafide website als eerste verscheen als mensen op "IOTA seed generator" zochten. Beveiligingsonderzoeker Alex Studer heeft een analyse gemaakt van hoe de phishingsite werkte.
Dat denken bankiers ook op het moment dat jij je een financieel product aan laat meten. Of de autoverkoper op 't moment dat je je auto inruilt. De makelaar als je valt voor dat huisje met uitzicht. Of die tandarts die aangeeft dat je kroon toch echt vervangen moet worden.
Waarmee ik aan wil geven dat we allemaal buiten ons vakgebied 'noobs' zijn. Dat 't dus niet zo flink is om iemand voor sukkel uit te maken alleen omdat je hier nou effe iets meer (heel veel meer zal 't wel niet zijn ) afweet...
Dat ben ik niet met je eens... Er zijn geen vulnerabilities in een computersysteem gebruikt om mensen geld afhandig te maken. Dit is Social Engineering pur sang - inspelen op de hebberigheid van de mensen die zonder precies te weten wat ze doen de cryptowereld instappen om maar snel-snel geld te verdienen.
Het issue hierboven was niet te fixen met een port-scan, of met een vulnerability scan - het waren de mensen die gescand hadden moeten worden ;-)
Deze posting is gelocked. Reageren is niet meer mogelijk.
Specialiseer je in Forensisch ICT
Online informatieavond 19 november
Wil jij je specialiseren in digitaal forensisch onderzoek? Je kennis verbreden en tech-nische vaardigheden ontwikkelen? Ontdek de cursus- en opleidingsmogelijkheden van Hogeschool Leiden:
- Bachelor Informatica Forensisch ICT (deeltijd)
- Master Digital Forensics (vol- en deeltijd)
- Module Mobile Forensics
- Module Data Analytics
Interesse? Meld je aan!
Chief Information Security Officer
Utrecht heeft jou nodig! Als Chief Information Security Officer speel jij een cruciale rol in de bescherming van de digitale informatie van de gemeente Utrecht. Als geen ander weet jij welke dreigingen er zijn en kun je deze vertalen naar risico's die de gemeente en haar inwoners lopen. Solliciteer nu!
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
