Ich möchte vor einem sehr professionell aufgezogenen Telefon-Scam warnen, der sich gezielt an Bitbox-Nutzer richtet.
Hintergrund: Vor einigen Jahren war ich von einem Datenleck bei einem Bitbox-Dienstleister betroffen. Dabei wurden offenbar mindestens meine E-Mail-Adresse, Telefonnummer und vermutlich weitere persönliche Daten wie Name abgegriffen. Seitdem bekomme ich regelmäßig Phishing- und Scam-Versuche mit Krypto-Bezug.
Der aktuelle Fall war allerdings deutlich professioneller als üblicher Spam!
Ich erhielt eine SMS, die im selben Nachrichtenverlauf erschien wie echte MFA-/2FA-SMS von Crypto.com. Inhaltlich wurde behauptet, eine Auszahlung an eine Wallet „BitBox“ sei blockiert worden und ein Agent werde sich in Kürze melden. Kurz darauf rief tatsächlich jemand an, sprach perfektes Deutsch und gab sich als Crypto.com-Mitarbeiter aus.
Während des Gesprächs wurde offenbar gezielt eine echte E-Mail bzw. MFA-/Verifizierungsanfrage von Crypto.com ausgelöst. Dadurch wirkte der Anruf zunächst plausibler, weil parallel echte Systemnachrichten von Crypto.com ankamen. Wahrscheinlich wurde dafür lediglich meine bekannte E-Mail-Adresse genutzt, um Login-, Verifizierungs- oder Account-Update-Prozesse anzustoßen.
Anschließend wurde ich angeblich an einen BitBox-Spezialisten weitergeleitet. Dort wurde es endgültig auffällig: Der Anrufer sprach über angebliche npm-Hacks, ein notwendiges BitBox-Update und fragte nach meiner BitBox sowie nach Backups. Ziel war offensichtlich, mich zu einem falschen Update, zur Preisgabe von Backup-/Seed-Informationen, zu Remote-Zugriff oder zu einer kompromittierenden Aktion zu bewegen.
Wichtig: Ich habe keine Seed Words, Backups, 2FA-Codes oder Passwörter weitergegeben, keine Software installiert und keine Transaktion signiert.
Was diesen Angriff besonders gefährlich machte:
-
perfekte deutsche Sprache
-
Kenntnis meiner Telefonnummer und E-Mail-Adresse
-
Krypto-Kontext aus einem alten Datenleck
-
SMS im selben Verlauf wie echte Crypto.com-MFA
-
parallel ausgelöste echte Crypto.com-Systemmails
-
glaubwürdige „Weiterleitung“ von Crypto.com zu angeblichem BitBox-Support
-
gezielte Fragen nach Hardware-Wallet und Backups
Meine Einschätzung: Das war kein einfacher Massen-Phishingversuch, sondern ein krass gut vorbereiteter Social-Engineering-Angriff. Die Angreifer haben vermutlich alte Leak-Daten, SMS-Spoofing, echte ausgelöste Account-Prozesse und ein professionelles Telefonskript kombiniert.
WICHTIG:
-
SMS-Absender sind kein Beweis für Echtheit. Auch Nachrichten im bestehenden MFA-Thread können gefälscht oder passend gruppiert sein.
-
Echte Systemmails während eines Anrufs beweisen nicht, dass der Anrufer legitim ist. Wenn im Zweifel: Auflegen → Selber Support anrufen und nicht anrufen lassen!
-
Keine Börse und kein Hardware-Wallet-Hersteller fragt telefonisch nach Seed, Backups, 2FA-Codes oder Remote-Zugriff.
-
Hardware-Wallet-Updates nur selbstständig über offizielle Quellen durchführen.
-
Recovery Words niemals am Telefon, auf Webseiten oder in fremder Software eingeben.
-
Für kritische Dienste eigene E-Mail-Aliasse und einzigartige Passwörter nutzen.
-
SMS-2FA möglichst durch Authenticator, Passkeys oder Hardware Security Keys ersetzen.
Das war das erste Mal, dass ich so gezielt und auf MICH angepasst angegriffen wurde. Die Qualität die inzwischen erreicht wird ist unfassbar…
