Hackangriff auf Beratungsfirma Kroll

Durch ein Datenleck bei Kroll konnten sich Hacker unbefugt Zugang zu Gläubigerdaten von BlockFi, FTX und Genesis verschaffen. BlockFi und FTX bezogen bereits Stellung. Scheinbar sind bereits Phishing-E-Mail im Umlauf, Betroffenen wird daher zu Vorsicht geraten.

Am 25. August teilte die Finanz- und Risikoberatungsfirma Kroll mit, dass es zu einem Sicherheitsvorfall gekommen sei, bei dem persönliche Daten einiger Gläubiger in die Hände eines Angreifers gelangt seien. Der Angriff ereignete sich demnach am Samstag, dem 19. August 2023, als ein Cyberkrimineller über einen SIM-Swapping-Angriff Zugriff auf das T-Mobile-Konto eines Mitarbeiters von Kroll erlangt haben soll. SIM-Swapping ist eine Betrugsmasche, bei der Hacker die Mobiltelefonnummer des Angegriffenen verwenden, um sich der Online-Identität des Opfers zu bemächtigen und als die Zielperson ausgeben zu können. Kroll wickelt unter anderem die Gläubigerforderungen an die insolventen Kryptounternehmen BlockFi, FTX und Genesis ab.

Vorwürfe von Kroll gegen T-Mobile

Kroll wirft T-Mobile vor, die Mobilnummer des gehackten Mitarbeiters ohne Befugnis oder Rücksprache mit Kroll oder dem Mitarbeiter selbst auf das Telefon des Hackers übertragen zu haben. Durch den SIM-Swap sei der Hacker in den Besitz persönlicher Daten von Insolvenzantragstellern in den Angelegenheiten von BlockFi, FTX und Genesis gelangt, wie Kroll mitteilte. Außerdem erklärt das Beratungsunternehmen, zusammen mit dem FBI umfassende Untersuchungen eingeleitet zu haben. Die Betroffenen habe Kroll bereits per E-Mail kontaktiert. Über diesen Vorfall hinaus gebe es wohl keine weiteren Hinweise, die darauf hindeuten, dass weitere Konten des Unternehmens betroffen seien.

Sowohl BlockFi als auch FTX (ehemals sogar Namensgeber der Basketballarena und Mehrzweckhalle in Miami) beantragten im vergangenen Jahr Insolvenz. Die US-Börsenaufsichtsbehörden SEC und CFTC nahmen damals Berichten zufolge Ermittlungen gegen FTX auf. Das Unternehmen war verdächtig die Einlagen von Kunden zur Finanzierung von Wetten beim Hedgefonds Alameda Research verwendet zu haben. Firmenchef Sam Bankman-Fried bestritt bisher, Kundengelder auf diese Weise veruntreut zu haben. Unmittelbar nach der FTX-Insolvenz stoppte BlockFi die Auszahlungen an seine Kunden und räumte ein, dass eine wohl signifikante Geldsumme bei FTX im Feuer stünde. Wenig später beantragte dann auch BlockFi Insolvenz.

Mittlerweile haben sich BlockFi und FTX via X (früher Twitter) geäußert. FTX gab bekannt, dass durch den Angriff nicht sensible Kundendaten einiger Antragsteller im anhängigen Insolvenzverfahren gefährdet seien. Daher seien die Benutzerkonten innerhalb des Forderungsportals zur Sicherheit vorübergehend eingefroren worden. BlockFi hingegen betonte, der Angriff würde weder Benutzerpasswörter noch Kundengelder des Unternehmens betreffen, da nur auf Systeme von Kroll und nicht auf jene des insolventen Kryptoverleihers zugegriffen worden seien.

Phishing-E-Mails wohl bereits im Umlauf

Berichten zufolge haben erste Betroffene bereits Phishing-E-Mails erhalten. Scheinbar gebe sich der Absender der E-Mails in den meisten Fällen als FTX aus und informiere den Empfänger darüber, dass er berechtigt sei, digitale Vermögenswerte von seinem Konto abzuheben, die dem letzten bekannten Kontostand auf der Kryptowährungsbörse entsprächen. Die Angreifer versuchen in diesem Zuge scheinbar durch eine in den E-Mails verlinkte schädliche Webseite, Zugriff auf das Vermögen in den Kryptowallets ihrer Ziele zu erlangen, um dieses dann zu stehlen.

Betroffenen ist geraten, vorsichtig beim Öffnen von verdächtigen E-Mails zu sein. Noch ist nicht klar, welches Ausmaß der Sicherheitsvorfall hat. Es bleibt abzuwarten, wie sich der Fall entwickelt.

agü