Über eine Google-DNS-Serverweiterleitung, die Benutzer auf eine Phishing-Seite führte, konnten Angreifer aktuell 215 Ether erbeuten, das sind umgerechnet 115.000 €. User der App MyEtherWallet berichteten, dass beim Login ein unsigniertes Zertifikat verwendet wurde. Die Nutzer seien zu einem russischen Server weitergeleitet und die vorhandenen Ether an einen anderen Account transferiert worden, berichtet The Verge.
Der Hack ist zwischen 11.00 Uhr und 13.00 Uhr UTC gestern (7.00 Uhr bis 09.00 Uhr ET) aufgetreten und das Team von MyEtherWallet bemerkte, dass „die Mehrheit der Betroffenen einen Google DNS-Server nutzten“, wie sie in einem Tweet vermerkten. Benutzern wurde eine SSL-Warnung angezeigt, die viele User jedoch ignoriert haben und die Webseite trotzdem aufriefen. Die Phishing-Webseite, die Benutzer für MyEtherWallet hielten, konnte so die privaten Schlüssel der Ether-Adressen stehlen.
Für den Angriff wurde eine Sicherheitslücke des im Internet eingesetzten Routingprotokolls Border Gateway Protocol (BGP) benutzt, das autonome Systeme (AS) miteinander verbindet. Diese autonomen Systeme werden in der Regel von Internetdienstanbietern gebildet. Offenbar erlangten die Hacker Zugriff auf Server eines Internetproviders, worüber sie die falschen Weiterleitungen an Route 53, einem Amazon Web Service, weitergaben. Diese Ergebnisse wurden auch von den Google DNS-Servern genutzt, den die meisten betroffenen User verwendet haben. Der Angreifer leitete den Verkehr auf seine eigene DNS um und die Nutzer damit auf eine gefälschte Website. Die genaue Beschreibung des Angriffs findet man in einer Veröffentlichung von Cloudflare.
Sicherheitsforscher Kevin Beaumont meint in einem Beitrag, es wäre sehr ungewöhnlich, dass sowohl BGP, als auch DNS-Schwachstellen gemeinsam genutzt werden, insbesondere bei einem so hochkarätigen Diebstahl: „Dies ist der größte Angriff, den ich je gesehen habe und der beides vereint und er unterstreicht die Fragilität der Internetsicherheit.“ Kevin Beaumont berichtet, dass es sich bei Amazon tatsächlich um den Internet-Domain-Service von Google handelte, der bei dem Angriff ins Visier genommen wurde. Die Hacker leiteten den DNS-Verkehr für mehr als zwei Stunden um. In einer Stellungnahme betonte ein Vertreter von Amazon Web Services, dass das eigene DNS-System des Dienstes nie kompromittiert wurde: „Weder AWS noch Amazon Route 53 wurden gehackt oder kompromittiert“.
MyEtherWallet bestätigte den Angriff mit einer Aussage auf Reddit: „Wir prüfen derzeit, auf welche Server gezielt zugegriffen wurde, um dieses Problem so schnell wie möglich zu beheben“, teilte das Unternehmen den Nutzern mit. „Wir empfehlen Benutzern, eine lokale (Offline-) Kopie der MyEtherWallet zu machen.“
Die gestohlenen Ether wurden nach der Transaktion auf das fremde Konto in immer kleiner werdenden Anteilen auf andere Konten transferiert. Folgt man der Ether-Adresse, die die 215 gestohlenen Ether enthält, gelangt man zu einer Adresse, auf der über 16 Millionen US Dollar in Ether liegen. Die digitale Brieftasche der Angreifer ist somit prall gefüllt.
Um sich vor Angriffen dieser Art zu schützen, wird empfohlen, immer sicherzustellen, dass das SSL-Zertifikat grün ist. Ist das Zertifikat rot und durchgestrichen, handelt es sich um eine kompromittierte Website. Zudem sollte man MyEtherWallet lokal auf dem Computer installieren und von dort ausführen.
Quelle: Tarnkappe
Du musst angemeldet sein, um Bilder zu sehen.
Der Hack ist zwischen 11.00 Uhr und 13.00 Uhr UTC gestern (7.00 Uhr bis 09.00 Uhr ET) aufgetreten und das Team von MyEtherWallet bemerkte, dass „die Mehrheit der Betroffenen einen Google DNS-Server nutzten“, wie sie in einem Tweet vermerkten. Benutzern wurde eine SSL-Warnung angezeigt, die viele User jedoch ignoriert haben und die Webseite trotzdem aufriefen. Die Phishing-Webseite, die Benutzer für MyEtherWallet hielten, konnte so die privaten Schlüssel der Ether-Adressen stehlen.
Für den Angriff wurde eine Sicherheitslücke des im Internet eingesetzten Routingprotokolls Border Gateway Protocol (BGP) benutzt, das autonome Systeme (AS) miteinander verbindet. Diese autonomen Systeme werden in der Regel von Internetdienstanbietern gebildet. Offenbar erlangten die Hacker Zugriff auf Server eines Internetproviders, worüber sie die falschen Weiterleitungen an Route 53, einem Amazon Web Service, weitergaben. Diese Ergebnisse wurden auch von den Google DNS-Servern genutzt, den die meisten betroffenen User verwendet haben. Der Angreifer leitete den Verkehr auf seine eigene DNS um und die Nutzer damit auf eine gefälschte Website. Die genaue Beschreibung des Angriffs findet man in einer Veröffentlichung von Cloudflare.
Sicherheitsforscher Kevin Beaumont meint in einem Beitrag, es wäre sehr ungewöhnlich, dass sowohl BGP, als auch DNS-Schwachstellen gemeinsam genutzt werden, insbesondere bei einem so hochkarätigen Diebstahl: „Dies ist der größte Angriff, den ich je gesehen habe und der beides vereint und er unterstreicht die Fragilität der Internetsicherheit.“ Kevin Beaumont berichtet, dass es sich bei Amazon tatsächlich um den Internet-Domain-Service von Google handelte, der bei dem Angriff ins Visier genommen wurde. Die Hacker leiteten den DNS-Verkehr für mehr als zwei Stunden um. In einer Stellungnahme betonte ein Vertreter von Amazon Web Services, dass das eigene DNS-System des Dienstes nie kompromittiert wurde: „Weder AWS noch Amazon Route 53 wurden gehackt oder kompromittiert“.
MyEtherWallet bestätigte den Angriff mit einer Aussage auf Reddit: „Wir prüfen derzeit, auf welche Server gezielt zugegriffen wurde, um dieses Problem so schnell wie möglich zu beheben“, teilte das Unternehmen den Nutzern mit. „Wir empfehlen Benutzern, eine lokale (Offline-) Kopie der MyEtherWallet zu machen.“
Die gestohlenen Ether wurden nach der Transaktion auf das fremde Konto in immer kleiner werdenden Anteilen auf andere Konten transferiert. Folgt man der Ether-Adresse, die die 215 gestohlenen Ether enthält, gelangt man zu einer Adresse, auf der über 16 Millionen US Dollar in Ether liegen. Die digitale Brieftasche der Angreifer ist somit prall gefüllt.
Um sich vor Angriffen dieser Art zu schützen, wird empfohlen, immer sicherzustellen, dass das SSL-Zertifikat grün ist. Ist das Zertifikat rot und durchgestrichen, handelt es sich um eine kompromittierte Website. Zudem sollte man MyEtherWallet lokal auf dem Computer installieren und von dort ausführen.
Quelle: Tarnkappe