Pas op wat je backupt - gebruiker 650k USD in crypto kwijt na iCloud hack
De decentrale Ethereum-wallet MetaMask is onder vuur komen te liggen nadat een gebruiker op Twitter heeft gemeld dat zijn iCloud is gehackt.
Phishing, spoofing & 100k beloning
De aanvallers zijn binnengekomen via een phishing attack, waarbij hackers proberen binnen te komen via linkjes in bijv. nep e-mails of smsjes. In principe is dit niet direct een probleem, ware het niet dat het slachtoffer geen idee had dat naast zijn foto's en video's, ook zijn Metamask wallet automatisch werd gebackupt.
De hackers gingen goed voorbereid te werk. Eerst werden aan het slachtoffer via SMS meerdere meldingen verstuurd dat het Apple account gereset moest worden. Hierna werd er achteraan gebeld met het telefoonnummer van Apple - een techniek die spoofing wordt genoemd - en werd gevraagd naar de resetcode die het slachtoffer had ontvangen. De hackers konden met de combinatie e-mail adres en resetcode het wachtwoord van het slachtoffer wijzigen, waarna zij toegang hadden tot het Apple account van het slachtoffer, inclusief de iCloud backups.
Naast persoonlijke informatie als foto's en filmpjes, werden de recovery phrase (ookwel mnenomic phrase) buitgemaakt: een combinatie van 12 tot 25 Engelstalige woorden die toegang verschaft tot een wallet. In de wallet van het slachtoffer stonden voor 655k USD aan NFT's en Ethereum-tokens, die zijn verstuurd naar het adres van de hackers. Het slachtoffer heeft een beloning van 100k uitgeloofd voor het terugbrengen van zijn NFT's.
Kritiek op MetaMask
Binnen de crypto- en NFT-community is met verbazing gereageerd op deze hack: niet zozeer dat het slachtoffer in deze phishing-truc is getrapt, maar dat MetaMask jouw data automatisch backupt in de iCloud van Apple. Bij het inzien van je recovery phrase komt de melding dat je deze nooit moet delen met anderen, maar de app deelt deze wél automatisch met de Apple iCloud. En dat zonder dit bij de gebruikers te vermelden. Aanleiding voor MetaMask om gebruikers hierop te attenderen en beter naar hun beveiliging te kijken. A little too late.
Tips voor betere beveiliging
Wat voor device je ook gebruikt, beveiliging is essentieel bij crypto:
* Belangrijkste van allemaal: not your keys, not your coins. Deel nooit je private keys of recovery phrases
* Klik nooit op links in smsjes of e-mails om phishing te voorkomen
* Word je gebeld door 'vertrouwde' bedrijven (zoals Apple of Microsoft), vraag naar de naam van de medewerker, hang op en bel (als je het al vertrouwt) terug op het nummer op de officiële website en vraag naar de desbetreffende medewerker
* Gebruik altijd een password manager zoals KeePass of LastPass om je wachtwoorden in te bewaren. Laat wachtwoorden genereren door de software en gebruik deze nooit meer dan één keer
* Bewaar recovery phrases nooit onversleuteld op je computer, in je iCloud of op Dropbox. Sla deze bijvoorbeeld op in je password manager
* Schakel waar mogelijk altijd 2FA in: naast username/password dient ook een 2e verificatie-stap genomen te worden, bijvoorbeeld een 6-cijferige code die Google Authenticator voor je genereert of een Yubikey
* Voor Apple gebruikers: schakel de automatische backups van MetaMask en eventueel andere wallet-software uit. Zie bovenstaande thread op het officiële Twitter-account van MetaMask