- Trezor warnt seine Newsletter-Abonnenten vor einer laufenden Phishing-Attacke.
- Laut eigener Darstellung handelt es sich um eine Lücke, die durch einen Insider bei dem Dienstleister MailChimp entstanden ist.
- Viele Kunden des Herstellers für Hardware-Wallets haben den Newsletter abonniert und sollten sich jetzt besser vorsehen.
Bei dem aktuell laufenden Angriff auf die Abonnenten des Trezor-Newsletters handelt es sich um täuschend echte E-Mails, weshalb nur besonders wachsame Empfänger davor gefeit sind.
Auch in diesem Fall versucht der oder die Täter an die Kryptowährungen der potenziellen Opfer zu gelangen. In der Phishingmail wird ein Notfall vorgetäuscht und die Empfänger dazu aufgefordert, Schadsoftware herunterzuladen. Es wird daher davor gewarnt, E-Mails des Herstellers zu öffnen oder darauf anderweitig zu reagieren. Trezor stellte die Kommunikation per Newsletter bereits ein und warnte ausdrücklich vor dem Absender [email protected].
Außerdem hat man nach eigenen Angaben die jeweiligen Domains bereits deaktivieren können. Da aktuell die Ursache unklar ist, sollten sich Nutzer der Wallets jedoch nicht darauf verlassen und E-Mails von Trezor vorläufig pauschal ignorieren, bis Entwarnung gegeben werden kann.
Ist es wirklich MailChimp?
Laut Trezor handelt es sich um eine Insider-Attacke durch MailChimp. Dabei ließ man verlauten, dass dies bereits durch MailChimp intern bestätigt worden sei. Tatsächlich findet sich aber kein öffentliches Statement dazu, obgleich eine Sicherheitslücke bei dem Anbieter eine noch größere Tragweite haben könnte.
MailChimp ist weltweit bei Millionen von Firmen und Marketers beliebt, weil sich damit relativ schnell und simple ein Newsletter aufsetzen und gestalten lässt. Bisher gab es keine öffentliche Bestätigung des Unternehmens bezüglich der Darstellung von Trezor.
Daher sollten Anleger, die Selbstverwahrung betreiben, auch bei anderen E-Mails Vorsicht walten lassen. Typische Kriterien für fingierte Mails ist die Aufforderung, unter Zeitdruck oder besonderer Dringlichkeit sensible Daten einzugeben oder eine verlinkte Software herunterzuladen. Zuletzt erlebte die Firma Ledger einen Datenschutz-GAU, als die Nutzerdaten des Kundenstamms ins Netz gestellt wurden.