Millionen-Hack: Der Krypto-Raubzug des 15-jährigen Ellis Pinsky

Der Krypto-Raubzug des 15-jährigen Ellis Pinsky zeigt, wie einfach Hacker mit der sogenannten SIM-Swapping-Methode an sensible Daten ihrer Opfer kommen und so Zugriff auf deren digitale Identität bekommen.

Der US-Amerikaner Ellis Pinsky war 2018 gerade einmal 15 Jahre alt, als er mit einem Krypto-Hack fast 24 Millionen US-Dollar an Krypto erbeutete. Sein Opfer? Der Multimillionär und Unternehmer Michael Terpin, der mit mehreren großen Investitionen tief im Krypto-Space steckt und sich mit Cybersicherheit eigentlich gut auskennt.

Doch die Art und Weise, wie Pinsky damals an die Krypto-Millionen des Unternehmers herankommt, ist relativ einfach. Möglich machte das ein sogenanntes “SIM-Swapping”. Wie genau der heute 20-Jährige diese Form des Angriffs einsetzte, um Terpin Millionen zu stehlen, verriet er jüngst in einem Interview mit dem Rolling Stone Magazin.

Krypto-Hack: Die Details

2018 erhält der damals 15-Jährige, dessen Hacker-Karriere sich zu dem Zeitpunkt vor allem auf das Trollen von Call-of-Duty-Spielern beschränkt, über ein Forum den Auftrag, der ihm Millionen einbringen würde: Er soll das Handy eines bestimmten Opfers hacken. Ziel des Angriffs ist Michael Terpin, 60, der zu dem Zeitpunkt in der Krypto-Szene als Schwergewicht gilt.

Mit einem Komplizen gelingt es Pinsky, mehrere E-Mail-Konten von Michael Terpin zu hacken, indem sie mithilfe seiner Handynummer dessen 2-Faktor-Authentifizierung (2FA) sabotierten und Passwörter und Zugänge zurücksetzen – das sogenannte SIM-Swapping. In den E-Mail-Konten des Opfers finden sie Hinweise für Krypto-Passwörter, Seed-Phrases und Krypto-Wallets.

Für die Hacker läuft es besser als erwartet. Denn tatsächlich findet sich im E-Mail-Postfach des Unglücklichen ein Ordner, der auf den Namen “Passwörter” hört. Darin: Passwörter zu diversen Krypto-Wallets. Unter anderem will Pinsky eine Ethereum Wallet mit Kryptos im Wert von 900 Millionen US-Dollar gesehen haben, die sollen allerdings mit einer Multi-Signatur gesichert gewesen sein – die Suche geht also weiter.

Schließlich stößt er auf eine Wallet mit 3 Millionen Token der Kryptowährung Trigger. Mit Blick auf CoinMarketCap wurde schnell klar: Bei etwa sieben US-Dollar pro Stück war Pinsky auf einen Gesamtwert von mehr als 20 Millionen US-Dollar gestoßen.

Nach dem erfolgreichen Transfer auf seine Wallet war der damalige Teenager jedoch nicht in der Lage, die Token vollständig in bares Geld umzuwandeln. 2018 gab es keine dezentralen Börsen wie Uniswap und Co. Auch war es wegen der KYC-Bestimmungen nicht möglich, die Token unentdeckt auf einer zentralisierten Börse zu verkaufen oder zu tauschen. Außerdem mangelte es an Liquidität der obskuren Token, weshalb jeder Verkauf den Preis dieser weiter abstürzen ließ.

Pinsky sah sich gezwungen, über mehrere Mittelsmänner d2ie Token zu verkaufen. Diese behielten die Coins aber häufig für sich. Am Ende konnte Pinsky immerhin noch mit rund 562 Bitcoin, damals etwa 10 Millionen US-Dollar, aus seinem Raubzug gehen. Hätte er gehodlt und wäre den Ermittlern entwischt, wären die Bitcoin heute knapp 113 Millionen US-Dollar wert.

Doch er hodlte nicht, sondern kaufte ein, weshalb die Ermittler schnell zu ihm fanden. Nach seiner Verhaftung gab Pinsky die übrigen Bitcoin zurück. Aufgrund seiner Kooperationsbereitschaft und seines jungen Alters ließ man vor Gericht sogar Gnade walten. So ist der junge Mann heute frei und steht kurz vor dem Abschluss eines Studium – natürlich Computer-Wissenschaften.

SIM-Swapping

Michael Terpin verhielt sich mit der Verwahrung wichtiger Passwörter und privaten Schlüsseln auf E-Mail-Konten mehr als fahrlässig. Dafür zahlte er auch ein entsprechendes Lehrgeld. Vor allem aber das SIM-Swapping machte es möglich, für kurze Zeit die digitale Identität seines Opfers zu steuern.

Beim SIM-Swapping, auch als “Port-Out-Scam” bezeichnet, werden Mitarbeiter von Telefon-Anbietern dazu genötigt oder dafür bezahlt, die Rufnummer eines Opfers auf ein Handy der Angreifer zu portieren. Diese empfangen dann die SMS-Benachrichtigungen des Opfers und umgehen zahlreiche Sicherheitsmechanismen.

Für gewisse Krypto-Börsen, aber auch anderen Plattformen für E-Mail oder Bankkonten, ist das Empfangen von Codes per SMS Teil der 2-Faktor-Authentifizierung (2FA). Möchte man beispielsweise den Zugang zu seinen Konten wiederherstellen, verifiziert man sich beim jeweiligen Anbieter über diese SMS-Codes.

So bekam auch Ellis Pinsky Zugang zu den E-Mail-Konten Terpins, auf denen er die Schlüssel zum Vermögen seines Opfers fand. Abgesehen von der Offline-Speicherung sensibler Daten und Krypto-Schlüsseln, sollten Nutzer also vor allem ihre 2FA-Methode neu abwägen. Denn auch manche Krypto-Börsen ermöglichen so die Wiederherstellung der Accounts und den Zugang zum Konto.

Wer diese Art der 2FA nutzt, könnte anfällig für einen solchen Angriff sein. Hier empfiehlt sich die Nutzung spezieller 2FA Apps, wie beispielsweise den “Google Authenticator”. Diese arbeiten, anstelle von SMS, mit verschlüsselten Codes über das Internet und stellen ein viel geringeres Risiko dar.

   
Quelle