Geld gestolen bij LocalBitcoins door 'onbevoegde gebruiker'
Op 26 januari rapporteerde LocalBitcoins over een beveiligingsprobleem. Een 'onbevoegde gebruiker' zou toegang gekregen hebben tot een aantal accounts en is er met het geld vandoor gegaan. Wat is er gebeurd?
Phising-aanval
Phishing is een vorm van internetfraude. Het bestaat uit het oplichten van mensen door ze te lokken naar een valse website, vaak een kopie van de echte website. Daar loggen mensen in met hun inlognaam en wachtwoord, en die gegevens worden ook doorgestuurd naar de aanvaller. Hierdoor krijgt de fraudeur de beschikking over deze gegevens, met alle gevolgen van dien.
In dit geval bleek dat er gerommeld was met het forum van LocalBitcoins. Daar werden al ingelogde gebruikers verzocht om nogmaals in te loggen. De ingevoerde gegevens werden doorgestuurd, waarmee het geld van de nietsvermoedende gebruikers werd weggesluisd.
Op dit moment is het forum gesloten. In eerste instantie kon er ook geen geld meer opgenomen worden via het platform, maar dat is na het vinden van de oorzaak weer hersteld.
Verklaring
De eerste melding dat LocalBitcoins gecompromitteerd was, verscheen op Reddit. Niet veel later kwam een community manager van LocalBitcoins met een verklaring.
Volgens Vera "was het probleem gerelateerd aan third party software, en is de aanval onschadelijk gemaakt". In de verklaring werd voorts gemeld dat "het aantal getroffen gebruikers nog moet worden vastgesteld; van zes gebruikers is bekend dat er geld gestolen is".
8 BTC gestolen?
Eén van de gebruikers meldt op Reddit dat van hem 0,14 BTC gestolen is. Hij stelt dat zijn geld naar deze wallet is verstuurd. Daar is in totaal zo'n 8 BTC op gestort, een kleine $30.000. Het is onbekend of dit het enige adres is dat door de aanvaller is gebruikt.
Dit is een voorbeeld van een aanval die als gebruiker zeer lastig te herkennen is. Je surft naar een vertrouwde domeinnaam. Je logt in op diezelfde pagina op de manier waarop je altijd inlogde. En achteraf merk je dat er geld verdwenen is.
Vera van LocalBitcoins adviseert alle gebruikers om two factor authentication (2FA) aan te zetten, maar dat had in dit geval niet voorkomen dat de aanvaller kon inloggen. De 2FA-code werd ook in het nepformulier gevraagd (en doorgestuurd).
Wat mogelijk kan helpen, is het uitvoeren van geldopnames te bewaken met een extra wachtwoord. Denk aan een nieuw gegenereerde 2FA-code, een PIN-code, of een bevestigingsemail. Zo blijft je geld veilig staan waar het hoort, zelfs als iemand toegang heeft gekregen tot je accountgegevens.
Iedereen heeft een mening
Onder de noemer Opinie schrijven we regelmatig over een spraakmakende podcast, video of tweetstorm.
We zijn het niet noodzakelijkerwijs eens met de spreker of schrijver, maar vinden het interessant genoeg om
te delen, duiden en ondertitelen.
Over de auteur
