{"id":4622,"date":"2025-09-02T04:00:00","date_gmt":"2025-09-02T04:00:00","guid":{"rendered":"https:\/\/cybersecurityinfocus.com\/?p=4622"},"modified":"2025-09-02T04:00:00","modified_gmt":"2025-09-02T04:00:00","slug":"wie-erpresser-an-coinbase-scheiterten","status":"publish","type":"post","link":"https:\/\/cybersecurityinfocus.com\/?p=4622","title":{"rendered":"Wie Erpresser an Coinbase scheiterten"},"content":{"rendered":"
\n
\n
\n
\n
<\/div>\n
Transparenz und schonungslose Aufarbeitung stehen bei Coinbase im (Security-)Fokus.\n

Coinbase<\/p>\n<\/div>\n

Anfang Mai 2025 ging beim auf Kryptow\u00e4hrungen spezialisierten Finanzdienstleister Coinbase eine E-Mail von Cyberkriminellen ein. Wie dem zugeh\u00f6rigen Bericht an die US-B\u00f6rsenaufsicht SEC<\/a> zu entnehmen ist, behaupteten die Kriminellen, Kundendaten sowie interne Dokumente des Unternehmens erlangt zu haben. Sie drohten damit, diese im Netz zu ver\u00f6ffentlichen, falls das Unternehmen kein L\u00f6segeld zahlt<\/a>.<\/p>\n

Wie sich im Nachgang herausstellte, hatten die Angreifer Mitarbeiter eines Dienstleisters von Coinbase in Indien bestochen, um an Zugangsdaten f\u00fcr die internen Systeme der weltweit gr\u00f6\u00dften Kryptob\u00f6rse zu kommen. F\u00fcr Philip Martin<\/a>, Chief Security Officer von Coinbase, manifestierte sich damit eine neue Evolutionsstufe der Cyberkriminalit\u00e4t<\/a>: \u201cBis zu diesem Zeitpunkt war mir kein anderer Fall bekannt, bei dem Bestechungsgelder in diesem Ausma\u00df eingesetzt wurden \u2013 sowohl was den langfristigen Fokus der Angreifer, als auch was die H\u00f6he der Gelder angeht.\u201d<\/p>\n

Wir haben mit dem Coinbase-CSO die Details dieses Angriffs er\u00f6rtert \u2013 und wie das Unternehmen darauf geantwortet hat.<\/p>\n

Der Angriff auf Coinbase<\/h2>\n

Im Dezember 2024 begannen die Angreifer damit, Kundendienstmitarbeiter von Coinbase ins Visier zu nehmen, die beim Outsourcing-Dienstleister TaskUs in Indore, Indien t\u00e4tig waren. Diesen boten sie f\u00fcr die Weitergabe von Daten Bestechungsgelder in H\u00f6he von bis zu 2.500 Dollar pro Person an. Von dem so bewerkstelligten Datendiebstahl war circa ein Prozent der monatlich auf Coinbase aktiven Nutzer betroffen \u2013 konkret etwa 70.000. Die erbeuteten Informationen enthielten zwar keine privaten Keys, Account- und Wallet-Zugangsdaten, aber eine Reihe anderer, personenbezogener und interner Daten, die sich beispielsweise f\u00fcr Social Engineering<\/a> nutzen lie\u00dfen. Etwa:<\/p>\n

Informationen zu Benutzerkonten wie Portfoliowert und Transaktionshistorie,<\/p>\n

Kontaktinformationen wie E-Mail-Adressen und Telefonnummern,<\/p>\n

maskierte Sozialversicherungsnummern und Bankdaten,<\/p>\n

Identit\u00e4tsnachweise in Form von Ausweisen und F\u00fchrerscheinen, sowie<\/p>\n

Schulungsmaterial f\u00fcr Kundendienstmitarbeiter und weitere, interne Dokumente. \u00a0\u00a0\u00a0<\/p>\n

In der Folge forderten die Cyberkriminellen von Coinbase ein L\u00f6segeld in H\u00f6he von 20 Millionen Dollar, um eine Ver\u00f6ffentlichung im Netz, respektive eine Offenlegung der Vorg\u00e4nge zu verhindern. Darauf reagierte das Kryptounternehmen, indem es sich \u00f6ffentlich weigerte, zu bezahlen und stattdessen im Gegenzug ein \u201cKopfgeld\u201d in H\u00f6he des geforderten Betrages auf die Kriminellen aussetzte<\/a>. \u00a0<\/p>\n

Dar\u00fcber hinaus versprach Coinbase betroffenen Kunden, die auf Social-Engineering-Attacken der Angreifer hereingefallen waren, vollumf\u00e4nglich zu entsch\u00e4digen \u2013 aus freien St\u00fccken. In Kooperation mit Partnern flaggte der Zahlungsdienstleister zudem die Blockchain<\/a>-Adressen der Angreifer, um die Strafverfolgungsbeh\u00f6rden bestm\u00f6glich dabei zu unterst\u00fctzen, die Kriminellen aufzusp\u00fcren und gestohlene Assets wiederzubeschaffen. Die outgesourcten Innent\u00e4ter<\/a> bei TaskUs wurden entlassen und ihre Daten an die zust\u00e4ndigen Strafverfolgungsbeh\u00f6rden \u00fcbermittelt. Inzwischen arbeitet Coinbase nicht mehr mit dem Dienstleister zusammen. Die Kosten f\u00fcr Abhilfema\u00dfnahmen und R\u00fcckerstattungen sch\u00e4tzte die Kryptob\u00f6rse in ihrer Meldung an die SEC auf 180 bis 400 Millionen Dollar. \u00a0<\/p>\n

Kryptogigant mit Vorbildfunktion<\/h2>\n

Unter Cybersecurity-Experten erntete die Reaktion von Coinbase auf den Vorfall gro\u00dfes Lob<\/a>, insbesondere aufgrund:<\/p>\n

der transparenten Kommunikation,<\/p>\n

der schnellen Problembehebung, sowie<\/p>\n

der Bereitschaft, betroffene Kunden zu entsch\u00e4digen.<\/p>\n

Das schreibt Chief Security Officer Martin einerseits dem allgemeinen Security-Niveau bei Coinbase, andererseits auch seinem Team von rund 300 Security-Experten zu: \u201cWir investieren viel Zeit und technische Ressourcen, um es Cyberkriminellen so schwer wie nur m\u00f6glich zu machen, unsere Kunden zu bestehlen. Deshalb gibt es diverse Profis in unserer Organisation, die sich mit den Themen Architektur, Segmentierung und Zugriffskontrollen<\/a> besch\u00e4ftigen.\u201d<\/p>\n

Dass sich der Kryptogigant weigerte, das geforderte L\u00f6segeld zu entrichten, sei dabei nicht nur eine Frage des Prinzips gewesen, wie Martin erl\u00e4utert: \u201cNat\u00fcrlich war es auch eine prinzipielle Frage. Auf der anderen Seite ging es um die Daten unserer Kunden und wir sind verpflichtet, diese zu sch\u00fctzen. Es gab davon abgesehen keinen Grund f\u00fcr uns, den Beteuerungen der Kriminellen Glauben zu schenken, die Daten im Fall einer Zahlung nicht zu ver\u00f6ffentlichen<\/a>.\u201d<\/p>\n

Jede Zahlung an Cyberkriminelle oder Ransomware-Akteure ermutige diese lediglich, ihr schadhaftes Treiben fortzuf\u00fchren, so der Sicherheitsentscheider: \u201cL\u00f6segeld zu bezahlen, ist eine kurzsichtige Strategie. Damit finanziert man nur die n\u00e4chste Attacke, sei es auf sich selbst oder andere.\u201d<\/p>\n

Allerdings r\u00e4umt Martin ein, dass es \u2013 je nach Situation \u2013 auch sinnvoll sein kann, L\u00f6segeldforderungen nachzukommen: \u201cGeht es um Ransomware, steht man eventuell tats\u00e4chlich vor der Wahl, entweder zu bezahlen oder zu riskieren, dass das Unternehmen den Angriff nicht \u00fcberlebt<\/a>.\u201d<\/p>\n

Philip Martin<\/a> ist seit 2016 Chief Security Officer bei Coinbase<\/a>.\n

Philip Martin \/ Coinbase<\/p>\n<\/div>\n

Ein wichtiger Aspekt der Attacke auf Coinbase ist der Fakt, dass die Bestechungsaktion der Kriminellen darauf abzielte, an Daten zu gelangen, um Coinbase zu erpressen. Ansonsten ist es bei finanziell motivierten Angreifern eher \u00fcblich, Daten zu erbeuten, mit denen dann die Wallets von Kryptoinvestoren gepl\u00fcndert werden \u2013 etwa im Rahmen von SIM-Swapping<\/a>-Kampagnen.<\/p>\n

Mit Bestechungsversuchen von Mitarbeitern hatte Coinbase allerdings schon vor dem Vorfall Erfahrungen gemacht, wie der CSO preisgibt: \u201cBereits zuvor hatten Support-Techniker ihre autorisierten Zug\u00e4nge dazu genutzt, Informationen von Coinbase-Kunden zu stehlen. Diese wurden anschlie\u00dfend von Cyberkriminellen f\u00fcr Social-Engineering-Angriffe missbraucht. Die Bestechungsgelder in diesen F\u00e4llen erreichten mit der Zeit immer neue H\u00f6hen.\u201d<\/p>\n

Deswegen habe Coinbase zun\u00e4chst seine Kontrollma\u00dfnahmen auf den Pr\u00fcfstand gestellt und entsprechend aktualisiert: \u201cWir haben sichergestellt, nach jedem Vorfall ein Postmortem<\/a> abzuhalten, bei dem wir unsere Erfahrungen und Learnings reflektiert, aufgearbeitet und so schnell wie m\u00f6glich in unser Security-Programm integriert haben. Dann ereilte uns diese L\u00f6segeldforderung.\u201d<\/p>\n

Dass Mitarbeitende von Cyberkriminellen bestochen werden, ist dabei nicht unbedingt eine neue Entwicklung \u2013 die Reaktion von Coinbase jedoch durchaus, meint Zach Edwards<\/a>, Senior Threat Researcher beim Sicherheitsspezialisten Silent Push: \u201cKriminelle bestechen schon seit Jahren Kundendienstmitarbeiter, um ihre Angriffe durchf\u00fchren zu k\u00f6nnen. Dass Coinbase zur\u00fcckgeschlagen und ein Kopfgeld auf die Kriminellen ausgesetzt hat, ist jedoch Neuland \u2013 das ist in dieser Form bislang noch nicht geschehen.\u201d<\/p>\n

Bestechungsrisiken reduzieren<\/h2>\n

Im Rahmen seines Reports an die SEC erkl\u00e4rte Coinbase, dass es aufgrund des Vorfalls plane, ein neues Kunden-Support-Zentrum in den USA zu er\u00f6ffnen. Ferner werde man weitere Ma\u00dfnahmen ergreifen, um \u00e4hnliche Vorf\u00e4lle k\u00fcnftig zu verhindern. Allerdings warnt Coinbase-CSO Martin davor, das Problem auf bestimmte Schwellenl\u00e4nder abzuw\u00e4lzen: \u201cDas w\u00e4re ein gro\u00dfer Fehler. Bestechungsversuche k\u00f6nnen \u00fcberall auf der Welt zum Problem werden. Meiner Meinung nach h\u00e4ngt das in erster Linie mit der Personalauswahl zusammen. Es gab schlie\u00dflich auch diverse Mitarbeiter in Indien, die nicht auf die Angebote der Kriminellen eingegangen sind.\u201d<\/p>\n

Das sieht auch Greg Linares<\/a>, Principal Threat Intelligence Analyst beim Security-Anbieter Huntress, so: \u201cBedrohungsakteure nehmen auch Besch\u00e4ftigte in Industrienationen ins Visier<\/a>. Das Modell ist dabei ganz einfach: Wenn IT-Experten bei milliardenschweren Konzernen ein Jahresgehalt von 60.000 Dollar verdienen und ihnen das achtfache davon f\u00fcr 15 Minuten \u2018Arbeit\u2019 angeboten wird, ist das attraktiv. Ganz besonders, wenn die Aussicht besteht, eventuell unbemerkt damit durchzukommen.\u201d<\/p>\n

Angesichts der erheblichen Risiken, die mit solchen Bestechungsversuchen im Unternehmensumfeld verbunden sind, sollten Sicherheitsentscheider t\u00e4tig werden. Silent-Push-Experte Edwards r\u00e4t etwa dazu, das Thema explizit im Rahmen von Schulungsprogrammen zu behandeln und Red-Teaming-\u00dcbungen<\/a> mit Besch\u00e4ftigten abzuhalten, die mit Kundendaten arbeiten. \u201cKundensupport-Teams m\u00fcssen nicht nur dar\u00fcber Bescheid wissen, wie mit unbefugten Passwort-Reset-Versuchen umzugehen ist. Sie sollten auch Strategien an die Hand bekommen, um potenzielle Bestechungsversuche zu h\u00e4ndeln.\u201d<\/p>\n

Coinbase-CSO Martin nimmt aus dem Erlebten als zentrales Learning mit, dass Cyberkriminelle \u2013 unabh\u00e4ngig vom Security-Niveau eines Unternehmens \u2013 regelm\u00e4\u00dfig alles versuchen, um einen Weg zu finden, sich dennoch unberechtigten Zugang zu verschaffen. Einhundertprozentige Sicherheit werde es deshalb auch k\u00fcnftig nicht geben, so der Sicherheitsentscheider. Er f\u00fcgt hinzu: \u201cOder um es mit Mike Tyson zu sagen: Jeder hat einen Plan, bis er einen Schlag ins Gesicht bekommt.\u201d<\/p>\n

Sie wollen weitere interessante Beitr\u00e4ge rund um das Thema IT-Sicherheit lesen? <\/strong>Unser kostenloser Newsletter<\/strong><\/a> liefert Ihnen alles, was Sicherheitsentscheider und -experten wissen sollten, direkt in Ihre Inbox.<\/strong><\/p>\n<\/div>\n<\/div>\n<\/div>\n<\/div>","protected":false},"excerpt":{"rendered":"

Transparenz und schonungslose Aufarbeitung stehen bei Coinbase im (Security-)Fokus. Coinbase Anfang Mai 2025 ging beim auf Kryptow\u00e4hrungen spezialisierten Finanzdienstleister Coinbase eine E-Mail von Cyberkriminellen ein. Wie dem zugeh\u00f6rigen Bericht an die US-B\u00f6rsenaufsicht SEC zu entnehmen ist, behaupteten die Kriminellen, Kundendaten sowie interne Dokumente des Unternehmens erlangt zu haben. Sie drohten damit, diese im Netz zu […]<\/p>\n","protected":false},"author":0,"featured_media":4623,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[3],"tags":[],"class_list":["post-4622","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-education"],"_links":{"self":[{"href":"https:\/\/cybersecurityinfocus.com\/index.php?rest_route=\/wp\/v2\/posts\/4622"}],"collection":[{"href":"https:\/\/cybersecurityinfocus.com\/index.php?rest_route=\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/cybersecurityinfocus.com\/index.php?rest_route=\/wp\/v2\/types\/post"}],"replies":[{"embeddable":true,"href":"https:\/\/cybersecurityinfocus.com\/index.php?rest_route=%2Fwp%2Fv2%2Fcomments&post=4622"}],"version-history":[{"count":0,"href":"https:\/\/cybersecurityinfocus.com\/index.php?rest_route=\/wp\/v2\/posts\/4622\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/cybersecurityinfocus.com\/index.php?rest_route=\/wp\/v2\/media\/4623"}],"wp:attachment":[{"href":"https:\/\/cybersecurityinfocus.com\/index.php?rest_route=%2Fwp%2Fv2%2Fmedia&parent=4622"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/cybersecurityinfocus.com\/index.php?rest_route=%2Fwp%2Fv2%2Fcategories&post=4622"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/cybersecurityinfocus.com\/index.php?rest_route=%2Fwp%2Fv2%2Ftags&post=4622"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}