Phishing-Kampagne missbraucht Incident-Management-Plattform zur Imitation von Trust Wallet

Angreifende entwickeln ihre Taktiken ständig weiter. In dieser Anfang 2026 beobachteten Phishing-Kampagne wurde eine legitime Incident-Management-Plattform missbraucht, um die Glaubwürdigkeit des Angriffs zu erhöhen.

## Wie der Angriff abläuft

Die Kampagne beginnt mit dem Missbrauch einer legitimen Abonnement-Bestätigungsmail von [incident.io](http://incident.io/), einer Plattform zur Verwaltung und Kommunikation technischer Vorfälle. Die Mail enthält eine Abonnement-Bestätigung für eine von den Angreifenden kontrollierte Incident-Statusseite, die Trust Wallet mit Namen und Bildmaterial der Marke imitiert (Abbildung 1). Trust Wallet ist eine bekannte Kryptowährungs-Wallet – und damit ein lohnendes Ziel für Angreifende, die es auf digitale Vermögenswerte abgesehen haben.

Von der ersten Phishing-Mail an durchläuft der Angriff folgende Schritte:

1. ‍Abonnement-Bestätigungsseite

Klickt die empfangende Person auf den Bestätigungslink, gelangt sie auf eine bei incident.io gehostete Statusseite, die das Abonnement des Vorfalls „URGENT SECURITY" bestätigt (Abbildung 2). Die Seite bietet zudem die Möglichkeit, den nun abonnierten Vorfall anzusehen.

2. Gefälschte Incident-Seite

Ein Klick auf „View Incident" leitet auf eine Vorfallsseite weiter (Abbildung 3), die die Angreifenden auf der legitimen incident.io-Plattform erstellt haben. Auf den ersten Blick kann der Vorfall echt wirken, da er auf einer vertrauenswürdigen Domain liegt. Er ist als dringender Vorfall vom Typ „Security Attack" gekennzeichnet, um beim Lesen ein Gefühl der Dringlichkeit zu erzeugen.

Es handelt sich jedoch nicht um einen echten Sicherheitsvorfall bei Trust Wallet. Der Vorfall wird von den Angreifenden kontrolliert und behauptet:

• Ein Sicherheitsangriff beeinträchtige die Funktion von Trust Wallet
• Verpflichtende Sicherheitsupdates seien veröffentlicht worden
• Sofortiges Handeln sei erforderlich

Nutzende werden gedrängt, auf „Update your wallet now" zu klicken.

‍

3. Credential Harvesting auf einer Look-alike-Domain

Ein Klick auf „Update your wallet now" führt auf eine kürzlich registrierte, täuschend ähnliche Trust-Wallet-Domain. Die schädliche Seite behauptet, ein neues Update sei verfügbar, und fordert zum Fortfahren auf (Abbildung 4).

Klickt die Person auf „Update now", soll sie sich mit ihren Trust-Wallet-Zugangsdaten anmelden (Abbildung 5) und zusätzlich ihre zwölf Wörter umfassende geheime Wiederherstellungsphrase (Secret Recovery Phrase) angeben (Abbildung 6).

Der letzte Schritt bestätigt das Ziel der Kampagne: die vollständige Kompromittierung der Wallet. Mit Passwort und Wiederherstellungsphrase können die Angreifenden die Kryptowährungs-Wallet vollständig übernehmen und leerräumen.

Warum dieser Angriff wirksam ist

Die Kampagne ist wirksam, weil sie

• eine legitime SaaS-Plattform nutzt (incident.io),
• echte, auf einer vertrauenswürdigen Domain gehostete Incident-Seiten missbraucht,
• mit einem „Security Attack"-Narrativ Dringlichkeit erzeugt, das zum Vorfalls-Kontext passt,
• gezielt Kryptowährungs-Nutzende anspricht, bei denen sich gestohlene Mittel oft nicht zurückholen lassen.

Durch die Kombination aus vertrauenswürdiger Infrastruktur, Markenimitation und Dringlichkeit erhöhen die Angreifenden die Glaubwürdigkeit dieses Köders erheblich.

Wesentliche Erkenntnisse

• Legitime Dienste können missbraucht werden, um von Angreifenden kontrollierte Inhalte zu hosten oder zu versenden.
• Sicherheitswarnungen immer direkt über offizielle Kommunikationskanäle verifizieren.
• Seriöse Anbieter von Kryptowährungs-Wallets fragen niemals nach der geheimen Wiederherstellungsphrase.
• Wiederherstellungsphrasen niemals auf externen Websites eingeben.

Da Angreifende zunehmend vertrauenswürdige Dienste als Waffe einsetzen, bleiben Awareness der Nutzenden und starke E-Mail-Sicherheitskontrollen die entscheidenden Verteidigungslinien gegen Credential Harvesting und Vermögensverluste.