In der schnelllebigen und sich ständig weiterentwickelnden Welt der Kryptowährungen, in der digitale Vermögenswerte ausgetauscht und Vermögen gemacht werden können, lauert eine Gefahr, die die Sicherheit sowohl erfahrener Anleger als auch Neulinge gefährdet: Krypto-Phishing-Betrug.
Diese Machenschaften zielen darauf ab, das Vertrauen und die Verletzlichkeit von Einzelpersonen auszunutzen, um sie dazu zu bringen, ihre sensiblen Informationen preiszugeben oder sich sogar von ihren hart verdienten Kryptobeständen zu trennen.
Da die Beliebtheit von Kryptowährungen immer weiter zunimmt, nehmen auch die von Cyberkriminellen eingesetzten Phishing-Techniken immer ausgefeilter zu. Von der Nachahmung legitimer Börsen und Wallets bis hin zur Entwicklung überzeugender Social-Engineering-Taktiken schrecken diese Betrüger vor nichts zurück, um sich unbefugten Zugriff auf Ihre digitalen Vermögenswerte zu verschaffen.
Böswillige Akteure nutzen unterschiedliche Methoden des Social Engineering, um ihre Opfer ins Visier zu nehmen. Mit Social-Engineering-Taktiken manipulieren Betrüger die Emotionen der Benutzer und schaffen ein Gefühl von Vertrauen und Dringlichkeit.
Eric Parker, CEO und Mitbegründer von Giddy – einer intelligenten Geldbörse ohne Depotbank – sagte gegenüber Cointelegraph: „Hat sich jemand an Sie gewandt, ohne dass Sie gefragt haben? Das ist eine der wichtigsten Faustregeln, die Sie verwenden können. Der Kundenservice kontaktiert Sie selten, wenn überhaupt, proaktiv, daher sollten Sie immer misstrauisch gegenüber Nachrichten sein, die Sie auffordern, Maßnahmen bezüglich Ihres Kontos zu ergreifen.“
„Die gleiche Idee mit kostenlosem Geld: Wenn Ihnen jemand eine Nachricht sendet, weil er Ihnen kostenloses Geld geben möchte, ist das wahrscheinlich und nicht real. Seien Sie vorsichtig bei Botschaften, die sich zu gut anfühlen, um wahr zu sein, oder die Ihnen sofort das Gefühl von Dringlichkeit oder Angst vermitteln, sodass Sie schnell handeln müssen.“
E-Mail- und Messaging-Betrug
Eine gängige Technik bei Krypto-Phishing-Betrügereien besteht darin, sich als vertrauenswürdige Entitäten auszugeben, beispielsweise als Kryptowährungsbörsen oder Wallet-Anbieter. Die Betrüger versenden E-Mails oder Nachrichten, die scheinbar von diesen legitimen Organisationen stammen, und verwenden dabei ähnliche Markenzeichen, Logos und E-Mail-Adressen. Sie zielen darauf ab, den Empfängern vorzutäuschen, dass die Kommunikation von einer vertrauenswürdigen Quelle stammt.
Um dies zu erreichen, verwenden die Betrüger möglicherweise Techniken wie E-Mail-Spoofing, bei denen sie die E-Mail-Adresse des Absenders fälschen, um den Eindruck zu erwecken, sie käme von einer legitimen Organisation. Möglicherweise nutzen sie auch Social-Engineering-Taktiken, um die Nachrichten zu personalisieren und sie authentischer erscheinen zu lassen. Indem sie sich als vertrauenswürdige Entitäten ausgeben, nutzen Betrüger das mit diesen Organisationen verbundene Vertrauen und die Glaubwürdigkeit aus, um Benutzer dazu zu verleiten, Maßnahmen zu ergreifen, die ihre Sicherheit gefährden.
Gefälschte Supportanfragen
Krypto-Phishing-Betrüger geben sich oft als Kundenbetreuer seriöser Kryptowährungsbörsen oder Wallet-Anbieter aus. Sie senden E-Mails oder Nachrichten an ahnungslose Benutzer, in denen sie auf ein Problem mit ihrem Konto oder eine ausstehende Transaktion hinweisen, die sofortige Aufmerksamkeit erfordert.
Die Betrüger stellen eine Kontaktmethode oder einen Link zu einer gefälschten Support-Website bereit, auf der Benutzer aufgefordert werden, ihre Anmeldeinformationen oder andere vertrauliche Informationen einzugeben.
Omri Lahav, CEO und Mitbegründer von Blockfence – einer Krypto-Sicherheits-Browsererweiterung – sagte gegenüber Cointelegraph: „Es ist wichtig, sich daran zu erinnern, dass jemand, der Ihnen unaufgefordert eine Nachricht oder E-Mail sendet, wahrscheinlich etwas von Ihnen will.“ Diese Links und Anhänge können Malware enthalten, die darauf abzielt, Ihre Schlüssel zu stehlen oder sich Zugriff auf Ihre Systeme zu verschaffen“, fährt er fort:
„Außerdem können sie Sie auf Phishing-Websites weiterleiten. Überprüfen Sie immer die Identität des Absenders und die Legitimität der E-Mail, um die Sicherheit zu gewährleisten. Vermeiden Sie es, direkt auf Links zu klicken. Kopieren Sie die URL und fügen Sie sie in Ihren Browser ein. Überprüfen Sie dabei sorgfältig, ob der Domänenname Rechtschreibfehler aufweist.“
Indem Betrüger sich als Supportmitarbeiter ausgeben, nutzen sie das Vertrauen der Benutzer in legitime Kundensupportkanäle aus. Darüber hinaus machen sie sich den Wunsch zunutze, Probleme schnell zu lösen, was dazu führt, dass Benutzer bereitwillig ihre privaten Daten preisgeben, die Betrüger später für böswillige Zwecke nutzen können.
Gefälschte Websites und geklonte Plattformen
Böswillige Akteure können auch gefälschte Websites und Plattformen erstellen, um ahnungslose Benutzer anzulocken.
Domain-Name-Spoofing ist eine Technik, bei der Betrüger Domain-Namen registrieren, die den Namen legitimer Kryptowährungsbörsen oder Wallet-Anbieter sehr ähnlich sind. Beispielsweise könnten sie eine Domain wie „exchnage.com“ statt „exchange.com“ oder „myethwallet“ statt „myetherwallet“ registrieren. Leider können diese geringfügigen Abweichungen von ahnungslosen Benutzern leicht übersehen werden.
Lahav sagte, dass Benutzer „überprüfen sollten, ob die betreffende Website seriös und bekannt ist“.
Neu: Bitcoin ist auf Kollisionskurs mit „Net Zero“-Versprechen
„Die Überprüfung der korrekten Schreibweise der URL ist ebenfalls von entscheidender Bedeutung, da böswillige Akteure häufig URLs erstellen, die denen legitimer Websites sehr ähneln. Nutzer sollten auch bei Websites, die sie über Google-Anzeigen entdecken, vorsichtig sein, da diese in den Suchergebnissen möglicherweise keinen hohen organischen Rang einnehmen“, sagte er.
Betrüger verwenden diese gefälschten Domänennamen, um Websites zu erstellen, die legitime Plattformen imitieren. Sie versenden häufig Phishing-E-Mails oder Nachrichten mit Links zu diesen gefälschten Websites und täuschen so den Benutzern vor, sie würden auf die echte Plattform zugreifen. Sobald Benutzer ihre Anmeldedaten eingeben oder Transaktionen auf diesen Websites durchführen, erfassen die Betrüger die sensiblen Informationen und nutzen sie zu ihrem Vorteil.
Schädliche Software und mobile Apps
Hacker können auch auf Schadsoftware zurückgreifen, um Benutzer anzugreifen. Keylogger und Clipboard-Hijacking sind Techniken, mit denen Krypto-Phishing-Betrüger vertrauliche Informationen von den Geräten der Benutzer stehlen.
Keylogger sind bösartige Softwareprogramme, die jeden Tastendruck eines Benutzers auf seinem Gerät aufzeichnen. Wenn Benutzer ihre Anmeldedaten oder privaten Schlüssel eingeben, erfasst der Keylogger diese Informationen und sendet sie an die Betrüger zurück. Beim Clipboard-Hijacking wird der in die Zwischenablage des Geräts kopierte Inhalt abgefangen.
Bei Kryptowährungstransaktionen müssen häufig Wallet-Adressen oder andere vertrauliche Informationen kopiert und eingefügt werden. Betrüger nutzen Schadsoftware, um die Zwischenablage zu überwachen und legitime Wallet-Adressen durch ihre eigenen zu ersetzen. Wenn Benutzer die Informationen in das vorgesehene Feld einfügen, senden sie ihr Geld stattdessen unwissentlich an die Brieftasche des Betrügers.
Wie Benutzer vor Krypto-Phishing-Betrug geschützt bleiben können
Es gibt Maßnahmen, die Benutzer ergreifen können, um sich beim Navigieren im Kryptoraum zu schützen.
Die Aktivierung der Zwei-Faktor-Authentifizierung (2FA) ist ein Tool, das dabei helfen kann, kryptobezogene Konten vor Phishing-Betrug zu schützen.
2FA bietet eine zusätzliche Schutzebene, indem Benutzer zusätzlich zu ihrem Passwort eine zweite Form der Verifizierung angeben müssen, typischerweise einen eindeutigen Code, der auf ihrem Mobilgerät generiert wird. Dadurch wird sichergestellt, dass Angreifer auch dann, wenn sie durch Phishing-Versuche an die Anmeldeinformationen des Benutzers gelangen, immer noch den zweiten Faktor (z. B. ein zeitbasiertes Einmalpasswort) benötigen, um Zugriff zu erhalten.
Verwendung hardware- oder softwarebasierter Authentifikatoren
Beim Einrichten von 2FA sollten Benutzer die Verwendung hardware- oder softwarebasierter Authentifikatoren in Betracht ziehen, anstatt sich ausschließlich auf die SMS-basierte Authentifizierung zu verlassen. SMS-basiertes 2FA kann anfällig für SIM-Swapping-Angriffe sein, bei denen Angreifer betrügerisch die Kontrolle über die Telefonnummer des Benutzers übernehmen.
Hardware-Authentifikatoren wie YubiKey oder Sicherheitsschlüssel sind physische Geräte, die Einmalkennwörter generieren und eine zusätzliche Sicherheitsebene bieten. Softwarebasierte Authentifikatoren wie Google Authenticator oder Authy generieren zeitbasierte Codes auf den Smartphones der Benutzer. Diese Methoden sind sicherer als die SMS-basierte Authentifizierung, da sie nicht anfällig für SIM-Swapping-Angriffe sind.
Überprüfen Sie die Authentizität der Website
Um sich vor Phishing-Betrug zu schützen, sollten Benutzer das Klicken auf Links in E-Mails, Nachrichten oder anderen nicht überprüften Quellen vermeiden. Stattdessen sollten sie die Website-URLs ihrer Kryptowährungsbörsen, Wallets oder anderer Plattformen, auf die sie zugreifen möchten, manuell eingeben.
Durch die manuelle Eingabe der Website-URL stellen Benutzer sicher, dass sie direkt auf die legitime Website zugreifen und nicht durch Klicken auf einen Phishing-Link auf eine gefälschte oder geklonte Website weitergeleitet werden.
Seien Sie vorsichtig mit Links und Anhängen
Bevor Benutzer auf einen Link klicken, sollten sie den Mauszeiger darüber bewegen, um die Ziel-URL in der Statusleiste oder im Tooltip des Browsers anzuzeigen. Dadurch können Benutzer das tatsächliche Ziel des Links überprüfen und sicherstellen, dass er mit der erwarteten Website übereinstimmt.
Phishing-Betrüger verschleiern Links häufig, indem sie einen anderen URL-Text als den des Ziels anzeigen. Indem Benutzer mit der Maus über den Link fahren, können sie Inkonsistenzen und verdächtige URLs erkennen, die auf einen Phishing-Versuch hinweisen könnten.
Parker erklärte gegenüber Cointelegraph: „Es ist sehr einfach, den zugrunde liegenden Link in einer E-Mail zu fälschen. Ein Betrüger kann Ihnen einen Link im E-Mail-Text anzeigen, den zugrunde liegenden Hyperlink jedoch zu etwas anderem machen.“
„Eine beliebte Betrugsmasche unter Krypto-Phishern besteht darin, die Benutzeroberfläche einer seriösen Website zu kopieren, aber ihren Schadcode für den Login- oder Wallet Connect-Teil einzufügen, was zu gestohlenen Passwörtern oder, schlimmer noch, gestohlenen Startphrasen führt.“ Überprüfen Sie daher immer noch einmal die Website-URL, bei der Sie sich anmelden oder mit der Sie Ihr Krypto-Wallet verbinden.“
Scannen von Anhängen mit Antivirensoftware
Benutzer sollten beim Herunterladen und Öffnen von Anhängen Vorsicht walten lassen, insbesondere von nicht vertrauenswürdigen oder verdächtigen Quellen. Anhänge können Malware, einschließlich Keylogger oder Trojaner, enthalten, die die Sicherheit des Geräts und der Kryptowährungskonten eines Benutzers gefährden können.
Um dieses Risiko zu mindern, sollten Benutzer alle Anhänge mit seriöser Antivirensoftware scannen, bevor sie sie öffnen. Dies hilft dabei, potenzielle Malware-Bedrohungen zu erkennen und zu entfernen und verringert so die Wahrscheinlichkeit, Opfer eines Phishing-Angriffs zu werden.
Halten Sie Software und Apps auf dem neuesten Stand
Um die Sicherheit der Benutzergeräte zu gewährleisten, ist es wichtig, Betriebssysteme, Webbrowser, Geräte und andere Software auf dem neuesten Stand zu halten. Zu den Updates können Sicherheitspatches gehören, die bekannte Schwachstellen beheben und vor neu auftretenden Bedrohungen schützen.
Verwendung seriöser Sicherheitssoftware
Um einen zusätzlichen Schutz vor Phishing-Betrügereien und Malware zu bieten, sollten Benutzer die Installation seriöser Sicherheitssoftware auf ihren Geräten in Betracht ziehen.
Antiviren-, Anti-Malware- und Anti-Phishing-Software kann dabei helfen, bösartige Bedrohungen, einschließlich Phishing-E-Mails, gefälschte Websites und mit Malware infizierte Dateien, zu erkennen und zu blockieren.
Durch die regelmäßige Aktualisierung und Durchführung von Sicherheitsscans mit seriöser Software können Benutzer das Risiko, Opfer von Phishing-Betrügereien zu werden, minimieren und die allgemeine Sicherheit ihrer Geräte und kryptowährungsbezogenen Aktivitäten gewährleisten.
Informieren Sie sich und bleiben Sie informiert
Krypto-Phishing-Betrügereien entwickeln sich ständig weiter und es entstehen regelmäßig neue Taktiken. Benutzer sollten die Initiative ergreifen und sich über die neuesten Phishing-Techniken und Betrügereien informieren, die auf die Kryptowährungs-Community abzielen. Bleiben Sie außerdem auf dem Laufenden, indem Sie sich über aktuelle Phishing-Vorfälle und bewährte Sicherheitspraktiken informieren und informieren.
Neu: Was ist faire Nutzung? Der Oberste Gerichtshof der USA befasst sich mit dem Urheberrechtsdilemma von KI
Um über sicherheitsrelevante Neuigkeiten auf dem Laufenden zu bleiben und rechtzeitig Warnungen vor Phishing-Betrügereien zu erhalten, sollten Benutzer vertrauenswürdigen Quellen in der Kryptowährungs-Community folgen. Dazu können offizielle Ankündigungen und Social-Media-Konten von Kryptowährungsbörsen, Wallet-Anbietern und seriösen Cybersicherheitsorganisationen gehören.
Indem sie zuverlässigen Quellen folgen, können Benutzer genaue Informationen und Warnungen zu aufkommenden Phishing-Betrügereien, Sicherheitslücken und Best Practices zum Schutz ihrer Krypto-Assets erhalten.
Quelle: https://cointelegraph.com/news/crypto-phishing-scams-how-users-can-stay-protected