Das Web3 bietet enorme Möglichkeiten – leider auch für Kriminelle

  • In letzter Zeit schalten Betrüger vermehrt Google-Anzeigen, um ihre Opfer auf eine Phishing-Website oder eine gefälschte Website zu leiten, die wie die Original-Website aussieht.
  • Eine Kryptobörse verlor letztes Jahr 55 Millionen Dollar, nachdem ein Entwickler auf einen Phishing-Anhang geklickt hatte.

Ein dezentralisiertes, auf einer Blockchain basierendes Web3, ist eins der Tech-Themen, das weltweit nicht nur von Krypto-Enthusiasten und Tech-Experten diskutiert wird, sondern längst auch von der Allgemeinheit beachtet wird. Die Entwicklung von Anwendungen wie Kryptowährungen und Non-Fungible Token (NFTs) wird schon jetzt von fachlich hoch qualifizierten Cyberkriminellen ausgenutzt – 2021 betrug der Schaden allein durch Diebstahl umgerechnet rund 14 Milliarden Dollar. Zwar ist die Blockchain eine der sichersten Technologien im Internet doch fanden Kriminelle bisher immer einen Weg, um nichts ahnende Opfer zu verleiten, auf einen bösartigen Link zu klicken. Bevor Sie sich also allzu blauäugig für das Web3 begeistern, sollten Sie sich in Ihrem eigenen Interesse zunächst mit den Grundmustern erfolgreicher Phishing-Betrügereien der letzten Zeit vertraut machen.

Seed-Phrase Phishing

Seed-Phrases sind Schlüssel, die den Zugang zu Krypto-Konten freischalten. Da es sich dabei um geheime Schlüssel handelt, täuschen Kiminelle ihre Opfer mit ausgeklügelten Tricks, damit sie sie trotzdem preisgeben. Dazu gehören Google-Anzeigen, nach deren Anklicken die Opfer auf die Phishing-Website oder eine gefälschte Unternehmenswebsite geleitet werden, die wie die Original-Website ausieht. Die Opfer werden dann aufgefordert, ihre Seed-Phrase als Teil eines Kontoregistrierungs- oder Wiederherstellungsprozesses einzugeben. Oft genug kommen die Opfer der Aufforderung nach – etwas dass man nie, nie, unter keinen Umständen tun sollte, was aber trotzdem wieder und wieder getan wird. Die Seed-Phrases werden von den Tätern anschließend sofort verwendet, um auf die Konten der Opfer zuzugreifen und diese zu plündern.

Bösartige Airdrops

Airdrops sind aktive Marketing-Instrumente, mit denen mehr Kunden für bestimmte Marken oder Produkte gewonnen werden sollen. Kriminelle verwenden diese Instrumente ebenfalls und nutzen sie als Einfallstor, um Zugang zu den Konten der Opfer zu erhalten. Auf diese Weise haben Betrüger letztes Jahr auf dem NFT-Marktplatz OpenSea Sammlerstücke im Wert von einigen hunderttausend Dollar gestohlen.
Die Kriminellen versenden per E-Mail, Social Media oder SMS Nachrichten, in denen sie die dem Opfer die freudige Nachricht überbringen, dass seinem Konto einige Token gratis hinzugefügt werden sollen. Sie leiten sie dann zu einer Börse weiter und fordern sie auf, ihre Krypto-Wallets zu verknüpfen, um den Airdrop zu beanspruchen. Sobald die Verknüpfung erfolgt ist – siehe oben: das Konto wird geplündert.

Ice-Phishing

Ice-Phishing ist ein Web3-Klickjacking-Angriff, bei dem die Opfer verleitet werden, der Übertragung ihrer Token an die Kriminellen zuzustimmen. Microsoft erklärt, dass die Opfer aufgrund der Smart-Contract-Schnittstelle nur schwer erkennen können, dass ihre Transaktionen manipuliert wurden. Die Kriminellen tauschen die Adresse des Spenders gegen ihre eigene aus und warten darauf, dass die Zielperson die Transaktion genehmigt. Um den zu starten, injizieren sie ein bösartiges Skript in das Front-End des Smart-Contracts, um dessen Benutzeroberfläche zu verändern. 2021 wurden auf diese Weise 120 Millionen Dollar von der Börse BadgerDAO gestohlen.

Andere kriminelle Methoden

Im Übrigen werden massenhaft gefälschte URLs und E-Mail-Adressen, Social-Media-Konten und Websites eingerichtet, um die nichts ahnenden Opfer zu bestehlen. Zum Beispiel werden bösartige Links in Anhänge von Mails wie „Get-Rich-Quick“ eingefügt. Eine führende Kryptobörse verlor 2021 55 Millionen Dollar, nachdem ein Entwickler auf einen Phishing-Anhang geklickt hatte.
Bisher haben Kriminelle immer einen Weg gefunden, an das Geld anderer Leute zu kommen, und das wird sich auch mit dem Web3 nicht ändern. Trotzdem hier ein kleiner Tipp: Klicken sie nicht einfach auf jeden Link den man Ihnen zuschickt, oder den sie in einer Anzeige finden. Erst denken, dann klicken – nicht umgekehrt!

About Author

John ist seit Jahren ein begeisterter Krypto- und Blockchainjournalist. Besonders fasziniert ist er von aufstrebenden Startups und den versteckten Mächten hinter Angebot und Nachfrage. Er hat einen Bachelor-Abschluss in Geographie und Wirtschaft.

Comments are closed.