Betrug
Wir haben mehrere Monate damit verbracht, über einen neuen und sehr intelligenten Krypto-Betrug zu recherchieren, bei dem die Opfer langsam und listig dazu ermutigt wurden, eine schädliche Krypto-Management-App zu installieren. Die Betrogen waren jedoch nur dem Namen nach Opfer, da die Betreiber, wie einige digitale Robin Hoods, es auf andere Diebe abgesehen hatten. Wirf mit uns einen genauen Blick auf diese Betrugsmasche und erfahre mehr darüber, wie du deine Kryptowährung schützen kannst.
Der erste Köder
Alles begann damit, dass ich eine ziemlich triviale weitergeleitete Telegram-Nachricht über Kryptowährung erhalten habe. Andere hätten es vielleicht ignoriert, aber als Leiter des Teams für Web-Content-Analysten bei Kaspersky kam mir das gleich verdächtig vor und ich beschloss, mich damit zu befassen. Um die Erkennung zu umgehen, wurde die Nachricht als fünf Sekunden langer Videoclip mit einem Screenshot angezeigt, der ein überstürztes, sehr günstiges Angebot von zwei lukrativen Krypto-Projekten mit entsprechenden Links enthielt. Der erste Link, der wahrscheinlich dazu gedacht war, dem Empfänger ein falsches Gefühl der Sicherheit zu vermitteln, führte zu einer echten, aber weniger bedeutenden Krypto-Börse – wenn auch nur einer kleinen. Der wahre Köder versteckte sich hinter dem anderen Link.
Der Screenshot mit der Verkaufsankündigung des Krypto-Projekts ist in einen fünf Sekunden langen Videoclip verpackt. Da ist bereits Vorsicht geboten!
Eine bequeme Serverstörung
Anders als erwartet wurden beim Verfolgen des anderen Links keine schädlichen Inhalte angezeigt. Es war viel interessanter: Wenn du die Adresse eingibst in der Erwartung, eine Startseite zu sehen, zeigte der Browser eine Stammverzeichnisliste mit einigen verlockenden Dateinamen an. Es schien, als ob der Server falsch konfiguriert oder die Homepage aus Versehen gelöscht worden wäre, wodurch alle Daten des ahnungslosen Domain-Inhabers preisgegeben wurden. Du konntest auf eine beliebige Datei in der Liste klicken und ihren Inhalt direkt im Browser anzeigen, da alle Dateien gängige und einfach zu handhabende Formate wie TXT, PDF, PNG oder JPG hatten.
Ein Besucher betrachtet eine Liste mit Dateien im Stammordner. Es gibt keine einzige HTML-Datei
Dies gab dem Besucher das Gefühl, im Ordner mit persönlichen Daten eines reichen, aber dämlichen Besitzers eines Krypto-Projekts gelandet zu sein. Die Textdateien enthielten Informationen zur Wallet, einschließlich Seed-Phrasen, und die Bilder waren Screenshots, die den Beweis liefern sollten, dass eine große Menge an Kryptowährung erfolgreich gesendet wurde, erhebliche Wallet-Guthaben und den verschwenderischen Lebensstil des Besitzers.
Die Textdatei enthält sorgfältig zusammengestellte Adressen, Logins, Passwörter, Seed-Phrasen, Wiederherstellungsschlüssel, PINs und private Schlüssel
Einer der Screenshots hatte im Hintergrund ein YouTube-Video, das erklärt, wie man mit Bitcoin Yachten und Ferraris kauft. Ein PDF-Katalog dieser Yachten war ganz leicht im selben Verzeichnis zu finden. Kurz gesagt, das war ein wirklich saftiger Köder.
Der Bildschirm zeigt eine Momentaufnahme aus dem Leben eines reichen Faulenzers. Wiesieht also der RICHTIGE WEG aus, um Ferrari und Yacht mit Bitcoin zu kaufen?
Echte Geldbörsen und Bargeld
Der Clou an diesem Betrug ist, dass die Wallet-Details echt sind und man tatsächlich auf die Wallets zugreifen und beispielsweise den Verlauf der Exodus-Transaktionen oder die Vermögenswerte in den anderen Wallets im Wert von fast 150.000 US-Dollar einsehen kann, so die DeBank.
Die Exodus-Brieftasche ist leer, aber sie ist echt und wurde vor kurzem von jemandem verwendet
Du könntest jedoch nichts abheben, da das Geld fest angelegt, also im Wesentlichen im Konto gebunden ist. Die Skepsis des Besuchers ist dadurch jedoch deutlich geringer: Es scheint sich eher um unachtsam durch ein Datenleck preisgegebene echte Daten, nicht um Spam oder Phishing zu handeln. Außerdem sind nirgendwo externe Links oder schädliche Dateien zu sehen – nichts, weswegen man misstrauisch werden könnte!
Die Beträge in den anderen Wallets sind beachtlich. Schade, dass das Geld angelegt (unzugänglich) ist
Wir haben die Website zwei Monate lang beobachtet und keinerlei Veränderungen festgestellt. Die Betrüger schienen darauf zu warten, dass sich eine kritische Masse interessierter Benutzer aufbaut, während sie ihr Verhalten mithilfe von Webserver-Analysen verfolgen. Erst nach dieser langen Aufwärmphase gingen sie zur nächsten Phase des Angriffs über.
Neue Hoffnung
Die dramatische zweimonatige Pause wurde endlich mit einem Update beendet: einem neuen Telegram-Screenshot, der angeblich eine erfolgreiche Monero-Auszahlung zeigt. Wenn man sich den Screenshot genauer ansieht, erkennt man die Wallet-App „Electrum-XMR“ mit einem Transaktionsprotokoll und einem ansehnlichen Guthaben von fast 6000 Monero-Token (XMR), das zum Zeitpunkt der Veröffentlichung etwa eine Million Dollar wert ist.
Die aktive Phase beginnt: ein Wallet, das scheinbar etwa eine Million Dollar enthält
Durch einen glücklichen Zufall tauchte direkt neben dem Screenshot eine neue Textdatei mit der Seed-Phrase für das Wallet auf.
Die Seed-Phrase für das Wallet war der Köder
Zu diesem Zeitpunkt beeilte sich jeder, der unehrlich genug war, eine Electrum-Wallet herunterzuladen, um sich beim Konto des leichtsinnigen Besitzers anzumelden und sich das restliche Geld zu beschaffen. Pech gehabt: Electrum unterstützt nur Bitcoin, nicht Monero, und es ist ein privater Schlüssel (und keine Seed-Phrase) erforderlich, um wieder Zugriff auf ein Konto zu erhalten. Beim Versuch, den Schlüssel aus der Seed-Phrase wiederherzustellen, sagte jeder legitime Konverter, dass das Format der Seed-Phrase ungültig sei.
Doch Gier trübte das Urteilsvermögen der Benutzer: Schließlich ging es um eine Million Dollar, und sie mussten sich beeilen, bevor jemand anderes sie stahl. Die Jäger nach dem schnellen Geld fingen an, „Electrum XMR“ oder einfach „Electrum Monero“ zu googeln. Was auch immer es war, das beste Ergebnis war eine Website, die angeblich über einen Electrum-Fork handelte, der Monero unterstützte.
Die „richtige“ Version des Wallet erscheint oben in den Suchergebnissen
Das Design ähnelte dem der ursprünglichen Electrum-Website und enthielt in typischer Open-Source-Manier alle Arten von Beschreibungen, Links zu GitHub (dem ursprünglichen Electrum-Repository – nicht Electrum-XMR), einem Hinweis, der ausdrücklich darauf hinweist, dass dies ein Fork sei, der Monero unterstützt, mit praktischen Direktlinks zu den Installationsprogrammen für macOS, Windows und Linux.
Die Website für die gefälschte Wallet-App ist sehr gut gemacht
An diesem Punkt wird der Jäger unwissentlich zur Beute. Durch das Herunterladen und Installieren von Electrum-XMR wird der Computer mit Schadsoftware infiziert, die von Kaspersky als Backdoor.OLE2.RA-Based.a identifiziert wurde und Angreifern einen verdeckten Remote-Zugriff ermöglicht. Im nächsten Schritt durchsuchen sie wahrscheinlich den Inhalt des Geräts und stehlen Krypto-Wallet-Daten und andere wertvolle Informationen.
Unsere Sicherheitslösung hätte die schädliche Website blockiert, und auch den Versuch, den Trojaner zu installieren, aber Krypto-Jäger, die begierig darauf sind, an das Geld anderer Leute zu kommen, sind unter unseren Benutzern kaum zu finden.
Unsere Sicherheitsfunktionen blockieren die schädliche Website und erst recht den Versuch, den Trojaner zu installieren
Plötzlich eine zweite Iteration
Einige Zeit später, als wir mit der Untersuchung dieser Social-Engineering-Leistung fertig waren, erhielten wir einen weiteren Köder, was keine Überraschung war. Diesmal wechselten die Betrüger vom langsamen Vorgaren zu lodernder Flamme. Der Screenshot zeigte ein gefälschtes Wallet mit einem großen Guthaben neben einer geöffneten Textdatei mit einer Fülle von persönlichen Informationen und einem freundlicherweise hinzugefügten Link zu einer schädlichen Website. Es sieht so aus, als ob sich diese Betrugsmasche bewährt hat, und wir werden viele ähnliche Angriffe erleben.
In Version zwei kamen die Betrüger direkt zur Sache, indem sie alle relevanten Informationen in einem Screenshot sammeln
Den Angriff erkennen
Opfer des oben beschriebenen Betrugs wecken keinerlei Mitleid, wenn man sieht, wie sie den Köder schluckten und versuchten, das Geld anderer Leute zu stehlen. Die Betrüger lassen sich jedoch immer wieder neue Tricks einfallen, und das nächste Mal wird dir möglicherweise eine vorgeblich ethische Methode angeboten, um Geld zu verdienen. Zum Beispiel könntest du aus Versehen einen Screenshot erhalten, der für einen lukrativen Airdrop wirbt, mit dem Link direkt in der Adressleiste…
Bleibe also wachsam und betrachte alle Informationen mit Vorsicht. Jede Phase des Angriffs war auf ihre Weise verdächtig. Die Verkaufsanzeige auf der Website wurde in Form eines Videoclips mit einem Screenshot präsentiert, offensichtlich um die Anti-Spam-Algorithmen zu umgehen. Eine Website, die nur unverschlüsselte Textdateien mit Krypto-Wallet-Daten enthält, sieht zu schön aus, um wahr zu sein. Die Domain, auf der sich angeblich der Krypto-Wallet-Fork befindet, war nur zwei Monate vor dem Angriff registriert worden. Am wichtigsten ist jedoch, dass die betrügerische Krypto-Landschaft die Verwendung wenig bekannter Wallet-Apps zu einem inakzeptablen Risiko macht. Befolge daher bitte die folgenden Schritte:
- Verwende nur gängige und bewährte Krypto-Wallet-Apps und Börsen-Websites.
- Vergewissere dich, dass du dich nur über offizielle Websites anmeldest und Apps von den richtigen Quellen herunterlädst.
- Lies unsere Tipps zur Erkennung von Online-Betrügern.
- Verwende umfassender Schutz für Computer und Smartphones, der dich davon abhält, Phishing-Sites zu besuchen oder Schadsoftware auszuführen.
- Abonniere unseren Blog und/oder Telegram-Kanal, damit du zu den Ersten gehörst, die von neuen Bedrohungen erfahren.
Tipps