- In letzter Zeit schalten Betrüger vermehrt Google-Anzeigen, um ihre Opfer auf eine Phishing-Website oder eine gefälschte Website zu leiten, die wie die Original-Website aussieht.
- Eine Kryptobörse verlor letztes Jahr 55 Millionen Dollar, nachdem ein Entwickler auf einen Phishing-Anhang geklickt hatte.
Ein dezentralisiertes, auf einer Blockchain basierendes Web3, ist eins der Tech-Themen, das weltweit nicht nur von Krypto-Enthusiasten und Tech-Experten diskutiert wird, sondern längst auch von der Allgemeinheit beachtet wird. Die Entwicklung von Anwendungen wie Kryptowährungen und Non-Fungible Token (NFTs) wird schon jetzt von fachlich hoch qualifizierten Cyberkriminellen ausgenutzt – 2021 betrug der Schaden allein durch Diebstahl umgerechnet rund 14 Milliarden Dollar. Zwar ist die Blockchain eine der sichersten Technologien im Internet doch fanden Kriminelle bisher immer einen Weg, um nichts ahnende Opfer zu verleiten, auf einen bösartigen Link zu klicken. Bevor Sie sich also allzu blauäugig für das Web3 begeistern, sollten Sie sich in Ihrem eigenen Interesse zunächst mit den Grundmustern erfolgreicher Phishing-Betrügereien der letzten Zeit vertraut machen.
Seed-Phrase Phishing
Seed-Phrases sind Schlüssel, die den Zugang zu Krypto-Konten freischalten. Da es sich dabei um geheime Schlüssel handelt, täuschen Kiminelle ihre Opfer mit ausgeklügelten Tricks, damit sie sie trotzdem preisgeben. Dazu gehören Google-Anzeigen, nach deren Anklicken die Opfer auf die Phishing-Website oder eine gefälschte Unternehmenswebsite geleitet werden, die wie die Original-Website ausieht. Die Opfer werden dann aufgefordert, ihre Seed-Phrase als Teil eines Kontoregistrierungs- oder Wiederherstellungsprozesses einzugeben. Oft genug kommen die Opfer der Aufforderung nach – etwas dass man nie, nie, unter keinen Umständen tun sollte, was aber trotzdem wieder und wieder getan wird. Die Seed-Phrases werden von den Tätern anschließend sofort verwendet, um auf die Konten der Opfer zuzugreifen und diese zu plündern.
Bösartige Airdrops
Die Kriminellen versenden per E-Mail, Social Media oder SMS Nachrichten, in denen sie die dem Opfer die freudige Nachricht überbringen, dass seinem Konto einige Token gratis hinzugefügt werden sollen. Sie leiten sie dann zu einer Börse weiter und fordern sie auf, ihre Krypto-Wallets zu verknüpfen, um den Airdrop zu beanspruchen. Sobald die Verknüpfung erfolgt ist – siehe oben: das Konto wird geplündert.
Ice-Phishing
Ice-Phishing ist ein Web3-Klickjacking-Angriff, bei dem die Opfer verleitet werden, der Übertragung ihrer Token an die Kriminellen zuzustimmen. Microsoft erklärt, dass die Opfer aufgrund der Smart-Contract-Schnittstelle nur schwer erkennen können, dass ihre Transaktionen manipuliert wurden. Die Kriminellen tauschen die Adresse des Spenders gegen ihre eigene aus und warten darauf, dass die Zielperson die Transaktion genehmigt. Um den zu starten, injizieren sie ein bösartiges Skript in das Front-End des Smart-Contracts, um dessen Benutzeroberfläche zu verändern. 2021 wurden auf diese Weise 120 Millionen Dollar von der Börse BadgerDAO gestohlen.