So schützt du deine Kryptos vor SMS-Spoofing-Angriffen

2023-05-08

Die wichtigsten Punkte

  • SMS-Spoofing ist eine Art von Betrug, der auf psychologischer Manipulation beruht, um Opfer dazu zu verleiten, Geld zu senden oder vertrauliche Informationen weiterzugeben. 

  • Angreifer ändern ihre Absenderidentität, damit ihre SMS-Nachricht so aussieht, als käme sie von einer vertrauenswürdigen Quelle. 

  • Hast du eine gefälschte SMS erhalten? Melde den Vorfall sofort den Strafverfolgungsbehörden. 

Erfahre mehr über SMS-Spoofing und wie du deine Kryptos und persönlichen Daten vor Angreifern schützen kannst. 

Die Maschen der Betrüger ändern sich schnell. Früher war E-Mail-Betrug mit nigerianischen Prinzen der letzte Schrei; heute sind es SMS-Spoofing-Angriffe.

Im Gegensatz zu Exploits, bei denen ein Hacker versucht, mithilfe von Code in eine Benutzerdatenbank einzudringen, verwenden SMS-Spoofing-Angriffe hauptsächlich psychologische Manipulation. Das bedeutet, dass der Betrüger versuchen wird, sich als vertrauenswürdige Quelle auszugeben, um ahnungslose Opfer dazu zu verleiten, Geld zu senden oder vertrauliche Informationen wie Wallet-Daten weiterzugeben. 

In diesem Artikel gehen wir darauf ein, wie SMS-Spoofing-Angriffe funktionieren, die verschiedenen Möglichkeiten, wie Angreifer dich angreifen können, und wie du als Nutzer dein Geld schützen kannst. 

Wie funktioniert SMS-Spoofing?

Der Angreifer ändert seine Absenderidentität (der Name oder die Telefonnummer, die auf dem Telefon des Empfängers angezeigt wird), damit seine Textnachricht so aussieht, als käme sie von einer vertrauenswürdigen Quelle. Ziel ist es, das Opfer dazu zu bringen, den Anweisungen in der Nachricht zu folgen. 

Eine gefälschte SMS kann unter einem gefälschten Namen, einer gefälschten Telefonnummer oder beidem im Posteingang deines Telefons landen. Bei einem Text von „Binance“ könnte es sich zum Beispiel um einen Betrüger handeln, der dich dazu verleiten will, Malware herunterzuladen, deine Kontodaten weiterzugeben oder auf einen bösartigen Link zu klicken. 

Leider liegen Mechanismen, die SMS-Spoofing ermöglichen, in vielen Regionen der Welt in einer rechtlichen Grauzone. Einige Länder haben die Praxis vollständig verboten, während andere den Missbrauch der Änderung der Identität des SMS-Absenders noch angehen müssen. 

Es gibt in der Tat einige legitime Anwendungsfälle für die Änderung des Absendernamens, wie er auf der Empfängerseite erscheint. Beispielsweise kann ein Unternehmen eine SMS-Marketingkampagne durchführen und anstelle der Hauptmarke oder Telefonnummer eine Untermarkenidentität verwenden. 

Wie erkennt und vermeidet man SMS-Spoofing?

Selbst eine branchenführende Sicherheitsinfrastruktur kann wenig tun, um einen Nutzer zu schützen, der bereitwillig sein Passwort an einen Hacker sendet. Die erste Verteidigungslinie ist immer der Nutzer. Wenn du dein Geld sicher aufbewahren möchtest, solltest du jederzeit wachsam bleiben und die folgenden Praktiken zur Gewohnheit machen. 

1. Überprüfe eingehende Nachrichten

Überprüfe immer die Quelle einer eingehenden Nachricht, bevor du antwortest. Sei vorsichtig bei unerwünschten oder verdächtig erscheinenden Nachrichten. Du kannst Nachrichten, die von Binance stammen, verifizieren, indem du das Tool Binance Verify verwendest oder einen Screenshot der Nachricht an unser Support-Team sendest. Für andere Dienste solltest du die entsprechende Plattform direkt über ihre offizielle Website oder andere vertrauenswürdige Kanäle kontaktieren.

2. Aktiviere die Zwei-Faktor-Authentifizierung 

Die Zwei-Faktor-Authentifizierung (2FA) bietet zusätzlichen Schutz vor Angreifern, die versuchen, sich Zugang zu deinen Konten zu verschaffen, auch mittels SMS-Spoofing. Aktiviere die 2FA immer für alle Konten, die diese Funktion unterstützen. 

2FA-Codes können bei korrekter Verwendung zum Schutz deines Kontos beitragen. Gib deine 2FA-Codes nur auf offiziellen Websites ein und überprüfe die 2FA-Nachricht, um zu sehen, wofür sie verwendet wird. 

3. Gib keine persönlichen Informationen weiter 

Vermeide die Weitergabe sensibler Informationen (z. B. Passwörter, Kreditkartennummern, Sozialversicherungsnummern und andere von der Regierung ausgestellte Identifikationsmerkmale) über Textnachrichten, insbesondere an nicht verifizierte Kontakte.

Klick nicht auf Links, die dir per SMS zugesandt werden, ohne vorher deren Legitimität zu überprüfen. Links können zu Phishing-Websites führen, die versuchen, deine Anmeldeinformationen zu stehlen oder Malware auf deinem Gerät zu installieren. 

Greif nicht auf Websites mit "No Lock"-Symbolen oder unverschlüsselten URLs (HTTP statt HTTPS) zu; überprüfe immer die URL, bevor du eine Website aufrufst. Stelle sicher, dass du nur offizielle Websites verwendest. Wenn du dir zum Beispiel nicht sicher bist, ob ein Binance-bezogener Link, eine E-Mail, eine Telefonnummer, eine WeChat-ID, ein Twitter-Handle oder eine Telegram-ID offiziell ist, kannst du diese auf Binance Verify verifizieren. 

Allgemeine Informationen zum Schutz deiner Kryptos findest du in den Sicherheitsabschnitten in unseren FAQ oder in der Binance Academy. 

Hier ist eine Liste verdächtiger Websites, die wir identifiziert haben und die versuchen, den Anschein zu erwecken, als seien sie mit Binance verbunden. Halte dich von allen fern. Ihre Domainnamen geben dir auch eine Vorstellung davon, wie eine „gefälschte Binance“-Website aussehen kann, deren Ersteller versuchen, Nutzer in die Irre zu führen.

Arten von SMS-Spoofing

SMS-Spoof-Angriffe können sich in ihren Zielen und Mechanismen unterscheiden. Allen gemeinsam ist, dass die Nummer oder der Name des echten Absenders ersetzt wird, so dass die Betrüger als eine andere Person auftreten können. Zu den üblichen Szenarien, wie dich jemand mit einer gefälschten SMS angreifen kann, gehören Geldtransfers und Belästigungsspoofs.

Im ersten Fall geben sich Betrüger als legitimer Finanzdienstleister wie Binance aus und senden den Opfern beispielsweise eine SMS über eine gefälschte Cashback-Transaktion. Solche Nachrichten weisen die Empfänger normalerweise an, einen QR-Code zu scannen oder auf einen Link zuzugreifen, um ihr Cashback zu beanspruchen.

SMS-Spoofing wird auch von Stalkern und Cyberbullies verwendet, die ihre Opfer einschüchtern wollen, indem sie bedrohliche oder unangemessene Nachrichten von unbekannten Nummern oder unter zufälligen Namen senden.

Beispiele aus der Praxis für SMS-Spoofing-Angriffe

Beispiel 1: Gefälschte 2FA-Nachricht

Ein Nutzer, den wir Jack nennen, erhält eine Nachricht, die wie folgt lautet: „[Binance]-Nutzer müssen auf Web 3.0 aktualisieren, um die Deaktivierung von Konten zu vermeiden. Bianenc.net”

Jack sieht, dass der Absender „Binance“ ist und dass die Nachricht über denselben Kanal gesendet wurde, von dem er normalerweise seine 2FA-Codes erhält. Jack geht davon aus, dass es sich um eine offizielle Nachricht handelt, loggt sich auf der Phishing-Website ein und gibt so seine Kontodaten an den Betrüger weiter.

Beispiel 2. „Widerrufsstornierung“

Ein Nutzer, den wir Brad nennen, erhält eine SMS-Nachricht von jemandem mit einer „Binance“-Absenderadresse. Die Nachricht erinnert Brad daran, „seine aktuelle Auszahlung zu stornieren“. Brad glaubt, dass die Nachricht offiziell ist und meldet sich bei der Phishing-Website an. 

Dem Hacker gelingt es, Brads Benutzernamen, Passwort und 2FA zu verwenden, um sich auf der offiziellen Binance-Website anzumelden und eine Bargeldabhebung zu veranlassen. 

In diesem Beispiel hat der Nutzer zwei Dinge nicht getan:

  • Den Link auf Binance Verify zu verifizieren.

  • Die echte 2FA-Nachricht noch einmal zu überprüfen, die eigentlich lautete, dass der 2FA-Code verwendet wurde, um eine Auszahlung einzuleiten, nicht um eine zu stornieren. 

Beispiel 3. „Verify“- oder „Upgrade“-Konto

Viele unserer Nutzer haben gemeldet, dass sie eine gefälschte SMS mit einem Link zur Überprüfung oder Aktualisierung ihres Kontos erhalten haben. In der Nachricht wurde erklärt, dass das Konto gesperrt würde, wenn man die geforderte Maßnahme nicht durchführen würde. In Wirklichkeit führt der Link in der SMS zu einer Phishing-Website, die darauf ausgelegt ist, Kontodaten zu stehlen. Beachte, dass die Domains in diesen Textnachrichten versuchen, als legitime Unternehmen aufzutreten.

Falls du Ziel eines SMS-Spoofing-Angriffs geworden bist

  • Wenn du vermutest, dass dir jemand eine gefälschte SMS geschickt hat, wende dich sofort an eine zuständige Strafverfolgungsbehörde. Wenn die gefälschte SMS Binance-bezogen ist, erstatte bitte auch einen Bericht an das Binance-Support-Team.

  • Wenn dein Konto kompromittiert wurde, sperre dein Guthaben, um Kriminelle daran zu hindern, neue Konten in deinem Namen zu eröffnen und sperre zusätzlich deine Kreditkarten und Bankkonten. Um deine Assets zu schützen, solltest du auch dein Konto deaktivieren, indem du die Schritte in diesem FAQ-Leitfaden befolgst: So deaktivierst du dein Binance-Konto.

  • Sende niemals eine SMS mit deinen Binance-Kontodaten, deinem 2FA-Code oder deinen Finanzinformationen an Dritte, selbst wenn diejenigen, die danach fragen, auf den ersten Blick legitim erscheinen. Neben SMS-Spoofing können Betrüger auch versuchen, dich per E-Mail oder über andere Kanäle zu betrügen. 

  • Überprüfe jede Binance-bezogene Domain mittels Binance Verify. Beachte jedoch, dass das Tool nicht narrensicher ist. Du solltest trotz dessen Vorsicht walten lassen, wenn du das Gefühl hast, dass etwas nicht stimmt. 

Weiterführende Lektüre