Community-Benutzereinreichung – Autor: WhoTookMyCrypto.com
2017 war ein denkwürdiges Jahr für die Kryptowährungsbranche, da ihr rasanter Branchenwert zu einer Berichterstattung in den Mainstream-Medien führte. Es überrascht nicht, dass dies großes Interesse bei der breiten Öffentlichkeit und bei Cyberkriminellen hervorrief. Die relative Anonymität, die Kryptowährungen bieten, macht sie zu einem beliebten Werkzeug für Kriminelle, die Kryptowährungen nutzen, um die Aufsicht des traditionellen Bankensystems zu umgehen und der Finanzaufsicht durch die Regulierungsbehörden zu entgehen.
Benutzer verbringen mittlerweile mehr Zeit auf ihren Smartphones als auf ihren Desktops, und Cyberkriminelle richten ihr Augenmerk darauf. Im folgenden Inhalt wird beleuchtet und diskutiert, wie Betrüger Kryptowährungsbenutzer über ihre Mobilgeräte angreifen und was Benutzer tun sollten, um sich weiter zu schützen.
Gefälschte Kryptowährungs-Apps
Gefälschte Kryptowährungs-Tausch-Apps
Das vielleicht bekannteste Beispiel einer gefälschten Kryptowährungs-Tausch-App ist Poloniex. Vor der Einführung der offiziellen mobilen Handels-App von Poloniex im Juli 2018 waren auf Google Play mehrere gefälschte Poloniex-Börsen-Apps aufgetaucht, die speziell für die Durchführung von Betrügereien entwickelt wurden. Bei vielen Benutzern, die diese gefälschten Apps heruntergeladen haben, wurden ihre Poloniex-Anmeldedaten kompromittiert und ihre Kryptowährung gestohlen. Und diese Apps fordern Benutzer sogar auf, ihr Gmail-Konto als Anmeldeinformationen anzugeben. Es ist wichtig zu betonen, dass nur Konten betroffen sind, für die keine Zwei-Faktor-Authentifizierung (2FA) eingerichtet ist.
Sie können sich vor dieser Art von Betrug schützen, indem Sie die folgenden Schritte festlegen.
Überprüfen Sie auf der offiziellen Website der Börse, ob sie tatsächlich eine mobile Handels-App anbietet. Wenn dies der Fall ist, verwenden Sie bitte den sicheren Link auf der Website.
Lesen Sie Softwarerezensionen und -bewertungen. Gefälschte Apps haben oft viele schlechte Bewertungen und es wird Betrug gemeldet. Überprüfen Sie sie daher unbedingt vor dem Herunterladen. Sie sollten jedoch auch gegenüber Apps skeptisch sein, die über durchweg positive Nutzerbewertungen und Rezensionen verfügen. Denn jede normale App wird einige unbefriedigende negative Bewertungen haben.
Überprüfen Sie die Informationen zum App-Entwickler. Überprüfen Sie, ob es sich um ein legitimes Unternehmen, eine legitime E-Mail-Adresse und eine seriöse Website handelt. Sie sollten die bereitgestellten Informationen auch online durchsuchen, um festzustellen, ob sie sich auf offizielle Börsen beziehen.
Überprüfen Sie die Anzahl der Downloads. Dabei ist auch die Anzahl der Downloads zu berücksichtigen. Weil es für eine Mainstream-Kryptowährungsbörse unmöglich ist, nur eine geringe Anzahl von Downloads zu haben.
Aktivieren Sie die 2FA-Einstellungen in Ihrem Konto. Obwohl es nicht 100 % sicher ist, bietet die Einrichtung von 2FA mehr Schutz, wenn Ihre Anmeldedaten gestohlen werden, was einen großen Unterschied zu Konten ohne 2FA darstellt.
Gefälschte Kryptowährungs-Wallet-Apps
Es gibt viele verschiedene Arten gefälschter Wallet-ähnlicher Anwendungen. Ein Formular zielt darauf ab, persönliche Daten der Benutzer zu erhalten, etwa ihre Wallet-Passwörter und privaten Schlüssel.
In einigen Fällen stellt die gefälschte Anwendung dem Benutzer eine zuvor generierte öffentliche Schlüsseladresse zur Verfügung. Daher zahlen Benutzer Geld an diese Adressen ein. Benutzer haben jedoch keinen Zugriff auf den privaten Schlüssel und können daher nicht auf die Gelder zugreifen, die sie an der öffentlichen Adresse eingezahlt haben.
Solche gefälschten Wallets werden normalerweise für Mainstream-Kryptowährungen wie Ethereum und Neo erstellt, und leider haben viele Benutzer dadurch ihr Vermögen verloren. Folgende Maßnahmen können Ihnen helfen, nicht zum Opfer zu werden:
Es gelten auch die oben für Umtauschanträge angeführten Überlegungen. Es gibt jedoch einige zusätzliche Vorsichtsmaßnahmen, die Sie beim Umgang mit Wallet-Anwendungen treffen können. Stellen Sie sicher, dass beim ersten Öffnen der Anwendung eine brandneue Adresse generiert wird und dass Sie Zugriff auf den privaten Schlüssel (oder Mnemonik-Seed) haben. Mit seriösen Wallet-Anwendungen können Sie Ihre privaten Schlüssel exportieren, und es ist wichtig sicherzustellen, dass das neu generierte Schlüsselpaar nicht gefährdet wird. Daher sollten Sie seriöse Software (vorzugsweise Open Source) verwenden.
Selbst wenn eine Anwendung Ihnen private Schlüssel (oder Seeds) zur Verfügung stellen kann, sollten Sie sicherstellen, dass die Adresse des öffentlichen Schlüssels von ihnen abgeleitet und darauf zugegriffen werden kann. Einige Bitcoin-Wallets ermöglichen es Benutzern beispielsweise, ihren privaten Schlüssel oder Seed zu importieren und diese Adresse und die entsprechenden Vermögenswerte anzuzeigen. Um das Risiko von Schlüssel- und Seed-Lecks zu minimieren, können Sie dies auf einem Computer tun, der nicht mit dem Internet verbunden (vom Internet getrennt) ist.
Anwendungen für Kryptojacking-Angriffe
Kryptodiebstahl-Angriffe erfreuen sich seit Langem großer Beliebtheit bei Cyberkriminellen, da die Eintrittsbarrieren niedrig sind und der Aufwand gering ist. Darüber hinaus bietet ihnen Kryptojacking auch potenzielle zyklische Einnahmen. Obwohl sie im Vergleich zu PCs über eine geringere Rechenleistung verfügen, bleiben mobile Geräte ein Hauptziel für Kryptojacking-Angriffe.
Neben Kryptojacking-Angriffen auf Browser haben Cyberkriminelle auch Ansätze entwickelt, die legitimen Spielen, Dienstprogrammen oder Bildungsanwendungen ähneln. Der Zweck vieler dieser Apps besteht jedoch darin, illegal Krypto-Mining-Skripte im Hintergrund der Geräte der Benutzer auszuführen.
Es gibt auch Kryptojacking-Apps, die behaupten, legitime Miner von Drittanbietern zu sein, die Mining-Belohnungen werden jedoch nicht an die Benutzer, sondern an die App-Entwickler ausgezahlt.
Erschwerend kommt hinzu, dass die Techniken der Cyberkriminellen immer ausgefeilter werden und sie weiterhin immer einfachere Mining-Algorithmen einsetzen, um einer Entdeckung zu entgehen.
Kryptojacking ist für Ihr Mobilgerät sehr schädlich, da es die Leistung verringert und den Geräteverschleiß beschleunigt. Darüber hinaus können sie zu Trojanern für Schadsoftware werden.
Sie können auf folgende Weise Vorsichtsmaßnahmen treffen.
Laden Sie Apps nur aus offiziellen Stores wie Google Play herunter. Raubkopien von Apps wurden nicht manuell überprüft und enthalten eher Kryptojacking-Skripte.
Überwachen Sie Ihr Telefon auf übermäßigen Akkuverbrauch oder Überhitzung. Wenn es erkannt wird, wird empfohlen, die Anwendung zu beenden, die das Problem verursacht.
Aktualisieren Sie Ihre Geräte und Apps, um Sicherheitslücken zu schließen.
Verwenden Sie einen kryptosicheren Webbrowser oder installieren Sie seriöse Browser-Plug-ins wie MinerBlock, NoCoin und Adblock.
Installieren Sie nach Möglichkeit mobile Antivirensoftware und halten Sie sie auf dem neuesten Stand.
Kostenlose Werbegeschenke und gefälschte Kryptowährungs-Mining-Programme
Solche Apps geben vor, Kryptowährungs-Mining-Software zu sein, dienen aber eigentlich nur der Anzeige von Werbung. Sie täuschen Benutzer und die Mining-Belohnungen steigen mit der Dauer. Dies bietet Benutzern einen Anreiz, die Anwendung geöffnet zu lassen. Einige Apps ermutigen Benutzer sogar dazu, eine 5-Sterne-Bewertung abzugeben, um Belohnungen zu erhalten. Natürlich führt keine dieser Anwendungen ein tatsächliches Mining durch, und Benutzer dieser Software erhalten auch keine Belohnungen.
Um sich vor dieser Art von Software zu schützen, ist es wichtig zu verstehen, dass für das Mining der meisten Kryptowährungen hochspezialisierte Hardware (ASICs) erforderlich ist, was bedeutet, dass das Mining auf mobilen Geräten nicht möglich ist. Selbst wenn man durch Mining Gelder beschaffen kann, ist das unbedeutend. Halten Sie sich daher bitte von solchen Apps fern.
Clipper-App
Solche Anwendungen ändern Ihre kopierte Kryptowährungsadresse und ersetzen sie durch die gefälschte Adresse des Angreifers. Obwohl das Opfer die korrekte Zahlungsadresse kopieren kann, wird beim Einfügen die korrekte Transaktionsadresse vom Angreifer manipuliert.
Um nicht Opfer solcher Anträge zu werden, können Sie bei der Verarbeitung entsprechender Transaktionen folgende Vorsichtsmaßnahmen treffen.
Überprüfen Sie die Adresse, die Sie in das Feld „An“ einfügen möchten, doppelt und dreifach. Blockchain-Transaktionen sind irreversibel, daher sollten Sie vorsichtig sein.
Am besten überprüfen Sie die Richtigkeit der gesamten Adresse und nicht nur eines Teils davon. Einige Apps sind intelligent genug, um eine Adresse einzufügen, die Ihrer beabsichtigten Adresse ähnelt.
Betrug beim SIM-Tausch
Cyberkriminelle greifen auf die Telefonnummern der Benutzer zu, um Betrug beim SIM-Kartentausch zu begehen. Sie tun dies durch Social Engineering, um Mobilfunkbetreiber dazu zu bringen, neue SIM-Karten auszugeben. Der bekannteste SIM-Swap-Betrug betrifft den Kryptowährungsunternehmer Michael Terpin. Er behauptet, er habe Kryptowährungen im Wert von mehr als 20 Millionen US-Dollar verloren, weil AT&T nachlässig mit seinen Telefondaten umgegangen sei.
Wenn Cyberkriminelle Zugriff auf Ihre Telefonnummer erhalten, können sie auf diese Weise die gesamte 2FA-Authentifizierung umgehen und Zugriff auf Ihre Kryptowährungs-Wallets und -Börsen erhalten.
Eine weitere Methode, die Cyberkriminelle nutzen, ist die Überwachung Ihrer SMS-Kommunikation. Schwachstellen in Kommunikationsnetzwerken können von Kriminellen ausgenutzt werden, um Ihre Textnachrichten abzufangen, zu denen auch an Sie gesendete Nachrichten mit Zweitfaktor-Authentifizierung gehören können.
Diese Art von Angriff ist besonders besorgniserregend, da der Benutzer keine Aktion ausführen kann, beispielsweise keine gefälschte Software herunterladen oder auf einen schädlichen Link klicken kann.
Um zu verhindern, dass Sie Opfer dieser Art von Betrug werden, sollten Sie die folgenden Abwehrmaßnahmen in Betracht ziehen.
Verwenden Sie Ihre Mobiltelefonnummer nicht für die SMS-2FA-Authentifizierung. Verwenden Sie stattdessen Google Authenticator oder eine App wie Authy, um Ihr Konto zu schützen. Selbst wenn Ihre Telefonnummer gestohlen wird, können Cyberkriminelle nicht auf diese Apps zugreifen. Alternativ können Sie zum Schutz Hardware-2FA verwenden, beispielsweise YubiKey oder Googles Titan Security Key.
Geben Sie in sozialen Medien keine personenbezogenen Daten wie Ihre Mobiltelefonnummer weiter. Cyberkriminelle können an diese Informationen gelangen und sie an anderer Stelle nutzen, um sich als Sie auszugeben.
Bitte geben Sie in den sozialen Medien nicht bekannt, dass Sie eine Kryptowährung besitzen, da Sie dadurch zur Zielscheibe werden. Wenn Ihr Standort anderen bekannt gegeben wurde, vermeiden Sie es alternativ, persönliche Informationen wie die von Ihnen verwendete Börse oder Wallet preiszugeben.
Arbeiten Sie mit Ihrem Mobilfunkanbieter zusammen, um Ihr Konto zu schützen. Dies kann bedeuten, dass Sie ein Passwort für das Konto festlegen oder das Konto mit dem Passwort verknüpfen und klarstellen müssen, dass nur Benutzer mit Kenntnis des Kontos Änderungen am Konto vornehmen können. Oder nur Sie können solche Änderungen von Ihrem Telefon aus steuern und deaktivieren.
W-lan
Cyberkriminelle suchen auch weiterhin nach Einfallstoren in mobile Geräte und zielen dabei insbesondere auf Benutzer von Kryptowährungen ab. Ein Einstiegspunkt ist der WLAN-Zugang. Öffentliches WLAN ist nicht sicher und Benutzer sollten vor dem Herstellen einer Verbindung Vorsichtsmaßnahmen treffen. Ohne Vorsichtsmaßnahmen verschaffen sich Cyberkriminelle Zugriff auf Daten auf dem Mobilgerät eines Benutzers. Diese Vorsichtsmaßnahmen wurden im Artikel über öffentliches WLAN behandelt.
Zusammenfassende Gedanken
Mobiltelefone sind aus unserem Leben nicht mehr wegzudenken. Tatsächlich sind sie so eng mit Ihrer digitalen Identität verbunden, dass sie Ihre größte Schwachstelle darstellen können. Cyberkriminelle sind sich dessen bewusst und werden weiterhin nach Möglichkeiten suchen, diese Schwachstelle auszunutzen. Die Absicherung mobiler Geräte ist nicht mehr optional. Es ist zu einem Muss geworden. Treffen Sie daher bitte Vorsichtsmaßnahmen.
