So schützen Sie Ihre Kryptowährung vor SMS-Spoofing-Angriffen

Der Hauptpunkt

• SMS-Spoofing ist eine Betrugsart, die auf Social Engineering beruht, um Opfer dazu zu verleiten, Geld zu senden oder vertrauliche Informationen weiterzugeben.

• Angreifer ändern die Identität des Absenders, um den Eindruck zu erwecken, dass SMS-Nachrichten von einer vertrauenswürdigen Quelle stammen.

• Haben Sie gefälschte SMS erhalten? Melden Sie den Vorfall sofort den Strafverfolgungsbehörden.

Erfahren Sie mehr über SMS-Spoofing und wie Sie Ihre Krypto- und persönlichen Daten vor Angreifern schützen können.

Trends in der Betrugsbranche ändern sich genauso schnell wie in jeder anderen Branche. Zuvor war der E-Mail-Betrug des nigerianischen Prinzen sehr beliebt. Derzeit sind SMS-Spoofing-Angriffe der häufigste Betrug.

Im Gegensatz zu Exploits, bei denen es sich um Versuche von Hackern handelt, mithilfe von Code in Benutzerdatenbanken einzudringen, nutzen SMS-Spoofing-Angriffe vor allem Social Engineering. Das bedeutet, dass Betrüger versuchen, sich als vertrauenswürdige Quelle auszugeben, um ahnungslose Opfer dazu zu verleiten, Geld zu senden oder vertrauliche Informationen, wie etwa Wallet-Daten, weiterzugeben. 

In diesem Artikel besprechen wir die Mechanismen von SMS-Spoofing-Angriffen, die verschiedenen Möglichkeiten, mit denen Angreifer Sie angreifen können, und wie Sie als Benutzer Ihr Geld schützen können. 

Wie funktioniert SMS-Spoofing?

Angreifer ändern die Identität des Absenders (den Namen oder die Telefonnummer, die auf dem Telefon des Empfängers angezeigt wird), um den Eindruck zu erwecken, dass die Textnachricht von einer vertrauenswürdigen Quelle stammt. Ziel ist es, das Opfer dazu zu bringen, den Anweisungen in der Nachricht zu folgen. 

Spoofing-SMS können mit einem falschen Namen oder einer Telefonnummer oder beidem an den Posteingang Ihres Telefons gesendet werden. Beispielsweise kann Text, der von „Binance“ erscheint, von einem Betrüger stammen, der versucht, Sie dazu zu verleiten, Malware herunterzuladen, Kontodaten weiterzugeben oder auf einen schädlichen Link zu klicken. 

Leider befinden sich die Mechanismen, die SMS-Spoofing ermöglichen, in vielen Regionen der Welt in einer rechtlichen Grauzone. Einige Länder haben diese Praxis völlig verboten, während andere den Missbrauch der Identitätsänderung von SMS-Absendern noch nicht bekämpfen müssen. 

Tatsächlich gibt es mehrere legitime Anwendungsfälle für die Änderung des Namens des Absenders, wie er auf der Seite des Empfängers erscheint. Beispielsweise könnte ein Unternehmen eine SMS-Marketingkampagne durchführen und anstelle der Hauptmarke oder Telefonnummer eine Untermarkenidentität verwenden. 

Wie erkennt und vermeidet man SMS-Spoofing?

Selbst eine branchenführende Sicherheitsinfrastruktur kann kaum dazu beitragen, Benutzer zu schützen, die ihre Passwörter freiwillig an Hacker weitergeben. Die erste Verteidigungslinie ist immer der Benutzer. Wenn Sie Ihr Geld sicher aufbewahren möchten, müssen Sie jederzeit wachsam bleiben und die folgenden Praktiken zur Gewohnheit machen. 

1. Überprüfen Sie eingehende Nachrichten

Überprüfen Sie immer die Quelle eingehender Nachrichten, bevor Sie antworten. Seien Sie vorsichtig bei unerwarteten Nachrichten oder Nachrichten, die verdächtig erscheinen. Sie können benutzerdefinierte Nachrichten von Binance überprüfen, indem Sie das Tool Binance Verify verwenden oder einen Screenshot der Nachricht an unser Support-Team senden. Für andere Dienste müssen Sie der jeweiligen Plattform direkt über deren offizielle Website oder andere vertrauenswürdige Kanäle eine Nachricht senden.

2. Aktivieren Sie die Zwei-Faktor-Authentifizierung 

Zwei-Faktor-Authentifizierung (2FA) bietet eine zusätzliche Sicherheitsebene vor Angreifern, die versuchen, Zugriff auf Ihr Konto zu erhalten, auch durch SMS-Spoofing. Aktivieren Sie 2FA immer für jedes Konto, das es unterstützt. 

Bei korrekter Verwendung können 2FA-Codes zum Schutz Ihres Kontos beitragen. Geben Sie Ihren 2FA-Code nur auf der offiziellen Website ein. Stellen Sie sicher, dass Sie Ihre 2FA-Nachrichten noch einmal überprüfen, um festzustellen, wofür sie verwendet werden. 

3. Geben Sie keine persönlichen Daten weiter 

Vermeiden Sie die Weitergabe vertraulicher Informationen (z. B. Passwörter, Kreditkartennummern, Sozialversicherungsnummern und andere von der Regierung ausgestellte Kennungen) per Textnachricht, insbesondere an nicht verifizierte Kontakte.

4. Vermeiden Sie verdächtige Links

Klicken Sie nicht auf Links, die Ihnen per SMS zugesandt werden, ohne zuvor deren Legitimität zu überprüfen. Der Link führt möglicherweise zu einer Phishing-Website, die versucht, Ihre Anmeldedaten zu stehlen oder Malware auf Ihrem Gerät zu installieren. 

Greifen Sie nicht auf Websites mit dem „Kein Schlüssel“-Symbol oder unverschlüsselten URLs (HTTP, nicht HTTPS) zu. Überprüfen Sie immer die URL, bevor Sie darauf klicken. Stellen Sie sicher, dass Sie nur offizielle Websites nutzen. Wenn Sie beispielsweise nicht sicher sind, ob ein mit Binance verknüpfter Link, eine E-Mail-Adresse, eine Mobiltelefonnummer, eine WeChat-ID, ein Twitter-Konto oder eine Telegram-ID von einer offiziellen Quelle stammt, können Sie dies unter Binance Verify

Allgemeine Informationen zum Schutz Ihrer Kryptogelder finden Sie im Abschnitt „Sicherheit“ unserer FAQ oder der Binance Academy. 

Nachfolgend finden Sie eine Liste verdächtiger Websites, die wir identifiziert haben und die den Anschein erwecken, als wären sie mit Binance verbunden. Vermeiden Sie alle diese Websites. Der Domainname gibt auch eine Vorstellung davon, wie eine „gefälschte Binance“-Website aussieht, die versucht, Benutzer in die Irre zu führen.

Arten von SMS-Spoofing

Die Ziele und Mechanismen von SMS-Spoofing-Angriffen können unterschiedlich sein. Das Äquivalent besteht darin, dass die Nummer oder der Name des tatsächlichen Absenders ersetzt wird, sodass die Betrüger als jemand anders erscheinen können. Häufige Szenarios dafür, wie jemand Sie mit SMS-Spoofing ins Visier nehmen könnte, sind Geldtransfers und Belästigungs-Parodien.

Im ersten Fall geben sich Betrüger als legitimer Finanzdienstleister wie Binance aus und senden dem Opfer dann kurze Nachrichten, beispielsweise über gefälschte Cashback-Transaktionen. In solchen Nachrichten werden die Empfänger normalerweise aufgefordert, einen QR-Code zu scannen oder auf einen Link zuzugreifen, um Cashback anzufordern.

SMS-Spoofing wird auch von Stalkern und Cyberbullies eingesetzt, die ihre Opfer einschüchtern wollen, indem sie bedrohliche oder unangemessene Nachrichten von unbekannten oder zufällig benannten Nummern senden.

Echte Beispiele für SMS-Spoofing-Angriffe

Beispiel 1: Gefälschte 2FA-Nachricht

Ein Benutzer, nennen wir ihn Jack, erhielt eine Nachricht mit der Aufschrift: „[Binance] Benutzer muss Web 3.0 aktualisieren, um zu verhindern, dass sein Konto deaktiviert wird. Bianenc.net.“

Jack sah, dass der Absender „Binance“ war und dass die Nachricht von demselben Kanal kam, von dem er normalerweise seinen 2FA-Code erhielt. Jack geht davon aus, dass es sich um eine legitime Nachricht handelt, also meldet er sich auf der Phishing-Website an und gibt dem Betrüger seine Kontodaten weiter.

Beispiel 2. „Widerrufsstornierung“

Ein Benutzer, nennen wir ihn Brad, erhielt eine SMS-Nachricht von jemandem mit der Absenderadresse „Binance“. Die Nachricht erinnerte Brad daran, „seine Auszahlung zu diesem Zeitpunkt abzubrechen“. Da er glaubte, die Nachricht sei offiziell, meldete sich Brad auf der Phishing-Website an. 

Dem Hacker gelang es, sich mit Brads Benutzernamen, Passwort und 2FA auf der offiziellen Binance-Website anzumelden und dann Bargeld abzuheben. 

In diesem Beispiel hat der Benutzer zwei Dinge nicht getan:

• Überprüfen Sie den Link auf Binance Verify.

• Überprüfen Sie noch einmal die tatsächliche 2FA-Nachricht, die tatsächlich Informationen darüber enthält, dass der 2FA-Code für die Durchführung einer Auszahlung und nicht für die Stornierung verwendet wird. 

Beispiel 3. Konto „bestätigen“ oder „aktualisieren“.

Viele unserer Benutzer haben berichtet, dass sie gefälschte SMS mit Links zur Bestätigung oder Aktualisierung ihrer Konten erhalten haben. Wie in der Nachricht erläutert, wird das Konto gesperrt, wenn die erforderlichen Maßnahmen nicht ergriffen werden. In Wirklichkeit führt der Link in der SMS zu einer Phishing-Website, die darauf abzielt, Kontodaten zu stehlen. Beachten Sie, dass die Domains in diesen Textnachrichten den Anschein erwecken, es handele sich um legitime Unternehmen.

Wenn Sie ein Ziel von SMS-Spoofing sind

• Wenn Sie den Verdacht haben, dass Ihnen jemand SMS-Spoofing geschickt hat, wenden Sie sich umgehend an die zuständigen Strafverfolgungsbehörden. Wenn das SMS-Spoofing mit Binance zusammenhängt, senden Sie bitte auch einen Bericht an das Binance-Supportteam.

• Wenn Ihr Konto kompromittiert wurde, sperren Sie Ihre Kreditkarten und Bankkonten sowie Ihr Guthaben, um zu verhindern, dass Kriminelle in Ihrem Namen neue Konten eröffnen. Um Ihr Vermögen zu schützen, sollten Sie Ihr Konto auch deaktivieren, indem Sie die Schritte in diesem FAQ-Leitfaden befolgen: So deaktivieren Sie mein Binance-Konto.

• Senden Sie niemals Ihre Binance-Kontodaten, Ihren 2FA-Code oder Ihre Finanzinformationen an Dritte, auch wenn die Person, die sie anfordert, auf den ersten Blick legitim erscheint. Zusätzlich zum SMS-Spoofing versuchen Betrüger möglicherweise auch, Sie per E-Mail oder über andere Kanäle auszutricksen. 

• Überprüfen Sie die mit Binance verknüpfte Domain in Binance Verify noch einmal. Bitte beachten Sie jedoch, dass dieses Tool keine Garantie dafür bietet, dass Sie frei von Betrug sind. Sie müssen dennoch vorsichtig sein, wenn Sie das Gefühl haben, dass etwas nicht stimmt. 

Weiterführende Literatur

• Kennen Sie Ihren Betrug

• Behalten Sie die Sicherheit: Was ist ein Kontoübernahmeangriff? 

• Ein Leitfaden zu gefälschten Apps: Wie man sie erkennt und vermeidet