Der Krypto-Lehrer Duo Nine, Erfinder der Plattform Your Crypto Community (YCC), wäre am 30. September beinahe Opfer eines Identitätsbetrugs geworden, wie aus einem X-Thread vom 1. Oktober hervorgeht.
Die Betrüger gaben sich als Führungskräfte der Risikokapitalgesellschaft ParaFi aus. Ihr Ziel war es, Duo Nine davon zu überzeugen, einen „Patch“ herunterzuladen, mit dem seine Kopie von Slack funktionierte. In Wirklichkeit war der „Treiber“ wahrscheinlich Malware, und die Betrüger versuchten, seinen privaten Schlüssel zu stehlen und sein Krypto-Wallet vollständig zu leeren.
ParaFi-Partner Kevin Yedid-Boton erklärte in einem X-Post vom 1. Oktober, dass die Betrüger nicht mit seiner Firma in Verbindung stünden und dass Krypto-Benutzer nicht mit den gefälschten Konten interagieren sollten.
„Letzte Nacht wurde ich Opfer eines der komplexesten Social-Engineering-Betrugs, den ich je gesehen habe. Dabei habe ich mich als Mitarbeiter von @paraficapital ausgegeben“, erklärte Duo Nine und fügte hinzu: „Wenn Sie in der Kryptobranche tätig sind, sind Sie ein Ziel.“
Er erklärte, dass er am X von einer Person kontaktiert worden sei, die behauptete, Ryan Navi, Direktor und Head of Venture bei ParaFi Capital, zu sein.
Die Person gab an, dass sie die Web3-Protokolle Layer3, Polymarket, Zapper und Coin98 vertrete. Diese Protokolle suchten nach „KOLs“ (Key Opinion Leaders), die ihnen bei der Vermarktung ihrer Produkte helfen, erklärte die Person und deutete damit an, dass sie möglicherweise an einer Partnerschaft mit Duo Nine interessiert seien.
Die Nachricht kam von einem verifizierten Konto auf X.
Duo Nine antwortete, indem es um eine E-Mail von der Domäne des Unternehmens oder eine private Nachricht vom X-Konto des Unternehmens bat.
Die Person weigerte sich, ihm beides zu geben, verwies ihn aber auf die offizielle Website von ParaFi, auf der „Ryan Navi“ und mehrere andere Teammitglieder aufgeführt waren. Die Person zeigte Duo Nine auch, dass jedes Mitglied des Teams einen verifizierten X-Account hatte und dass alle diese Accounts seinem Account folgten. Laut Duo Nine sah er die Weigerung der Person, eine E-Mail-Adresse anzugeben, als „sofortiges Warnsignal“. Trotzdem „beschloss er, mitzuspielen“.
Gespräch mit ParaFi-Imitator. Quelle: Duo Nine.
Nachdem er ein paar Nachrichten mit ihm ausgetauscht hatte, lud der angebliche „Ryan Navi“ den Krypto-Lehrer zu einem Telegram-Gruppenchat mit sich selbst und zwei weiteren Personen ein, die behaupteten, die ParaFi-Teammitglieder Nicole Ferguson und Stephanie Ng zu sein.
Im Chat einigten sich die vier Personen auf die Bedingungen einer neuen Partnerschaft. In letzter Minute schlug „Nicole“ jedoch vor, dass sich die beiden per Audioanruf treffen sollten, um die letzten Einzelheiten zu klären. In diesem Moment begann sich der wahre Zweck des Treffens zu entfalten.
Kürzlich: Die beiden Krypto-Token von World Record Egg riechen irgendwie übel
Die angeblichen Teammitglieder schickten ihm einen authentischen Calendly-Link, den er durch Überprüfung der URL verifizierte. Über diesen Link vereinbarte er ein Meeting mit ihnen. Sie warnten ihn jedoch, dass das Team für den Anruf einen Slack-Server verwenden würde, was bedeutete, dass er sich für ein Slack-Konto anmelden müsste. Er fand diese Anfrage „merkwürdig“, meldete sich aber trotzdem an.
Als Duo Nine den Link zum Slack-Server der Organisation erhielt, überprüfte er ihn noch einmal, um sicherzustellen, dass er vom richtigen Domänennamen stammte – in diesem Fall Slack.com.
Tatsächlich führte der Link zu einer Subdomain der offiziellen Slack-Website. Bislang schien der Server legitim zu sein.
Beim Anklicken wurde jedoch eine Fehlermeldung angezeigt. „Entschuldigung! Es ist ein Fehler aufgetreten, aber wir untersuchen das“, hieß es in der Nachricht.
Fehlermeldung vom Identitätsbetrugsserver. Quelle: Duo Nine.
Er erzählte „Nicole“ von der Fehlermeldung und sie fragte „Ryan“ danach. „Diesen Fehler hattest du letzte Woche, oder?“, fragte sie das andere vermeintliche Teammitglied.
Als Antwort darauf behauptete „Ryan“, die Lösung, die er gefunden habe, sei das Herunterladen eines „Treibers“, auf den in einem Reddit-Forumsbeitrag verlinkt worden sei.
Da Duo Nine vermutete, dass er zum Herunterladen von Schadsoftware aufgefordert wurde, weigerte er sich, den „Treiber“ zu installieren.
Stattdessen forderte er die Personen erneut auf, eine E-Mail von der ParaFi-Domäne zu senden, um zu beweisen, dass sie keine Betrüger waren.
Als Antwort darauf schickte „Ryan“ eine E-Mail von paraficapital@outlook.com, die die falsche outlook.com-Domäne enthielt und bewies, dass er wahrscheinlich keinen Zugriff auf die authentische Domäne, parafi.com, hatte.
An diesem Punkt war das Spiel vorbei. Duo Nine konfrontierte sie mit den Beweisen gegen sie und sie reagierten, indem sie ihre Nachrichten löschten und den Kontakt zu ihm abbrachen.
In dem Beitrag forderte Duo Nine die Benutzer auf, auf diesen und ähnliche Betrügereien aufmerksam zu machen und zum zusätzlichen Schutz vor Malware Guthaben in Hardware-Wallets aufzubewahren.
ParaFi warnt Benutzer vor Betrügern
Am 1. Oktober postete Yedid-Boton auf X, um die Krypto-Community vor dem Betrug zu warnen. „ALARM: GEFÄLSCHTE KONTEN GEBEN SICH ALS @ParaFiCapital TEAM AUS“, schrieb er von seinem offiziellen Account aus.
Dem Beitrag zufolge sind die Nachahmer „mit @X verifiziert und zahlen ein Abonnement, was darauf schließen lässt, dass diese Betrüger erwarten, mit diesen gefälschten Konten Gewinn zu machen!“
Benutzer können zwischen echten und gefälschten ParaFi-Konten unterscheiden, da das echte Konto ein gelbes Abzeichen trägt und die echten Teammitglieder, die ihm folgen, „Affiliate“-Abzeichen haben, die beweisen, dass sie tatsächlich mit dem Unternehmen verbunden sind, heißt es in dem Beitrag.
Yedid-Boton riet den Benutzern, „mit den Posts, Nachrichten oder Inhalten“ der gefälschten Konten nicht zu interagieren oder ihnen zu vertrauen.
Der angebliche Malware-Reddit-Beitrag
Der Reddit-Beitrag über angebliche Malware stammte vom Benutzer u/andler_schust, dessen Konto im März erstellt wurde. Der Beitrag wurde am 22. Oktober erstellt. Er verweist auf Flaudriver, eine angebliche App, die den Computer eines Benutzers scannt und prüft, ob Treiber aktualisiert werden müssen.
Flauidriver-Webanwendung, angeblich Malware. Quelle: Flauidriver
Apps zum Scannen von Treiberaktualisierungen erfordern vom Benutzer häufig die Genehmigung umfangreicher Berechtigungen, was ihre Verwendung äußerst riskant macht. Benutzer sollten diese Art von Apps grundsätzlich nicht installieren, es sei denn, sie stammen aus einer vertrauenswürdigen Quelle. Cointelegraph hat die App nicht getestet, um festzustellen, ob es sich um Malware handelt.
Laut der Website-Analyseplattform Scamvoid.net wurde Flauidriver am 20. Oktober veröffentlicht. Der Reddit-Beitrag wurde am 22. Oktober erstellt, zwei Tage nach der Erstellung der Site.
Reddit-Beitrag zur Werbung für Flauidriver. Quelle: Reddit.
Identitätsbetrug ist in der Krypto-Community ein weit verbreitetes Problem. Am 15. Juni veröffentlichte Binance-Mitbegründerin Yi He mehrere Beispiele von Betrugskonten, die sie auf X gefunden hatte und die vorgaben, ihr zu gehören, in Wirklichkeit aber von Betrügern stammten. Sie versuchte, das Bewusstsein für das Problem zu schärfen und die Führungskräfte von X davon zu überzeugen, diese Konten mit mehr Nachahmung zu sperren.
Magazin: Bankroll Network DeFi gehackt, Phisher überträgt 50 Millionen Dollar Kryptowährungen auf CoW: Crypto-Sec
Am selben Tag warnte die US-amerikanische Cybersecurity and Infrastructure Security Agency (CISA), dass Betrüger sich als Regierungsangestellte ausgaben, um die Kryptowährungen der Benutzer zu stehlen.