Community-Einreichung – Autor: WhoTookMyCrypto.com
2017 war ein bemerkenswertes Jahr für die Kryptowährungsbranche, da ihr rasant steigender Wert sie in die Mainstream-Medien katapultierte. Es überrascht nicht, dass dies sowohl bei der breiten Öffentlichkeit als auch bei Cyberkriminellen großes Interesse hervorrief. Die relative Anonymität, die Kryptowährungen bieten, hat sie zu einem Favoriten bei Kriminellen gemacht, die sie häufig nutzen, um traditionelle Bankensysteme zu umgehen und der finanziellen Überwachung durch Aufsichtsbehörden zu entgehen.
Angesichts der Tatsache, dass die Menschen mehr Zeit auf ihren Smartphones als auf ihren Desktops verbringen, ist es daher nicht verwunderlich, dass auch Cyberkriminelle ihre Aufmerksamkeit auf sie gelenkt haben. Die folgende Diskussion beleuchtet, wie Betrüger Kryptowährungsnutzer über ihre Mobilgeräte angreifen, und zeigt einige Schritte auf, die Nutzer unternehmen können, um sich selbst zu schützen.
Gefälschte Kryptowährungs-Apps
Gefälschte Kryptowährungs-Tausch-Apps
Das bekannteste Beispiel einer gefälschten Kryptowährungs-Tausch-App ist wahrscheinlich das von Poloniex. Vor der Einführung der offiziellen mobilen Handels-App im Juli 2018 listete Google Play bereits mehrere gefälschte Poloniex-Börsen-Apps auf, die absichtlich auf Funktionalität ausgelegt waren. Bei vielen Benutzern, die diese betrügerischen Apps heruntergeladen haben, wurden die Anmeldeinformationen für Poloniex kompromittiert und ihre Kryptowährungen wurden gestohlen. Einige Apps gingen sogar noch einen Schritt weiter und forderten die Anmeldeinformationen der Gmail-Konten der Benutzer an. Es ist wichtig hervorzuheben, dass nur Konten ohne Zwei-Faktor-Authentifizierung (2FA) kompromittiert wurden.
Die folgenden Schritte können Ihnen helfen, sich vor solchen Betrügereien zu schützen.
Überprüfen Sie auf der offiziellen Website der Börse, ob sie tatsächlich eine mobile Handels-App anbietet. Wenn ja, verwenden Sie den auf der Website bereitgestellten Link.
Lesen Sie die Rezensionen und Bewertungen. Betrügerische Apps haben oft viele schlechte Bewertungen und die Leute beschweren sich darüber, dass sie betrogen wurden. Überprüfen Sie sie daher unbedingt, bevor Sie sie herunterladen. Allerdings sollte man auch bei Apps, die perfekte Bewertungen und Kommentare präsentieren, skeptisch sein. Jede legitime App hat ihren gerechten Anteil an negativen Bewertungen.
Überprüfen Sie die Informationen zum App-Entwickler. Achten Sie darauf, ob ein legitimes Unternehmen, eine E-Mail-Adresse und eine Website angegeben sind. Sie sollten auch eine Online-Suche nach den bereitgestellten Informationen durchführen, um festzustellen, ob diese tatsächlich mit der offiziellen Börse in Zusammenhang stehen.
Überprüfen Sie die Anzahl der Downloads. Auch die Anzahl der Downloads sollte berücksichtigt werden. Es ist unwahrscheinlich, dass eine sehr beliebte Kryptowährungsbörse eine geringe Anzahl an Downloads hat.
Aktivieren Sie 2FA für Ihre Konten. Obwohl 2FA nicht 100 % sicher ist, lässt es sich viel schwieriger umgehen und kann einen großen Unterschied beim Schutz Ihrer Gelder machen, selbst wenn Ihre Anmeldedaten gefälscht wurden.
Gefälschte Kryptowährungs-Wallet-Apps
Es gibt viele verschiedene Arten von Fake-Apps. Eine Variante zielt darauf ab, persönliche Informationen von Benutzern wie ihre Wallet-Passwörter und privaten Schlüssel zu erhalten.
In einigen Fällen stellen gefälschte Apps den Nutzern zuvor generierte öffentliche Adressen zur Verfügung. Sie gehen also davon aus, dass Gelder an diese Adressen eingezahlt werden sollen. Sie erhalten jedoch keinen Zugriff auf die privaten Schlüssel und haben somit keinen Zugriff auf etwaige Gelder, die an sie gesendet werden.
Solche gefälschten Wallets wurden für beliebte Kryptowährungen wie Ethereum und Neo erstellt und leider haben viele Benutzer ihr Geld verloren. Hier sind einige vorbeugende Maßnahmen, die ergriffen werden können, um nicht zum Opfer zu werden:
Die oben im Abschnitt „Exchange-App“ hervorgehobenen Vorsichtsmaßnahmen gelten gleichermaßen. Eine zusätzliche Vorsichtsmaßnahme, die Sie beim Umgang mit Wallet-Apps treffen können, besteht jedoch darin, sicherzustellen, dass beim ersten Öffnen der App völlig neue Adressen generiert werden und dass Sie im Besitz der privaten Schlüssel (oder mnemonischen Seeds) sind. Mit einer legitimen Wallet-App können Sie die privaten Schlüssel exportieren. Es ist jedoch auch wichtig, sicherzustellen, dass die Generierung neuer Schlüsselpaare nicht gefährdet wird. Daher sollten Sie eine seriöse Software (vorzugsweise Open Source) verwenden.
Auch wenn die App Ihnen einen privaten Schlüssel (oder Seed) bereitstellt, sollten Sie prüfen, ob die öffentlichen Adressen daraus abgeleitet und abgerufen werden können. Einige Bitcoin-Wallets ermöglichen es Benutzern beispielsweise, ihre privaten Schlüssel oder Seeds zu importieren, um die Adressen anzuzeigen und auf die Gelder zuzugreifen. Um das Risiko einer Kompromittierung von Schlüsseln und Seeds zu minimieren, können Sie dies auf einem Air-Gap-Computer (ohne Verbindung zum Internet) durchführen.
Kryptojacking-Apps
Cryptojacking ist bei Cyberkriminellen sehr beliebt, da die Eintrittsbarrieren niedrig sind und nur geringe Gemeinkosten entstehen. Darüber hinaus bietet es ihnen das Potenzial für langfristige, wiederkehrende Einnahmen. Trotz ihrer im Vergleich zu PCs geringeren Rechenleistung werden mobile Geräte zunehmend zum Ziel von Cryptojacking.
Abgesehen vom Kryptojacking von Webbrowsern entwickeln Cyberkriminelle auch Programme, die scheinbar legitime Spiele-, Dienstprogramm- oder Lern-Apps sind. Viele dieser Apps sind jedoch darauf ausgelegt, heimlich Krypto-Mining-Skripte im Hintergrund auszuführen.
Es gibt auch Kryptojacking-Apps, die als legitime Miner von Drittanbietern beworben werden, die Belohnungen jedoch an den App-Entwickler und nicht an die Benutzer ausgezahlt werden.
Erschwerend kommt hinzu, dass Cyberkriminelle immer raffinierter werden und leichtgewichtige Mining-Algorithmen einsetzen, um einer Entdeckung zu entgehen.
Kryptojacking ist für Ihre Mobilgeräte äußerst schädlich, da es die Leistung beeinträchtigt und den Verschleiß beschleunigt. Schlimmer noch: Sie könnten möglicherweise als Trojanische Pferde für noch schlimmere Malware fungieren.
Die folgenden Maßnahmen können ergriffen werden, um sich davor zu schützen.
Laden Sie Apps nur aus offiziellen Stores wie Google Play herunter. Raubkopien von Apps werden nicht vorab gescannt und enthalten eher Kryptojacking-Skripte.
Überwachen Sie Ihr Telefon auf übermäßige Akkuentladung oder Überhitzung. Sobald dies erkannt wird, beenden Sie Apps, die dies verursachen.
Halten Sie Ihr Gerät und Ihre Apps auf dem neuesten Stand, damit Sicherheitslücken behoben werden.
Verwenden Sie einen Webbrowser, der vor Kryptojacking schützt, oder installieren Sie seriöse Browser-Plug-ins wie MinerBlock, NoCoin und Adblock.
Installieren Sie nach Möglichkeit mobile Antivirensoftware und halten Sie sie auf dem neuesten Stand.
Kostenlose Werbegeschenke und gefälschte Krypto-Miner-Apps
Dabei handelt es sich um Apps, die vorgeben, für ihre Nutzer Kryptowährungen zu schürfen, aber außer der Anzeige von Werbung nichts weiter tun. Sie bieten Benutzern einen Anreiz, die Apps offen zu halten, indem sie im Laufe der Zeit eine Steigerung der Benutzerprämien widerspiegeln. Einige Apps bieten Nutzern sogar einen Anreiz, 5-Sterne-Bewertungen abzugeben, um Prämien zu erhalten. Natürlich handelte es sich bei keiner dieser Apps tatsächlich um Mining, und ihre Benutzer erhielten nie eine Belohnung.
Um sich vor diesem Betrug zu schützen, sollten Sie sich darüber im Klaren sein, dass für das Mining der meisten Kryptowährungen hochspezialisierte Hardware (ASICs) erforderlich ist, was bedeutet, dass das Mining auf einem Mobilgerät nicht möglich ist. Die Beträge, die Sie minen, wären bestenfalls unbedeutend. Halten Sie sich von solchen Apps fern.
Clipper-Apps
Solche Apps verändern die von Ihnen kopierten Kryptowährungsadressen und ersetzen sie durch die des Angreifers. Während ein Opfer also die korrekte Empfängeradresse kopieren kann, wird die Adresse, die es zur Verarbeitung der Transaktion einfügt, durch die Adresse des Angreifers ersetzt.
Um nicht Opfer solcher Apps zu werden, können Sie bei der Verarbeitung von Transaktionen einige Vorsichtsmaßnahmen treffen.
Überprüfen Sie immer doppelt und dreifach die Adresse, die Sie in das Empfängerfeld einfügen. Blockchain-Transaktionen sind irreversibel, daher sollten Sie immer vorsichtig sein.
Am besten überprüfen Sie die gesamte Adresse und nicht nur Teile davon. Einige Apps sind intelligent genug, um Adressen einzufügen, die Ihrer beabsichtigten Adresse ähneln.
SIM-Tausch
Bei einem SIM-Swapping-Betrug verschafft sich ein Cyberkrimineller Zugriff auf die Telefonnummer eines Benutzers. Dazu nutzen sie Social-Engineering-Techniken, um Mobilfunkbetreiber dazu zu verleiten, ihnen eine neue SIM-Karte auszustellen. Der bekannteste SIM-Swapping-Betrug betraf den Kryptowährungsunternehmer Michael Terpin. Er behauptete, dass AT&T im Umgang mit seinen Mobiltelefon-Zugangsdaten fahrlässig gehandelt habe, was dazu geführt habe, dass er Token im Wert von mehr als 20 Millionen US-Dollar verloren habe.
Sobald Cyberkriminelle Zugriff auf Ihre Telefonnummer erhalten haben, können sie damit jede darauf basierende 2FA umgehen. Von dort aus können sie in Ihre Kryptowährungs-Wallets und -Börsen eindringen.
Eine weitere Methode, die Cyberkriminelle nutzen können, ist die Überwachung Ihrer SMS-Kommunikation. Fehler in Kommunikationsnetzwerken können es Kriminellen ermöglichen, Ihre Nachrichten abzufangen, einschließlich der an Sie gesendeten Zweitfaktor-PIN.
Was diesen Angriff besonders besorgniserregend macht, ist, dass Benutzer keine Maßnahmen ergreifen müssen, wie zum Beispiel das Herunterladen einer gefälschten Software oder das Klicken auf einen schädlichen Link.
Um zu verhindern, dass Sie solchen Betrügereien zum Opfer fallen, sollten Sie die folgenden Schritte in Betracht ziehen.
Verwenden Sie nicht Ihre Mobiltelefonnummer für SMS 2FA. Verwenden Sie stattdessen Apps wie Google Authenticator oder Authy, um Ihre Konten zu sichern. Cyberkriminelle können sich keinen Zugriff auf diese Apps verschaffen, selbst wenn sie im Besitz Ihrer Telefonnummer sind. Alternativ können Sie Hardware-2FA wie YubiKey oder den Titan Security Key von Google verwenden.
Geben Sie in sozialen Medien keine personenbezogenen Daten preis, beispielsweise Ihre Mobiltelefonnummer. Cyberkriminelle können solche Informationen abfangen und sie nutzen, um sich anderswo als Sie auszugeben.
Sie sollten in den sozialen Medien niemals bekannt geben, dass Sie Kryptowährungen besitzen, da Sie dadurch zur Zielscheibe werden würden. Oder wenn Sie sich in einer Situation befinden, in der jeder bereits weiß, dass Sie sie besitzen, dann vermeiden Sie die Offenlegung persönlicher Daten, einschließlich der von Ihnen verwendeten Börsen oder Wallets.
Treffen Sie Vereinbarungen mit Ihrem Mobilfunkanbieter, um Ihr Konto zu schützen. Dies könnte bedeuten, dass Sie Ihrem Konto eine PIN oder ein Passwort hinzufügen und vorschreiben, dass nur Benutzer, die die PIN kennen, Änderungen am Konto vornehmen können. Alternativ können Sie verlangen, dass solche Änderungen persönlich vorgenommen werden, und sie telefonisch nicht genehmigen.
W-lan
Cyberkriminelle suchen ständig nach Einfallstoren in mobile Geräte, insbesondere in die von Kryptowährungsnutzern. Ein solcher Einstiegspunkt ist der WLAN-Zugang. Öffentliches WLAN ist unsicher und Benutzer sollten Vorsichtsmaßnahmen treffen, bevor sie eine Verbindung herstellen. Andernfalls besteht die Gefahr, dass Cyberkriminelle Zugriff auf die Daten auf ihren Mobilgeräten erhalten. Diese Vorsichtsmaßnahmen wurden im Artikel über öffentliches WLAN behandelt.
Abschließende Gedanken
Mobiltelefone sind zu einem wesentlichen Bestandteil unseres Lebens geworden. Tatsächlich sind sie so eng mit Ihrer digitalen Identität verknüpft, dass sie zu Ihrer größten Schwachstelle werden können. Cyberkriminelle sind sich dessen bewusst und werden weiterhin Wege finden, dies auszunutzen. Die Sicherung Ihrer Mobilgeräte ist nicht mehr optional. Es ist zu einer Notwendigkeit geworden. Bleib sicher.
