Krypto-Währungsbetrug
Check Point deckt Krypto-Währungsbetrug mit manipulierten Tokens auf
Krypto-Währungsbetrug – Wie Hacker mit Token-Betrug Geld abzocken
In einer neuen Veröffentlichung zeigt Check Point Research (CPR), wie Betrüger sogenannte Smart Contracts falsch konfigurieren, um betrügerische Tokens zu erstellen. Der Bericht beschreibt detailliert die Methode, mit der Betrüger derzeit Geld stehlen und liefert Beispiele. Die Ergebnisse bauen auf früheren Forschungen von CPR zu Krypto-Währungsbetrug auf.
Check Point Research deckte zuvor im vergangenen Oktober den Diebstahl von Krypto-Geldbörsen auf OpenSea, dem weltweit größten NFT-Marktplatz, auf. Im November kam dann hinzu, dass Hacker neue Suchmaschinen-Phishing-Kampagnen über Google Ads nutzten, um innerhalb weniger Tage eine halbe Million Dollar zu stehlen.
Die nun gefälschten Tokens können folgende Eigenschaften aufweisen:
- Einige Tokens enthalten eine Kaufgebühr von 99 Prozent, die Ihnen beim Kauf das Geld raubt.
- Einige Tokens enthalten eine Verkaufsgebühr von 99 Prozent, die Ihnen beim Verkauf Ihr Geld rauben wird.
- Einige Token erlauben dem Käufer nicht, sie zu verkaufen, sodass der Verkäufer als Eigentümer verbleibt und nur er kann sie verkaufen.
- Einige erlauben es dem verkaufenden Eigentümer, weitere Münzen in seiner Brieftasche anzulegen und zu verkaufen.
Um betrügerische Token zu erstellen, konfigurieren Hacker Smart Contracts falsch. Das sind Programme, die in einer Blockchain gespeichert sind und ausgeführt werden, wenn bestimmte Bedingungen erfüllt werden. CPR skizziert die Schritte, mit denen sich Hacker die Smart Contracts zunutze machen:
- Ausnutzung von Betrugsdiensten: Hacker nutzen in der Regel sogenannte Scam Services, um den Contract zu erstellen, oder sie kopieren einen bereits bekannten Scam Contract und ändern den Token-Namen sowie das Symbol und einige der Funktionsnamen, falls sie wirklich raffiniert sind.
- Manipulation der Funktionen: Als nächstes werden sie die Funktionen des Geldtransfers manipulieren, um die Käufer am Verkauf zu hindern, oder die Gebühren zu erhöhen. Die meisten Manipulationen werden sich stets auf den Geldtransfer beziehen.
- Begeisterung über soziale Medien erzeugen: Dann öffnen Hacker soziale Kanäle, wie Twitter, Discord oder Telegram, ohne ihre Identität preiszugeben – oder sie missbrauchen gefälschte Identitäten anderer Personen – und beginnen mit dem Hype um das Projekt, damit die Leute anfangen, zu kaufen.
- Abzocken: Nachdem die Kriminellen die gewünschte Summe erreicht haben, ziehen sie das gesamte Geld aus dem Scam Smart Contract ab und löschen alle Social-Media-Kanäle.
- Zeitstempel überspringen: Normalerweise werden die Käufer nicht sehen, dass diese Token einen großen Geldbetrag im Contract Pool sperren oder sogar ein Timelock zum Vertrag hinzufügen. Timelocks werden meist verwendet, um administrative Maßnahmen zu verzögern, und gelten im Allgemeinen als starker Indikator dafür, dass ein Projekt legitim ist.
Hier nun einige Tipps zur Vermeidung von Scam-Token
Diversifizierung der Wallets
Der Besitz eines Wallets ist der erste Schritt, um Bitcoins und jede andere Krypto-Währung verwenden zu können. Diese Wallets sind das Werkzeug, mit dem Benutzer ihre Bitcoins speichern und verwalten. Einer der Schlüssel zu deren Sicherheit ist es, mindestens zwei verschiedene Krypto-Wallets zu besitzen. Ziel ist es, dass der Nutzer eine davon für seine Einkäufe und die andere für den Handel und den Austausch von Krypto-Münzen verwenden kann. Auf diese Weise ist das Vermögen besser geschützt, da in den Wallets auch die Passwörter der einzelnen Nutzer gespeichert werden. Diese sind ein wesentlicher Bestandteil beim Handel mit Krypto-Währungen und verfügen über einen öffentlichen Schlüssel, der es anderen Nutzern ermöglicht, Krypto-Währungen an eine Geldbörse zu senden. Sollte es einem Cyber-Kriminellen gelingen, sich durch einen Angriff den Zugang zu diesen Daten zu verschaffen, dann in diesem Fall der Trennung nur zu der Geldbörse, mit der Sie handeln. Die erworbenen Bitcoins in der anderen Geldbörse sind sicher.
Ignorieren der Werbung
Oftmals suchen die Nutzer über Google nach Bitcoin-Wallet-Plattformen. In diesem Moment können sie einen der größten Fehler begehen, denn sie klicken auf eine der Google-Anzeigen, die an erster Stelle erscheinen. Hinter diesen Links stecken oft Verbrecher, die falsche Web-Seiten erstellen, um Anmeldedaten oder Passwörter zu stehlen. Daher ist es sicherer, die Seiten aufzurufen, welche in der Suchmaschine weiter unten erscheinen und keine Google-Anzeige sind.
Transaktionen testen
Bevor man große Krypto-Beträge sendet, sollte man zunächst eine Testtransaktion mit einem Mindestbetrag durchführen. Auf diese Weise ist es einfacher, den Betrug zu erkennen, falls man ihn an eine gefälschte Brieftasche sendet.
Doppelte Aufmerksamkeit für mehr Sicherheit
Eine der besten Maßnahmen zum Schutz vor jeder Art von IT-Angriff ist die Aktivierung der Zwei-Faktor-Authentifizierung auf den Plattformen, auf denen Sie ein Konto haben. Wenn ein Angreifer versucht, sich auf irreguläre Weise bei einer dieser Plattformen anzumelden, erhält der eigentliche Eigentümer eine Nachricht, um seine Authentizität zu überprüfen, beispielsweise mittels eines SMS-Codes. So ist er informiert und der Hacker erhält trotz Kennwort keinen Zugriff.
Oded Vanunu, Head of Products Vulnerabilities Research bei Check Point Software Technologies, erklärt die Sicherheitsforschung: „Check Point Research investiert erhebliche Kräfte in die Untersuchung der Schnittstelle zwischen Krypto-Währungen und IT-Sicherheit. Letztes Jahr haben wir den Diebstahl von Krypto-Wallets auf OpenSea , dem weltweit größten NFT-Marktplatz, enttarnt und wir haben die Nutzer von Krypto-Wallets vor einer massiven Suchmaschinen-Phishing-Kampagne gewarnt, die dazu führte, dass innerhalb weniger Tage mindestens eine halbe Million Dollar gestohlen wurde. In unserer neuen Veröffentlichung zeigen wir, wie der Betrug mit echten Smart Contracts aussieht, und decken einen echten Token-Betrug auf, der das Verstecken von Gebührenfunktionen in Höhe von 100 Prozent erlaubt und das Verstecken von Backdoor-Funktionen beinhaltet. Wegen dieser beiden Techniken fallen derzeit viele Krypto-Nutzer weiterhin in diese Fallen und verlieren ihr Geld. Mit unserer Veröffentlichung wollen wir die Krypto-Gemeinschaft darauf aufmerksam machen, dass Betrüger gefälschte Tokens entwickeln können. Um Betrugsmünzen zu vermeiden, empfehle ich Krypto-Nutzern, ihre Geldbörsen zu diversifizieren, Werbung zu ignorieren und ihre Transaktionen zu testen.“