Beitrag der Gemeinschaft - Autor: WhoTookMyCrypto.com


Das Jahr 2017 war ein bemerkenswertes Jahr für den Kryptowährungssektor, da die schnelle Wertsteigerung sie in die Massenmedien katapultierte. Es überrascht nicht, dass dies ein enormes wachsendes Interesse sowohl von der Allgemeinheit als auch von Cyberkriminellen erweckte. Die relative Anonymität, die Kryptowährungen bieten, macht sie zu einem Favoriten unter Kriminellen, die sie oft nutzen, um traditionelle Bankensysteme zu umgehen und die finanzielle Überwachung durch Regulierungsbehörden zu vermeiden.

Da Menschen mehr Zeit mit ihrem Smartphone als mit ihrem Desktop-Computer verbringen, ist es nicht überraschend, dass sich auch Cyberkriminelle diesen Geräten zugewandt haben. Der folgende Artikel erläutert, wie Betrüger Kryptowährungsnutzer über ihre mobilen Geräte ins Visier nehmen und einige Maßnahmen, die Benutzer ergreifen können, um sich zu schützen.


Gefälschte Kryptowährungsanwendungen

Gefälschte Anwendungen von Kryptowährungsbörsen

Das bekannteste Beispiel für eine gefälschte Anwendung einer Kryptowährungsbörse ist wahrscheinlich das von Poloniex. Vor der Einführung ihrer offiziellen mobilen Handelsanwendung im Juli 2018 listete Google Play bereits mehrere gefälschte Poloniex-Börsenanwendungen auf, die absichtlich so gestaltet waren, dass sie funktionierten. Viele Benutzer, die diese betrügerischen Anwendungen heruntergeladen hatten, sahen ihre Poloniex-Anmeldedaten gefährdet und ihre Kryptowährungen gestohlen. Einige Anwendungen gingen sogar noch weiter und verlangten die Anmeldedaten der Gmail-Konten der Benutzer. Es ist wichtig zu betonen, dass nur Konten ohne Zwei-Faktor-Authentifizierung (A2F) kompromittiert wurden.

Die folgenden Schritte können Ihnen helfen, sich gegen solche Betrügereien zu schützen.

  • Überprüfen Sie die offizielle Website der Börse, um zu sehen, ob sie tatsächlich eine mobile Handelsanwendung anbietet. Wenn ja, verwenden Sie den auf ihrer Website bereitgestellten Link.

  • Lesen Sie die Bewertungen und Einschätzungen. Betrügerische Anwendungen haben oft viele schlechte Bewertungen von Personen, die sich beschweren, Opfer von Betrügereien geworden zu sein, stellen Sie also sicher, dass Sie diese Bewertungen und Einschätzungen überprüfen, bevor Sie eine Anwendung herunterladen. Sie sollten jedoch auch skeptisch gegenüber Anwendungen sein, die perfekte Bewertungen und Einschätzungen aufweisen. Jede legitime Anwendung hat ihren fairen Anteil an negativen Bewertungen.

  • Überprüfen Sie die Informationen des Anwendungsentwicklers. Überprüfen Sie, ob ein legitimes Unternehmen, eine E-Mail-Adresse und eine Website angegeben sind. Es wird auch empfohlen, online nach den angegebenen Informationen zu suchen, um festzustellen, ob sie tatsächlich mit der offiziellen Börse verbunden sind.

  • Überprüfen Sie die Anzahl der Downloads. Auch die Anzahl der Downloads sollte berücksichtigt werden. Es ist unwahrscheinlich, dass eine sehr beliebte Kryptowährungsbörse eine geringe Anzahl von Downloads hat.

  • Aktivieren Sie A2F auf Ihren Konten. Obwohl es nicht zu 100 % sicher ist, ist A2F viel schwieriger zu umgehen und kann einen enormen Unterschied beim Schutz Ihrer Gelder machen, selbst wenn Ihre Anmeldedaten kompromittiert sind (lesen Sie den Artikel über Phishing).


Gefälschte Kryptowährungs-Wallet-Anwendungen

Es gibt viele Arten gefälschter Anwendungen. Eine Variante versucht, persönliche Informationen von Benutzern zu erhalten, wie z. B. ihre Wallet-Passwörter und privaten Schlüssel.

In einigen Fällen bieten gefälschte Anwendungen den Benutzern im Voraus generierte öffentliche Adressen an. Diese Benutzer nehmen daher an, dass die Gelder auf diese Adressen eingezahlt werden, obwohl sie letztendlich keinen Zugang zu den privaten Schlüsseln haben und somit keinen Zugriff auf die eingezahlten Gelder haben.

Beispiele für diese gefälschten Wallets wurden für beliebte Kryptowährungen wie Ethereum und Neo erstellt, und leider haben viele Benutzer ihre Gelder verloren. Hier sind einige Vorsichtsmaßnahmen, die Sie ergreifen können, um zu vermeiden, Opfer dieser Praktiken zu werden:

  • Die oben im Abschnitt über gefälschte Börsenanwendungen hervorgehobenen Vorsichtsmaßnahmen sind ebenfalls anwendbar. Eine zusätzliche Vorsichtsmaßnahme, die Sie beim Verwenden von Wallet-Anwendungen ergreifen können, besteht darin, sicherzustellen, dass neue Adressen beim ersten Öffnen der Anwendung generiert werden und dass Sie im Besitz der privaten Schlüssel (oder mnemonischen Codes) sind. Eine legitime Wallet-Anwendung ermöglicht es Ihnen, die privaten Schlüssel zu exportieren, es ist jedoch auch wichtig, sicherzustellen, dass die Generierung neuer Schlüsselpaar nicht kompromittiert wird. Es wird daher empfohlen, eine renommierte Software (vorzugsweise Open Source) zu verwenden.

  • Selbst wenn die Anwendung Ihnen einen privaten Schlüssel (oder eine mnemonische Phrase) zur Verfügung stellt, sollten Sie überprüfen, ob die öffentlichen Adressen abgeleitet werden können und von diesen zugänglich sind. Beispielsweise ermöglichen einige Bitcoin-Wallets den Benutzern, ihre privaten Schlüssel oder mnemonischen Codes zu importieren, um die Adressen anzuzeigen und auf die Gelder zuzugreifen. Um das Risiko einer Kompromittierung der Schlüssel und Phrasen zu minimieren, können Sie dies auf einem isolierten Computer (nicht mit dem Internet verbunden) tun.


Heimliches Mining von Kryptowährungen (Cryptojacking)

Heimliches Mining von Kryptowährungen (Cryptojacking) ist eine der bevorzugten Methoden von Cyberkriminellen aufgrund der geringen Hindernisse bei der Durchführung und der niedrigen Gemeinkosten. Darüber hinaus bietet es ihnen das Potenzial für wiederkehrende Einnahmen über einen langen Zeitraum. Trotz ihrer geringen Verarbeitungskapazität im Vergleich zu PCs sind mobile Geräte zunehmend Ziel für heimliches Mining von Kryptowährungen.

Neben dem Krypto-Hacking über Webbrowser entwickeln Cyberkriminelle auch Programme, die wie legitime Anwendungen, Spiele, öffentliche oder pädagogische Anwendungen aussehen. Viele dieser Anwendungen sind jedoch darauf ausgelegt, heimlich Skripte für das Mining von Kryptowährungen im Hintergrund auszuführen.

Es gibt auch Krypto-Hacking-Anwendungen, die als legitime Drittanbieter-Miner angekündigt werden, aber die Belohnungen werden dem Entwickler der Anwendung statt den Benutzern ausgehändigt.

Um die Situation zu verschlimmern, sind Cyberkriminelle immer raffinierter geworden und haben leichte Mining-Algorithmen entwickelt, um die Erkennung zu vermeiden.

Das heimliche Mining von Kryptowährungen (Cryptojacking) ist äußerst schädlich für Ihre mobilen Geräte, da es die Leistung beeinträchtigt und den Verschleiß beschleunigt. Schlimmer noch, sie könnten potenziell wie Trojaner für schädlichere Malware agieren.

Die folgenden Maßnahmen können ergriffen werden, um sich zu schützen:

  • Laden Sie nur Anwendungen aus offiziellen Geschäften wie Google Play herunter. Gehackte Anwendungen unterliegen keiner Vorauswahl und enthalten eher Skripte für das heimliche Mining von Kryptowährungen.

  • Überwachen Sie Ihr Telefon, um sicherzustellen, dass der Akku nicht leer wird oder überhitzt. Sobald diese Phänomene festgestellt werden, schließen Sie die entsprechenden Anwendungen.

  • Halten Sie Ihr Gerät und Ihre Anwendungen auf dem neuesten Stand, um Sicherheitsanfälligkeiten zu beheben.

  • Verwenden Sie einen Webbrowser, der vor heimlichem Mining von Kryptowährungen schützt, oder installieren Sie renommierte Browser-Plugins wie MinerBlock, NoCoin und Adblock.

  • Wenn möglich, installieren Sie eine Antivirus-Software für mobile Geräte und halten Sie diese aktuell.


Kostenlose Geschenke und gefälschte Mining-Anwendungen für Kryptowährungen

Dies sind Anwendungen, die behaupten, Kryptowährungen für ihre Benutzer zu minen, aber tatsächlich nichts anderes tun, als Werbung anzuzeigen. Sie verleiten die Benutzer dazu, die Anwendungen geöffnet zu halten, indem sie eine Erhöhung ihrer Belohnungen im Laufe der Zeit versprechen. Einige Anwendungen fordern die Benutzer sogar auf, eine 5-Sterne-Bewertung abzugeben, um Belohnungen zu erhalten. Natürlich hat keine dieser Anwendungen tatsächlich gemined, und ihre Benutzer haben niemals eine Belohnung erhalten.

Um sich vor diesem Betrug zu schützen, sollten Sie wissen, dass für die meisten Kryptowährungen das Mining spezialisierte Hardware (ASIC) erfordert, was bedeutet, dass es unmöglich ist, mit einem mobilen Gerät zu minen. Unabhängig von den Beträgen, die Sie extrahieren, wären sie bestenfalls trivial. Halten Sie sich von solchen Anwendungen fern.


Clip-Anwendungen

Diese Anwendungen ändern die Kryptowährungsadressen, die Sie kopieren, und ersetzen sie durch die des Angreifers. So wird die Adresse, die das Opfer kopieren möchte, durch die des Angreifers ersetzt, wenn es die Transaktion verarbeitet.

Um zu vermeiden, Opfer dieser Anwendungen zu werden, hier einige Vorsichtsmaßnahmen, die Sie beim Verarbeiten von Transaktionen beachten sollten:

  • Überprüfen Sie immer zwei, sogar drei Mal die Adresse, die Sie in das Feld des Empfängers einfügen. Transaktionen auf der Blockchain sind irreversibel, daher sollten Sie immer darauf achten.

  • Es ist besser, die vollständige Adresse anstelle nur eines Teils zu überprüfen. Einige Anwendungen sind clever genug, um Adressen einzufügen, die der gewünschten Adresse ähnlich sehen.


SIM-Karten-Tausch

Bei einem SIM-Karten-Tausch-Betrug erhält ein Cyberkrimineller Zugriff auf die Telefonnummer eines Benutzers. Dazu verwenden sie soziale Ingenieurtechniken, um Mobilfunkanbieter dazu zu bringen, ihnen eine neue SIM-Karte auszustellen. Der bekannteste SIM-Karten-Tausch-Betrug betraf Michael Terpin, einen Kryptowährungsunternehmer. Er behauptete, dass AT&T bei der Verwendung seiner Mobiltelefon-Identifikatoren nachlässig war, was dazu führte, dass er eine Menge Tokens im Wert von über 20 Millionen Dollar verlor.

Sobald Cyberkriminelle Zugriff auf Ihre Telefonnummer haben, können sie diese nutzen, um alles A2F zu umgehen, was davon abhängt. Von dort aus können sie auf Ihre Wallets und Ihre Kryptowährungsbörsen zugreifen.

Eine weitere Methode, die Cyberkriminelle anwenden können, besteht darin, Ihre SMS-Kommunikation zu überwachen. Schwachstellen in Kommunikationsnetzwerken können es Kriminellen ermöglichen, Ihre Nachrichten abzufangen, was den Identifikationscode des zweiten Faktors des A2F umfassen kann, den Sie beim Anmelden erhalten sollten.

Was diesen Angriff besonders besorgniserregend macht, ist, dass Benutzer Opfer werden können, ohne irgendeine Schuld auf sich geladen zu haben (im Unterschied zu anderen Betrugsarten, bei denen der Benutzer dazu verleitet wird, eine gefälschte Software herunterzuladen oder auf einen schädlichen Link zu klicken).

Um zu vermeiden, das Ziel solcher Betrügereien zu werden, hier einige Schritte, die Sie in Betracht ziehen sollten:

  • Verwenden Sie Ihre Handynummer nicht für A2F über SMS. Verwenden Sie stattdessen Anwendungen wie Google Authenticator oder Authy, um Ihre Konten zu sichern. Cyberkriminelle können nicht auf diese Anwendungen zugreifen, selbst wenn sie Ihre Telefonnummer besitzen. Sie können auch ein A2F-Gerät wie einen YubiKey oder den Titan-Sicherheitsschlüssel von Google verwenden.

  • Geben Sie keine persönlichen Identifikationsinformationen in sozialen Netzwerken an, wie z. B. Ihre Handynummer. Cyberkriminelle können diese Informationen sammeln und nutzen, um Ihre Identität anderswo zu stehlen.

  • Sie sollten niemals in sozialen Netzwerken ankündigen, dass Sie Kryptowährungen besitzen, da dies Sie zu einem Ziel macht. Oder wenn Sie sich in einer Position befinden, in der jeder bereits weiß, dass Sie welche besitzen, vermeiden Sie es, persönliche Informationen preiszugeben, insbesondere die Plattformen oder Wallets, die Sie verwenden.

  • Treffen Sie Vereinbarungen mit Ihren Mobilfunkanbietern, um Ihr Konto zu schützen. Dies kann bedeuten, dass Sie eine PIN oder ein Passwort mit Ihrem Konto verknüpfen und angeben, dass nur Benutzer, die die PIN kennen, Änderungen am Konto vornehmen können. Sie können auch verlangen, dass diese Änderungen persönlich vorgenommen werden und sie telefonisch ablehnen.


Wi-Fi

Cyberkriminelle suchen ständig nach Einstiegspunkten in mobile Geräte, insbesondere bei Benutzern von Kryptowährungen. Ein anschauliches Beispiel ist der Zugang zu Wi-Fi. Öffentliches Wi-Fi ist nicht sicher, und Benutzer sollten Vorsichtsmaßnahmen treffen, bevor sie sich damit verbinden. Andernfalls riskieren sie, Cyberkriminellen Zugriff auf die auf ihren mobilen Geräten gespeicherten Daten zu gewähren. Diese Vorsichtsmaßnahmen wurden im Artikel über öffentliches Wi-Fi behandelt.


Fazit

Mobiltelefone sind ein wesentlicher Bestandteil unseres Lebens geworden. Tatsächlich sind sie so eng mit Ihrer digitalen Identität verbunden, dass sie zu unserer größten Verwundbarkeit werden können. Cyberkriminelle sind sich dieser Schwäche bewusst und werden weiterhin Wege finden, sie auszunutzen. Die Sicherung Ihrer mobilen Geräte ist keine Option mehr. Es ist eine Notwendigkeit geworden. Bleiben Sie sicher.