zum Tangem Shop

Social-Engineering-Angriffe in Krypto

38_201.png

Es gibt viele Möglichkeiten, Besitzer von Krypto-Wallets an ihre Seed-Phrasen zu tricksen. Böswillige Akteure könnten ihnen eine gefälschte E-Mail senden, eine gefälschte Version einer Website für Kryptowährungsdienste erstellen oder Malware auf ihren Geräten platzieren. Fast alle dieser Schemata haben jedoch eines gemeinsam: Social Engineering.

Im Kontext der Informationssicherheit ist damit die Manipulation eines Opfers gemeint, um es dazu zu bringen, den Befehlen des Betrügers nachzukommen. Sehr oft ist Social Engineering alles, was dazu nötig ist. Wie funktioniert es also und warum?
 

Was ist Social Engineering?

Social Engineering ist die Kunst, Personen zu manipulieren, damit sie vertrauliche Informationen preisgeben oder bestimmte Aktionen ausführen, die die Sicherheit gefährden. Im Kryptobereich werden Social-Engineering-Taktiken eingesetzt, um Opfer dazu zu bringen, private Schlüssel preiszugeben, Kryptowährungen an betrügerische Adressen zu senden oder Malware zu installieren.

Sich als Mitarbeiter auszugeben und Zugriff auf persönliche Konten zu erhalten, ist eine gängige Social-Engineering-Taktik von Cyberkriminellen. Social Engineering basiert auf menschlichen Fehlern und ist trotz anderer verfügbarer Ausnutzungstechniken schwer zu erkennen.

Legitime menschliche Fehler sind unvorhersehbarer als Malware-basierte Angriffe, die auf Schwachstellen in Software und Betriebssystemen basieren. Daher erhöht Social Engineering die Chancen eines Hackers, Sicherheitsmaßnahmen zu umgehen, da Menschen leichter ausgetrickst werden können.

Social-Engineering-Angriffe laufen in zwei Hauptphasen ab. In der ersten Phase untersucht der Angreifer sein Ziel, um wichtige Hintergrunddaten wie etwa Einstiegspunkte und Sicherheitsprotokolle zu sammeln, die anfällig sein könnten.

Bevor Betrüger ihre bösartigen Aktivitäten ausführen, versuchen sie, das Vertrauen ihrer Opfer zu gewinnen. Dies tun sie, indem sie Anreize für Aktionen bieten, die gegen sichere Praktiken verstoßen, wie etwa die Offenlegung vertraulicher Informationen oder die Gewährung des Zugriffs auf wichtige Ressourcen.

Social-Engineering-Angriffe sind überraschend einfach. Ein Hacker muss lediglich jemanden, der beschäftigt, ahnungslos oder vertrauensvoll ist, davon überzeugen, seinen Anweisungen zu folgen. Eines der berüchtigtsten Beispiele für diesen Angriff war, als Hacker Twitter-Mitarbeiter dazu brachten, ihnen Zugang zu vertraulichen Prozessen zu gewähren. Diesen Zugang nutzten sie dann, um hochkarätige Konten wie die von Joe Biden, Elon Musk, Bill Gates und Kanye West zu übernehmen und deren Millionen von Followern dazu zu bringen, Bitcoin-Gelder direkt an die Hacker zu überweisen.

Diese schädlichen Angriffe sind erschreckend einfach auszuführen und folgen normalerweise einem ähnlichen Muster. 

  • Der erste Schritt besteht darin, die Ziele zu identifizieren und zu untersuchen, auf die sich der Angreifer bezieht. 
  • Dann versuchen sie, sich einzuschleichen, indem sie Vertrauen aufbauen und eine Beziehung zum Opfer aufbauen. 
  • Sobald das Vertrauen hergestellt ist, startet der Angreifer den eigentlichen Angriff. 
  • Schließlich ziehen sie sich zurück, sobald das Opfer die gewünschte Aktion ausgeführt hat. 

Diese Angriffe können durch einen einfachen E-Mail-Austausch oder eine Reihe von Gesprächen in sozialen Medien erfolgen. Letztendlich können diese Angriffe dazu führen, dass Ihre persönlichen Daten an jemand anderen weitergegeben werden oder Sie sich Schadsoftware aussetzen.

Arten von Social-Engineering-Angriffen

Hier finden Sie eine Übersicht über die häufigsten Arten von Social-Engineering-Angriffen im Kryptobereich.

1. Phishing-Angriffe

Bei Phishing-Angriffen handelt es sich um schädliche E-Mails oder Textnachrichten, die vorgeben, legitime E-Mails von vertrauenswürdigen Unternehmen zu sein. Ihr Ziel ist es, Sie zu täuschen und Ihnen vorzugaukeln, dass die Nachrichten echt sind, damit sie vertrauliche Informationen wie Seed-Phrasen und Passwörter stehlen können.

Phishing-Angriffe können auf zwei Arten erfolgen:

Spam-Phishing : Dabei handelt es sich um Massen-E-Mails oder -Nachrichten, die an so viele Personen wie möglich gesendet werden. Der Hacker hofft, dass jemand darauf hereinfällt.

Spear-Phishing : Dabei handelt es sich um gezielte Angriffe. Hacker nehmen sich Zeit, um so viel wie möglich über ihre potenziellen Opfer herauszufinden. Anschließend erstellen sie glaubwürdige Nachrichten, um sie auszutricksen. Sie zielen strategisch auf prominente Personen wie Prominente, Führungskräfte der oberen Ebene und einflussreiche Politiker ab.

Erfahren Sie mehr über Phishing-Angriffe und Sicherheit in der Tangem-Community

2. Vorwand

Pretexting ist ein Social-Engineering-Angriff, bei dem jemand ein falsches Szenario erstellt, um andere dazu zu bringen, vertrauliche Informationen preiszugeben. Angreifer, die diese Methode verwenden, müssen überzeugender sein, um Vertrauen zu gewinnen.

Sie rufen beispielsweise eine Bank an und geben sich als Mitarbeiter aus, um Kunden aufzufordern, ihre Passwörter oder persönlichen Daten zu bestätigen. Diese Anrufe sind schwer zu erkennen und oft erfolgreich. Während Phishing-E-Mails oder -Texte leichter zu erkennen sind, ist es wichtig, sich des Pretexting bewusst zu sein und zu wissen, wie man sich schützen kann.

3. Köderangriffe

Social Engineers verwenden Köderangriffe, um Leute dazu zu bringen, ihre Computer mit Schadsoftware zu infizieren. Diese Angriffe sind die am wenigsten verbreitete Art von Social Engineering. Der Köder ist normalerweise ein kostenloses Geschenk, wie ein USB-Stick oder eine CD, die an öffentlichen Orten wie Büros und Universitäten hinterlassen wird. 

Wenn jemand sie aufhebt und an seinen Computer anschließt, wird das System ohne sein Wissen kompromittiert. Seien Sie vorsichtig mit E-Mail-Anhängen, die kostenlose Software oder andere Werbegeschenke anbieten. Sie können Ihrem Computer schaden, also seien Sie immer vorsichtig.

4. Scareware

Scareware ist schädliche Software, die Ihnen vorgaukelt, Ihr Computer sei mit Malware infiziert. Dies wird durch die Anzeige falscher Sicherheitswarnungen oder Popups erreicht. Diese falschen Warnungen ermutigen Sie, ein Tool zur Virenentfernung herunterzuladen. Nach dem Herunterladen stellt sich jedoch heraus, dass das Tool selbst Malware ist. 

Der Kriminelle hinter der Scareware erhält dann Zugriff auf Ihre Daten. Diese Software zielt auch darauf ab, Sie dazu zu verleiten, gefälschte Cybersicherheitssoftware zu kaufen oder vertrauliche Informationen wie Ihre Anmeldeinformationen preiszugeben.

5. Gegenleistung

Ein Quid-Pro-Quo-Angriff ist ein Social-Engineering-Betrug, bei dem Cyberkriminelle etwas im Austausch für persönliche Informationen anbieten. Die Angreifer verwenden möglicherweise ein falsches Angebot, um Personen dazu zu bringen, vertrauliche Daten wie E-Mail-Adressen und Passwörter preiszugeben. Sie geben sich möglicherweise als hilfsbereite Personen aus, die behaupten, ein Problem mit Ihrem Computer beheben oder Ihnen einen Dienst anbieten zu können. 

Das Angebot ist jedoch nur ein Köder, um Sie dazu zu bringen, Ihre privaten Informationen preiszugeben. Dies ist ein gefährlicher Betrug, da der Angreifer Ihre Daten für Identitätsdiebstahl, Betrug oder andere böswillige Aktivitäten verwenden kann. Seien Sie vorsichtig und geben Sie Ihre persönlichen Informationen nicht an Fremde weiter.

Machen Sie das neue Tangem-Sicherheitsquiz und testen Sie, wie sicher Sie vor Social-Engineering-Angriffen sind.

Auf wen zielen Social-Engineering-Angriffe ab?

Social-Engineering-Angriffe zielen auf Einzelpersonen, Organisationen und Unternehmen ab. Zu den Personen, die von diesen Angriffen bedroht sind, zählen hochrangige Führungskräfte, Prominente oder Personen mit Zugang zu vertraulichen Informationen. Organisationen und Unternehmen können ebenfalls Ziel von Angriffen werden, wenn sie über unzureichende Sicherheitsmaßnahmen verfügen. 

Jüngere Generationen und neu eingestellte Mitarbeiter sind möglicherweise stärker von Social-Engineering-Angriffen bedroht, da sie weniger Erfahrung haben und möglicherweise weniger über Cybersicherheit wissen. Unternehmen sollten bei der Schulung solcher Mitarbeiter besondere Vorsichtsmaßnahmen ergreifen, um sicherzustellen, dass sie sich der potenziellen Risiken von Social Engineering bewusst sind.
 

So identifizieren Sie die meisten Arten von Social-Engineering-Angriffen

  1. Seien Sie vorsichtig, wenn Sie Nachrichten von unbekannten Absendern erhalten. Untersuchen Sie deren E-Mail- oder Social-Media-Profile, um zu vermeiden, von gefälschten Konten betrogen zu werden. Informieren Sie sich immer, bevor Sie sich an Online-Kommunikation beteiligen.
     
  2. Überprüfen Sie den Absender einer Nachricht immer doppelt, um sicherzugehen, dass er sie tatsächlich gesendet hat. Kontaktieren Sie ihn persönlich oder telefonisch, um seine Identität zu bestätigen. Dies ist besonders wichtig, wenn Sie den Verdacht haben, dass sein Konto gehackt wurde oder wenn sich jemand in sozialen Medien als er ausgibt.
     
  3. Um sicherzustellen, dass eine Website seriös ist, sollten Sie die URL, die Bildqualität und die Firmenlogos überprüfen. Tippfehler oder veraltete Informationen können Warnsignale sein. Wenn Sie den Verdacht haben, dass eine Website nicht seriös ist, verlassen Sie sie sofort, um Ihre Sicherheit zu schützen.
     
  4. Hüten Sie sich vor Angeboten, die zu gut klingen, um wahr zu sein. Sie können eine Möglichkeit sein, Social-Engineering-Angriffe auszuführen. Überlegen Sie es sich zweimal, bevor Sie Ihre persönlichen Daten preisgeben; sogar Ihre E-Mail-Adresse kann gesammelt und verkauft werden.
     
  5. Seien Sie vorsichtig bei verdächtigen Links oder Dateinamen in E-Mails. Untersuchen Sie den ungewöhnlichen Kontext oder den Zeitpunkt der E-Mail. Riskieren Sie nicht, Anhänge oder Links zu öffnen, bei denen Sie sich nicht sicher sind. Treffen Sie zusätzliche Vorsichtsmaßnahmen, um Sicherheit und Authentizität zu gewährleisten.

Tipps zur Vermeidung von Social-Engineering-Angriffen

Mit den folgenden Schritten können Sie verhindern, Opfer von Social-Engineering-Angriffen zu werden:

  • Klicken Sie nicht auf Links in E-Mails oder Nachrichten aus unbekannten Quellen, wenn der Inhalt verdächtig erscheint.
  • Verwenden Sie sichere Passwörter, um Ihre Konten zu schützen.
  • Verwenden Sie, sofern verfügbar, eine mehrstufige Authentifizierung.
  • Halten Sie Ihre Apps und Betriebssysteme auf dem neuesten Stand, um Sicherheitslücken zu schließen.
  • Geben Sie in sozialen Medien und anderen öffentlichen Foren nicht zu viele Informationen preis.
  • Beantworten Sie keine Twitter-Quizze, bei denen nach privaten Informationen wie dem Namen Ihres ersten Spiels, dem Mädchennamen Ihrer Mutter, dem Namen Ihres Haustiers, Ihrem Geburtsort oder anderen persönlichen Angaben gefragt wird.
     

Social-Engineering-Betrug, der auf Krypto-Benutzer abzielt

Einige Social-Engineering-Schemata zielen auf Kryptobenutzer ab, sowohl Amateure als auch Experten.

  • Der Coinbase-Reset-Betrug

Im Februar 2024 bemerkte der Krypto-Ermittler ZachXBT einen Social-Engineering-Betrug namens Coinbase-Reset-Schema. Angreifer sammelten persönliche Informationen, um Opfer dazu zu bringen, ihre Coinbase-Anmeldedaten zurückzusetzen. In einem Fall verlor ein Opfer über 1.400 ETH im Wert von rund 4 Millionen Dollar. Um nicht Opfer von Betrügereien zu werden, wird empfohlen, einen zusätzlichen Sicherheitsschlüssel wie 2FA zu verwenden, Passwörter oder E-Mails nicht wiederzuverwenden und bei verdächtigen Anmeldeanfragen vorsichtig zu sein. 

Eine Art von Betrug, die für Betrüger lukrativ ist, ist der Coinbase-Reset-Betrug.

Im Grunde sammeln Betrüger alle Ihre persönlichen Daten, bevor sie eine Telefonnummer fälschen und Sie anrufen, um Sie durch Social Engineering dazu zu bringen, Ihre Coinbase-Anmeldedaten zurückzusetzen.

Vor ein paar Stunden … pic.twitter.com/KUE1VqG6mr

– ZachXBT (@zachxbt) , 16. Februar 2024

Einige Community-Mitglieder spekulieren, dass die Angreifer über Insiderwissen zur Kryptowährungsbörse verfügen könnten, während andere glauben, dass sie sich als Coinbase-Mitarbeiter ausgeben. Interessanterweise hat ein Betrüger Berichten zufolge einen anderen Betrüger ausgenutzt, was die unklare Natur dieser kriminellen Aktivitäten weiter verdeutlicht.

  • E-Mail-Betrug

Opfer von Kryptowährungsbetrug erhalten oft einen Brief vom Support-Service einer Krypto-Börse, eines Wallets oder eines DeFi-Projekts. Der Brief enthält in der Regel eine von mehreren Standardgeschichten, beispielsweise die Behauptung, dass das Konto des Opfers gehackt wurde und dringend wiederhergestellt werden muss. 

Der Betrüger kann sich als „Mitarbeiter des technischen Supports“ ausgeben und anbieten, im Namen des Opfers eine neue Seed-Phrase zu generieren. Das Opfer wird jedoch aufgefordert, die alte Seed-Phrase anzugeben, was eine Falle ist. Diese Art von Betrug wird ausschließlich per Korrespondenz durchgeführt und erfordert nicht, dass das Opfer eine Website oder einen Ort besucht.

  • Betrug mit praktischem Service

Es ist wichtig zu beachten, dass die Angst der Menschen, ihr Vermögen zu verlieren, ein wichtiger Punkt ist, den Betrüger ausnutzen können. Dies ist jedoch nicht der einzige Hebelpunkt. Betrüger können den Wunsch der Menschen ausnutzen, Aufgaben zu vereinfachen. Einer unserer Benutzer stieß kürzlich bei seiner Suche nach einer Plattform auf eine Aggregator-Site, die versprach, über WalletConnect eine Verbindung zu jeder DeX- oder NFT-Plattform herzustellen. 

Obwohl der Dienst sehr praktisch war, schien er nicht zu funktionieren. Nach mehreren Versuchen, einen QR-Code zu scannen, meldete der Dienst ein Problem auf der Benutzerseite, und um es zu beheben, wurde der Benutzer aufgefordert, seinen privaten Schlüssel oder seine Seed-Phrase einzugeben. Glücklicherweise bewahrte Tangem Wallet den Benutzer in diesem Fall vor einem potenziell schwerwiegenden Fehler, da keine Seed-Phrase vorhanden war.

  • Der Expertenbetrug

Eine weitere Möglichkeit, die Gunst der Leute zu gewinnen, sind soziale Medien. Betrüger können gefälschte Konten erstellen und sich als Experten ausgeben, um Personen zu täuschen. Sie können Inhalte veröffentlichen, Fotos teilen, versuchen, ihre Opfer als Freunde hinzuzufügen und Kryptowährungs-Communitys beizutreten.

Ziel ist es, den Eindruck zu erwecken, dass eine echte Person den Account betreibt. Bei Erreichen der benötigten Abonnentenzahl unterbreitet der Betrüger seinen Abonnenten ein äußerst „lukratives“ Angebot. Dabei kann es sich um die Installation eines Wallets, die Registrierung für ein Projekt oder die Teilnahme an einem Airdrop handeln.

Die meisten Betrüger ignorieren die Details, wenn sie ihre Geschichten ausarbeiten. Je nach Qualität kaufen sie oft „echte“ Social-Media-Konten für nur 5 US-Dollar, um relevanten Gruppen beizutreten und mit den Benutzern Nachrichten zu senden. Diese Konten sind oft einfach gehalten und enthalten kaum Informationen und wenige Beiträge.
 

So schützen Sie sich und Ihr Vermögen

Psychologen haben erklärt, dass Geld die Grundlage der Existenz ist und sein Verlust sogar mit dem Tod in Verbindung gebracht wird. Alle Rationalität wird über Bord geworfen und reinen Überlebensinstinkten Platz gemacht. Wenn Sie eine Nachricht erhalten, in der Sie darüber informiert werden, dass Ihr Geld in Gefahr ist, sollten Sie eine Pause einlegen und kritisch über die Situation nachdenken.

Wir sagen hier wahrscheinlich nichts Neues, aber es ist immer eine Wiederholung wert: Geben Sie niemals jemandem Ihren privaten Schlüssel oder Ihre Seed-Phrase. Sie sollten Ihre Gelder auch in einer Cold Wallet aufbewahren, die keine erfordert, wie z. B. Tangem Wallet.