Wie Hacker mit Token-Betrug Geld abzocken

Ein Artikel von red | 27.01.2022 - 08:30

Check Point Research, die Threat Intelligence-Abteilung von Check Point® Software Technologies Ltd., einem weltweit führenden Anbieter von Cyber-Sicherheitslösungen, deckte zuvor im vergangenen Oktober den Diebstahl von Krypto-Geldbörsen auf OpenSea, dem weltweit größten NFT-Marktplatz, auf. Im November kam dann hinzu, dass Hacker neue Suchmaschinen-Phishing-Kampagnen über Google Ads nutzten, um innerhalb weniger Tage eine halbe Million Dollar zu stehlen.

Die gefälschten Tokens können folgende Eigenschaften aufweisen:

  • Einige Tokens enthalten eine Kaufgebühr von 99 Prozent, die Ihnen beim Kauf das Geld raubt.
  • Einige Tokens enthalten eine Verkaufsgebühr von 99 Prozent, die Ihnen beim Verkauf Ihr Geld rauben wird.
  • Einige Token erlauben dem Käufer nicht, sie zu verkaufen, sodass der Verkäufer als Eigentümer verbleibt und nur er kann sie verkaufen.
  • Einige erlauben es dem verkaufenden Eigentümer, weitere Münzen in seiner Brieftasche anzulegen und zu verkaufen.
hacker_hacking_pixabay.jpg

Neues von Check-Points.Sicherheitsforschern zur Kriminalität bei Krypto-Währungen. © Pixabay

Um betrügerische Token zu erstellen, konfigurieren Hacker Smart Contracts falsch. Das sind Programme, die in einer Blockchain gespeichert sind und ausgeführt werden, wenn bestimmte Bedingungen erfüllt werden. CPR skizziert die Schritte, mit denen sich Hacker die Smart Contracts zunutze machen:

  1. Ausnutzung von Betrugsdiensten: Hacker nutzen in der Regel sogenannte Scam Services, um den Contract zu erstellen, oder sie kopieren einen bereits bekannten Scam Contract und ändern den Token-Namen sowie das Symbol und einige der Funktionsnamen, falls sie wirklich raffiniert sind.
  2. Manipulation der Funktionen: Als nächstes werden sie die Funktionen des Geldtransfers manipulieren, um die Käufer am Verkauf zu hindern, oder die Gebühren zu erhöhen. Die meisten Manipulationen werden sich stets auf den Geldtransfer beziehen.
  3. Begeisterung über soziale Medien erzeugen: Dann öffnen Hacker soziale Kanäle, wie Twitter, Discord oder Telegram, ohne ihre Identität preiszugeben – oder sie missbrauchen gefälschte Identitäten anderer Personen – und beginnen mit dem Hype um das Projekt, damit die Leute anfangen, zu kaufen.
  4. Abzocken: Nachdem die Kriminellen die gewünschte Summe erreicht haben, ziehen sie das gesamte Geld aus dem Scam Smart Contract ab und löschen alle Social-Media-Kanäle.
  5. Zeitstempel überspringen: Normalerweise werden die Käufer nicht sehen, dass diese Token einen großen Geldbetrag im Contract Pool sperren oder sogar ein Timelock 
tips_tricks_pixabay.jpg

Scam-Token: Was Sie künftig beachten sollten.  © Pixabay

Tipps zur Vermeidung von Scam-Token

  • Diversifizierung der Wallets: Der Besitz eines Wallets ist der erste Schritt, um Bitcoins und jede andere Krypto-Währung verwenden zu können. Diese Wallets sind das Werkzeug, mit dem Benutzer ihre Bitcoins speichern und verwalten. Einer der Schlüssel zu deren Sicherheit ist es, mindestens zwei verschiedene Krypto-Wallets zu besitzen. Ziel ist es, dass der Nutzer eine davon für seine Einkäufe und die andere für den Handel und den Austausch von Krypto-Münzen verwenden kann. Auf diese Weise ist das Vermögen besser geschützt, da in den Wallets auch die Passwörter der einzelnen Nutzer gespeichert werden. Diese sind ein wesentlicher Bestandteil beim Handel mit Krypto-Währungen und verfügen über einen öffentlichen Schlüssel, der es anderen Nutzern ermöglicht, Krypto-Währungen an eine Geldbörse zu senden. Sollte es einem Cyber-Kriminellen gelingen, sich durch einen Angriff den Zugang zu diesen Daten zu verschaffen, dann in diesem Fall der Trennung nur zu der Geldbörse, mit der Sie handeln. Die erworbenen Bitcoins in der anderen Geldbörse sind sicher.
  • Ignorieren der Werbung: Oftmals suchen die Nutzer über Google nach Bitcoin-Wallet-Plattformen. In diesem Moment können sie einen der größten Fehler begehen, denn sie klicken auf eine der Google-Anzeigen, die an erster Stelle erscheinen. Hinter diesen Links stecken oft Verbrecher, die falsche Web-Seiten erstellen, um Anmeldedaten oder Passwörter zu stehlen. Daher ist es sicherer, die Seiten aufzurufen, welche in der Suchmaschine weiter unten erscheinen und keine Google-Anzeige sind.
  • Transaktionen testen: Bevor man große Krypto-Beträge sendet, sollte man zunächst eine Testtransaktion mit einem Mindestbetrag durchführen. Auf diese Weise ist es einfacher, den Betrug zu erkennen, falls man ihn an eine gefälschte Brieftasche sendet.
  • Doppelte Aufmerksamkeit für mehr Sicherheit: Eine der besten Maßnahmen zum Schutz vor jeder Art von IT-Angriff ist die Aktivierung der Zwei-Faktor-Authentifizierung auf den Plattformen, auf denen Sie ein Konto haben. Wenn ein Angreifer versucht, sich auf irreguläre Weise bei einer dieser Plattformen anzumelden, erhält der eigentliche Eigentümer eine Nachricht, um seine Authentizität zu überprüfen, beispielsweise mittels eines SMS-Codes. So ist er informiert und der Hacker erhält trotz Kennwort keinen Zugriff.