Auch die weltweit inzwischen größte Krypto-Börse Binance musste zuletzt die Auszahlung von Bitcoins temporär aussetzen, auch wenn der Grund hier wohl in einer Überlast lag. Mehr und mehr Nutzer haben sich daher von dem Modell verabschiedet, ihre Bitcoins direkt bei einer Börse zu haben, und sich für eine eigene Bitcoin-Wallet entschieden – ein Trend, der auch Cyber-Kriminellen nicht verborgen geblieben ist.
Weltweit nutzen nach Expertenangaben inzwischen über 400 Millionen Menschen Wallets für ihre Krypto-Währungen. [1] Insbesondere die zunehmende Popularität von Hot Wallets ruft Cyber-Kriminelle auf den Plan, aber auch Cold-Wallet-Besitzer geraten verstärkt in den Fokus krimineller Aktivitäten. Bei den Hot Wallets ist ihr größter Vorteil gleichbedeutend mit einem erheblich größeren Risiko, das Cyber-Kriminellen gegebenenfalls das Plündern der Bitcoin-Bestände ermöglicht. Hot Wallets, die sich auf nahezu jedem Smartphone mit nur wenigen Klicks installieren lassen, bieten Nutzern ein hohes Maß an Flexibilität und Komfort: Zahlungen in Bitcoin lassen sich per Smartphone erledigen, ohne dass ein PC oder sonstige Hardware genutzt werden muss. Da Hot Wallets ständig mit dem Internet verbunden sind, können Hacker die Wallet jedoch direkt übernehmen, wenn es ihnen gelungen ist, das Smartphone zu infizieren.
Die Antwort auf diese „Einladung“ an Cyber-Kriminelle sind Cold-Wallet-Lösungen. Cold Wallets haben zunächst grundsätzlich keine Verbindung zum Internet, sondern nehmen diese Verbindung erst gezielt auf, wenn eine Bitcoin-Transaktion ansteht – das lässt Hackern ein nahezu unrealistisch kleines Zeitfenster für ihre böswilligen Aktivitäten. Zur Cold Wallet gehört eine spezielle Hardware (in der Regel in Form von Geräten, die wie kleine USB-Speichersticks aussehen), mit der die Nutzer Transaktionen manuell bestätigen müssen. Ist die Transaktion abgeschlossen, wird die Hardware vom Internet getrennt und kann nicht gehackt werden. Cold Wallets bieten also vor allem Sicherheit, allerdings nicht den Komfort der Hot Wallets. Viele Nutzer kombinieren daher Hot und Cold Wallets, sichern größere Beträge in der Cold Wallet und bezahlen kleinere Summen aus ihrer Hot Wallet vom Smartphone aus.
In puncto Sicherheit steht und fällt bei den Bitcoin-Wallets, ganz gleich ob Hot oder Cold, alles mit der Sicherung der Schlüsselwörter, der sogenannten Seed Phrase, einer Wortfolge aus bis zu 24 Wörtern, die als sichere Passwortkombination dient. Nutzer sollten ihre Seed Phrase unbedingt analog sichern und nicht als Foto oder Textdatei auf dem Rechner, dem Smartphone oder in einer Cloud speichern, denn sobald Kriminelle diese Schlüsselwörter in die Hände bekommen, haben sie vollen Zugriff auf die Wallet. Mit der Seed Phrase lässt sich die zugehörige Bitcoin-Wallet auch über andere Anbieter wiederherstellen, sollte etwa ein Anbieter einer Wallet-App insolvent gehen – ein Feature, das einerseits Sicherheit, aber auch ein Einfallstor für Cyber-Kriminelle bietet.
Phishing-Angriffe zielen darauf ab, Nutzern ihre Seed Phrase zu entlocken. Unter dem Namen bekannter Krypto-Börsen verbreiten Cyber-Kriminelle betrügerische E-Mails, die Nutzer auffordern, Überweisungseingänge oder ein neues Sicherheitslevel für ihre Wallet zu bestätigen. Die in den E-Mails enthaltenen Links leiten auf gefälschte Webseiten, auf denen die Nutzer dann aufgefordert werden, ihre Seed Phrase einzugeben. Durch den Zugriff auf die Seed Phrase können Betrüger die Kontrolle über die Wallet übernehmen und Beträge auf ihr eigenes Konto transferieren. Allein beim Sicherheitsanbieter Kaspersky wurden nach Unternehmensangaben im Frühjahr 2023 über 85.000 Betrugs-E-Mails [2] erkannt und blockiert, die sich an Nutzer von Kryptowährungen richteten.
Besonderes Augenmerk verdient dabei nach Einschätzung von Sicherheitsexperten eine Phishing-Kampagne, die auf die wegen des höheren Sicherheitslevels inzwischen sehr beliebt gewordenen Cold Wallets abzielt. Die E-Mails dieser Kampagne geben vor, die beliebte Krypto-Währungsbörse Ripple sei der Absender, und kündigen eine XRP-Token-Verlosung an. Nutzer werden allerdings auf einen irreführenden Blog-Beitrag weitergeleitet, der das Design der Ripple-Website nachahmt. Um an der angeblichen Verlosung teilzunehmen, werden die Nutzer über einen Link zu einer Punycode-„Ripple“-Seite geleitet, auf der die Nutzer aufgefordert werden, ihre Hardware-Wallets mit der Betrugswebsite zu verbinden. Die Betrüger können dann auf die Konten der Opfer zugreifen und Transaktionen veranlassen.
Phishing-Kampagnen, die Nutzer auf gefälschte Punycode-Seiten leiten, sind nach wie vor besonders gefährlich, da sich mit Punycode Teile einer Domain, die nicht in ASCII geschrieben werden können, etwa weil ASCII kein Griechisch, Hebräisch oder Arabisch unterstützt, in eine Unicode-ASCII-Codierung umwandeln lassen. Die über Punycode erstellten neuen Unicode-Zeichen können auf den ersten Blick aussehen wie die Zeichen einer echten Webadresse, in Wirklichkeit handelt es sich jedoch um eine andere, betrügerische Adresse. Das funktioniert so gut, weil einige Buchstaben des weltweit meistgenutzten römischen Alphabets der Form nach bestimmten Buchstaben in anderen Alphabeten ähneln. Beispielsweise ähnelt das römische „t“ dem griechisches Buchstaben Tau. Begegnen Nutzer einer Webadresse in der ein römisches „t“ gegen ein griechisches „τ“ ausgetauscht worden ist, müssen sie schon sehr genau hinschauen, um den Unterscheid zu bemerken.
„Kryptowährungen erfreuen sich nach wie vor einer großen Beliebtheit“, kommentiert Roman Dedenok, Sicherheitsexperte bei Kaspersky die gehäuften Phishing-Kampagnen im Frühjahr 2023. „Deshalb müssen Nutzer wachsam bleiben und strenge Sicherheitsmaßnahmen zum Schutz ihrer digitalen Vermögenswerte implementieren. Es ist wichtig, die Authentizität eines Absenders zu überprüfen und Vorsicht walten zu lassen, bevor man auf Links klickt oder sensible Informationen preisgibt.“ Insbesondere auf mobilen Endgeräten sind Phishing-Angriffe schwerer zu erkennen, da nicht nur die Bildschirme kleiner sind, sondern Darstellungsdesigns, um Platz für den Seiteninhalt zu schaffen, die ohnehin winzige Adressleiste ausblenden, sobald die Nutzer nach unten scrollen, sodass es für Angreifer ein Leichtes ist, einen täuschend echten Domainnamen zu lancieren, der einige ASCII-Zeichen durch Unicode-Zeichen ersetzt. Zudem gibt es bei mobilen Endgeräten keine Mouseover- oder Vorschaufunktion, die Nutzer in die Lage versetzt, das Ziel eines Links vor dem Anklicken zu sehen und zu bewerten. Vorsicht ist insbesondere immer dann geboten, wenn eine Website Nutzer auffordert, schnell zu reagieren –eine klassische Strategie von Hackern, um ihre potenziellen Opfer unter Zeitdruck zu setzen, damit sie über verdächtige Anzeichen hinwegsehen. Oft wird ein „zeitlich begrenztes“ Angebot angepriesen oder vor dem Verlassen der Seite noch ein Pop-up-Fenster mit „Sind Sie sicher, dass Sie die Seite verlassen wollen“ eingeblendet, beliebte Taktiken, um Nutzer auf der Seite zu halten und sie doch noch dazu zu bewegen, ihre Daten einzugeben.
[1] https://crypto.com/research/2022-review-2023-ahead
[2] https://securelist.com/hot-and-cold-cryptowallet-phishing/110136/