{"id":26531,"date":"2021-04-21T13:47:54","date_gmt":"2021-04-21T11:47:54","guid":{"rendered":"https:\/\/www.kaspersky.de\/blog\/?p=26531"},"modified":"2021-04-22T23:11:33","modified_gmt":"2021-04-22T21:11:33","slug":"cryptoscam-fake-antminer","status":"publish","type":"post","link":"https:\/\/www.kaspersky.de\/blog\/cryptoscam-fake-antminer\/26531\/","title":{"rendered":"Kryptobetrug mit gef\u00e4lschtem Mining-Rig-Angebot"},"content":{"rendered":"

Die hohen Kurse von Kryptow\u00e4hrungen haben zu einem Anstieg der Nachfrage f\u00fcr Mining-Ausstattung gef\u00fchrt. Diese Hardware ist auch als Mining-Rig bekannt und wird f\u00fcr das Sch\u00fcrfen von Kryptow\u00e4hrung verwendet. Doch die Corona-Einschr\u00e4nkungen haben zu anhaltenden Lieferengp\u00e4ssen gef\u00fchrt. Aus diesem Grund sind weltweit die Lieferungen von leistungsstarken Grafikkarten und Mining-Hardware<\/a> mit monatelangen Wartezeiten verbunden. Die Cyberverbrecher haben diese Lieferknappheit bereits entdeckt und versuchen, wie bei allen Krisen, Kapital daraus zu schlagen.<\/p>\n

Beispielsweise haben Betr\u00fcger Kryptow\u00e4hrung von K\u00e4ufern abgezockt, mithilfe eines viel genutzten Google-Dienstes und einer geklonten Website eines Herstellers von Mining-Ausstattung.<\/p>\n

Die Betrugsmethode<\/h2>\n

Betr\u00fcger und Spammer machen sich schon seit Langem die Google-Dienste<\/a> zunutze (u. a. Formulare, Sheets, Kalender und Fotos), weil diese \u00fcber die F\u00e4higkeit verf\u00fcgen automatische Benachrichtigungen an jeden zu verschicken, der von dem Ersteller einer Datei (oder einem Kalendereintrag usw.) Zugriffsberechtigung erhalten hat oder @erw\u00e4hnt wurde. Der Absender dieser E-Mail-Benachrichtigungen ist nicht der Ersteller, sondern Google \u2013 eine anerkannte Autorit\u00e4t, die von Spamfiltern in der Regel durchgelassenen wird.<\/p>\n

In diesem Fall erhalten Kryptow\u00e4hrungssch\u00fcrfer E-Mails, in denen behauptet wird, dass der Empf\u00e4nger in einer Google-Docs-Datei von einem Benutzer mit Spitznamen BitmainTech @erw\u00e4hnt wurde. (Es gibt tats\u00e4chlich einen Mining-Rigs-Hersteller mit diesem Namen.) Durch den vertrauensw\u00fcrdigen Namen \u2013 @docs[.]google[.]com \u2013 im Formular, ist der Empf\u00e4nger nicht sonderlich wachsam. Der angezeigte Benutzernamen kann frei vom Absender erfunden werden und die echte E-Mail-Adresse des Absenders wird nicht angezeigt.<\/p>\n

\"\"

In der E-Mail steht: \u201eBitmainTech hat Sie in einem Dokument erw\u00e4hnt\u201c<\/p><\/div>\n

Darauf folgt der K\u00f6der: Eine Verkaufsanzeige f\u00fcr die Mining-Hardware Antminer S19j. Getarnt als Mitarbeiter der Vertriebsabteilung von Bitmain, geben die Betr\u00fcger an, dass die Hardware auf Lager sei, aber nur in begrenzter Anzahl und da die Kunden angeblich nach Bestellungsreihenfolge beliefert werden, es empfehlenswert sei die Bestellung m\u00f6glichst schnell aufzugeben, solange die Hardware noch vorr\u00e4tig ist. Im Text sind au\u00dferdem viele Vertrauen erweckende Fakten und Ziffern zu finden.<\/p>\n

\"\"

Die als Vertriebsteam von Bitmain getarnten Betr\u00fcger verwenden Google Docs, um die Opfer \u00fcber die angebliche Verf\u00fcgbarkeit von Antminer S19j zu informieren<\/p><\/div>\n

Derselbe Text ist auch in der Google-Docs-Datei zu finden, allerdings mit einem aktiven Link, der \u00fcber eine Reihe von Redirects zu bitmain[.]sa[.]com f\u00fchrt. Das ist die geklonte Website des offiziellen Bitmain-Internetauftritts bitmain[.]com (wie Sie sehen, gibt es einen kleinen Unterschied in der Internetadresse). \u00dcber eine Whois-Abfrage konnte festgestellt werden, dass die Fake-Website im M\u00e4rz 2021 registriert<\/a> wurde.<\/p>\n

F\u00fcr zus\u00e4tzliche Vertrauensw\u00fcrdigkeit verwenden die Cyberkriminellen einen HTTPS-Protokoll (die Abk\u00fcrzung HTTPS steht f\u00fcr Hypertext Transfer Protocol Secure). Alle, die unsere Blogbeitr\u00e4ge regelm\u00e4\u00dfige lesen, wissen bereits, dass mit dem Sicherheitsprotokoll HTTPS Daten bei der \u00dcbermittlung vom Benutzer zur Website nicht von Dritten abgefangen werden k\u00f6nnen, aber die Website deswegen nicht unbedingt offiziell sein muss. Wenn es sich um eine b\u00f6sartige Website mit Sicherheitsprotokoll handelt, bedeutet das nur, dass die Daten auf sichere Art und Weise an die Cyberverbrecher \u00fcbertragen werden.<\/p>\n

\"\"

Fake-Website von Bitmain mit Anzeige f\u00fcr Antminer S19j<\/p><\/div>\n

Zum Zeitpunkt der Ver\u00f6ffentlichung dieses Blogbeitrags war der Kaufen-Button von Antminer S19j auf der echten Bitmain-Website deaktiviert, weil die letzte Einheit dieses Produkts l\u00e4ngst verkauft wurde. Das Unternehmen geht davon aus, dass vor Oktober dieses Jahres keine neuen mehr eintreffen. Auf der gef\u00e4lschten Website ist das begehrte Kryptow\u00e4hrung-Sch\u00fcrfger\u00e4t allerdings f\u00fcr 5.017 $ (derselbe Preis wie auf der echten Herstellerseite) erh\u00e4ltlich und kann mit einem Klick in den Warenkorb gelegt werden.<\/p>\n

\"\"

Auf der Fake-Website kann das Sch\u00fcrfger\u00e4t in den Warenkorb gelegt werden<\/p><\/div>\n

Das Opfer wird dann aufgefordert sich anzumelden oder zu registrieren, um die Bestellung abzuschlie\u00dfen. F\u00fcr diese Aufforderung kommen zwei Gr\u00fcnde infrage: Um der Website einen authentischen Anschein zu verleihen oder um eine Datenbank mit Adressen und Passw\u00f6rtern f\u00fcr zuk\u00fcnftige Hacks anzulegen. Nachdem wir uns angemeldet hatten (nat\u00fcrlich mit einer Wegwerf-E-Mail-Adresse), haben wir nie ein Anmeldebest\u00e4tigung erhalten.<\/p>\n

\"\"

Gef\u00e4lschte Bitmain-Anmeldeseite<\/p><\/div>\n

Auf jeden Fall kann der Webseitenbesucher sich anmelden und die Bestellung abschlie\u00dfen. Der Anmeldevorgang sieht recht \u00fcberzeugend aus.<\/p>\n

\"\"

Antminer S19j ist im Warenkorb! Oder nicht?<\/p><\/div>\n

Im n\u00e4chsten Schritt wird das Opfer gebeten eine Lieferadresse anzugeben. M\u00f6glicherweise sammeln die Betr\u00fcger diese Daten, um sie sp\u00e4ter zu verkaufen.<\/p>\n

\"\"

Es wird darauf hingewiesen, dass Bestellungen, die auf der englischen Website get\u00e4tigt werden, nicht nach China geliefert werden k\u00f6nnen<\/p><\/div>\n

Die meisten Mining-Rigs-Hersteller, einschlie\u00dflich Bitmain, befinden sich in China. Schwere und teure Hardware von China aus zu schicken ist nicht billig. Trotzdem berechnen die Cyberverbrecher nur eine Liefergeb\u00fchr von ca. f\u00fcnf Dollar, egal f\u00fcr welchen Paketdienstleister sich das Opfer entscheidet (UPS, DHL oder FedEx).<\/p>\n

\"\"

Paketdienstleister-Auswahl. Die Versandkosten betragen 5,45 $, egal in welches Land geliefert werden soll<\/p><\/div>\n

Danach wird das Opfer aufgefordert die Zahlungsart auszuw\u00e4hlen. Die Zahlung ist nur in Kryptow\u00e4hrung m\u00f6glich, aber es stehen BTC, BCH, ETH und LTC zur Auswahl.<\/p>\n

\"\"

Zahlungsart ausw\u00e4hlen: Bitcoin, Ethereum, Bitcoin Cash oder Litecoin<\/p><\/div>\n

Der letzte und wichtigste Schritt ist die Zahlung. Die Cyberkriminellen geben die Daten eines Cryptowallets an und weisen darauf hin, dass die Bestellung innerhalb von maximal zwei Stunden abgeschlossen werden muss, weil sie sonst storniert wird. Kurioserweise sind im zu zahlenden Gesamtbetrag des letzten Schritts die Versandkosten \u2013 auch wenn es sich nur um einen winzigen Betrag handelt \u2013 nicht enthalten.<\/p>\n

\"\"

Die Versandkosten sind im Gesamtbetrag der Bestellung nicht enthalten<\/p><\/div>\n

Nachdem das Opfer einen betr\u00e4chtlichen Betrag an Kryptow\u00e4hrung \u00fcberwiesen hat, ist es vorbei mit dem legitimen Anschein der Website: Im Benutzerkonto sind keinerlei Bestellinformationen zu finden und die Buttons sind alle deaktiviert.<\/p>\n

\"\"

Das unr\u00fchmliche Finale<\/p><\/div>\n

So k\u00f6nnen Sie sich vor Betr\u00fcgern sch\u00fctzen<\/h2>\n

Seien Sie immer auf der Hut, um nicht betrogen zu werden und auf keinen Hype hereinzufallen.<\/p>\n