{"id":28563,"date":"2022-05-18T13:54:37","date_gmt":"2022-05-18T11:54:37","guid":{"rendered":"https:\/\/www.kaspersky.de\/blog\/?p=28563"},"modified":"2022-05-18T13:54:37","modified_gmt":"2022-05-18T11:54:37","slug":"cryptocurrency-giveaway-scam","status":"publish","type":"post","link":"https:\/\/www.kaspersky.de\/blog\/cryptocurrency-giveaway-scam\/28563\/","title":{"rendered":"Krypto-Betrug: Phisher haben es auf Seed Phrases abgesehen"},"content":{"rendered":"

Betr\u00fcger schrecken vor nichts zur\u00fcck, wenn es darum geht, Kryptow\u00e4hrungen zu stehlen. Einige versuchen, seltene Mining-Rigs<\/a> zu verkaufen, andere locken Opfer mit Geschenken<\/a> von Krypto-B\u00f6rsen oder Elon Musk<\/a> selbst, posten Screenshots mit Passw\u00f6rtern f\u00fcr Krypto-Wallets<\/a> auf \u00f6ffentlichen Plattformen oder kassieren \u201eGeb\u00fchren\u201c von Krypto-Investoren. Heute berichten wir von einer neuen Betrugsmasche und m\u00f6chten noch einmal unterstreichen, warum die Seed Phrase eines Krypto-Wallets um jeden Preis gesch\u00fctzt werden sollte.<\/p>\n

Kryptow\u00e4hrung f\u00fcr alle<\/h2>\n

Wie so oft ist eine E-Mail der Anfang allen \u00dcbels. Die Kriminellen hinter der in diesem Beitrag behandelten Betrugsmasche legten ihren K\u00f6der in Form einer saftigen Krypto-Belohnung aus: Verteilt wurden Bitcoin (BTC), Ethereum (ETH), Litecoin (LTC), Tron (TRX) oder Ripple (XRP). Insgesamt standen sage und schreibe 800 Millionen US-Dollar auf dem Spiel! Die gro\u00dfz\u00fcgigen Betr\u00fcger waren sogar so freundlich, interessierten Teilnehmern einen einfachen Drei-Punkte-Leitfaden sowie einen Link zur Website der \u201eAktion\u201c zur Verf\u00fcgung zu stellen.<\/p>\n

Werfen wir einen Blick auf die fragliche E-Mail. Signiert ist die Nachricht vom Support-Team einer angeblichen Krypto-Community: einer Vereinigung von Krypto-Enthusiasten, k\u00f6nnte man meinen. Die Domain in der E-Mail-Adresse des Absenders hat mit \u201eKrypto\u201c jedoch herzlich wenig zu tun. Vertrauen erweckt das nicht. Die Nachricht selbst sieht schludrig aus und ist zudem voller Fehler. Vermutlich hoffen die Betr\u00fcger darauf, dass ihr Opfer von der neunstelligen Gewinnsumme derartig vom Hocker gehauen wird, dass es f\u00fcr die unz\u00e4hligen Warnzeichen keine Augen mehr hat.<\/p>\n

\"\"

Phishing-E-Mail, die dem Empf\u00e4nger eine Belohnung in Form von Kryptow\u00e4hrung verspricht<\/p><\/div>\n

\u00a0<\/p>\n

Beim \u00d6ffnen des Links gelangt der Nutzer auf eine Phishing-Seite, deren Domain in keinem Zusammenhang mit der Absenderadresse steht und auf der keine Rede von einer angeblichen Krypto-Community ist.<\/p>\n

An dieser Stelle wird das Opfer dazu aufgefordert, das Wallet anzugeben, das f\u00fcr die \u00dcberweisung der Kryptow\u00e4hrung genutzt werden soll. Hierbei deckten die Kriminellen wohlweislich alle g\u00e4ngigen Wallets ab: Blockchain.com, Trust Wallet, MetaMask, Coinbase, Binance, Crypto.com und Exodus. Aber auch die Nutzer etwas exotischerer Wallet-Exemplare sollten selbstverst\u00e4ndlich nicht leer ausgehen: F\u00fcr sie wurde eine Schaltfl\u00e4che Other Wallets<\/em> (Weitere Wallets<\/em>) bereitgestellt. Unheimlich benutzerfreundlich, nicht wahr?<\/p>\n

\"\"

Das Opfer wird aufgefordert, ein Krypto-Wallet f\u00fcr die versprochene \u00dcbertragung der Token auszuw\u00e4hlen<\/p><\/div>\n

Nun zum interessantesten Teil: Um die begehrten Token zu erhalten, muss der Nutzer seine Seed Phrase, das automatische Backup eines Krypto-Wallets, preisgeben. Sobald alle angeforderten Informationen ausgef\u00fcllt und die Schaltfl\u00e4che Weiter<\/em> geklickt wird, erscheint eine Benachrichtigung auf dem Bildschirm, die dem Nutzer mitteilt, dass die begehrte Kryptow\u00e4hrung innerhalb der n\u00e4chsten 24 Stunden auf dem Konto des gl\u00fccklichen Gewinners eintrudeln wird.<\/p>\n

Interessanterweise filtert die Website bei der Eingabe der Seed Phrase keine ung\u00fcltigen Angaben heraus. Werden beispielsweise zuf\u00e4llige W\u00f6rter oder sogar Zahlen (die \u00fcberhaupt nicht Teil einer Seed-Phrase sein k\u00f6nnen) eingegeben, meldet die Website dennoch eine erfolgreiche \u00dcbertragung.<\/p>\n

\"\"

Jede Wort- oder Zahlenfolge f\u00fchrt zu einer \u201eerfolgreichen\u201c \u00dcbertragung<\/p><\/div>\n

Seed Phrase: der magische Schl\u00fcssel<\/h2>\n

Die Betr\u00fcger verlassen sich darauf, dass Nutzer normalerweise sehr vorsichtig mit ihrem Privat Key<\/em> umgehen, der den sofortigen Zugang zum Krypto-Wallet verschafft. Viele wissen jedoch nicht, dass ihre Seed Phrase ebenfalls streng geheim ist, und denken sich nichts dabei, sie in Erwartung einer gro\u00dfartigen Belohnung auf einer Website einzugeben.<\/p>\n

Tats\u00e4chlich ist die Seed Phrase mindestens genauso wertvoll, denn mit ihr kann ein Angreifer einen neuen privaten Schl\u00fcssel generieren und sich so Zugang zum Wallet des Opfers verschaffen. Mit anderen Worten: Mit der Seed-Phrase haben Kriminelle die gleichen M\u00f6glichkeiten, Ihre Ersparnisse zu pl\u00fcndern<\/a> wie mit dem privaten Schl\u00fcssel. Beide sollten daher effektiv gesch\u00fctzt werden.<\/p>\n

So sch\u00fctzen Sie Ihre Krypto-Finanzen<\/h2>\n

Im Anschluss einige Tipps, um zu verhindern, in die Falle von Krypto-Betr\u00fcgern zu tappen.<\/p>\n