Wer sich in den letzten Jahren mit Meldungen aus dem Kryptoversum beschäftigt hat, der wird wissen, dass Hacker in Bitcoin und Co. eine wahre Goldgrube gefunden haben. Hunderte Millionen von Dollar werden Börsen und DeFi-Protokollen durch Exploits und andere Machenschaften entzogen. Der Vorteil für die Täter: Wenn sie ihre Beute auf dem Wallet haben, dann kann sie niemand mehr einziehen. Der größte Hack in diesem Zusammenhang war der Ronin-Hack mit einem Schaden von rund 620 Millionen US-Dollar im Jahr 2022.
Während diese Ereignisse große mediale Beachtung finden, sind sie in aller Regel aber nicht wirklich relevant für die Sicherheit einzelner Nutzer bzw. Anleger von Kryptowährungen. Sicherlich ist es für Betroffene bitter, wenn sie in ein gehacktes Protokoll investiert haben, aber die Risiken sind an anderer Stelle sehr viel höher.
In diesem Artikel wollen wir euch zeigen, welche Fallstricke auf euch lauern und wie ihr euch dagegen optimal schützen könnt.
Phishing funktioniert besonders gut
Phishing ist eine Methode, die Kriminellen eine besonders hohe Trefferquote beschert und dafür sorgt, dass ihnen möglichst viele arglose Opfer ins Netz gehen. Das Wort Phishing setzt sich aus den englischen Wörtern Password und Fishing zusammen. Die Hacker angeln also Passwörter und demnach beschreibt der Begriff allgemein verschiedene Methoden, die dazu geeignet sind, um unbefugten Zugang zu sensiblen Daten zu erlangen. Hier einige Beispiele, was für die Täter besonders interessant ist:
- Login-Daten: Dabei handelt es sich um Zugangsdaten von Nutzerkonten, also in der Regel Passwörter und E-Mail-Adressen.
- Kreditkartennummern: Mit diesen Nummern herrscht in bestimmten Kreisen reger Handel. Daher haben sie einen direkten Nutzen und einen Wert für den Weiterverkauf.
- Private Keys und Seeds: Hier wird es für den Krypto-Anleger interessant, denn wie du vielleicht schon weißt, ist das der direkte Zugang zu deinen Krypto-Assets. Möchtest du mehr über die Funktionsweise von Seeds und wie du diese am besten aufbewahrst erfahren, könnte unser Artikel darüber ebenfalls von Interesse sein.
Natürlich gibt es auch noch andere Dinge, die für kriminelle Hacker interessant sein können. Am Ende geht es aber immer um ein und dieselbe Sache. Sie versuchen die Opfer davon zu überzeugen, dass es sich um eine legitime Anfrage, Website oder E-Mail handelt.
Um dies zu erreichen, fälschen sie Websites, Social Media-Konten oder versenden Spam-E-Mails. Und genau das macht Phishing für Endanwender so viel gefährlicher als die großen Hacks, die am Ende in der Zeitung landen. Eine E-Mail kann an Millionen von Empfängern adressiert und eine gut gefälschte und geschickt platzierte Website von Tausenden Besuchern angesteuert werden.
In einigen Fällen versuchen die Hacker gezielt ihre Opfer zu targetieren. Obgleich das auch für Krypto-Anleger ein Problem werden kann, sind die meisten Versuche, denen sie ausgesetzt sind, aber solche, die auf die breite Masse abzielen.
Wie kann ich mich vor Phishing schützen?
Um sich vor Phishing zu schützen, muss man eine Reihe von Dingen beachten, die entweder allgemeingültig sind oder nur auf den Umgang mit Kryptowährungen zutreffen. Hier lassen sich drei Bereiche eingrenzen:
- Passwort- und Account-Sicherheit: Zu diesem Thema solltest du dir unseren dedizierten Ratgeber durchlesen. In diesen Bereich fallen Passwörter, 2FA-Methoden und Backups.
- Nutzerverhalten im Internet: Dies betrifft den Umgang mit E-Mails, aber auch das Nutzungsverhalten von Webseiten, auf Social Media und Chat- und Messenger Programmen.
- Wallet-Disziplin: Hier spielt die Passwort- und Account Sicherheit mit hinein, zusätzlich gilt es aber Dinge zu beachten, die ausschließlich für Kryptos relevant sind.
Während ihr zu dem ersten Punkt umfassende Informationen in unseren Ratgebern finden könnt, möchten wir euch zu den anderen beiden Punkten allgemeingültige Empfehlungen geben, wie ihr euch verhalten und am besten vorgehen könnt.
Kontrolle und Routine
Beim Nutzungsverhalten geht es darum, dass bestimmte Regeln eingehalten werden. Hier eine nicht abschließende List von Dingen, die es zu beachten gilt:
- URLs der Google Suche überprüfen. Es ist nicht unüblich, dass eine gut gefälschte Website in den oberen Suchergebnissen erscheint. So liegt es nahe, dass die URL des passenden Suchergebnisses nochmals geprüft werden sollte.
- URLs von Krypto-Börsen oder anderen wichtigen Seiten am besten mit einem Lesezeichen im Browser abspeichern.
- Die Korrektheit von URLs immer überprüfen. Das geht am besten, indem man im Browser das Zertifikat überprüft.
- Nicht auf ungebetene Kontaktaufnahme in Chat- und Messenger Programmen reagieren. Die Option am besten sperren und wenn es unverzichtbar ist mit Fremden direkt zu chatten, dann sollten Spammer zügig blockiert werden.
- Egal ob per Chat oder E-Mail: Selbst, wenn eine Nachricht echt wirkt, dann sollte man prüfen, ob es sich tatsächlich um eine reale Botschaft handelt. Nicht selten täuschen Kriminelle ein wichtiges Ereignis vor, auf das der Empfänger sofort reagieren soll, indem er einem Link folgt oder persönliche Daten preisgibt.
- Dateianhänge von unbekannten Absendern in E-Mails niemals öffnen. Und selbst bei bekannten Absendern die Augen offen halten, denn sie können unwissentlich zum Verteiler werden.
Bei den Punkten, die unter Wallet-Disziplin fallen, geht es um Eigenschaften von Apps, die im Bereich der Kryptowährungen relevant sind:
- Seeds und Private Keys niemals eingeben. Das ist die letzte rote Flagge, bevor es zu spät ist. Kein seriöser Anbieter oder Unternehmen wird zur Eingabe dieser Daten auffordern.
- Bei der Nutzung von dApps wie beispielsweise NFT-Marktplätzen oder dezentralen Börsen, immer ein zweites Wallet vorhalten. Niemals mit dem Wallet interagieren, welches den Großteil aller Krypto-Assets hält. Hier besteht eine hohe Gefahr und das Splitten von Wallets zu verschiedenen Zwecken bietet einen wichtigen Schutz.
- Plugins und dApps fragen in der Regel vor jeder Transaktion bzw. Interaktion um Erlaubnis. Es gibt die Möglichkeit diesen Anwendungen im eigenen Wallet eine „Generalvollmacht“ zu geben und alles zu erlauben. Dies sollte man vermeiden und lieber jede Aktion einzeln bestätigen.
- Jede Transaktion genau prüfen. Geht man einer Phishing-Seite doch auf den Leim, dann hat man hier eine letzte Möglichkeit den Absprung zu schaffen. Viele Opfer vertrauen den Seiten aber pauschal und klicken sich mit hohem Tempo durch die Transaktionsbestätigung. Das ist oft ein teurer Fehler.
- Auf Gewinnspiele nicht reagieren. Es klingt abwegig, aber viele Menschen fallen dennoch darauf rein. Ein gefakter Social Media-Account einer prominenten Person lädt dazu ein, eine Seite zu besuchen. Dort bekommt man für jeden Bitcoin, den man schickt, 10 Bitcoin zurück. Hier gilt die Regel: Niemand verschenkt etwas und wenn es ein Airdrop ist, dann muss man vorher nichts einzahlen.