Bitcoin, Ethereum & Co.: Die größten Gefahren bei Kryptowährungen
Cyberkriminelle haben es auf Guthaben in Kryptowährungen wie Bitcoin, IOTA oder Ethereum abgesehen haben. Wir zeigen Risiken und wie Sie sich schützen.
Wo Geld im Spiel ist, sind Kriminelle selten weit. Ein Bericht der Experten der AntiVirus-Spezialistin ESET zeigt, dass Android-Nutzer besonders gefährdet sind. Selbst im von Google kontrollierten Play Store stieß ESET auf zahlreiche Apps, die Geld in Kryptowährungen wie Bitcoin, Ethereum un...
Wo Geld im Spiel ist, sind Kriminelle selten weit. Ein Bericht der Experten der AntiVirus-Spezialistin ESET zeigt, dass Android-Nutzer besonders gefährdet sind. Selbst im von Google kontrollierten Play Store stieß ESET auf zahlreiche Apps, die Geld in Kryptowährungen wie Bitcoin, Ethereum und Monero klauen, sie in die eigene Tasche minen oder einfach nutzlos sind. Das sit aber nicht alles. In diesem Artikel stellen wir die größten Gefahren bei Kryptowährungen vor und wie Sie sich schützen können.
Um die Methoden der Angreifer zu verstehen, müssen wir uns kurz mit der (hier stark vereinfachten) Funktionsweise von Kryptowährungen beschäftigen. Anders als traditionelles Geld liegt Kryptowährung nicht auf Konten. Vielmehr werden alle Einheiten einer Währung in der sogenannten Blockchain, quasi im „Hauptbuch“ (englisch „Ledger“), notiert. Dort sind auch die öffentlichen digitalen Schlüssel der Geldbörsen ihrer jeweiligen Besitzer festgehalten.
Erhalten Sie Kryptogeld an Ihre öffentliche und je nach Währung unterschiedliche Krypto-Adresse, dann landen diese in Ihrer virtuellen Geldbörse (englisch „Wallet“). Diese ist im Idealfall keine Börse, sondern unabhängig. Mit Ihrem privaten Schlüssel, der zu Ihrer Wallet gehört und mit dem Sie sich gegenüber dem Hauptbuch ausweisen, haben Sie Zugriff auf das erhaltene Geld.
Den privaten digitalen Schlüssel gibt es, damit niemand unberechtigt auf Ihren Geldbeutel zugreifen kann. Wallets können Sie als eigenständige technische Geräte kaufen (so genannte „Hardware-Wallets“). Zu jeder Kryptowährung gibt es meist auch eine eigene Wallet-Software. Alternativ eröffnen Sie eine Wallet bei einem Multi-Anbieter mit eigenen Apps wie jaxx.io oder Coinomi.
1. Vorsicht vor kriminellen Wallet-Apps
Wallet-Apps gibt es in zwei Varianten:
- Einige Apps richten die Wallet auf Ihrem Handy ein.
- Andere Apps dienen nur dem Zugriff auf die bei einem Online-Dienstleister gespeicherte Wallet.
Beide Varianten sind problematisch. ESET fand eine ganze Reihe krimineller Wallet-Apps, die nur einen öffentlichen Schlüssel anzeigen. Um das Geld ins Portemonnaie zu packen, muss es dorthin überwiesen werden. Da der private Schlüssel in den Händen der Entwickler verbleibt, verlieren Sie dadurch aber den Zugriff auf Ihr Geld!
Sicherheitstipp
Rückt eine Wallet-App den privaten Schlüssel nicht heraus, ist sie unbrauchbar. Aber auch wenn scheinbar alle Infos vorliegen, sollten Sie ausschließlich Apps mit vielen guten Bewertungen installieren. Suchen Sie auch außerhalb von Google Play nach Berichten über Wallet-Apps, die Ihnen zusagen. Finden Sie keine, dann sollten Sie besser Abstand nehmen, denn es könnte sich um einen neuen Betrugsversuch handeln.
2. Original und Fälschung bei Wallet-Apps
Die zweite Art von Wallet-Apps dient wie beschrieben dem Zugriff auf Online-Wallets. ESET hat Wallet-Apps entdeckt, die den vertrauenswürdigen Originalen enorm ähneln. Speziell der (vertrauenswürdige) Anbieter MyEtherWallet sah sich Ende 2017 mit diesem Problem konfrontiert. App-Icon, -Oberfläche und sogar der Name des Entwicklers werden imitiert und mit automatisch generierten Bewertungen untermauert. So fand ESET eine Reihe von Apps, die die weit verbreitete Lösung imitieren.
Die Imitate fragen beim Start den privaten und den öffentlichen Schlüssel des MyEtherWallet-Kontos ab und ergattern so den Zugang zum virtuellen Bargeld. Eine der gefälschten MyEtherWallet-Apps gelangte trotz der tendenziell schärferen Kontrollen auch in den Apple AppStore, wo sie ca. 3.000 Downloads erzielte.
Tatsächlich gab es zum damaligen Zeitpunkt keine offizielle MyEtherWallet-App - ein Umstand, der das Betrugsmanöver noch erleichterte. Um die Gefahr künftiger Angriffe zu verringern, plant MyEtherWallet nun offizielle Apps.
Sicherheitstipp
Verwenden Sie zum Zugriff auf Online-Wallets ausschließlich die offizielle App, die auf der Website des Anbieters verlinkt ist. Gibt es keinen Link, sollten Sie die Wallet ausschließlich über die zugehörige Website nutzen.
3. Nur offizielle Börsen-Apps verwenden
Auf Kryptobörsen wie Poloniex.com können Sie Kryptowährungen tauschen, damit spekulieren und sie auch verleihen. Teil solcher Angebote ist ein Online-Konto, auf das Sie digitales Guthaben einzahlen. Eine App, über die Sie das Angebot nutzen können, bieten Poloniex und auch viele Mitbewerber nicht an. Trotzdem fand ESET einige Poloniex-Apps auf Google Play.
Ein Teil davon war harmlos: Es handelt sich um verkappte Browser, die beim Öffnen automatisch die Poloniex-Website laden. Für die Entwickler können sich solche Apps lohnen, denn viele Börsen bezahlen Werbeprämien für neue Nutzer. Problematisch waren die übrigen Apps: Nach der Installation verleiten sie nichtsahnende Anwender dazu, ihre Poloniex-Zugangsdaten einzugeben - und räumen damit das Konto leer.
Sicherheitstipp:
Verwenden Sie zum Zugriff auf Kryptobörsen ausschließlich die offizielle App, die auf der Website der Börse verlinkt ist.
4. Vorsicht vor Mining-Apps
Im Rahmen des so genannten Minings („Abbaus“) lösen Computer aufwendige Rechenoperationen und erhalten eine Belohnung in Form der jeweiligen Kryptowährung. Weil Smartphones immer leistungsfähiger werden, steigt auch ihre Attraktivität für kriminelle „Bergarbeiter“: Sie entwickeln Apps, die das Smartphone insgeheim zum Mining nutzen. Die auch „Crypto mining malware“ genannten Apps bringen entweder eigene Funktionen für das Mining mit oder sie nutzen den Browser, um das Mining über eine Website zu starten.
Sich rasch leerende Akkus und nicht selten auch überhitzende Geräte sind die Folge davon. ESET verweist speziell auf das Spiel Bug Smasher, das sich Google Play zufolge zwischen 1 und 5 Millionen Downloads erfreute, bevor es wegen verstecktem Mining aus dem Store entfernt wurde.
Sicherheitstipp
Gerade bei Spielen ist es schwer, sich vor Mining-Malware zu schützen, denn die Begleiterscheinungen (kurze Akkulaufzeit, Hitze) gehören auch zu vielen legitimen Spielen.
5. Monero-Mining auf dem Smartphone
Dass nicht einmal offenkundig dem Mining dienende Apps vertrauenswürdig sind, zeigt das Beispiel Monero Miner (XMR). Sie baut die Kryptowährung Monero im Browser des Smartphones ab. Hinterhältig: Der Ertrag landet nicht in Ihrer Tasche sondern in der der Entwickler. Google hat die App im Februar 2018 auf Hinweis von ESET aus Google Play entfernt, nachdem sie dort zwischen 10.000 und 50.000 Downloads zählte.
Sicherheitstipp:
Schlechte Bewertungen und negative Kritiken können bei der Erkennung von Pseudo-Miner-Apps helfen.
6. Werbung statt Geld
Auf die Spitze treiben es Apps, die sich als Mining-Apps ausgeben, tatsächlich aber nichts in diese Richtung unternehmen. Vielmehr stehlen sie Ihnen Zeit, denn sie fordern Sie dazu auf, Werbung anzuklicken, um das (angebliche) Mining am Laufen zu halten oder es sogar zu beschleunigen. Damit Sie nicht den Mut verlieren, läuft sogar ein Münzzähler hoch, der Ihren vermeintlichen Ertrag widerspiegelt. Den Vogel in dieser Kategorie schießen Apps ab, die Münzen in der Kryptowährung Ripple abbauen wollen. Ripple bietet per Definition kein Mining.
