Die Suche nach Hilfe in sozialen Medien bei Problemen mit Krypto-Wallets kann Betrüger anlocken
Die zunehmende Beliebtheit von Kryptowährungen hat die sozialen Medien zu einem zentralen Ort gemacht, an dem Nutzer:innen nach Hilfe suchen, wenn sie Probleme mit ihrer Krypto-Wallet oder ihrem privaten Schlüssel haben. Diesen Umstand machen sich Betrüger:innen zu Nutze, um mit vorgespielten Hilfsangeboten Kasse zu machen oder um zu versuchen, Zugang zu den Wallets oder den Schlüsseln zu erhalten. CISPA-Forscher Dr. Bhupendra Acharya hat die erste breit angelegte Studie darüber vorgelegt, wie die Betrugsmaschen ablaufen und eine End-to-End-Analyse der Betrugsoperationen auf X (ehemals Twitter) erstellt. Die Ergebnisse hat er im Mai 2024 auf der S&P vorgestellt.
Aufgrund ihres dezentralen Charakters und der Anonymität, die sie ihren Nutzer:innen gewähren, gewinnen Kryptowährungen wie Bitcoin oder Ethereum zunehmend an Akzeptanz. Um Kryptowährungen zu verwalten und zu verkaufen, brauchen die Nutzer:innen sogenannte Krypto-Wallets, eine Art digitale Geldbörse für Kryptowährungen. Die bekanntesten Wallets sind Metamask, Coinbase und Trust. Um auf die Wallets zugreifen zu können, ist ein privater Schlüssel nötig. Jeder, der Zugang zu den privaten Schlüsseln hat, kann die Krypto-Wallets verwalten oder darauf zugreifen. Bei Verlust des privaten Schlüssels ist kein Zugriff auf die Krypto-Wallets mehr möglich.
„Wir haben beobachtet, dass in dem Maße, wie Kryptowährungen immer beliebter geworden sind, die Menschen sich darüber auch in den sozialen Medien austauschen. Dies umfasst auch Probleme mit dem technischen Support, etwa wenn kein Zugriff auf die Wallet möglich ist, der private Schlüssel verloren ist usw.. Das lockt Betrüger:innen an, die technischen Support vortäuschen und sich so als offizieller Support ausgeben“, erklärt CISPA-Forscher Bhupendra Acharya. Viele Menschen ziehen es vor, in einer Chat-Gruppe oder über einen Tweet Hilfe zu suchen, anstatt sich direkt an die offiziellen Support-Kanäle der jeweiligen Krypto-Wallet-Anbieter zu wenden. „Mit unserer Studie wollen wir aufdecken, wie sich Betrüger:innen die sozialen Medien zunutze machen, um mithilfe von fingierten technischen Supportangeboten Zugriff auf Krypto-Wallets zu erhalten“, so Acharya.
Den Betrügern mit HoneyTweet auf der Spur
Um zu untersuchen, wie der Support-Betrug in den sozialen Medien konkret abläuft, haben Acharya und seine Kolleg:innen ein Tool namens HoneyTweet entwickelt. „HoneyTweet verschickt automatisiert einzigartige Tweets mit Schlüsselwörtern für technische Supportanfragen, um damit die Betrüger:innen in die Falle zu locken“, erklärt Acharya. „Betrüger:innen, die gefälschten Support anbieten, werden dann über ein halbautomatisches Tool kontaktiert, um die betrügerischen Zahlungsmethoden oder den Modus Operandi der Betrüger zu erkennen“, fährt er fort. Die Betrüger:innen unterbreiten verschiedene Scheinangebote wie das Software-Tool „Zeus“, mit dem angeblich der Zugriff auf die Brieftasche wiederhergestellt werden kann, und verlangen dafür Geld. Häufig werden die Nutzer:innen während des Vorgangs auf externe Kommunikationskanäle umgeleitet, um zu vermeiden, dass der Betrug auf der ursprünglichen Plattform entdeckt wird. Mit Hilfe von HoneyTweet haben Acharya und seine Kolleg:innen in drei Monaten über 9.000 Betrüger:innen angelockt und ihre Spuren auf sechs Social-Media-Plattformen verfolgt, einschließlich PayPal- und Kryptowährungsadressen, die als betrügerische Zahlungsmittel verwendet wurden.
Die wichtigsten Ergebnisse der Studie
Acharya und seine Kolleg:innen konnten mit ihrer Studie nachweisen, dass Support-Betrug für Krypto-Wallets ein weit verbreitetes Phänomen in sozialen Medien wie X ist. „Wir haben festgestellt, dass die sozialen Medien noch viel Arbeit vor sich haben, um diese Betrügereien zu beenden“, so Acharya. „Und wir fanden auch heraus, dass Betrüger:innen oft mehrere Social-Media-Plattformen für ihre Betrugsversuche nutzen. Zusätzlich zu X bitten die Betrüger:innen darum, über Direktnachrichten auf Instagram, Facebook, Telegram, WhatsApp oder anderen Plattformen kontaktiert zu werden.“ Im Grunde genommen arbeiten die Betrüger:innen in einer Art Betrugskette, die mehrere soziale Medien miteinander verbindet.
Während des Betrugsprozesses versuchen die Betrüger:innen zunächst, Vertrauen aufzubauen. Später wenden sie Social-Engineering-Tricks an, um eine direkte Nachrichtenkommunikation zu initiieren, in der dann der eigentliche Betrug stattfinden. Beim Austausch von Direktnachrichten wird das potenzielle Opfer aufgefordert, entweder seinen privaten Schlüssel preiszugeben oder für den Fake-Support mittels der von den Betrüger:innen angebotenen Zahlungsmethode zu bezahlen. Durch die Zusammenarbeit mit PayPal und die Weitergabe der entdeckten Betrugskonten an den Zahlungsdienstleister waren die Forscher in der Lage, die finanziellen Auswirkungen des Betrugs zu bestätigen.
Take-Aways für Unternehmen und Nutzer:innen
„Es gibt zwei Gruppen, die unsere Empfehlungen übernehmen könnten“, erzählt Acharya. „Die erste sind beteiligte Dienste wie zum Beispiel die Anbieter der Krypto-Wallets. Sie sollten alle Aktivitäten überwachen, die direkt mit ihren Markennamen verbunden sind und einschreiten, wenn Betrüger:innen versuchen, in ihrem Namen zu kommunizieren. Die zweite Gruppe sind soziale Medien wie X, Instagram, Facebook oder Telegram. Es ist wichtig, dass diese gemeinsam überwachen, was in den Betrugsketten vor sich geht, da der Betrug nicht unbedingt auf der Plattform stattfindet, auf der der Chat begonnen hat. Der endgültige Betrug kann am Ende der Kette, d. h. auf einer anderen Plattform, stattfinden. Um diese Ketten zu bekämpfen, ist die Zusammenarbeit zwischen den Diensten immens wichtig.“
Aber auch Nutzer:innen von Krypto-Wallets können aktiv werden. Acharya empfiehlt sicher zu gehen, immer nur mit den offiziellen Anbietern von Krypto-Wallets in Kontakt zu treten und sehr vorsichtig mit allen inoffiziellen Kanälen zu sein. Und auf keinen Fall sollten Informationen über Google-Forms oder ähnliche Plattformen geteilt werden. „Krypto-Wallets oder mit diesen verbundene offizielle Social-Media Accounts fragen die Nutzer:innen nie nach ihren privaten Schlüsselsätzen“, so der CISPA-Forscher abschließend.
Die Zukunft gehört den (sicheren) Digitalwährungen
Acharya, der sich im Gespräch als großer Fan von Digitalwährungen und Kryptowährungsnutzer outet, sieht viel Potential in Kryptowährungen. „Ich glaube, dass digitale Währungen wie Kryptowährungen die nächste Generation von Währungen sind und bestehende Währungen in Zukunft ersetzen werden“, ist er überzeugt. „Was wir jedoch brauchen, ist ein System, das sicher genug ist, um eine digitale Währung zu schaffen bzw. zu betreiben.“ Dafür will er als Forscher auch in Zukunft einen Beitrag leisten. „Ein Projekt ist, dass wir ChatGPT einsetzen, um mit den Betrüger:innen auf der Grundlage von HoneyTweet zu chatten“, erklärt der CISPA-Forscher. „Dabei konzentrieren wir uns auch auf andere Betrugskategorien, wie etwa die vermeintliche Kontowiederherstellung. In einer weiteren Folgestudie werden wir eine auf Deepfake basierende Methode verwenden, um mit den Betrüger:innen über Zoom-Video und Telefon zu kommunizieren, um weitere Betrugsmechanismen zu identifizieren.“ Es bleibt also spannend, was noch alles an Betrugsmaschen im Bereich Kryptowährungen von Acharya und seinen Kolleg:innen aufgedeckt wird.
Originalpublikation:
Conning the Crypto Conman: End-to-End Analysis of Cryptocurrency-based Technical Support Scams
Bhupendra Acharya, Muhammad Saad, Antonio Emanuele Cinà, Lea Schönherr, Hoang Dai Nguyen, Adam Oest, Phani Vadrevu, Thorsten Holz
Proceedings of The 45th IEEE Symposium on Security and Privacy (IEEE S&P)
San Francisco, CA, May 2024.