Europol nimmt sechs Verdächtige wegen Typesquatting fest
Nein, das ist kein echter Pelikan. Aber von einer bestimmten Perspektive aus sieht er so aus. Bild: Golden Fake von Michael Coghlan via flickr.com. Lizenz: Creative Commons
Eine Bande von Typosquattern hat 24 Millionen Euro eingenommen, indem sie User von Bitcoin-Börsen auf betrügerische Seiten-Klone gelotst haben. Nach 14-monatigen Ermittlungen hat Europol nun sechs Verdächtigte in den Niederlanden und Großbritannien festgenommen. Der Fall sollte für User eine Mahnung sein, die URL einer Webseite genau zu prüfen, bevor sie Bitcoins oder andere Kryptowährungen dorthin senden.
Typequatting ist in manchen Kreisen der Bitcoin-Ökonomie recht beliebt. Ein Hacker kauft eine Domain, die der von etablierten Handelsplattformen für Kryptowährungen ähnelt, beispielsweise bitc0in.de anstatt bitcoin.de. Wenn sich ein User dann auf der Domain einfindet, entweder weil er sich vertippt hat oder von Google in die Irre geführt wurde, findet er dort eine der eigentlichen Plattform augenscheinlich identische Webseite. Er meldet sich an, möchte handeln und überweist dafür Coins an die angebliche Börse. Die werden dann von den Betrügern eingesackt. Als Bonus erhalten die Webseiten-Betreiber zudem kostbare Usernamen und Passwörter.
Man möchte es nicht glauben, aber Typesquatting lohnt sich. Eine Bande von Typequattern, die von Europol vor kurzem festgenommen wurde, hat wohl 24 Millionen Euro mit der Masche eingenommen. Die Ermittlungen begannen, als die Polizei im Südwesten Englands auf einen Diebstahl von 17.000 Britische Pfund durch Typequatting aufmerksam gemacht wurden. Die folgenden Untersuchungen, die mehr als ein Jahr lang andauerten, haben bereits mehr als 4.000 Opfer zutage gebracht. Die Polizei geht davon aus, dass es noch weitere gibt.
Nachdem die britischen Behörden den Fall an das Europäische Zentrum für Cybercrime sowie die „Joint Cybercrime Action Taskforce“ weitergegeben haben, hat ein Teams von britischen und niederländischen Ermittlern gemeinsam an ihm gearbeitet. Die Zusammenarbeit wurde durch das Hauptquartier von Europol koordiniert, „was einen reibungslosen Austausch von Erkenntnissen und Beweisen ermöglicht hat.“
Dies führte schließlich zur Verhaftung von fünf Männern und einer Frau in Großbritannien und den Niederlanden. Sie wurden zeitgleich in Bath Staverton, Amsterdam und Rotterdam am 27. Juni festgenommen. Dabei wurde „eine große Anzahl von Geräten, Ausrüstung und wertvoller Assets“ beschlagnahmt, womit vermutlich Bitcoins gemeint sind. Außer der Info, dass die Bande insgesamt 24 Millionen Euro erbeutet und sich dabei auf Bitcoins konzentriert hatte, schweigt sich die Pressemitteilung hierüber aber aus.
Auch Infos, wie die Ermittler den Betrügern auf die Spur kamen, sind schmal bzw. gar nicht vorhanden. Man kann hier nur spekulieren, dass es entweder über Bitcoin-Transaktionen oder IP-Adressen bzw. Logins bei Domain-Hostern lief. Oder über einen ganz anderen Weg. Worüber man jedoch etwas sagen kann, ist, dass Verluste durch Typesquatting eigentlich unnötig sind. Man muss nur genau hinschauen, bevor man auf eine Webseite geht; wer die URL aus dem Browser-Speicher lädt, anstatt immer wieder zu googlen, dürfte auch sicherer sein. Wer schließlich bei einer Börse immer eine 2-Faktor-Authorisierung macht, um sich anzumelden, muss nicht so viel befürchten, selbst wenn er auf Typesquatting hereinfällt: Sobald er den Braten riecht, sollte er sein Passwort bei der echten Börse wechseln; dank 2-Faktor-Authorisierung wird es den Betrügern dann nicht möglich sein, einen ernsthaften Schaden anzurichten.
Der oben genannte Phantasie-Fall, in dem die Typesquatter die Domain bitco1n.de benutzen, um User von Bitcoin.de abzuziehen, dürfte auch bei Usern von Bitcoin.de zu keinem echten Schaden führen. Ärgerlicher ist es, wenn sich Nutzer dort registrieren, um zu handeln. Einen ähnlich ärgerlichen Fall hatten wir übrigens vor kurzem auf Facebook, wo sich ein Account Bitcoin.de nannte, um in den Kommentaren der Facebook-Seite von Bitcoin.de User aufzufordern, einen Betrag Bitcoin an ihn zu senden, um an einem Gewinnspiel mitzumachen. Der Trick hat einen langen Bart, scheint aber immer noch teilweise zu funktionieren. Also, Vorsicht, und immer daran denken: Das Internet ist ein Dschungel, in dem es kein begehrteres Gut gibt als eure Bitcoins.
Nicht zu vergessen, Links in EMails.
Bekommen solche Mails mit fakelinks vermehrt von Banken bei denen ich nicht mal Kunde bin.
Den letzten Satz solltest du in GROSSBUCHSTABEN drucken.
Typosquatting geschieht eher mit UTF-8 Domains mit z.B. russischen Zeichen die unserem Alphabet ähneln, wenn man diese z.B. über Google oder Phishing Mails verbreitet.
Andere Methoden sind Vertipper auf der Tastatur, deren Tasten direkt nebeneinander liegen, z.B. bitcoiM statt bitcoin. Es gibt sogar noch eine erweiterte Methode dieser, und zwar Bitsquatting, welches auf Fehler in der Übertragung setzt und auf Domains setzt, die nur einen Bit neben der eigentlichen Domain liegen. Solche Fehler in Computersystemen sind zwar äußerst selten und können z.B. mit ECC Speicher noch minimiert werden, aber sie kommen vor und wenn man bedenkt, dass täglich hunderte Millionen Mal „facebook.com“ in den Browser eingetippt wird, bereits eine Wahrscheinlichkeit 1 zu 1 Million durchaus lukrativ sein kann, wenn man sich die entsprechenden Domains sichert, die nur einen Bit davon entfernt sind… Für facebook.com sind übrigens alle Domains, die selbst zwei Bits entfernt sind bereits durch Facebook selber registriert, habe das irgendwann 2015 geprüft, aber es gibt sicherlich noch andere potenziell interessante Domains 😉