Wie Betrüger Bitcoin-Usern um ihre Coins bringen

Es gibt Dutzende von Möglichkeiten, seine Bitcoins und andere Kryptocoins an Betrüger zu verlieren. Wir stellen drei der häufigsten Fallen vor und beschreiben, wie man sich vor ihnen schützt. Denn manche Verluste sind einfach nicht notwendig.

Bitcoins sind ein digitales Gold. Die meisten Leute, die sie kaufen, machen das, um sich ihren Anteil an dem neuen Wertspeicher zu holen, in der Gewissheit oder nur auf das Risiko hin, dass Bitcoin einmal DAS Token für die elektronische Repräsentation von Wert sein wird. Ein Bitcoin ist so etwas wie ein Ticket für den Zug in die Zukunft, und wer es hat, wird dabei sein, wenn sich das Geldwesen dezentralisiert.

Es ist leicht, Bitcoins zu kaufen – aber es ist nicht mehr so leicht, sie auch zu behalten. Denn es gibt so viele Wege, Bitcoins zu verlieren, dass man sie kaum aufzählen kann. Wir erklären hier drei der beliebtesten Scams, mit denen leichtfertige User ihre Coins verlieren können. Bei fast allen tappt der User selbst bereitwilling in die Falle – indem er zu gierig ist und hofft, seine Bitcoins auf leichte Weise und kostenlos zu vermehren.

1. Die Imitation von bekannten Leuten oder Institutionen

Diese Art von Scam ist seit 2017 oder 2018 massiv unterwegs. Das Schema ist dabei immer dasselbe: Die Betrüger geben sich als jemand anderes aus, etwa jemanden, der im Krypto-Raum einigermaßen berühmt ist, oder eine bekannte Institution wie Bitcoin.de oder BitPay, und versuchen mit dem Vertrauensvorteil, den sie damit erhalten, arglosen Krypto-Usern ihre Coins aus der Tasche zu ziehen.

Der Klassiker ist die Twitter-Imitation: Unter dem Tweets berühmter Twitter-Personalien – das kann jemand wie Ethereum-Co-Gründer Vitalik Buterin sein, aber auch Firmen wie Binance, Semi-Krypto-Promis wie WhalePanda oder echte Tech-Promis wie Elon Musk oder John McAfee – postet der Betrüger mit einem Account, der denselben Namen und dasselbe Foto wie der Promi trägt, das Angebot, dass man Bitcoins oder Ether verschenke. Um teilzunehmen müsse man eine kleine Summe an eine bestimmte Adresse senden. DIeser Betrug ist als „Giveaway“-Scam bekannt.

Die Betrüger arbeiten meistens durch Bot-Netzwerke, die fortlaufend solche Account-Imitationen bilden; oft sind es auch Teams von Bot-Accounts. So findet man unter dem Angebot des Betrügers häufig jemanden jubeln, „OMG, es klappt, ich habe eben 2 ETH bekommen!“. Bitcoin.com berichtet, dass manche der Betrüger sogar gefälschte Block-Explorer aufsetzen, um den Anschein zu erwecken, dass es tatsächlich Auszahlungen der Gewinne gibt.

Auf Twitter waren diese Scams zeitweise epidemisch. Laut einem Bericht im August 2018 gab es damals bereits mehr als 15.000 Bots. Wie viele Bitcoins und Ether dabei verloren wurden, ist nicht ganz klar, aber Vermutungen gehen in Coins im Wert einiger Millionen. Es ist auch bekannt, dass diese Scams auch auf Ripple (XRP) abzielen und dort schon mehrere Millionen Ripple abgezogen haben.

Diese Art von Scam findet mittlerweile auf allen sozialen Medien statt. Auf Facebook, Telegram, Whatsapp, Slack und mehr. User, deren Profil zeigt, dass sie etwas mit Krypto machen, bekommen dort gerne Dutzende von Freundschaftsanfragen, auf die nach der Annahme vielversprechende, aber betrügerische Angebote folgen. Manchmal wird dabei auch zu einem Investment in eine Fake-ICO eingeladen oder auf Fake-Webseiten verlinkt, die Passwörter und Usernamen abfangen. Man kann solche Nachrichten zwar melden, aber am Ende kommen die sozialen Netzwerke mit dem Bannen und Löschen und Sperren nicht mehr hinterher. Nachdem die Facebookseite von Bitcoin.de im Dauerfeuer solcher Scammer stand, und alles Melden, Blockieren, Verbergen und Blacklisten nichts geholfen hatte, ging der Marktplatz dazu über, bei jedem Facebook-Post eine Warnung mitzuveröffentlichen.

Dasselbe passiert auch mit E-Mails. BitPay und Coinbase berichten auf ihrem Blog, dass sich Leute als ihre Support-Mitarbeiter ausgeben, dass es gefälschte Stellenausschreibungen gibt, falsche Support-Telefonnummern in Umlauf gebracht werden, dass sogar eine Coinbase-Telegram-Gruppe mit mehr als 7000 Mitgliedern aktiv ist, die von Scammern betrieben und durch Bots gefüllt wird. Diese bringen fast täglich neue „Giveaway“-Scams heraus, angeblich direkt von Coinbase.

Was ein Glück, ich wurde über Facebook auserwählt, um an einem Libra-Airdrop teilzunehmen. Ist klar.

Wie kann man es vermeiden, durch solche Imitationen Geld zu verlieren? Im Grundsatz solltet ihr davon ausgehen, dass es Betrug ist, wenn ein prominenter Bitcoiner oder ein bekanntes Unternehmen Bitcoins und andere Kryptowährungen verlost oder verschenkt. Manchmal machen Börsen dies wirklich. Dann solltet ihr es aber auf der Webseite nachprüfen.

Wenn die Bedingung der Teilnahme an einem solchen Giveaway ist, dass man zuvor einen kleinen Betrag Bitcoin oder Ether an eine bestimmte Adresse sendet, ist es zu 100 Prozent Betrug. Macht da nicht mit. Niemals.

Auch in ICOs sollte man generell nicht investieren, sofern man das Produkt vorher nicht genau geprüft hat und für vielversprechend erachtet. Je aufdringlicher diese ICOs beworben werden, desto misstrauischer solltet ihr sein. Oft stellen die ICO-Veranstalter prominente Krypto-Personalien als angebliche „Adviser“ auf ihre Webseite. Das strahlt Vertrauen aus, ist aber oft unwahr. So wurde etwa der Vitalik Buterin von Ethereum zeitweise bei Dutzenden von ICOs, mit denen er nichts zu tun hatte, als Berater geführt.

Links in E-Mails oder anderen Nachrichten schließlich solltet ihr nur öffnen, wenn ihr euch beim Absender absolut sicher seid. Wenn ein Service, den ihr nutzt, euch eine E-Mail mit einem Link sendet, und dies nicht im Zuge eines typischen Verfahrens geschieht – etwa beim Einloggen oder beim Auszahlen – ist das ein Anlass für Vorsicht. Prüft den Absender, schaut euch den Link genau an, öffnet ihn auf einem anderen System, wenn es denn unbedingt sein muss. Ich ignoriere fast täglich einen Stoß an E-Mails, die bei meinen Accounts eingehen, und mir irgendetwas versprechen. Spam ist im Internet ohnehin epidemisch. Mit Bitcoin und Krypto wird er für die Sender allerdings noch lukrativer.

Es gibt auch Tools, die gegen die Giveaway-Scams helfen, etwa das Browser-Plugin PhisFort. Dieses gibt einen Alarm, wenn eine verdächtige Adresse auftaucht. Allerdings ist darauf kein voller Verlass, weil die Blacklists, die das Plugin benutzt, nicht immer mit den neuen Scams mithalten können.

2. Phishing

Ein Phishing-Angriff besteht daraus, dass der Hacker euch auf eine falsche Seite lockt. Das kann durch mehrere Methoden geschehen. Zum einen versucht er, wie erwähnt, euch durch soziale Medien und vielleicht auch E-Mails die Links auf diese Seiten zu schicken. Es kann auch vorkommen, dass in Foren solche Links gepostet werden. Oft stehen die Links dann nicht im Reintext, sondern als fett markierte Schrift. Wer sie anklickt, kann überall hingelangen. Zum Beispiel hier: Bitte einmal auf dem Bitcoinblog.de lesen. Daher sollte man auch in Foren prüfen, um was für Links es sich handelt. In der Regel steht der Reintext unten im Browser, eventuell müsst ihr das in den Optionen anschalten.

Der Sinn der Übung ist es üblicherweise, euch auf eine Webseite zu lotsen, die etwas Schlechtes im Schilde führt. Sie kann versuchen, euch Malware unterzujubeln (was normalerweise noch weiterer Klicks von euch bedarf), oder sie kann euch vorgaukeln, eine Börse zu sein, bei der ihr dann Nutzernamen, Passwort und Email eingebt. Damit kann sich der Hacker womöglich bei euren Accounts einloggen, oder er kann die Daten auf dem Schwarzmarkt verkaufen. Gerne werden solche Links auf per Email versandt, mit einem Absender, der vorgibt, eine Börse zu sein. Einige sehr kreative Betrüger haben sich als britische Finanzaufsicht ausgegeben und eine Mail versandt, in der sie für Bitcoin und Krypto werben und einen garantierten Gewinn verspricht. Diese Mail enthielt wohl auch einen Link zu einer Phishing-Seite, die Daten abgreift. Ein andermal wurden solche Mails im Namen der US-Aufsichtsbehörde CFTC versandt.

Eine besonders fiese Form besteht darin, euch eine manipulierte Software unterzujubeln. So gibt es etwa so viele Fake-Webseiten von myetherwallet, dass man bei einem Tippfehler der Domain beinah garantiert bei einem landet, aber auch falsche Apps für Trezor und andere Wallets, die es manchmal in die Appstores schaffen. Wenn ihr diese Wallets herunterladet, und dort eure Schlüssel oder Passwörter eingebt oder Coins damit empfängt, können die Hacker sie stehlen. Die API von CryptoScamDB zählt mehr als 7.000 solcher Domains auf und setzt diese auf eine Blacklist. Laut einer Übersicht über die beliebtesten ETH-Scams vor gut einem Jahr haben falsche Seiten einen Schaden von 7,5 Millionen Dollar gemacht, während Fake-ICOs auf 4,5 Millionen Dollar kommen. „Und das umfasst nur das, was wir zurückverfolgen können.“

Besonders perfide gehen die Hacker bei Electrum vor. Electrum ist eine beliebte Wallet für PC und Smartphone, die es für Bitcoin und viele weitere Kryptowährungen gibt. Eine Schwäche in einer alten Electrum-Version hat es Servern erlaubt, Update-Nachrichten an die User zu senden. Viele User haben die Nachricht erhalten, dass eine Transaktion gescheitert ist, weil es einen Sicherheitsfehler gab. Der User soll updaten. Wer dann dem Link aus der Nachricht gefolgt ist, hat dort eine manipulierte Version von Electrum erhalten, die dann die Coins stiehlt. Dieser Scam war so erfolgreich, dass User Bitcoins im Wert von mehr als 7 Millionen Dollar verloren haben.

Wie vermeidet man das? Man muss eine enorme Vorsicht bei URLs haben. Sobald es kein grünes Schluss neben der URL gibt, sollte man auf keinen Fall irgendetwas herunterladen, und selbst wenn, sollte man die URL noch einmal prüfen, bevor man eine Wallet-Software lädt oder sich einloggt. Dabei kann auch die Whitelist von Domains von CryptoScamDB helfen. Die Apps von Wallets kann man im AppStore aufrufen, aber dabei sollte man genau prüfen, wer der Herausgeber ist, ob es mehrere davon gibt – dann wäre eine nämlich wohl Betrug – und ob etwa die Kundenbewertungen ein realistisches Bild abgeben. Besser ist es immer, die App mit dem Link auf der Seite des Herausgebers aufzurufen – natürlich nur, nachdem man sich überzeugt hat, auf der richtigen Seite zu sein.

3. Shitcoins

Ich mag den Begriff des „Shitcoins“ nicht besonders, vor allem nicht, wenn er benutzt wird, um alle Coins neben Bitcoin zu disqualifizieren. Viele Altcoins, etwa Ethereum, Monero, Dash, Bitcoin Cash oder Bitcoin SV, leisten etwas interessantes, das ihnen durchaus zu Recht einen Wert gibt. Zwar ist der Wert ALLER Altcoins im Vergleich zu Bitcoin im Lauf der letzten sechs Monate abgerauscht – aber wer beispielsweise Mitte 2016 oder Anfang 2017 in einen guten Altcoin investiert hat, hat noch heute Werte in einem Vielfachen seines ursprünglichen Bitcoin-Investments. Man sollte Altcoins nicht pauschal verurteilen.

Aber: Es gibt laut Coinmarketcap derzeit 2658 Kryptowährungen, darunter 1450 Token. Wirklich interessant davon sind gerade mal ein oder zwei Dutzend. Wenn überhaupt. Der absolute Großteil hat weder User noch eine interessante Technologie, sondern wird nur auf den Markt gebracht, um ihn auf Börsen zu bewerben und einen Reibach zu machen. Dabei entfaltet sich eine verhängnisvolle Dynamik, die oft genug an Pyramidenspiele erinnert: Eine Armee von Shills und Jubelpersern bewirbt den Coin auf den sozialen Medien als den neuen Bitcoin, den technischen Durchbruch oder was auch immer. Einige Investoren kaufen sich ein, der Preis steigt, noch mehr Investoren kaufen ein, in der Hoffnung, dass der Kurs weiter steigt. Diese Investoren haben nun finanzielle Anreize, „ihren Altcoin“ bei anderen zu bewerben. Denn je mehr ihn kaufen, desto größer wird der Wert der Coins, die man selbst hortet.

Es gibt eine Tendenz, Verlusten vorzubeugen, indem man alle Coins außerhalb von Bitcoin als Shitcoin abwatscht. Damit ist man natürlich auf der sicheren Seite; wer in keine Altcoins investiert, wird auch kein Geld in Shitcoins versenken. Aber ganz zufriedenstellend finde ich das nicht. Es gibt einige legitime Altcoins, und viele davon bringen durchaus wertvolle Innovationen ein. Wer Altcoins pauschal ablehnt, verpasst etwas – sowohl etwas, das technisch interessant ist, als auch gute Investmentgelegenheiten.

Wie schützt man sich vor Verlusten? Zu hundert Prozent geht das nicht. Man sollte sich jederzeit bewusst sein, dass Bitcoin ein riskantes Investment ist, und Altcoins ein noch riskanteres. Gerade Altcoins, die noch nicht lange existieren und / oder in den Tiefen des Coinmarketcap-Rankings liegen, sind in der Regel ein pures Glücksspiel. Das einzige, das hier hilft, ist es, sich genau zu informieren – wer steht hinter dem Coin, welche Projekte darum herum gibt es, hat er eine Open-Source-Community, mit welcher Innovation wartet er auf, ergibt diese Innovation einen Sinn, hat sie ein Marktpotential? Solche Fragen MUSS man sich stellen, und zwar immer. Wenn man dies gemacht hat UND sich bewusst ist, ein großes Risiko einzugehen, spricht nichts dafür, auch in Altcoins zu investieren.

Über Christoph Bergmann (1584 Beiträge)
Das Bitcoinblog wird von Bitcoin.de gesponsort, ist inhaltlich aber unabhängig und gibt die Meinung des Redakteurs Christoph Bergmann wieder. Christoph hat vor kurzem ein Buch geschrieben: Bitcoin: Die verrückte Geschichte vom Aufstieg eines neuen Geldes. Das Buch stellt Bitcoin in seiner ganzen Pracht dar. Ihr könnt es direkt auf der Webseite Bitcoin-Buch.org bestellen - natürlich auch mit Bitcoin - oder auch per Amazon. Natürlich freuen wir uns auch über Spenden in Bitcoin, Bitcoin Cash oder Bitcoin SV an die folgende Adresse: 1BergmanNpFqZwALMRe8GHJqGhtEFD3xMw. Wer will, kann uns auch Hier mit Lightning spenden. Tipps für Stories sind an christoph.bergmann@mailbox.org immer erwünscht. Wer dies privat machen möchte, sollte meinen PGP-Schlüssel verwenden.

4 Kommentare zu Wie Betrüger Bitcoin-Usern um ihre Coins bringen

  1. Ich habe in all den Jahren viel gelernt in diesem Blog und bin dafür sehr dankbar, aber dass Bitcoin ein Token sein soll?

    „dass Bitcoin einmal DAS Token für die elektronische Repräsentation von Wert sein wird.“

    • Guten Morgen,

      Token meint eigentlich jede Form von Einheit, die einen Wert repräsentiert. Auch ein Euro-Stück ist genau genommen ein Token. Aber du hast recht, der Begriff wird in unserem Rahmen gewöhnlich anders verwendet.

  2. 1. Ist offensichtlicher Scam und vergleichbar mit der „Nigeria Connection“ an die man aus irgendwelchen fantastischen Gründen Geld per Western Union oder Moneygram schicken soll. Der „Enkeltrick“ ist wohl in die gleiche Kategorie einzustufen, es gibt aber auch „legale“ Gewinnspiele oder Lottogemeinschaften, die viele Menschen um ihr Geld bringen.

    2. Hier wäre noch dazuzusagen, dass man sich mit Malware auch passiv z.B. beim Surfen auf einem unsicheren Rechner infizieren kann.

    Fake-Webseiten von myetherwallet, dass man bei einem Tippfehler der Domain beinah garantiert bei einem landet

    Eintippen ist sicherer als Googlen, denn viele Fake Sites werden über Adwords beworben oder mit SEO hochgepusht. Von online Wallets wie MyEtherWallet oder MyMonero rate ich eher ab, da Browser Plugins Zugriff auf eingetippte Phrasen haben: Lieber deren Offline Versionen nutzen. Damit verhindert man auch, dass man den Seed versehentlich in das Suchfeld eingibt und dieser in der lokalen Suchhistorie und im Google Profil landet und dort bis in alle Ewigkeit gespeichert wird.
    Generell ist Menschen mit wenig technischen Hintergrund zu raten, sich ein günstiges Notebook zu holen, mit einer aktuellen Linux Distribution (Mint, Ubuntu) zu versehen und dort am besten die offiziellen Wallets zu nutzen. Vorsicht vor unter Punkt 3 genannten „Shit/Scamcoins“, denn diese könnten unter Umständen auch Malware enthalten und dann ist es wahrscheinlich besser, die Coins in der Börse zu belassen…

    3. Leider gibt es viel zu viele Shit/Scamcoins, auch wenn ich die Begriffe eigentlich auch nicht mag…
    Aktuelles Beispiel nach Monaten Verneinungen und „FUD“ Geblubber:

    Dan war dort übrigens der einzige (fähige und aktive) Entwickler, was man auch sehr gut an ihrem Github Repo erkennen kann. Die haben 14 Millionen aus dem ICO in 2 Jahren verballert. Ist das jetzt ein Shitcoin oder schon ein offensichtlicher Scamcoin?

  3. Ich war mir nicht sicher, ob ich das hier posten sollte, aber als Warnung für Betroffene sicher auch wichtig…

    Auch wenn man veraltete Wallet Versionen nutzt, läuft man ggf. Gefahr, um seine Coins gebracht zu werden. Bei Bitcoin an sich ist das fast ausgeschlossen, da am Core Code nicht mehr viel verändert wird, aber aktuell Lightning:
    https://lists.linuxfoundation.org/pipermail/lightning-dev/2019-September/002148.html

    We’ve confirmed instances of the CVE being exploited in the wild. If you’re
    not on the following versions of either of these implementations (these
    versions are fully patched), then you need to upgrade now to avoid risk of
    funds loss:
    * lnd v0.7.1 — anything 0.7 and below is vulnerable
    * c-lightning v0.7.1 — anything 0.7 and below is vulnerable
    * eclair v0.3.1 — anything 0.3 and below is vulnerable

    Wer einen Lightning Node betreibt, unbedingt updaten! Nur die jeweils neuesten Versionen sind gefixt.

Kommentar verfassen

Trage deine Daten unten ein oder klicke ein Icon um dich einzuloggen:

WordPress.com-Logo

Du kommentierst mit Deinem WordPress.com-Konto. Abmelden /  Ändern )

Google Foto

Du kommentierst mit Deinem Google-Konto. Abmelden /  Ändern )

Twitter-Bild

Du kommentierst mit Deinem Twitter-Konto. Abmelden /  Ändern )

Facebook-Foto

Du kommentierst mit Deinem Facebook-Konto. Abmelden /  Ändern )

Verbinde mit %s