Wie Betrüger Bitcoin-Usern um ihre Coins bringen

Es gibt Dutzende von Möglichkeiten, seine Bitcoins und andere Kryptocoins an Betrüger zu verlieren. Wir stellen drei der häufigsten Fallen vor und beschreiben, wie man sich vor ihnen schützt. Denn manche Verluste sind einfach nicht notwendig.

Bitcoins sind ein digitales Gold. Die meisten Leute, die sie kaufen, machen das, um sich ihren Anteil an dem neuen Wertspeicher zu holen, in der Gewissheit oder nur auf das Risiko hin, dass Bitcoin einmal DAS Token für die elektronische Repräsentation von Wert sein wird. Ein Bitcoin ist so etwas wie ein Ticket für den Zug in die Zukunft, und wer es hat, wird dabei sein, wenn sich das Geldwesen dezentralisiert.

Es ist leicht, Bitcoins zu kaufen – aber es ist nicht mehr so leicht, sie auch zu behalten. Denn es gibt so viele Wege, Bitcoins zu verlieren, dass man sie kaum aufzählen kann. Wir erklären hier drei der beliebtesten Scams, mit denen leichtfertige User ihre Coins verlieren können. Bei fast allen tappt der User selbst bereitwilling in die Falle – indem er zu gierig ist und hofft, seine Bitcoins auf leichte Weise und kostenlos zu vermehren.

1. Die Imitation von bekannten Leuten oder Institutionen

Diese Art von Scam ist seit 2017 oder 2018 massiv unterwegs. Das Schema ist dabei immer dasselbe: Die Betrüger geben sich als jemand anderes aus, etwa jemanden, der im Krypto-Raum einigermaßen berühmt ist, oder eine bekannte Institution wie Bitcoin.de oder BitPay, und versuchen mit dem Vertrauensvorteil, den sie damit erhalten, arglosen Krypto-Usern ihre Coins aus der Tasche zu ziehen.

Der Klassiker ist die Twitter-Imitation: Unter dem Tweets berühmter Twitter-Personalien – das kann jemand wie Ethereum-Co-Gründer Vitalik Buterin sein, aber auch Firmen wie Binance, Semi-Krypto-Promis wie WhalePanda oder echte Tech-Promis wie Elon Musk oder John McAfee – postet der Betrüger mit einem Account, der denselben Namen und dasselbe Foto wie der Promi trägt, das Angebot, dass man Bitcoins oder Ether verschenke. Um teilzunehmen müsse man eine kleine Summe an eine bestimmte Adresse senden. DIeser Betrug ist als „Giveaway“-Scam bekannt.

Die Betrüger arbeiten meistens durch Bot-Netzwerke, die fortlaufend solche Account-Imitationen bilden; oft sind es auch Teams von Bot-Accounts. So findet man unter dem Angebot des Betrügers häufig jemanden jubeln, „OMG, es klappt, ich habe eben 2 ETH bekommen!“. Bitcoin.com berichtet, dass manche der Betrüger sogar gefälschte Block-Explorer aufsetzen, um den Anschein zu erwecken, dass es tatsächlich Auszahlungen der Gewinne gibt.

Auf Twitter waren diese Scams zeitweise epidemisch. Laut einem Bericht im August 2018 gab es damals bereits mehr als 15.000 Bots. Wie viele Bitcoins und Ether dabei verloren wurden, ist nicht ganz klar, aber Vermutungen gehen in Coins im Wert einiger Millionen. Es ist auch bekannt, dass diese Scams auch auf Ripple (XRP) abzielen und dort schon mehrere Millionen Ripple abgezogen haben.

Diese Art von Scam findet mittlerweile auf allen sozialen Medien statt. Auf Facebook, Telegram, Whatsapp, Slack und mehr. User, deren Profil zeigt, dass sie etwas mit Krypto machen, bekommen dort gerne Dutzende von Freundschaftsanfragen, auf die nach der Annahme vielversprechende, aber betrügerische Angebote folgen. Manchmal wird dabei auch zu einem Investment in eine Fake-ICO eingeladen oder auf Fake-Webseiten verlinkt, die Passwörter und Usernamen abfangen. Man kann solche Nachrichten zwar melden, aber am Ende kommen die sozialen Netzwerke mit dem Bannen und Löschen und Sperren nicht mehr hinterher. Nachdem die Facebookseite von Bitcoin.de im Dauerfeuer solcher Scammer stand, und alles Melden, Blockieren, Verbergen und Blacklisten nichts geholfen hatte, ging der Marktplatz dazu über, bei jedem Facebook-Post eine Warnung mitzuveröffentlichen.

Dasselbe passiert auch mit E-Mails. BitPay und Coinbase berichten auf ihrem Blog, dass sich Leute als ihre Support-Mitarbeiter ausgeben, dass es gefälschte Stellenausschreibungen gibt, falsche Support-Telefonnummern in Umlauf gebracht werden, dass sogar eine Coinbase-Telegram-Gruppe mit mehr als 7000 Mitgliedern aktiv ist, die von Scammern betrieben und durch Bots gefüllt wird. Diese bringen fast täglich neue „Giveaway“-Scams heraus, angeblich direkt von Coinbase.

Wie kann man es vermeiden, durch solche Imitationen Geld zu verlieren? Im Grundsatz solltet ihr davon ausgehen, dass es Betrug ist, wenn ein prominenter Bitcoiner oder ein bekanntes Unternehmen Bitcoins und andere Kryptowährungen verlost oder verschenkt. Manchmal machen Börsen dies wirklich. Dann solltet ihr es aber auf der Webseite nachprüfen.

Wenn die Bedingung der Teilnahme an einem solchen Giveaway ist, dass man zuvor einen kleinen Betrag Bitcoin oder Ether an eine bestimmte Adresse sendet, ist es zu 100 Prozent Betrug. Macht da nicht mit. Niemals.

Auch in ICOs sollte man generell nicht investieren, sofern man das Produkt vorher nicht genau geprüft hat und für vielversprechend erachtet. Je aufdringlicher diese ICOs beworben werden, desto misstrauischer solltet ihr sein. Oft stellen die ICO-Veranstalter prominente Krypto-Personalien als angebliche „Adviser“ auf ihre Webseite. Das strahlt Vertrauen aus, ist aber oft unwahr. So wurde etwa der Vitalik Buterin von Ethereum zeitweise bei Dutzenden von ICOs, mit denen er nichts zu tun hatte, als Berater geführt.

Links in E-Mails oder anderen Nachrichten schließlich solltet ihr nur öffnen, wenn ihr euch beim Absender absolut sicher seid. Wenn ein Service, den ihr nutzt, euch eine E-Mail mit einem Link sendet, und dies nicht im Zuge eines typischen Verfahrens geschieht – etwa beim Einloggen oder beim Auszahlen – ist das ein Anlass für Vorsicht. Prüft den Absender, schaut euch den Link genau an, öffnet ihn auf einem anderen System, wenn es denn unbedingt sein muss. Ich ignoriere fast täglich einen Stoß an E-Mails, die bei meinen Accounts eingehen, und mir irgendetwas versprechen. Spam ist im Internet ohnehin epidemisch. Mit Bitcoin und Krypto wird er für die Sender allerdings noch lukrativer.

Es gibt auch Tools, die gegen die Giveaway-Scams helfen, etwa das Browser-Plugin PhisFort. Dieses gibt einen Alarm, wenn eine verdächtige Adresse auftaucht. Allerdings ist darauf kein voller Verlass, weil die Blacklists, die das Plugin benutzt, nicht immer mit den neuen Scams mithalten können.

2. Phishing

Ein Phishing-Angriff besteht daraus, dass der Hacker euch auf eine falsche Seite lockt. Das kann durch mehrere Methoden geschehen. Zum einen versucht er, wie erwähnt, euch durch soziale Medien und vielleicht auch E-Mails die Links auf diese Seiten zu schicken. Es kann auch vorkommen, dass in Foren solche Links gepostet werden. Oft stehen die Links dann nicht im Reintext, sondern als fett markierte Schrift. Wer sie anklickt, kann überall hingelangen. Zum Beispiel hier: Bitte einmal auf dem Bitcoinblog.de lesen. Daher sollte man auch in Foren prüfen, um was für Links es sich handelt. In der Regel steht der Reintext unten im Browser, eventuell müsst ihr das in den Optionen anschalten.

Der Sinn der Übung ist es üblicherweise, euch auf eine Webseite zu lotsen, die etwas Schlechtes im Schilde führt. Sie kann versuchen, euch Malware unterzujubeln (was normalerweise noch weiterer Klicks von euch bedarf), oder sie kann euch vorgaukeln, eine Börse zu sein, bei der ihr dann Nutzernamen, Passwort und Email eingebt. Damit kann sich der Hacker womöglich bei euren Accounts einloggen, oder er kann die Daten auf dem Schwarzmarkt verkaufen. Gerne werden solche Links auf per Email versandt, mit einem Absender, der vorgibt, eine Börse zu sein. Einige sehr kreative Betrüger haben sich als britische Finanzaufsicht ausgegeben und eine Mail versandt, in der sie für Bitcoin und Krypto werben und einen garantierten Gewinn verspricht. Diese Mail enthielt wohl auch einen Link zu einer Phishing-Seite, die Daten abgreift. Ein andermal wurden solche Mails im Namen der US-Aufsichtsbehörde CFTC versandt.

Dear @TheFCA here is an email I have now had 5 times since Friday. Your name is now being used for a virus of some sort I assume… pic.twitter.com/w0ULRAT434

— Dominic Thomas 💙 (@solomonsifa) July 22, 2019

Eine besonders fiese Form besteht darin, euch eine manipulierte Software unterzujubeln. So gibt es etwa so viele Fake-Webseiten von myetherwallet, dass man bei einem Tippfehler der Domain beinah garantiert bei einem landet, aber auch falsche Apps für Trezor und andere Wallets, die es manchmal in die Appstores schaffen. Wenn ihr diese Wallets herunterladet, und dort eure Schlüssel oder Passwörter eingebt oder Coins damit empfängt, können die Hacker sie stehlen. Die API von CryptoScamDB zählt mehr als 7.000 solcher Domains auf und setzt diese auf eine Blacklist. Laut einer Übersicht über die beliebtesten ETH-Scams vor gut einem Jahr haben falsche Seiten einen Schaden von 7,5 Millionen Dollar gemacht, während Fake-ICOs auf 4,5 Millionen Dollar kommen. „Und das umfasst nur das, was wir zurückverfolgen können.“

Besonders perfide gehen die Hacker bei Electrum vor. Electrum ist eine beliebte Wallet für PC und Smartphone, die es für Bitcoin und viele weitere Kryptowährungen gibt. Eine Schwäche in einer alten Electrum-Version hat es Servern erlaubt, Update-Nachrichten an die User zu senden. Viele User haben die Nachricht erhalten, dass eine Transaktion gescheitert ist, weil es einen Sicherheitsfehler gab. Der User soll updaten. Wer dann dem Link aus der Nachricht gefolgt ist, hat dort eine manipulierte Version von Electrum erhalten, die dann die Coins stiehlt. Dieser Scam war so erfolgreich, dass User Bitcoins im Wert von mehr als 7 Millionen Dollar verloren haben.

Wie vermeidet man das? Man muss eine enorme Vorsicht bei URLs haben. Sobald es kein grünes Schluss neben der URL gibt, sollte man auf keinen Fall irgendetwas herunterladen, und selbst wenn, sollte man die URL noch einmal prüfen, bevor man eine Wallet-Software lädt oder sich einloggt. Dabei kann auch die Whitelist von Domains von CryptoScamDB helfen. Die Apps von Wallets kann man im AppStore aufrufen, aber dabei sollte man genau prüfen, wer der Herausgeber ist, ob es mehrere davon gibt – dann wäre eine nämlich wohl Betrug – und ob etwa die Kundenbewertungen ein realistisches Bild abgeben. Besser ist es immer, die App mit dem Link auf der Seite des Herausgebers aufzurufen – natürlich nur, nachdem man sich überzeugt hat, auf der richtigen Seite zu sein.

3. Shitcoins

Ich mag den Begriff des „Shitcoins“ nicht besonders, vor allem nicht, wenn er benutzt wird, um alle Coins neben Bitcoin zu disqualifizieren. Viele Altcoins, etwa Ethereum, Monero, Dash, Bitcoin Cash oder Bitcoin SV, leisten etwas interessantes, das ihnen durchaus zu Recht einen Wert gibt. Zwar ist der Wert ALLER Altcoins im Vergleich zu Bitcoin im Lauf der letzten sechs Monate abgerauscht – aber wer beispielsweise Mitte 2016 oder Anfang 2017 in einen guten Altcoin investiert hat, hat noch heute Werte in einem Vielfachen seines ursprünglichen Bitcoin-Investments. Man sollte Altcoins nicht pauschal verurteilen.

Aber: Es gibt laut Coinmarketcap derzeit 2658 Kryptowährungen, darunter 1450 Token. Wirklich interessant davon sind gerade mal ein oder zwei Dutzend. Wenn überhaupt. Der absolute Großteil hat weder User noch eine interessante Technologie, sondern wird nur auf den Markt gebracht, um ihn auf Börsen zu bewerben und einen Reibach zu machen. Dabei entfaltet sich eine verhängnisvolle Dynamik, die oft genug an Pyramidenspiele erinnert: Eine Armee von Shills und Jubelpersern bewirbt den Coin auf den sozialen Medien als den neuen Bitcoin, den technischen Durchbruch oder was auch immer. Einige Investoren kaufen sich ein, der Preis steigt, noch mehr Investoren kaufen ein, in der Hoffnung, dass der Kurs weiter steigt. Diese Investoren haben nun finanzielle Anreize, „ihren Altcoin“ bei anderen zu bewerben. Denn je mehr ihn kaufen, desto größer wird der Wert der Coins, die man selbst hortet.

Es gibt eine Tendenz, Verlusten vorzubeugen, indem man alle Coins außerhalb von Bitcoin als Shitcoin abwatscht. Damit ist man natürlich auf der sicheren Seite; wer in keine Altcoins investiert, wird auch kein Geld in Shitcoins versenken. Aber ganz zufriedenstellend finde ich das nicht. Es gibt einige legitime Altcoins, und viele davon bringen durchaus wertvolle Innovationen ein. Wer Altcoins pauschal ablehnt, verpasst etwas – sowohl etwas, das technisch interessant ist, als auch gute Investmentgelegenheiten.

Wie schützt man sich vor Verlusten? Zu hundert Prozent geht das nicht. Man sollte sich jederzeit bewusst sein, dass Bitcoin ein riskantes Investment ist, und Altcoins ein noch riskanteres. Gerade Altcoins, die noch nicht lange existieren und / oder in den Tiefen des Coinmarketcap-Rankings liegen, sind in der Regel ein pures Glücksspiel. Das einzige, das hier hilft, ist es, sich genau zu informieren – wer steht hinter dem Coin, welche Projekte darum herum gibt es, hat er eine Open-Source-Community, mit welcher Innovation wartet er auf, ergibt diese Innovation einen Sinn, hat sie ein Marktpotential? Solche Fragen MUSS man sich stellen, und zwar immer. Wenn man dies gemacht hat UND sich bewusst ist, ein großes Risiko einzugehen, spricht nichts dafür, auch in Altcoins zu investieren.