heute wurde ich Opfer eines professionellen Betrugsversuchs und möchte meine Erfahrung teilen:
Vormittag: Eine Frau rief an, behauptete, mein Crypto.com-Konto sei in Gefahr. Ich bekam dann eine echte E-Mail von Crypto.com – vermutlich, weil sich jemand mit meiner E-Mail-Adresse und falschem Passwort angemeldet hatte.
Sie fragte nach anderen Konten und Hardwallets, woraufhin ich von meiner BitBox erzählte. Sie meinte, das würde an BitBox weitergeleitet.
Abends gegen 18 Uhr: Ein angeblicher Mitarbeiter von BitBox rief an. Er sprach über einen „NPM-Betrug“ und behauptete, meine BitBox sei gefährdet.
Er wollte, dass ich die BitBox anschließe und eine Analyse auf einer bestimmten Webseite starte. Am Ende wollte die Seite meine 24-Wörter-Seedphrase. Ich habe das nicht eingegeben und sofort abgebrochen.
Besonders auffällig:
Perfektes Deutsch, sehr professionell.
Der Betrüger blieb die ganze Zeit sehr ruhig und hat mich nicht gedrängt – ganz anders, als man es von Scam-Anrufen erwartet.
Rufnummern aus Deutschland, teilweise nahe meinem Wohnort.
Sie hatten meine E-Mail und Telefonnummer, was schon beunruhigend ist.
Die gefälschte Domain ist mittlerweile nicht mehr erreichbar.
Meine Fragen an euch:
Sind meine BTC jetzt irgendwie gefährdet?
Muss ich noch etwas tun, um komplett safe zu sein?
Mir wurde bewusst, wie professionell solche Betrugsmaschen mittlerweile sind – hätte nie gedacht, dass ich fast darauf reinfallen würde.
Wir müssen uns da echt auf noch viele Angriffe vorbereiten. Ich glaube auch, dass Leute einbrechen werden und versuchen werden Hardware Wallets zu entwenden. Sobald Betrüger realisieren wie viel Geld in dem Space liegt, werden Sie versuchen die Bitcoin zu entwenden. Am besten immer sagen, ich ruf zurück und dann erstmal Email an die originale Kontaktemail
Das war klassisches Social Engineering. Man baut einen ersten Kontakt auf und meldet sich später nochmals, (man kennt den Angreifer & ist deshalb schon fast befreundet) es wird dramatischer im Verlauf und das Opfer gibt seine wichtigsten Hürden Preis.
Einzig deine EMail würde ich komplett und sonstiges was von dir im Netz herumschwirrt ändern. Sämtliche Passwörter ändern usw. Die Bitbox sollte Safe sein, hast ja nichts herausgegeben oder angeschlossen.
PS. Kaufe das Taschenbuch „ Die Kunst der Täuschung“ über/von Kevin Mitnick. Sozusagen eine Social Engineering UR Legende.
Bei mir wird auch öfters (automatisiert) angerufen und Panik wegen angeblicher Sicherheitsmängel meiner Kryptobestände geschürt. Meine Absicherung: Ich gehe nie ans Telefon, wenn es mir unbekannte Rufnummern sind, egal, ob Inland oder Ausland.
Ich weiß auch nur, dass es vermutlich um Krypto geht, weil teilweise automatisierte Sprache auf meinem Anrufbeantworter landet.
Ich frage mich dann immer, woher die meine Telefonnummer nebst Kryptokontext haben. Leider lande ich dabei immer beim Verdacht gegen Bitpanda, Bitvavo, Strike, 21Bitcoin & Co… Die haben sowohl meine Handynummer, als auch Kenntnis meiner Investments…
Das ist gut, du könntest dir eine Thetis oder Yubikey USB/C Stick zulegen. 2FA ist nicht schlecht, aber leider nicht mehr der letzte Standart. Passkeys sind da auch noch als Variante.
mach dir keine Sorgen – solange du keine Seedphrase, keine Passwörter und keine Wiederherstellungsdaten herausgegeben hast, sind deine BTC zu 100 % sicher.
Ohne diese Infos kann niemand auf deine BitBox zugreifen.
Was du trotzdem tun solltest:
E-Mail-Passwort sofort ändern, am besten stark & einzigartig.
Wenn du denselben Login woanders nutzt: dort auch ändern.
2FA aktivieren, falls noch nicht geschehen.
E-Mails der letzten Tage checken, ob irgendwo ungewöhnliche Login-Versuche bestätigt wurden.
Dass sie deine Mail + Telefonnummer hatten, ist unangenehm, aber leider nichts Ungewöhnliches – viele Daten stammen aus älteren Leaks. Gefährlich wird es erst, wenn jemand an die 24 Wörter kommt. Das ist hier nicht passiert.
Die Anrufe und die gefälschte Domain sind klassische Social-Engineering-Tricks. Gut reagiert, dass du abgebrochen hast.
Bei unbekannten Nr. gehe ich garnicht ans Telefon, außer ich erwarte einen Anruf.
Das iPhone leitet unbekannte Nr. direkt an die Mailbox weiter und man kann am Diesplay mitlesen, was der Anrufer draufspricht, so kann man entscheiden ob man hingeht oder nicht.
Das kann in meinem Fall nicht sein: Ich bin erst seit Mitte 2023 in Sachen Bitcoin unterwegs. Natürlich können es auch alle anderen Anbieter sein, wo ich (oft zu leichtfertig) einen Account angelegt hatte, also auch z.B. Cointracking oder Blockpit.
Egal, wie ich das durchdenke, ich lande immer wieder und ausschließlich bei @danjan: Das Problem ist, nicht gleich weit genug zu denken:
KYC geht (eigentlich) gar nicht, weil man jedem „hergelaufenen“ Anbieter reale, kaum veränderbare Daten liefert, obwohl man Seriösität, Sicherheitslage und die Zukunft des Anbieters nicht einschätzen kann.
2FA auf Basis einer Mobilfunknummer ist die schlechteste aller 2FA-Lösungen. Es bietet sich an, hierzu eine zweite Rufnummer einzurichten, die man bei Bedarf schnell ändern kann. Besser ist eine sichere TOTP-App oder ein Hardware-Schlüssel
Email-Adressen: Grundsätzlich zum Standard machen, einzelne Wegwerf-Adressen pro Account (z.B. Proton-Mail) verwenden.
Cointracking, Blockpit & Co vermeiden: Diese Anbieter erlangen eine Sicherheitsrelevanz und Datenmacht, die sie nicht gerecht werden können (Leaks, Hacks, Zusammenarbeit mit staatlichen Institutionen). Ich werde mein „Steuertracking“ auch zum Jahresende aus dem Netz nehmen und nur noch lokal auf Excel-Basis betreiben. Wird ein harter Schritt, ist aber leider nötig!
Genau überlegen, wieviele Accounts man benötigt: Meine bisherige „Diversifikation“ auf zahlreiche Broker und Börsen kann sehr problematisch werden.
Kurz zusammengefasst: Eigentlich braucht Bitcoin no-KYC & Peer2Peer-Handel, wenn man zukünftig einigermaßen sicher sein möchte. Womit wir nahtlos beim Thema „Banken/Auscashen/Fiat“ wären…
