SystemTrader Trading Tipps Teil 6: Spezielle Risiken

٢٥ سبتمبر

Spezielle Risiken, insbesondere beim Umgang mit Crypto-Assets
--------------------------------------------------------------------------------------------
Da der Cryptomarkt vergleichsweise „jung“ und lediglich geringfügig (im Vergleich zu konventionellen Märkten) reguliert ist, findet man hier eine Vielzahl an möglichen Gefahren um das eigene Vermögen zu verlieren. Im folgenden Abschnitt zeigen wir einige dieser Gefahren auf und geben Tipps zur Vermeidung.

--------------------------------------------------------------------------------------------
-- Risiken bei selbstverwahrten Wallets --
--------------------------------------------------------------------------------------------

Bei der Nutzung von selbstverwahrten Wallets, hierbei ist es im Grunde egal ob es sich um Hot-Wallets (Software) oder Cold-Wallets (zumeist Hardware) handelt, liegt die Kontrolle über das Vermögen bei euch selbst und niemanden sonst. Wenn es Betrügern gelingt, euch davon zu überzeugen, eure privaten Schlüssel oder die geheime Wiederherstellungsphrase preiszugeben, haben diese in weiterer Folge vollen Zugriff auf eure Gelder.

--------------------------------------------------------------------------------------------
Eine kleine Metapher zum besseren Verständnis:
--------------------------------------------------------------------------------------------

Die Wallet ist vorstellbar wie ein versperr bares Schließfach an einem öffentlichen Ort. Der private Schlüssel bzw. private Key ist der Schlüssel für das Schließfach. Die geheime Wiederherstellungsphrase ist eine Bauanleitung für den Schlüssel zum Schließfach. Gelingt es einem Angreifer nun den privaten Schlüssel zu erlangen, so kann dieser direkt das Schließfach entsperren und den Inhalt entwenden. Gelingt es die Wiederherstellungsphrase zu erlangen, dann kann mit dieser binnen kürzester Zeit eine Kopie des Schlüssels zum Schließfach erstellt und dieses geöffnet werden. In beiden Fällen ist dies sehr rasch möglich, und ohne dass der Schließfacheigentümer dagegen etwas unternehmen kann.

Sobald ein Angreifer Crypto-Assets aus eurer Wallet gestohlen hat, ist es bei dezentralen Blockchains niemanden mehr möglich, die Transaktion rückgängig zu machen. Die Unveränderlichkeit, das bedeutet die Unmöglichkeit Transaktionen zu stornieren oder rückgängig zu machen, ist eine der wichtigsten Eigenschaften der Blockchain-Technologie.

Seid euch also bewusst, dass mit der Kontrolle über das eigene Vermögen auch die zusätzliche Verantwortung, dieses Vermögen zu schützen, einhergeht. Im Folgenden stellen wir einige gängige Taktiken zur Erkennung von Betrugsabsichten bzw. Angriffen vor. Das Wissen hierüber stellt bereits eine wesentliche Vorbeugungsmaßnahme dar.

Achtung
Wenn ihr den Verdacht habt betrogen worden zu sein, dann empfehlen wir euch dies bei der örtlichen Strafverfolgungsbehörde als Straftat zu melden.

--------------------------------------------------------------------------------------------
--> Phishing <--
--------------------------------------------------------------------------------------------

Die Angriffsvariante des Phishings ist eine der verbreitetsten und erfolgreichsten Methoden um an das Vermögen anderer Menschen zu gelangen. Hierunter wird eine Methode verstanden, bei der sich die Angreifer als jemand anders, üblicherweise als berühmte Personen, ausgeben, oder vorgeben von seriösen meist bekannten Unternehmen zu sein. Ziel dabei ist es Menschen dazu zu veranlassen, möglichst viele persönliche Daten preiszugeben. Die Angreifer „fischen“ (phishing) also gewissermaßen nach Informationen.

Hierzu werden in der Regel gefälschte E-Mails versendet, gefälschte Websites erstellt, oder die Angreifer geben sich in sozialen Netzwerken als jemand anderes aus. Das letztliche Ziel ist es dabei häufig an die geheimen Wiederherstellungsphrasen, privaten Schlüssel oder andere konkrete persönliche Informationen der potenziellen Opfer zu gelangen und Ihre Assets bzw. Geld zu stehlen.

Phishing-Betrügereien sind allgegenwärtig und nicht nur bei Crypto-Assets anzutreffen. Allerdings sind Angreifer aufgrund der Besonderheiten in diesem Bereich sehr aktiv. Die diesbezüglichen Angriffe können sowohl auf Assets in selbstverwahrten Wallets, als auch auf Assets bei Börsen / Exchanges abzielen.

--------------------------------------------------------------------------------------------
--> Mögliche Angriffsvektoren bei Phishing <--
--------------------------------------------------------------------------------------------

-- Angriff mittels Spoofing: Fälschungen seriöser Websites --
--------------------------------------------------------------------------------------------

Von Spoofing spricht man, wenn eine bösartige Website als bekannte, vertrauenswürdige Plattform getarnt ist. Gefälschte Websites sehen zwar fast genauso aus wie eine offizielle Website, aber bei genauer Betrachtung, können kleine Unterschiede festgestellt werden. So verwenden Angreifer beispielsweise eine Domain-Adresse, die der echten Website sehr ähnlichsieht. Sie ändern vielleicht einen Buchstaben des Firmennamens oder verwenden andere Domänenerweiterungen wie „.biz“ oder „.info“.

Gefälschte Websites sind erfolgreich, da viele Angreifer Werbeplätze in Suchmaschinen kaufen. Dadurch erscheinen Werbelinks für die gefälschten Seiten weiter oben in den Suchergebnissen, was die Menschen glauben lässt, es handele sich um eine legitime Website. Vermeidet es daher bei der Suche nach einer Website auf Werbelinks zu klicken. Auch wenn einige Anzeigen zu den richtigen Websites führen, ist es eine gute Sicherheitspraxis, nur auf die Suchmaschinenergebnisse selbst und nicht die Werbelinks zu klicken und darüber hinaus zu überprüfen, ob die Adresse mit „https://“ beginnt und die URL richtig geschrieben ist.

Anmerkung
Die Anfangsbuchstaben bei Webadressen „https“ stehen für „Hypertext Transfer Protocol Secure“, also übersetzt „Sicheres Hypertext-Übertragungsprotokoll“. Dieses Protokoll, das Übertragungsprotokoll, ist sozusagen die Sprache in der sich euer Webbrowser mit dem Server verständigt. Im Gegensatz zu „http“ wird bei „https“ diese Verständigung verschlüsselt. Dies verhindert das externe Stelle die Inhalte direkt mitlesen können. Aber Achtung, der Umstand das eine „https“-Verbindung genutzt wird ist noch kein Garant dafür das die Website auch sicher ist.

Seid jedoch nicht nur bei Suchmaschinen, sondern auch bei sozialen Medien, sehr vorsichtig, wenn es um Werbelinks geht. Betrüger richten oft Konten auf beliebten Social-Media-Plattformen wie X/Twitter, Reddit, Facebook, TikTok, Telegram, Instagram, Discord und anderen Social-Media-Plattformen ein und warten auf anfällige Benutzer, um sie auszunutzen.

Die Angreifer bieten dabei häufig gute Ratschläge an oder scheinen euch aktiv helfen zu wollen, um euch vorzugaukeln, dass diese seriös sind und ihr euch auf sie verlassen könnt. Sobald sie euer Vertrauen gewonnen haben, leiten sie euch auf eine gefälschte Website weiter, auf der sie nach euren persönlichen Daten fragen. Sie verwenden offiziell klingende Begriffe wie „validate your wallet“ oder „verify your wallet“ oder „verify your info“.

--------------------------------------------------------------------------------------------
-- Angriff mittels gefälschter Crypto-Token --
--------------------------------------------------------------------------------------------

Ähnlich wie gefälschte Versionen seriöser Websites können Betrüger auch gefälschte Versionen seriöser Token erstellen und insbesondere im OTC-Handel (over the counter) verbreiten. Betrügerische Token sehen aus und verhalten sich wie ihre legitimen Gegenstücke, haben aber keinen Wert.

Gefälschte Token können insbesondere durch Prüfung der zugrundeliegenden Token-Vertragsadresse erkannt werden. Diese kann beispielsweise auf den großen Übersichtsplattformen wie xxxx oder xxx eingesehen werden.

Seid vorsichtig bei Token mit unbekanntem Ruf, niedrigen Inhaberzahlen, niedrigen Transferzahlen und fehlenden Code-Audits. Obwohl keine dieser Prüfungen automatisch die Legitimität eines Tokens ausschließt, ist ein Token, der nicht alle diese Kriterien erfüllt, mit Vorsicht zu behandeln.

--------------------------------------------------------------------------------------------
-- Angriff mittels gefälschter Wallets und Apps --
--------------------------------------------------------------------------------------------

Sowohl Hot-Wallets als auch Cold-Wallets können gefälscht werden. Achtet beim Erwerb von Cold-Wallets (z.B. Ledger, Trezor, SecuX, D’Cent, Shift Crypto) auf den Kauf auf seriösen Plattformen bzw. beim Hersteller selbst. Insbesondere bei Wiederverkaufsplattformen oder beim Marketplace-Handel kommen vermehrt gefälschte, oder präparierte, Produkte in Umlauf.

Obwohl Apple und Google ihre App-Stores sehr gut kontrollieren, können gefälschte Wallets und bösartige Apps manchmal trotzdem durchkommen. Wenn Angreifer gefälschte Versionen in die offiziellen Stores bringen, verwenden sie Screenshots und Bilder der echten App sowie gefälschte Bewertungen, um ihre Wallets legitim aussehen zu lassen.

Wenn ihr technisch versiert seid, dann könnt ihr eine Prüfsumme verwenden und nach den Freigabe-Hashes suchen, um zu überprüfen, ob der Download signiert ist. Ihr könnt auch die automatische Aktualisierung in den Einstellungen eures Mobiltelefons oder in der Desktop-App aktivieren um eure bereits legitimen, installierten Apps zu aktualisieren.

------------------------------------------
Hinweis:
Es handelt sich hierbei um einen kleinen Auszug aus Lerninhalten, daher ist die Auflistung an dieser Stelle unvollständig. Es gibt noch einige mehr Gefahren & Risiken.