Wie man seine Kryptos vor Hacking schützt

Die Schwachstelle beim sogenannten Sim Hijacking oder Sim Swapping sind nicht etwa die Nutzer, sondern meistens die Mobilfunkbetreiber. Die Attacke könnte alle treffen, die ihre Telefonnummer für eine sogenannte 2-Factor-Authentication (kurz: 2FA) benutzen.

Bei der 2FA fordert der Login zwei voneinander unabhängige Bestätigungen, dass es sich tatsächlich um den echten Nutzer handelt. Zum einen ist dies das übliche Login-Passwort, zum anderen ist es ein einmaliger Code, der per E-Mail, SMS oder in einer Applikation angezeigt wird. Nach dem Login mit dem Nutzernamen und Passwort muss man dann den einmaligen Code eingeben.

Ist als zweiter Faktor eine Telefonnummer angegeben, können Angreifer wie folgt vorgehen: Sie rufen bei dem entsprechenden Mobilfunkbetreiber an, und bitten darum, die Telefonnummer auf eine neue Simkarte, die vom Hacker kontrolliert wird, umzuschreiben. Meistens weist der Kundenservice der Mobilfunkbetreiber solche Anfragen zurück, allerdings können die Angreifer diesen Prozess solange wiederholen, bis sie einen Service-Mitarbeiter an die Leitung bekommen, der ihm den Wunsch gewährt. Ist diese Hürde genommen, werden die Codes per SMS nun an eine neue Simkarte geschickt. Damit ist der zweite Faktor umgangen und der Hacker kann sich in das fremde Konto einwählen.

Schützen kann man sich gegen diese Attacke nur begrenzt, indem man beispielsweise sehr vorsichtig mit der Herausgabe der Mobilfunknummer ist und nicht mit dem eigenen Reichtum prahlt. Prinzipiell ist allerdings von einer 2FA per SMS abzuraten, und man sollte lieber zu einem Authenticator-Programm wie beispielsweise Google Authenticator greifen. Dieses Programm generiert öfter pro Minute einen neuen Code, mit dem man sich authentifiziert. Eine 2FA mit einer externen Applikation ist der sicherste Weg, sich gegen Hacker zu schützen.

Clipboard Hacking verändert die Empfangsadresse

Ein weiterer Angriffsvektor ist das Verändern der Zwischenablage, wenn ein Nutzer Empfangsadressen einer Kryptowährung kopiert. Der Hacker ersetzt die kopierte Adresse durch eine Adresse seiner Wahl und kann so gegebenenfalls die Transaktion an sich leiten.

Schützen kann man sich gegen solche Angriffe nur mit besonderer Achtsamkeit. Es gilt daher, die Empfangsadresse vor einer Transaktion entsprechend gründlich zu überprüfen. Hardware Wallets wie der Trezor und Ledger bieten hier eine weitere Form von 2FA, indem die Empfangsadresse auch auf dem Display der Hardware Wallet selbst eingeblendet wird.

Lass dich nicht phishen

Immer wieder tauchen Webseiten im Internet auf, die identisch mit großen Kryptobörsen und Wallet-Anbietern sind. MyEtherWallet und Trezor wurden im Jahr 2018 bereits Opfer solcher Attacken. Achtet der Nutzer nicht auf die Authentizität der Website und gibt seine Login-Daten ein, kann es dazu führen, dass er den Hackern seine Informationen – und das damit verbundene Geld – auf einem silbernen Tablett serviert.

Ob Du Dich tatsächlich auf der Website der Börse befindest oder nicht, erkennst Du am „https://“ auf der linken Seite der URL. Das SSL-Zertifikat sollte unter allen Umständen gültig sein. Nur dann handelt es sich um die richtige Seite. Für die Zukunft sollte man sich diese Seiten als Lesezeichen speichern.

Fazit: Achtsam sein!

Kryptowährungen sind eine neue Form von Geld und haben realen Wert. Klar, dass das die Haie anlockt. Ganz nach dem Motto „Be Your Own Bank“ ist jeder selbst für seine Sicherheit verantwortlich. Die meisten Angriffe lassen sich mit Vorsicht und Achtsamkeit verhindern. Die Sicherheitsvorkehrungen sollten proportional zum zu sichernden Wert steigen.

Für größere Bestände gilt immer, sie nicht auf einer Börse zu verwahren, sondern eine gesonderte Hardware Wallet zu verwenden. Die Seed-Phrase für diese Hardware Wallet sollte man ebenfalls schützen.

BTC-ECHO