Der Kommentar eines Experten lautet: Die Welt der Kryptowährung Bitcoin steht im drastischen Gegensatz zu den streng geregelten und von den Regierungsbehörden gestützen Währungssystemen mit ihren Online-Banking- und Bezahldiensten.
Bezüglich des länderübergreifenden Zahlungssystems in der Form von virtuellem Geld findet die Übertragung der Beträge direkt von Teilnehmer zu Teilnehmer (Peer-to-Peer) statt. Demzufolge werden die bei dem klassischen Bankverkehr üblichen Zwischenschritte und ebenso die Finanzbehörden umgangen. Das ungeregelte – für seine Anonymität bekannte – Bitcoin stellt für die Hacker ein attraktives Ziel mit einem Vermögenswert von 6,8 Milliarden US-Dollar dar.
Auf der weitverbreiteten Bitcoin-Geldbörse im Internet, blockchain.info, wurde mitgeteilt, dass sich die Anzahl der Nutzer von MyWallet seit September 2013 um mehr als 500 Prozent – auf über 2 Millionen Anwender – erhöht hat und dass sich die täglichen Transaktionen auf MyWallet mit nunmehr über 30.000 Transaktionen pro Tag verdreifacht haben.
In Anbetracht dieser Zahlen wirken die Phishing-Attacken auf das Bitcoin-System wie eine „Angeltour“. Die Cyberkriminellen konzentrieren ihre Angriffe auf die Listen bekannter Bitcoin-Nutzer oder täuschen ihre Opfer mit unwahren Vorstellungen über Bitcoin, damit ihre Erfolgsquote gesteigert werden kann.
Zusammenfassend lässt sich sagen: Auch wenn viele Leute bereits von Bitcoins gehört haben, sind jedoch nur wenige im Besitz der virtuellen Münzen. Infolgedessen war es überraschend, eine auf Bitcoin-Anmeldedaten gerichtete Phishing-Kampagne zu entdecken, die eine Klickrate von 2,7 Prozent aufwies – ein deutlich höherer Prozentsatz als der Anteil der Bitcoin-Nutzer an der gesamten Bevölkerung.
Die Kampagne bestand aus 12.000 Nachrichten, die in zwei getrennten Wellen an über 400 Organisationen unterschiedlichster Branchen, wie Hochschulen, Finanzinstitute, Hightech-, Medien- und Produktionsunternehmen, versendet wurden. Das umfangreiche Spektrum der Kampagne ist überraschend – vor allem, da bei den anderen Bitcoin-Phishing-Attacken überwiegend bekannte Bitcoin-Benutzer anvisiert worden waren.
Die Phishing-E-Mail beruht auf einer einfachen Vorlage mit einer vermeintlichen Warnung hinsichtlich des Accounts, wobei die Bitcoin-Website blockchain.info anstatt der Bezeichnung der üblichen Bank oder des Online-Bezahldienstes verwendet wird. Der Empfänger wird durch den Textinhalt der Nachricht gewarnt, dass vermeintlich ein fehlgeschlagener Anmeldeversuch von China aus stattgefunden hat. Dabei wird die weit verbreitete Angst vor den chinesischen Hackern ausgenutzt, um den Eindruck der Dringlichkeit entstehen zu lassen. Auch eine vermeintlich eindeutige „Ticketnummer“ verleiht der Phishing-E-Mail einen ehrlichen Charakter.
An dieser Kampagne konnte zwei Tage lang der für die moderne Phishing-Kampagnen charakteristische Anpassungsprozess beobachtet werden. Während die Nachricht samt Inhalt unverändert geblieben ist, variierten die Hacker ihre Taktik bei der Benutzung der URLs:
Am ersten Tag wurde für die Kampagne ein einzelner Hostname (blockchain [dot] info [dot] case975675675 [dot] xyz) innerhalb der URLs verwendet, der mit einem zur jeweiligen E-Mail passenden Parameter individuell randomisiert wurde.
Am zweiten Tag wurden die randomisierten URLs in den E-Mails durch mehrere Domains vom Typ „.com“ (z. B. http://blockchain [Punkt] info [Punkt] caseid832482834 [Punkt] com) ersetzt, die zuvor generiert und registriert worden waren.
Diese Umgestaltung der Domains geht vermutlich auf die Tatsache zurück, dass der ursprüngliche Hostname „.xyz“ bereits kurz nach dem Beginn der Attacke in den Spam-Blockierlisten aufgeführt war. Aufgrund der kontinuierlichen Neuerstellung der Domains umgehen die Hacker auf immer effektivere Weise die reputationsbasierte Blockierung.
Die Tatsache, dass 2,7 Prozent der Empfänger den Link anklickten, deutet darauf hin, dass vermutlich eine Kombination aus den Bitcoin-Nutzern und den Nicht-Bitcoin-Nutzern in dieser Phishing-E-Mail geklickt haben. Der Empfänger wird durch das Klicken in der Nachricht auf die Schaltfläche „Passwort zurücksetzen“ auf eine realistische, jedoch manipulierte blockchain-Anmeldeseite geleitet: Sämtliche Informationen, die der Benutzer auf dieser Seite eingibt, werden erfasst und unverzüglich an die Phishing-Hacker übermittelt, während dem Benutzer eine allgemeine Login-Fehlermeldung bekanntgegeben wird. Sobald diese Daten den Angreifern zur Verfügung stehen, können sich diese beim echten blockchain.info-Konto des Benutzers anmelden und die Bitcoins an jede beliebige Online-Geldbörse übersenden.
Aufgrund der Tatsache, dass die Bitcoin-Transaktionen naturgemäß unumkehrbar und schwer nachvollziehbar sind, hat das Opfer so gut wie keine Chance sein Geld zurückzuerhalten. Im Übrigen sind die Maßnahmen zum Schutz der Verbraucher vor Verlusten durch den Online-Banking-Betrug nicht auf die Bitcoin-Nutzer anwendbar. Demnach ist es äußerst zweifelhaft, dass ein Bitcoin-Räuber mit einer Verfolgung durch die Bank rechnen muss.
Durch diese einfache, jedoch Erfolg versprechende Phishing-Kampagne wird verdeutlicht, dass die professionellen Sicherheitsexperten es sich keinesfalls leisten können, auch nur irgendeine Phishing-E-Mail außer Acht zu lassen – selbst wenn es sich angeblich um eine verbraucherorientierte, für den Endbenutzer unbedeutende Kampagne handelt. Da eine raffinierte Aufmachung der E-Mail selbst die Benutzer zum Klicken bringt, die eigentlich gar keinen Anlass hierzu hätten.
Eine aufwendigere „Multivarianten-Version“ dieser Kampagne könnte über deutlich größere Auswirkungen verfügen: Die Hacker hätten dadurch die Möglichkeit, auf einen Klick des Benutzers hin Malware, Trojaner, Phishings für den Zugang zu Unternehmensdaten, Spam und andere Bedrohungen auf deren Rechner herunterzuladen.