Kriminelle nutzen persönliche Krypto-Veranstaltungen, um Phishing-Kampagnen und Identitätsbetrug zu starten, warnt Kraken.
Bis jetzt ist es kein Geheimnis, dass Krypto mainstream wird und damit ein größeres Ziel. Von Dubais Skyline bis zu Singapurs Hochtechnologie-Hallen sind Krypto-Konferenzen in Größe und Umfang explodiert. Aber zwischen den Panels und Präsentationen warnt Nick Percoco, der Chief Security Officer von Kraken, vor einem besorgniserregenden Muster: Die Menschen in diesem Bereich könnten ihre Wachsamkeit genau in dem Moment nachlassen, in dem sie aufmerksamer sein sollten.
"Die persönliche Sicherheits Hygiene auf Krypto-Konferenzen ist in den Hintergrund gerückt", schrieb Percoco in einem Blogbeitrag. Sein Team bei Kraken hat still beobachtet – und was sie gesehen haben, ist schwer zu ignorieren.
Bei den letzten Veranstaltungen bemerkte das Kraken-Personal unbeaufsichtigte Laptops mit Wallet-Zugängen, die auf Messetischen offen gelassen wurden, während Telefone mit Wallet-Benachrichtigungen vibrierten, während ihre Besitzer in der Nähe plauderten. "Wenn Sie in Krypto sind, ist Ihr digitales Gerät nicht nur ein Telefon oder ein Laptop", erinnert Percoco und fügt hinzu, dass "es ein Tresor" ist.
In einem Kommentar für crypto.news erklärte Percoco, dass Phishing nach wie vor der verbreitetste und effektivste Betrug auf Konferenzen ist – nicht, weil es technisch anspruchsvoll ist, sondern weil es sich so leicht integriert. "Die Natur dieser Veranstaltungen – einschließlich ständigem Networking, QR-Code-Scannen und Informationsaustausch – schafft ideale Bedingungen für Betrüger, um sich einzufügen und Angriffe mit minimalem Aufwand zu starten", sagte er.
"Indem sie gängige Konferenzverhalten ausnutzen, können Angreifer leicht bösartige Links oder gefälschte Termin-Einladungen unter dem Vorwand professioneller Nachverfolgungen verbreiten. Es ist eine Taktik mit geringem Aufwand, die wenig technische Raffinesse erfordert, aber erhebliche Zugangs- und finanzielle Belohnungen bringen kann, wenn sie erfolgreich ist."
-Nick Percoco
Konferenzen sind jetzt heiße Ziele.
Krypto-Konferenzen waren schon immer soziale Knotenpunkte, aber jetzt sind sie auch eine Goldgrube unbewachter Informationen. Percoco teilte eine Szene: Eine Gruppe von Konferenzteilnehmern, die offen über hochprofitable Trades auf einem öffentlichen Bürgersteig diskutieren – Lanyards, die ihre Namen und Unternehmen gut sichtbar zeigen.
Selbst wenn Sie denken, dass niemand zuhört, tut es wahrscheinlich jemand. Öffentliches WLAN oder QR-Codes können leicht gehijackt werden. Percoco sagt, es sei keine Paranoia – es ist Mustererkennung. Der Vorschlag: Verwenden Sie Burner-Wallets mit minimalen Mitteln und scannen Sie niemals einen QR-Code, den Sie nicht verifizieren können.
"Es braucht nur einen einzigen Stickerwechsel, damit ein bösartiger Akteur einen legitimen QR-Code auf einem Marketingmaterial durch einen gefälschten ersetzt und Dutzende (wenn nicht Hunderte) von Teilnehmern in Gefahr bringt." -Nick Percoco
Die Bedrohungen sind nicht mehr theoretisch. In Frankreich hat eine Serie von gewalttätigen Angriffen auf Krypto-Profis die sehr reale Gefahr unterstrichen, in diesem Bereich zu sichtbar zu sein.
Im Januar wurde David Balland – Mitbegründer von Ledger, einem Unternehmen, das für sichere Krypto-Wallets bekannt ist – unter Waffengewalt aus seinem Zuhause entführt. Seine Entführer schnitt ihm den Finger ab und schickten ihn seinem Geschäftspartner als Beweis, forderten ein Lösegeld von 10 Millionen Euro in Krypto. Seine Frau wurde später gefesselt im Kofferraum eines Autos gefunden. Beide überlebten, aber die Odyssee ließ die Gemeinschaft erschüttert zurück.
Die Angreifer? Jung, organisiert und technikaffin, und Berichten zufolge mit Ballands Beständen und Geschäftsverbindungen vertraut.
Es ist kein Einzelfall. Andere Angriffe in Frankreich haben auch Krypto-Besitzer ins Visier genommen und manchmal Bedrohungen gegen ihre Familien ausgeweitet. Dies sind keine Online-Betrügereien. Dies sind physische, gezielte Entführungen. Die alte Regel "Erzählen Sie den Leuten nicht, dass Sie in Krypto sind" wurde gerade viel wörtlicher.
Grundlegende Fehler, große Konsequenzen.
Percocos größte Sorge sind nicht unbedingt komplexe Hacks. Es geht um grundlegendes situationales Bewusstsein. Krypto-Leute wissen, wie man Cold Storage benutzt. Aber wenn es darum geht, ein MacBook Pro nicht in einem überfüllten Raum entsperrt zu lassen? Offenbar nicht so sehr.
"In der heutigen Hochrisiko-Umgebung ist Krypto-Kompliziertheit nicht nur ein persönliches Risiko, sondern eine Bedrohung für unsere breitere Bewegung." -Nick Percoco
Dieses Gefühl echoiert, was a16z Crypto seiner Community seit Monaten, wenn nicht Jahren, sagt: In Web3 ist der Perimeter Sie. Ein Datenleck – selbst Ihrer Telefonnummer – kann sich zu einem vollwertigen Identitätsdiebstahl entwickeln.
Jedes Stück Information, das Angreifer erlangen, "macht es einfacher und wahrscheinlicher, dass sie mehr erwerben", schrieb Matt Gleason, ein Sicherheitsingenieur für a16z Crypto, in einem Blogbeitrag. Sobald Ihre persönlichen Daten draußen sind, ist es ein Wartespiel. Gleason rät, die Kreditwürdigkeit bei Kreditbüros einzufrieren, die Multi-Faktor-Authentifizierung mit Hardware-Schlüsseln wie YubiKey zu aktivieren und sensible Apps hinter Face ID zu sperren. SIM-Schutz beim Mobilfunkanbieter ist ebenfalls ein Muss.
Darüber hinaus schlägt Gleason vor, Passwörter neu zu überdenken. Verwenden Sie einen Manager, erstellen Sie einen Tresor und verwenden Sie Passwörter nicht mehrfach. Achten Sie auf Warnsignale wie unerwünschte Anrufe oder unerwartete Anmeldebenachrichtigungen. Das Ziel ist nicht nur zu reagieren – es geht darum, sich selbst zu einem schwierigeren Ziel zu machen.
Ein Kulturwandel könnte notwendig sein.
Zurück auf dem Konferenzboden forderte Percoco die Teilnehmer auf, eine sicherheitsbewusstere Denkweise anzunehmen. Er betonte besonders die Bedeutung der Überprüfung von Identitäten, das Vermeiden sensibler Diskussionen in öffentlichen Bereichen, das Auge auf persönliche Gegenstände zu haben und sich von kostenlosen Ladestationen fernzuhalten, die möglicherweise Malware durch eine Methode installieren könnten, die als "Juice Jacking" bekannt ist.
Laut Percoco operieren Angreifer nicht zufällig. Sie bewerten oft sichtbare Details wie Namen und Unternehmenszugehörigkeiten auf Lanyards, um schnell wertvolle Ziele wie Entwickler, DAO-Beitragende oder Startup-Teams zu identifizieren. Sobald ein Ziel ausgewählt ist, können sie Phishing-Links erhalten, die als Kalender-Einladungen oder Zoom-Anrufe maskiert sind, die darauf abzielen, Fuß zu fassen auf dem Gerät des Opfers. Wie Percoco sagt, kann der erste Schritt "alles sein, was nötig ist, um ein Gerät zu durchbrechen und von dort lateral weiterzugehen."
Es geht nicht um Paranoia. Es geht darum, mit der Realität Schritt zu halten. Während die Krypto-Industrie an Legitimität gewinnt, gewinnt sie auch Feinde – von staatlich geförderten Hackern bis hin zu opportunistischen Kriminellen. Die Sicherheitskultur muss sich mit ihr weiterentwickeln.
Percoco ist auch der Meinung, dass es kein Allheilmittel gibt, um Betrüger vollständig aus Branchenveranstaltungen zu entfernen. Aber er wies darauf hin, dass Konferenzen bereits erhebliche Teilnehmerdaten sammeln – einschließlich Namen, E-Mails und Telefonnummern – für legitime organisatorische Zwecke. Unter den falschen Umständen "kann dieselbe Daten von böswilligen Akteuren unter den richtigen Umständen ausgenutzt werden", fügt er hinzu.
A16z Crypto betont, dass Cybersicherheit "nicht mehr optional" ist und fügt hinzu, dass sie zu einer "Notwendigkeit" geworden ist.
Folgen Sie 🔥 Bleiben Sie dran für weitere Updates 🚀😍🚀