Um eine Zahlung von einer anderen Person zu empfangen sind QR-Codes in der Kryptoszene gang und gäbe. Der Empfänger scannt den QR-Code mit einer Wallet-Applikation und sendet die angeforderte Zahlung, ohne dass er eine lange Bitcoin-Adresse von Hand eingeben muss. Durch die Verwendung von QR-Codes eliminieren Benutzer die Möglichkeit eines Tippfehlers, der dazu führen könnte, dass Geld an die falsche Wallet geschickt wird.
Diesen Umstand machten sich nun Betrüger zu nutze. Mittels eines Netzwerks aus 9 Webseiten, auf denen Nutzer QR-Codes generieren können, gelang es ihnen innerhalb eines Monats, Bitcoin im Wert von ca. 40000€ zu erbeuten.
Die Masche ist ebenso simpel wie effektiv: Die Diebe generieren nämlich gar keinen QR-Code, der zu der eingegeben Adresse passt, sondern immer denselben. Infolgedessen landen die Zahlungen nicht auf der Wallet des eigentlichen Empfängers, sondern gehen direkt zu den Betreibern der betrügerischen Websites.
QR-Generatoren nur Spitze des Eisbergs
Harry Denley, Sicherheitsexperte bei MyCrypto machte als Erstes auf diesen Umstand aufmerksam.
Mit dem Laden des Tweets akzeptieren Sie die Datenschutzerklärung von Twitter.
Mehr erfahren
Es handelt sich dabei um folgende Websites:
- bitcoin-barcode-generator.com
- bitcoinaddresstoqrcode.com
- bitcoins-qr-code.com
- btc-to-qr.com
- create-bitcoin-qr-code.com
- free-bitcoin-qr-codes.com
- freebitcoinqrcodes.com
- qr-code-bitcoin.com
- qrcodebtc.com
Die oben genannten Adressen führen zu drei Servern, die nicht weniger als 450 Websites beherbergen. Dies sind allesamt Websites, die bei den Keywords gute Ergebnisse erzielen: Coronavirus, Google Mail, Bitcoin und andere Kryptowährungen. Es ist also davon auszugehen, dass der Schaden um einiges höher ist.
Drum prüfe, an wen du sendest
Nutzern die sich schützen wollen, ist also anzuraten QR-Codes nicht mittels windiger Websites zu erzeugen, sondern direkt aus den Wallet-Applikationen selbst. Sollte dies aus irgendwelchen Gründen nicht möglich sein, gibt es immer noch die Möglichkeit einen sogenannten QR-Decoder zu nutzen, der die Bitcoin-Adresse wieder im Klartext sichtbar macht. So kann man sicher gehen, dass die im QR-Code hinterlegte Adresse, mit der des Empfängers übereinstimmt – ist die Transaktion nämlich einmal auf der Blockchain gibt es kein Zurück mehr.
