Vorschussbetrug gibt es im Internet in vielen Formen. Sei es schwere Krankheit, eine Spende oder Bitcoins. Immer wird auf die Gier der Menschen gesetzt. Dieser Artikel gibt einen Einblick in die kriminellen Strukturen hinter einer Bitcoin Betrugsmasche.
Im März diesen Jahres flatterte mir eine vermeintlich “fehlgeleitete” E-Mail in den Posteingang, die Zugangsdaten zu einer fingierten Bitcoin Tradingplattform enthielt. Darin war auch der Hinweis auf einen hohen Kontostand von 90.8 Bitcoin enthalten. Den Betrag wollte ich mir natürlich nicht entgehen lassen und ging der Sache sofort auf den Grund.
Nach dem Login wurde ich zunächst zur Änderung des Passworts aufgefordert. Außerdem wurde im Sinne von PSD2 das Hinterlegen einer Handynummer als zweiter Faktor verlangt. Nach erfolgreicher Verifikation präsentierte sich mir mein prall gefülltes Portfolio, dessen Auszahlung ich natürlich sofort beauftragte. Da die Auszahlung auf eine neue Bitcoin Adresse gehen sollte, war zunächst eine Testzahlung nötig. Um mein Vertrauen zu gewinnen, wurde tatsächlich ein kleiner Betrag von ungefähr 3€ transferiert. Die Auszahlung des gesamten Portfolios scheiterte dann aber Erwartungsgemäß mit fadenscheinigen Begründungen. So sei das Einzahlungsziel nicht vollständig erreicht. Daher müsse ich zur Auszahlung zunächst eine Einzahlung von etwa 1500€ in Bitcoin tätigen.
Erstklassiger Support
Mir stellten sich doch noch einige Fragen. Daher beschloss ich den Kundensupport über das integrierte Ticketsystem zu kontaktieren. Von dessen Antwortzeiten innerhalb weniger Minuten können sich seriöse Plattformen und Banken noch eine Scheibe abschneiden. Es half jedoch alles nichts, die “Schutzfunktion” konnte der freundliche Mitarbeiter auch nicht deaktivieren und mir blieb nichts anderes übrig, als das Geld einzuzahlen.
Vorher wollte ich aber noch letzte Zweifel an der Seriösität der Plattform ausräumen. Vielleicht meinte es der nigerianische Prinz doch gut mit mir. Zu meinem Glück war das Ticketsystem schlecht abgesichert. Über eine Cross-Site-Scripting Schwachstelle konnte ich eigenes JavaScript einschleusen und den Sessioncookie des freundlichen Supportagenten stehlen. Der Zugriff auf das Backend für die Supportagenten war somit möglich.
Das Backend
Hier zeigte sich, dass die Masche durchaus professionell aufgezogen wurde. Es wird zwischen den beiden Nutzergruppen Agenten und Administratoren unterschieden. Die Agenten versenden in selbständiger Arbeit ihre Mailkampagnen. Dabei entscheiden sie selbst über die verwendete Masche und wann eine Auszahlung erfolgt. Darüber hinaus gibt es Tools zur Überprüfung neuer Benutzer. Über eine Prüfung der IP-Adresse auf VPN und Tor sowie ein Abgleich der Handynummer aus der Anmeldung sollen Duplikate erkannt und doppelte Auszahlungen verhindert werden. Auch für den Support ihrer Kunden sind die Agenten selbst verantwortlich.
Geht eine neue Support- oder Auszahlungsanfrage ein, beginnt auf der Webseite sofort eine Sprachausgabe. Ich gehe davon aus, dass sich die Agenten darüber selbst nachts wecken lassen, um die kurzen Antwortzeiten zu gewährleisten.
Wenn tatsächlich eine Zahlung eingeht, wird das Geld nach einem Provisionsmodell zwischen den Agenten und dem Administrator aufgeteilt. Für den Betrieb der Plattform behält der Administrator bei den meisten Agenten 40% ein. Eine Auszahlung kann ein Agent ebenfalls über die Weboberfläche anfordern. Auch hier war kein Schutz vor Cross-Site-Scripting vorhanden. Ebenfalls fehlte eine geeignete Input Validation. Der eingegebene Betrag und die Bitcoin Adresse zur Auszahlung wurde zwar im Browser überprüft, der Server akzeptierte jedoch beliebige Eingaben. So kam hier erneut mein JavaScript zur Anwendung. Ich erstellte also einen Auszahlungsauftrag über 0 BTC an meine fingierte Bitcoin Adresse.
Der Administrator, wohl ebenfalls von der Sprachausgabe aufgeweckt, rief sofort seine Auszahlungsübersicht auf. In diesem Moment hatte ich auch seine Session gestohlen. Nun konnte ich mir einen Überblick über die administrativen Funktionen verschaffen.
Passwörter im Klartext
Interessiert warf ich einen Blick auf die Liste der Agenten. Sie hatten zum damaligen Zeitpunkt einen Gesamtumsatz von 22 BTC erzielt. Außerdem rief ich zu jedem Agenten die Benutzerdetails auf. Hier zeigte sich eine weitere Sicherheitslücke. So wurden die Passwörter im Klartext in der Datenbank gespeichert und auch wieder ausgegeben. Mit meiner Passwortliste konnte ich mich nun jederzeit als beliebiger Benutzer oder Administrator anmelden.
Ebenfalls enthalten waren offenbar echte Handynummern der Agenten. Der Großteil der Handynummern ist in Nigeria registriert. Es gibt jedoch auch Handynummern in Südafrika, Malaysia oder den USA. Aber auch innerhalb der EU scheinen einige Agenten zu agieren. So gibt es auch Rufnummern aus Griechenland, Irland und Polen.
An dieser Stelle endete mein Ausflug in die Welt der organisierten Kriminalität zunächst. Offenbar waren die 0 BTC Auszahlungen verdächtig gewesen. Die aktiven Agenten änderten ihre Passwörter und mein 90 BTC schweres Portfolio wurde gelöscht. Über den Verbleib der versprochenen Bitcoins weiß ich bis heute nichts. Der Support war für mich nicht mehr erreichbar.
Neue Nachricht, neues Glück
Erfolgreiche Scammer sind zum Glück beharrlich. Und so hatte ich Anfang Dezember wieder eine scheinbar fehlgeleitete Mail mit wahnsinnigen Versprechungen im Posteingang. Dieses Mal habe jemand eine Tasche mit Zugangsdaten im Stadion in Qatar gefunden. Diese Daten wollte er dem Empfänger unbedingt mitteilen. Wie sich herausstellte, handelte es sich um die selbe Plattform. Dieses Mal sollte ich mich jedoch auf einer anderen Domain anmelden. Der Administrator registriert ständig neue Domains, um die Bedrohungswarnungen der gängigen Browser zu umgehen.
Schnell zeigte sich, dass meine letzten Aktionen untersucht, jedoch nicht verstanden worden waren. Meine erste Payload nutzte noch das Keyword onerror. Dieses wurde nun gefiltert. Sämtliche anderen Keywords blieben jedoch ungefiltert. Ich schwenkte also auf onload um und wiederholte meine Schritte. Nun zeigte sich jedoch, dass auch der Session Cookie besser geschützt wurde. Durch das HTTP Only Attribut war mir ein Auslesen nicht mehr möglich.
Glücklicherweise kannte ich das Backend schon. Hier war mir aufgefallen, dass Agenten ihr Passwort auf ihrer Profilseite selbstständig ändern können. Auch hier wurde das Passwort im Klartext in das Eingabefeld geschrieben. Ich baute also eine neue Payload, um die Profilseite im Kontext des Agenten zu laden und auszulesen. Mit dem Passwort konnte ich mich nun wieder einloggen. Schnell zeigte sich jedoch, dass es eine weitere, neue Schutzfunktion gab. Pro Agent wurde nur noch eine Sitzung zugelassen. Die vorherige Sitzung wurde beim Login automatisch beendet und per Sprachausgabe eine Warnung ausgegeben. Lange würde es also wahrscheinlich nicht dauern, bis mein Besuch bemerkt werden würde.
Ich versuchte direkt meine neue Payload im Auszahlungsdialog. Allerdings wurde der Betrag inzwischen auch serverseitig überprüft. Auszahlungen von 0 BTC wurden abgelehnt. Ich testete meine alte Passwortliste und fand einen Agenten, der offenbar inaktiv war, über ein kleines Guthaben verfügte und sein Passwort noch nicht geändert hatte. Meine Payload sollte auch für einen Angriff auf Administatoren funktionieren und das Passwort abgreifen. Ich beauftragte die Auszahlung der rund 27€ Guthaben und hängte an die Adresse meine Payload an. Kurze Zeit später erhielt ich die Auszahlung und konnte das Passwort des Administrators abgreifen.
Einnahmen
Wie erwartet wurde meine Anmeldung mit den Zugangsdaten schnell bemerkt. Die Zeit reichte jedoch aus, um die Liste und Details aller Agenten erneut herunterzuladen. Innerhalb von acht Monaten waren zehn neue Agenten hinzugekommen. Wesentlich interessanter war jedoch die Umsatzentwicklung. Die Gesamteinnahmen über die Plattform waren auf 84 Bitcoins angewachsen. Selbst mit dem schwächelnden Bitcoin Kurs seit Anfang November entspricht der Wert immer noch etwa 1.3 Mio Euro. Der tatsächliche Schaden dürfte aber höher sein, da viele der Bitcoins zu höheren Kursen gekauft worden sind. Eine stolze Summe, wenn man bedenkt, dass im Verhältnis keine nennenswerten Kosten entstehen.
Vieles deutet darauf hin, dass die Plattform im März 2021 gegründet wurde. Etwa ein Jahr später hatte man mit 22 Bitcoins ein kleines Sümmchen verdient. Innerhalb der folgenden acht Monate wurden allein 62 Bitcoins eingenommen. Offensichtlich handelt es sich bei dieser Masche um ein Geschäftsmodell mit rosigen Zukunftsaussichten. Eine echte Handhabe gibt es dagegen wohl eher nicht. Was bleibt, ist ein kleiner Einblick in die Welt der organisierten Kriminalität.
Einkommen eines Agenten
Der erfolgreichste Agent hat Einnahmen von 16.5 Bitcoins erzielt. Dem Gegenüber bestehen Ausgaben in Höhe von einem halben Bitcoin für die Verfikationszahlung. 40% der Einnahmen gingen an den Administrator. Für den Agenten blieben also 9.4 Bitcoins.
Es gibt noch zwei weitere ähnlich erfolgreiche Agenten. Die meisten müssen sich jedoch mit geringeren Erfolgen zwischen einem und drei Bitcoins begnügen. Andere haben die Masche offensichtlich nach kurzer Zeit aufgegeben.
Einkommen des Administrators
Unter Berücksichtigung der individuellen Provisionsvereinbarungen zwischen Administrator und Agenten hat der Administrator einen Anteil von 27.6 Bitcoins verdient. Damit liegt er deutlich über den Einnahmen des erfolgreichsten Agenten und kann die Serverkosten mit Sicherheit entspannt tragen.
Ausblick
Zukünftig könnte der Schaden noch viel höher ausfallen. Hier arbeitet ein schlechter Programmierer an einer billigen, aber gut gemachten Betrugsfabrik. Noch braucht es eine Gruppe von Agenten, um diesen Umsatz zu erzielen. Doch ChatGPT hat gezeigt, wie seriöse Texte in beliebigen Sprachen vollautomatisch erzeugt werden können. Wo heute noch in Strukturen organisierter Kriminalität Personal benötigt wird, wird es in Zukunft zu Stellenabbau kommen. Fähige Programmierer werden eine weitaus besser automatisierte Umgebung schaffen, die bei weniger Personalaufwand höhere Umsätze dank individueller Kundenbetreuung erzielt. Die lästige Provision von 60% an die Agenten wird wegfallen. Solange die Verantwortlichen keine Strafverfolgung zu befürchten haben, bleibt daher nur die Warnung vor diesen Betrugsmaschen.