Was ist Social Engineering?
Warum viele Angriffe nicht mit Code beginnen, sondern mit Vertrauen, Druck und psychologischer Täuschung
Definition
Social Engineering ist eine Manipulationsmethode, bei der Menschen statt Technik direkt beeinflusst werden, um an Informationen, Zugänge oder Geld zu gelangen.
Social Engineering ist die Manipulation von Menschen, um an vertrauliche Informationen zu gelangen, Sicherheitsmechanismen zu umgehen oder zu betrügerischen Handlungen zu verleiten. Im Krypto-Bereich ist Social Engineering die häufigste Angriffsart: Nicht die Blockchain wird gehackt, sondern der Mensch davor. Von Phishing-Mails über falsche Support-Mitarbeiter bis zu Fake-Airdrops, die Methoden werden immer raffinierter.
Die häufigsten Social-Engineering-Angriffe in Krypto
| Angriffsart | Methode | Typisches Szenario | Schaden (Beispiel) |
|---|---|---|---|
| Phishing | Gefälschte Websites/E-Mails | Fake-MetaMask-Seite stiehlt Seed Phrase | Millionen Wallets geleert (laufend) |
| Impersonation | Fake-Support in Discord/Telegram | "Binance-Support" fragt nach Seed Phrase | Einzelschäden bis 100.000+ USD |
| SIM-Swapping | Mobilfunknummer übernehmen | Hacker portiert deine Nummer, fängt SMS-2FA ab | Michael Terpin: 24 Mio. USD (2018) |
| Pig Butchering | Langfristiger Vertrauensaufbau | Fake-Beziehung → "Investment-Tipp" → Betrug | FBI: 3,9 Mrd. USD Schaden 2023 (USA) |
| Fake-Airdrops | Token in Wallet, Interaktion leert Wallet | Unbekannter Token erscheint, Approve-Trap | Tausende Wallets pro Kampagne |
| Spear Phishing | Gezielte Attacke auf Einzelpersonen | CEO-Fraud, gefälschte Partnerschafts-Angebote | Ronin Bridge: 625 Mio. USD (2022, Lazarus Group) |
Echte Fälle aus der Krypto-Welt
Ronin Bridge Hack (2022, 625 Mio. USD): Nordkoreanische Hacker (Lazarus Group) kontaktierten einen Axie-Infinity-Entwickler über LinkedIn mit einem gefälschten Jobangebot. Der Entwickler öffnete eine manipulierte PDF, die Malware installierte. Über diesen Zugang kompromittierten die Angreifer die Validator-Schlüssel der Ronin Bridge.
SIM-Swap auf SEC-Twitter (2024): Angreifer übernahmen per SIM-Swap den Twitter/X-Account der US-Börsenaufsicht SEC und posteten eine falsche Genehmigung des Bitcoin-ETFs. Bitcoin stieg kurzzeitig um 1.000 USD, bevor die SEC den Hack bestätigte.
So schützt du dich
1. Seed Phrase niemals teilen: Kein legitimer Support, keine Börse, kein Wallet-Hersteller wird jemals nach deiner Seed Phrase fragen. Wer danach fragt, ist ein Betrüger. Ausnahmslos.
2. Hardware-Wallet nutzen: Eine Hardware-Wallet signiert Transaktionen offline. Selbst wenn dein Computer kompromittiert ist, kann der Angreifer ohne physischen Zugriff auf das Gerät keine Transaktionen ausführen.
3. Passkeys statt SMS-2FA: SMS-basierte Zwei-Faktor-Authentifizierung ist durch SIM-Swapping angreifbar. Passkeys oder Hardware-Sicherheitsschlüssel (YubiKey) sind deutlich sicherer.
4. Unbekannte Token ignorieren: Wenn Token in deiner Wallet erscheinen, die du nicht gekauft hast: nicht damit interagieren. Keine Approvals geben, nicht verkaufen versuchen. Das sind oft Trap-Token, die bei Interaktion deine Wallet leeren.
In Discord und Telegram schreiben dich echte Support-Mitarbeiter niemals zuerst an. Deaktiviere DMs von Servern, auf denen du nicht aktiv chatten musst. Wenn du Opfer eines Scams geworden bist oder einen Betrugsversuch melden willst, findest du auf unserer Scam-Meldestelle Hilfe und Anlaufstellen. Die meisten Krypto-Betrügereien beginnen mit einer Direktnachricht: "Hi, I'm from [Projekt] support, I can help you with your issue."
Häufige Fragen zu Social Engineering
Kann man gestohlene Kryptos zurückholen?
In den meisten Fällen nein. Blockchain-Transaktionen sind irreversibel. In seltenen Fällen können Strafverfolgungsbehörden Coins auf Börsen einfrieren lassen (wenn der Dieb dort auszahlen will). Melde den Diebstahl trotzdem bei der Polizei und der betroffenen Börse, manchmal werden Konten rechtzeitig gesperrt.
Wie erkenne ich eine Phishing-Seite?
Prüfe immer die URL (metamask.io statt metamask-login.com). Nutze Lesezeichen für wichtige Seiten und klicke nie auf Links aus E-Mails oder DMs. Browser-Erweiterungen wie Pocket Universe oder Wallet Guard warnen vor bekannten Phishing-Seiten und verdächtigen Transaktionen.
Verwandte Begriffe
Phishing
Phishing ist eine Betrugsmasche, bei der Angreifer Nutzer über gefälschte Websites, Nachrichten oder...
2FA
2FA steht für Zwei-Faktor-Authentifizierung und ergänzt Dein Passwort um einen zweiten Sicherheitsna...
Seed Phrase
Eine Seed Phrase (Recovery Phrase) ist eine Folge von 12 bis 24 Wörtern, die als Master-Backup für e...
Über die Autorin
Dr. Stephanie Morgenroth
Steffi ist promovierte Medizinerin, Krypto-Investorin seit 2021 und erreicht mit MissCrypto über 100.000 Menschen auf Social Media. Sie macht komplexe Themen wie Bitcoin, DeFi und Krypto-Steuern verständlich, ehrlich, unabhängig und ohne Hype.
Über Steffi →Risikohinweis: Meine Inhalte dienen ausschließlich zur Information und stellen keine Anlageberatung dar.
Diese Seite kann Affiliate-Links enthalten. Bei einem Kauf über diese Links erhalte ich eine Provision — du unterstützt meinen Kanal ohne Mehrkosten. Danke! ❤️