Phishing
23.03.2023, 12:17 Uhr
ChatGPT als Köder für Betrügereien
Betrüger nutzen Phishing-E-Mails und Twitter, um falsche OpenAI-Tokens zu bewerben. Wer sein Wallet mit der Fake-Website verbindet, der verliert schnell alle seine Kryptoassets.
Mit dem Ziel, den Hype um OpenAIs GPT-4, dem neuen multimodalen Modell von ChatGPT, auszunützen, um sich zu bereichern, haben Betrüger Phishing-Kampagnen per E-Mail und Twitter gestartet, die darauf abzielen, Kryptoassets zu stehlen. Die Spezialisten von Tenable haben die Strategie der Kriminellen analysiert und herausgefunden, worauf zu achten ist, um nicht auf die Masche hereinzufallen.
Am 15. März, nur einen Tag nach dem Launch von GPT-4, haben die Betrüger gemäss Tenable bereits damit begonnen, Phishing-E-Mails zu versenden und Phishing-Links zu einem gefälschten OpenAI-Token an verschiedene Kryptowährungsinteressenten zu twittern.
Die Phishing-E-Mail selbst enthält nur einen kurzen Text, in dem der Leser darauf hingewiesen wird, dass er auf keinen Fall den zeitbegrenzten Airdrop des OpenAI DEFI-Tokens verpassen dürfe. Die E-Mail enthält ein Bild einer OpenAI-E-Mail, das auf einem Template basiert, das wie eine legitime OpenAI-E-Mail aussehen könnte, ist jedoch durch eine Reihe von Grammatik- und Rechtschreibfehler sowie einem falschen Datum zu erkennen. In der E-Mail wird behauptet, dass GPT-4 jetzt nur noch mit dem OpenAI-Token verfügbar sei. Da dies mit dem Entscheid von OpenAI, den Zugang zu GPT-4 zu beschränken, übereinstimmt, erhält die Aufforderung der Betrüger für unvorsichtige Leser eine gewisse Legitimität.
Gemäss Tenable ist es unklar, wie die Kriminellen die Nutzer mit dieser Kampagne ansprechen und ob sie es geschafft haben, eine Liste mit OpenAI-Nutzern in ihre Hände zu bekommen. Die Spezialisten werfen jedoch die Theorie in den Raum, dass die Betrüger eine Zielliste erstellt haben könnten, indem sie Daten von SendGrid nutzten, die Informationen über Nutzer des Krypto-Steuerdienstes CoinTracker enthüllten.
Falsche OpenAI-Twitter-Konten
Bereits am 16. März teilte der Journalist Zack Abrams ein Foto einer Tweet-Nachricht, die er vom Twitter-Konto eines Betrügers erhielt, der sich als OpenAI ausgab. Abrams bezeichnete den Betrugsversuch als versiert, da: «Bild, Name und blauer Haken mit der echten OpenAI übereinstimmen». Die Betrüger bewerben auf Twitter einen «$GPT-Token» und behaupten, dass er an GPT-4-Kryptonutzer verteilt würde.
Phishing-Website sieht täuschend echt aus
Wenn ein Leser auf den Link in der Phishing-E-Mail klickt, so landet er auf einer Website, die der echten OpenAI-Website für ChatGPT und GPT-4 täuschend ähnlich sieht. Ein Hauptunterschied liegt gemäss den Spezialisten von Tenable jedoch darin, dass die Seite der Betrüger den sogenannten «zeitlich begrenzten OpenAI DEFI Token Airdrop» bewirbt. Die Experten weisen darauf hin, dass solche Angaben zu einer «begrenzten» Anzahl an Tokens und «nur während einer begrenzten Zeit verfügbar» spezifische Werkzeuge der Betrüger sind, um in ihren Opfern die Angst zu wecken, dass sie etwas verpassen könnten. So erhöhen sie den Druck und die Wahrscheinlichkeit, dass potenzielle Opfer rote Fahnen ignorieren, die ihnen ansonsten auffallen würden. Ein Beispiel dafür wären das falsche Datum oder die Tatsachen, dass «Decentralized Finance» eigentlich als DeFi und nicht als DEFI bezeichnet wird.
Einen Aspekt der Phishing-Website, der den Sicherheitsexperten aufgefallen ist und den sie als bemerkenswert einstufen, ist die Verwendung eines Bindestrichs im Domain-Namen, um die erste Hälfte der URL so aussehen zu lassen, als ob die Haupt-Domain «openai.com» wäre. Das erreichen die Betrüger durch die Verwendung der Sub-Domain «openai» mit einer Second-Level-Domain «.com-token», gefolgt von der Top-Level-Domain «.info».
Auf der Phishing-Website haben die Kriminellen zusätzlich einen Text platziert, in dem behauptet wird, dass die Inhaber des (gefälschten) OpenAi-Tokens einen exklusiven Zugang zu einer Vorschau auf kommende Produkte und zum Testen von Prototypen vor einer öffentlichen Freigabe erhalten werden. Zusätzlich gibt es die Angabe, dass der OpenAI-Token mit dem Token-Symbol $OAI bezeichnet wird. Sämtliche Tokens auf der Etherum-Blockchain, die das Symbol $OAI verwenden, sind in Wirklichkeit jedoch nicht mit OpenAI verbunden.
Das Wallet und die Verbindung zur Phishing-Site
Um die (fake) OpenAI-Tokens überhaupt zu beanspruchen, weisen die Betrüger ihre Opfer dazu an, auf der Fake-Website auf eine Schaltfläche zu klicken, die verkündet: «Click here to claim». Wer das tut, dem werden Optionen für die Verbindung seines Wallets mit der Website angezeigt, ein Prozess, der den meisten Kryptowährungsnutzern vertraut ist, da diese ihre Wallets oft mit dezentralen Apps (dApps) verbinden. Dieser vertraute Prozess ist ein weiteres Werkzeug der Kriminellen, um ihre Opfer zu täuschen und sie dazu zu bringen, ihr Wallet mit der Phishing-Website zu verbinden, ohne dass sie sich zu viele Gedanken machen.
Sobald die Verbindung zwischen Phishing-Website und Wallet einmal hergestellt ist, kann die Fake-Seite alle Kryptowährung-Tokens in der Wallet stehlen, inklusive NFTs, indem sie diese automatisch in ihre eigene Wallet überträgt. Wenn die Tokens erst einmal übertragen wurden, dann liegt die Wahrscheinlichkeit sie wiederherzustellen ziemlich nahe bei null.
Kryptowährungsnutzer mit Airdrop betrügen
Ein Airdrop ist ein Ereignis im Kryptowährungsraum, bei dem Nutzer kostenlose Tokens rein auf der Grundlage ihrer Teilnahme an einem Protokoll erhalten. Der Ausdruck ist in der Szene bekannt, was es für die Betrüger wiederum einfacher macht, Nutzer hereinzulegen, die einen Airdrop erwarten oder hoffen, an einem bereits angekündigten Airdrop teilzunehmen. Ein Beispiel dafür wäre etwa die Arbitrum Foundation, die vor nicht allzu langer Zeit ankündigte, einen Airdrop durchführen zu wollen. Keine 24 Stunden nach dieser Ankündigung hatten Betrüger bereits die Vorlage der Arbitrum Foundation-Website als Teil ihrer Phishing-Website kopiert.
Mit grossen Markennamen erfolgreich stehlen
OpenAI ist nicht die erste bekannte Marke, die für eine solche Betrugsmasche genutzt wird. Laut Tenable haben die letzten Jahre gezeigt, dass Kryptowährungsbetrüger opportunistisch sind und sich gerne als namhafte Persönlichkeiten oder Marken ausgeben, um gefälschte Tokens (der SpaceX-Token wäre ein Beispiel) oder gefälschte Giveaways zu bewerben. Die Nachahmung von OpenAI und das Bewerben des Fake-OpenAI-Tokens ist dabei nur der nächste Schritt. Für User, die sich für OpenAI, ChatGPT oder Kryptowährungen und die Blockchain interessieren, ist es daher essenziell, dass sie mit einem gewissen Mass an Skepsis vorgehen, wenn es um Kryptowährungs-Giveaways und Token-Airdrops geht. Es ist besser, erst ein wenig Zeit in eigene Nachforschungen zu investieren, als sein Wallet aus Versehen mit solch einer Website zu verbinden.