Vorsicht vor Kryptoscams, die in Wien auf der Straße liegen

Das Bild zeigt ein Plastiksäckchen mit einer Paperwallet und einem Zahlungbeleg — So fand Herr W. das Plastiksäckchen in der Nähe der Wiener Karlskirche vor.

Was würden Sie tun, wenn Sie ein Dokument auf der Straße finden, das Ihnen mehr als 9.000 Euro in Aussicht stellt? Herr W. (Name der Redaktion bekannt) staunte nicht schlecht, als ihn ein Spaziergang in der Nähe der Karlskirche genau in diese Situation brachte. Bei genauerem Hinsehen wurde er jedoch skeptisch und reagierte schließlich richtig: Er ist nicht in die Falle getappt. Denn offensichtlich handelt es sich um einen Fall einer hierzulande eher neuen Kryptobetrugsmasche, die noch weitere Kreise ziehen könnte.

Der seltsame Fund von Herrn W. war kein Zufall: "Ich habe das Sackerl mitten auf dem Gehsteig gesehen, und der Inhalt war auch so platziert, dass man das Bitcoin-Logo sofort erkennen konnte", erinnert er sich gegenüber dem STANDARD. Was er vorfand, schien auf den ersten Blick zu verlockend, um wahr zu sein: In einem transparenten Plastiksäckchen befanden sich eine Paper-Wallet und eine Quittung eines Bitcoin-Automaten über eine Summe von mehr als 9.000 Euro.

Es ist durchaus möglich, dass einige Personen mit diesem Fund noch nichts anzufangen wissen. Mittlerweile ist aber ein gewisses Grundverständnis für Kryptowährungen in der Bevölkerung vorhanden, was so manchen Finder zu einer Kurzschlusshandlung verleiten könnte. Herr W. hat diesen Köder nicht geschluckt: Zum einen arbeitet er in der IT-Branche und war nach kurzer Recherche sofort skeptisch. Zum anderen sind Verwandte von ihm durch den Onecoin-Skandal geschädigt worden, was ihn seither bei solchen Angelegenheiten besonders hellhörig gemacht hat.

Täuschend echt

Die Dokumente wirken auf den ersten Blick auch verblüffend echt: Die Wallet ist mehrfach gestempelt, mit einem Hologramm versehen und so aufwendig bedruckt, dass sie einer echten Bitcoin-Paper-Wallet täuschend ähnlich sieht. Scannt ein unvorsichtiger Finder den darauf befindlichen QR-Code, wird er auf eine Website geleitet, die vorgibt, Zugang zu einer Kryptowallet mit einem Guthaben in der Höhe von 0,22 Bitcoin (zum Zeitpunkt des Fundes am 9. Jänner mehr als 9.000 Euro) zu bieten.

Das Bild zeigt eine Paperwallet und den Zahlungsbeleg eines Bitcoin-ATM — Der Inhalt des Plastiksäckchens sieht täuschend echt aus.

Um diesen Betrag angeblich abheben zu können, werden die Opfer aufgefordert, eine Provision von drei Prozent zu zahlen – eine perfide Masche, die den Eindruck erweckt, für einen vergleichsweise geringen Einsatz leicht zu Geld zu kommen. Tatsächlich werden die Opfer nur um die Gebühr erleichtert, die die Betrüger dann wenige Tage später selbst einkassieren.

Eine erste Spurensuche

Die Aussicht, "zufällig" auf einen größeren Geldbetrag gestoßen zu sein, hält einer näheren Betrachtung nicht stand. Kryptoforensiker Albert Quehenberger von AQ Forensics weist im Gespräch mit dem STANDARD darauf hin, dass es in diesem Fall typische Warnsignale gibt, die auch bei anderen Betrugsversuchen auftreten: schlecht gemachte Landingpages, dubiose Verlinkungen und ein holpriger Kommunikationsverlauf. Allein diese Merkmale deuten oft schon darauf hin, dass es sich um einen Scam handelt.

Die Überprüfung der Wallet-Adresse, die nach dem Scannen des QR-Codes für die Einzahlung der Provision angegeben wurde, lässt auch darauf schließen, dass es bereits Passanten gibt, die in der Hoffnung auf schnelles Geld auf den Betrug hereingefallen sind. Zum Zeitpunkt des Verfassens dieses Beitrags gingen innerhalb weniger Tage mehrere Einzahlungen von Konten ein, die Bitpanda, Binance und Revolut zugeordnet werden können.

DER STANDARD hat die betroffenen Kryptodienstleister bereits vergangene Woche um Stellungnahme gebeten, Antworten von Binance und Revolut stehen noch aus. Bitpanda teilte nach der Veröffentlichung des Beitrags mit, dass der sogenannte "Investment Scam", eine in vielen Varianten auftretende Betrugsart, eine der häufigsten Betrugsformen sei, von der Kundinnen und Kunden berichten. Der Kryptodienstleister vermutet, dass vorliegender Fall ebenfalls ein solcher Betrug sein könnte. Aus Datenschutzgründen können keine weiteren Details offengelegt werden, man versichert aber, intern notwendige Maßnahmen ergriffen zu haben.

Screenshot der Segnite-Website — Die QR-Codes auf der Paper-Wallet führen auf eine Website, die zur Zahlung einer Provision auffordert, damit man auf 0,22 Bitcoin zugreifen kann.

Der beiliegende Zahlungsbeleg bestätigt den Kauf von 0,22 BTC an einem Bitcoin-Automaten, steht aber in keinem direkten Zusammenhang mit der Paper-Wallet oder deren Guthaben. Die Marke Genesis Coin ATM sei für Österreich ungewöhnlich, "diese Automaten findet man meist in Übersee oder Asien", so Quehenberger. Der Beleg diene lediglich dazu, den Finder mit einem weiteren "Beweis" zu ködern und die Auszahlung der vermeintlichen Provision, also die eigentliche Betrugsabsicht, zu beschleunigen.

In einem weiteren Untersuchungsschritt stellte Quehenberger fest, dass beim Scannen des Public Keys der Paper-Wallet auf die Website von Segnite Crypto Wallet verwiesen wird. Zwar werden auf dieser Seite keine sensiblen Daten wie Seedphrasen abgefragt, und es wird scheinbar auch Support per E-Mail oder Chat angeboten – auffällig ist jedoch, dass sich die Support-Kontaktadresse beim Anklicken des "Contact"-Buttons von info@brentsafe.com auf support@segnite.com ändert.

Obwohl man nicht direkt aufgefordert wird, eine Wallet mit der Seite zu verknüpfen, kann man dort Paper-Wallets erstellen. Beim Versuch, eine solche Wallet auf der Segnite-Seite zu erstellen, stellte Quehenberger fest, dass plötzlich wieder der Name Brentsafe auftauchte – für ihn ein weiteres deutliches Warnsignal, die Finger von der Seite zu lassen.

Parallelen zu Scam in Australien

Ganz neu dürfte diese Betrugsmasche offensichtlich nicht sein: Im November 2022 wurden in Australien bereits Fälle gemeldet, die im Zusammenhang mit solchen Paper-Wallets stehen. Ähnlich wie beim Fund in Wien platzierten die Betrüger die gefälschten Bitcoin-Wallets an öffentlichen Orten wie Straßen und Parks. Die örtliche Polizei reagierte damals auf diese Betrugswelle mit einer öffentlichen Warnung. Sie riet dringend davon ab, die QR-Codes der gefundenen Wallets einzuscannen oder persönliche Daten preiszugeben.

Es ist davon auszugehen, dass die Polizei in Kürze auch hierzulande eine Warnung herausgeben wird, um die Bevölkerung vor dieser Betrugsmasche zu warnen. Unabhängig davon ist es ratsam, dem Beispiel von Herrn W. zu folgen und eine gesunde Portion Skepsis an den Tag zu legen. Findet man Dokumente wie diese auf der Straße, sollte man den Fund sofort mit genauer Ortsangabe der Polizei melden oder direkt bei einer Polizeidienststelle abgeben.

Es kann auch sinnvoll sein, in Foren oder auf Social Media über diese Betrugsmasche zu berichten, um andere vor ähnlichen Fallen zu warnen. Am wichtigsten ist jedoch, die QR-Codes auf keinen Fall einzuscannen und keine Zahlungen im Zusammenhang mit angeblichen Provisionen oder Transaktionsgebühren zu leisten. (Benjamin Brandtner, 16.1.2024)

Cyberkriminalität