Cryptocoins

Guide To Honeypot Crypto Scam

Was ist ein Crypto-Honeypot und warum wird er eingesetzt?

Smart-Contract-Programme, die über ein dezentrales Netzwerk von Knoten ausgeführt werden, können auf modernen Blockchains wie Ethereum ausgeführt werden. Smart Contracts werden immer beliebter und wertvoller, was sie zu einem attraktiveren Ziel für Angreifer macht. In den letzten Jahren wurden mehrere Smart Contracts von Hackern ins Visier genommen.

Ein neuer Trend scheint jedoch an Fahrt zu gewinnen: Angreifer suchen nicht mehr nach anfälligen Verträgen, sondern verfolgen eine proaktivere Strategie. Stattdessen wollen sie ihre Opfer in Fallen locken, indem sie Verträge versenden, die scheinbar angreifbar sind, aber versteckte Fallen enthalten. Honeypots ist der Begriff, der diese besondere Art von Vertrag beschreibt. Aber was ist ein Honeypot-Crypto-Trap?

Honeypots sind Smart Contracts, die ein Designproblem zu haben scheinen, das es einem beliebigen Benutzer ermöglicht, Ether (Ethereums native Währung) aus dem Vertrag abzuziehen, wenn der Benutzer zuvor eine bestimmte Menge Ether an den Vertrag sendet. Wenn der Benutzer jedoch versucht, diesen scheinbaren Fehler auszunutzen, öffnet sich eine Falltür, die eine zweite, bisher unbekannte Fehlfunktion offenbart, die das Abziehen des Ethers verhindert. Was also macht ein Honeypot?

Das Ziel ist, dass sich der Benutzer vollständig auf die sichtbare Schwäche konzentriert und alle Anzeichen ignoriert, dass der Vertrag eine zweite Schwachstelle aufweist. Honeypot-Angriffe funktionieren, weil Menschen – wie auch bei anderen Betrugsarten – häufig leichtgläubig sind. Daher können Menschen Risiken angesichts ihrer Gier und Annahmen nicht immer quantifizieren. Sind Honeypots also illegal?

Wie funktioniert ein Honeypot-Betrug?

Bei Cyberangriffen wie Honeypots wird das Geld des Nutzers gefangen, und nur der Honeypot-Ersteller (Angreifer) kann es zurückholen. Ein Honeypot funktioniert in der Regel in drei Phasen:

Um Honeypots in Ethereum-Smart-Contracts einzurichten, benötigt ein Angreifer keine speziellen Fähigkeiten. In Wirklichkeit verfügt ein Angreifer über die gleichen Fähigkeiten wie ein normaler Ethereum-Nutzer. Sie brauchen nur das Geld, um den Smart Contract einzurichten und zu ködern. Ein Honeypot-Betrieb besteht im Allgemeinen aus einem Computer, Programmen und Daten, die das Verhalten eines realen Systems nachahmen, das für Angreifer attraktiv sein könnte, wie z. B. Internet-of-Things-Geräte, ein Bankensystem oder ein öffentliches Versorgungs- oder Transportsystem.

Obwohl es wie ein Teil des Netzwerks aussieht, ist es isoliert und wird überwacht. Da legitime Benutzer keinen Grund haben, auf einen Honeypot zuzugreifen, werden alle Versuche, mit ihm zu kommunizieren, als feindselig betrachtet. Honeypots werden häufig in der demilitarisierten Zone (DMZ) eines Netzwerks eingesetzt. Diese Strategie trennt ihn vom primären Produktionsnetzwerk, hält ihn aber dennoch verbunden. Ein Honeypot in der DMZ kann aus der Ferne überwacht werden, während Angreifer darauf zugreifen, wodurch das Risiko eines kompromittierten Hauptnetzwerks verringert wird.

Um Versuche zu erkennen, in das interne Netzwerk einzudringen, können Honeypots außerhalb der externen Firewall platziert werden, die dem Internet zugewandt ist. Der tatsächliche Standort des Honeypots hängt davon ab, wie komplex er ist, welche Art von Traffic er anziehen soll und wie nah er an kritischen Geschäftsressourcen ist. Unabhängig davon, wo er platziert wird, wird er immer von der Produktionsumgebung isoliert sein.

Die Protokollierung und Betrachtung der Honeypot-Aktivität bietet Einblicke in das Ausmaß und die Arten von Bedrohungen, denen eine Netzwerkinfrastruktur ausgesetzt ist, während die Aufmerksamkeit der Angreifer von realen Vermögenswerten abgelenkt wird. Honeypots können von Cyberkriminellen übernommen und gegen das Unternehmen eingesetzt werden, das sie eingerichtet hat. Cyberkriminelle haben Honeypots auch genutzt, um Informationen über Forscher oder Organisationen zu sammeln, als Köder zu dienen und Fehlinformationen zu verbreiten.

Honeypots werden häufig auf virtuellen Maschinen gehostet. Wenn der Honeypot beispielsweise durch Malware kompromittiert wird, kann er schnell wiederhergestellt werden. Ein Honeynet besteht beispielsweise aus zwei oder mehr Honeypots in einem Netzwerk, während eine Honey Farm eine zentrale Sammlung von Honeypots und Analysis-Tools ist.

Sowohl Open-Source- als auch kommerzielle Lösungen können bei der Bereitstellung und Verwaltung von Honeypots helfen. Es gibt eigenständige Honeypot-Systeme und Honeypots, die mit anderer Sicherheitssoftware kombiniert und als Deception Technology vermarktet werden. Honeypot-Software ist auf GitHub zu finden, was Neueinsteigern helfen kann, den Umgang mit Honeypots zu erlernen.

Arten von Honeypots

Es gibt zwei Arten von Honeypots, basierend auf dem Design und der Bereitstellung von Smart Contracts: Forschungs- und Produktions-Honeypots. Forschungshoneypots sammeln Informationen über Angriffe und werden verwendet, um feindliches Verhalten in freier Wildbahn zu analysieren.

Sie sammeln Informationen über Angreifertendenzen, Schwachstellen und Malware-Stämme, die Gegner derzeit ins Visier nehmen, indem sie sowohl Ihre Umgebung als auch die Außenwelt betrachten. Diese Informationen können Ihnen bei der Entscheidung über präventive Verteidigungsmaßnahmen, Patch-Prioritäten und zukünftige Investitionen helfen.

Produktionshoneypots hingegen zielen darauf ab, aktive Netzwerk-Penetration zu erkennen und den Angreifer zu täuschen. Honeypots bieten zusätzliche Überwachungsmöglichkeiten und schließen häufige Erkennungslücken, die die Identifizierung von Netzwerkscans und seitlichen Bewegungen umgeben; daher bleibt die Datengewinnung eine vorrangige Aufgabe.

Produktionshoneypots laufen Dienste, die normalerweise in Ihrer Umgebung zusammen mit den übrigen Produktionsservern laufen würden. Forschungshoneypots sind komplexer und speichern mehr Datentypen als Produktionshoneypots.

Es gibt auch mehrere Ebenen innerhalb von Produktions- und Forschungshoneypots, abhängig vom erforderlichen Raffinessegrad Ihres Unternehmens:

  • High-Interaction-Honeypot: Dies ist vergleichbar mit einem reinen Honeypot, da er eine große Anzahl von Diensten betreibt, aber weniger raffiniert ist und weniger Daten speichert. High-Interaction-Honeypots sind nicht dazu gedacht, vollständige Produktionssysteme zu replizieren, aber sie führen alle Dienste aus (oder scheinen sie auszuführen), die üblicherweise mit Produktionssystemen verbunden sind, einschließlich funktionierender Betriebssysteme.

Das einsetzende Unternehmen kann mit dieser Honeypot-Form das Verhalten und die Strategien von Angreifern beobachten. High-Interaction-Honeypots benötigen viele Ressourcen und sind schwierig zu warten, aber die Ergebnisse können die Mühe wert sein.

  • Mid-Interaction-Honeypot: Diese imitieren Eigenschaften der Anwendungsschicht, haben aber kein eigenes Betriebssystem. Sie versuchen, Angreifer zu stören oder zu verwirren, so dass Unternehmen mehr Zeit haben, um zu überlegen, wie sie angemessen auf einen Angriff reagieren können.
  • Low-Interaction-Honeypot: Dies ist der in einer Produktionsumgebung am häufigsten verwendete Honeypot. Low-Interaction-Honeypots führen einige wenige Dienste aus und werden hauptsächlich als Frühwarnwerkzeug eingesetzt. Viele Sicherheitsteams installieren mehrere Honeypots in verschiedenen Segmenten ihres Netzwerks, da sie einfach einzurichten und zu warten sind.
  • Pure Honeypot: Dieses groß angelegte, produktionsähnliche System läuft auf mehreren Servern. Es ist voller Sensoren und enthält „vertrauliche“ Daten und Benutzerinformationen. Die Informationen, die sie liefern, sind unschätzbar wertvoll, auch wenn es komplex und schwierig zu verwalten sein kann.

Mehrere Honeypot-Technologien

Im Folgenden sind einige der verwendeten Honeypot-Technologien aufgeführt:

  • Client-Honeypots: Die meisten Honeypots sind Server, die auf Verbindungen lauschen. Client-Honeypots suchen aktiv nach bösartigen Servern, die Clients angreifen, und überwachen den Honeypot auf verdächtige oder unerwartete Veränderungen. Diese Systeme sind in der Regel virtualisiert und verfügen über einen Eindämmungsplan, um das Forschungsteam zu schützen.
  • Malware-Honeypots: Diese identifizieren Malware mithilfe etablierter Replikations- und Angriffskanäle. Honeypots (wie Ghost) wurden entwickelt, um wie USB-Speichergeräte auszusehen. Wenn beispielsweise ein Computer mit Malware infiziert wird, die sich über USB verbreitet, wird der Honeypot die Malware dazu verleiten, das simulierte Gerät zu infizieren.
  • Honeynets: Ein Honeynet ist ein Netzwerk aus mehreren Honeypots und kein einzelnes System. Honeynets sind darauf ausgelegt, die Aktionen und Motive eines Angreifers zu verfolgen, während sie den gesamten ein- und ausgehenden Verkehr enthalten.
  • Offene Mail-Relays und offene Proxys werden mit Spam-Honeypots simuliert. Spammer senden sich zunächst selbst eine E-Mail, um das verfügbare Mail-Relay zu testen. Bei Erfolg senden sie eine enorme Menge an Spam. Diese Form von Honeypot kann den Test erkennen und identifizieren und die darauffolgende massive Spam-Flut erfolgreich blockieren.
  • Datenbank-Honeypot: Da Structured Query Language-Injektionen oft unentdeckt an Firewalls vorbeigehen können, setzen einige Unternehmen eine Datenbank-Firewall ein, um Köderdatenbanken aufzubauen und Honeypot-Unterstützung zu bieten.

Wie erkennt man einen Crypto-Honeypot?

Die Untersuchung der Transaktionshistorie ist eine Methode, um einen Honeypot-Crypto-Betrug zu erkennen. Eine Kryptowährung sollte es Ihnen im Allgemeinen erlauben, sie jederzeit zu kaufen und zu verkaufen. Bei einem Honeypot-Betrug wird es viele Käufe für die Münze geben, aber die Leute werden Schwierigkeiten haben, sie zu verkaufen. Dies deutet darauf hin, dass es sich nicht um eine legitime Münze handelt, und Sie sollten sie meiden.

Darüber hinaus kann der Data Science Approach basierend auf dem Vertragstransaktionsverhalten verwendet werden, um Verträge als Honeypots oder Nicht-Honeypots zu klassifizieren.

Wo können Honeypots in Ethereum-Smart-Contracts auftauchen?

Honeypots können in drei verschiedenen Bereichen der Implementierung von Ethereum-Smart-Contracts auftauchen. Diese sind die drei Ebenen:

  • Die Ethereum Virtual Machine (EVM) – Obwohl die EVM einer etablierten Reihe von Standards und Regeln folgt, können Smart-Contract-Entwickler ihren Code auf eine Weise präsentieren, die auf den ersten Blick irreführend oder unklar ist. Diese Taktiken können für den ahnungslosen Hacker teuer werden.
  • Der Solidity-Compiler – Der Compiler ist der zweite Bereich, in dem Smart-Contract-Entwickler Kapital schlagen können. Während einige Compiler-Level-Bugs gut dokumentiert sind, sind andere möglicherweise nicht. Diese Honeypots können schwer zu entdecken sein, es sei denn, der Vertrag wurde unter realen Bedingungen getestet.
  • Der Etherscan-Blockchain-Explorer – Die dritte Art von Honeypot basiert auf der Tatsache, dass die auf Blockchain-Explorern angezeigten Daten unvollständig sind. Obwohl viele Menschen implizit den Daten von Etherscan vertrauen, zeigen sie nicht immer das vollständige Bild. Gewiefte Smart-Contract-Entwickler können hingegen einige der Eigenheiten des Explorers ausnutzen.

Wie schützt man sich vor Honeypot-Contract-Betrug?

Dieser Abschnitt zeigt, wie Sie Honeypot-Betrug entkommen, um Ihr Geld nicht zu verlieren. Es gibt Tools, die Ihnen helfen, Warnsignale zu erkennen und diese Währungen zu meiden. Verwenden Sie beispielsweise Etherscan, wenn sich die von Ihnen gekaufte Münze im Ethereum-Netzwerk befindet, oder BscScan, wenn die betreffende Münze auf der Binance Smart Chain ist.

Finden Sie die Token-ID Ihrer Münze heraus und geben Sie sie auf der entsprechenden Website ein. Gehen Sie auf der nächsten Seite zu „Token Tracker“. Ein Tab mit der Bezeichnung „Holders“ wird angezeigt. Dort sehen Sie alle Wallets, die Token halten, und die Liquiditätspools. Leider gibt es zahlreiche Kombinationen von Dingen, die zu beachten sind. Im Folgenden sind einige der Warnsignale aufgeführt, die Sie kennen sollten, um sich vor Honeypot-Crypto-Betrug zu schützen:

  • Keine totes Coins: Wenn sich mehr als 50% der Coins in einer toten Wallet befinden, ist ein Projekt relativ vor Rug Pulls geschützt (aber nicht vor einem Honeypot) (normalerweise identifiziert als 0x000000000000000000000000000000000000dead). Wenn weniger als die Hälfte der Coins tot sind oder keine tot sind, seien Sie vorsichtig.
  • Kein Audit: Die Wahrscheinlichkeit eines Honeypots wird nahezu immer ausgeschlossen, wenn ein vertrauenswürdiges Unternehmen ihn auditiert.
  • Große Wallet-Halter: Vermeiden Sie Kryptowährungen, die nur eine oder wenige Wallets haben.
  • Prüfen Sie ihre Website: Dies sollte ziemlich einfach sein; aber wenn die Website hastig wirkt und die Entwicklung schlecht ist, ist dies ein Warnsignal! Ein Trick ist, zu whois.domaintools.com zu gehen und den Domainnamen einzugeben, um zu sehen, wann sie für eine Website registriert wurde. Sie können ziemlich sicher sein, dass es sich um Betrug handelt, wenn die Domain innerhalb von 24 Stunden oder weniger nach Projektstart registriert wurde.
  • Überprüfen Sie ihre sozialen Medien: Betrugsprojekte haben in der Regel gestohlene und minderwertige Fotos, Grammatikprobleme und unattraktive „Spam-Nachrichten“ (wie „Hinterlassen Sie Ihre ETH-Adresse unten!“), keine Links zu relevanten Projektinformationen usw.

Token Sniffer ist eine weitere hervorragende Ressource, um Honeypot-Crypto zu erkennen. Suchen Sie nach den Ergebnissen des „Automated Contract Audit“, indem Sie die Token-ID in der oberen rechten Ecke eingeben. Halten Sie sich von dem Projekt fern, wenn es Warnungen gibt. Da viele Projekte mittlerweile Vertragsvorlagen verwenden, kann der Hinweis „No prior similar token contracts“ ein falsch positives Ergebnis sein.

Wenn Ihre Münze auf der Binance Smart Chain gelistet ist, gehen Sie zu PooCoin, geben Sie die Token-ID erneut ein und beobachten Sie die Charts. Halten Sie sich fern, wenn es keine Wallets gibt, die verkaufen, oder wenn nur ein oder zwei Wallets Ihre ausgewählte Münze verkaufen. Höchstwahrscheinlich handelt es sich um einen Honeypot. Es ist kein Honeypot, wenn viele Wallets die ausgewählte Münze verkaufen. Schließlich sollten Sie gründliche Nachforschungen anstellen, bevor Sie sich von Ihrem hart verdienten Geld trennen, wenn Sie Kryptowährungen kaufen.

Wie unterscheidet sich ein Honeypot von einem Honeynet?

Ein Honeynet ist ein Netzwerk, das aus zwei oder mehr Honeypots besteht. Es kann vorteilhaft sein, ein verbundenes Honeypot-Netzwerk zu haben. Es ermöglicht Unternehmen zu verfolgen, wie ein Angreifer mit einer einzelnen Ressource oder einem Netzwerkpunkt interagiert und wie ein Eindringling sich zwischen Netzwerkpunkten bewegt und mit vielen Punkten gleichzeitig interagiert.

Das Ziel ist es, Hacker davon zu überzeugen, dass sie erfolgreich in das Netzwerk eingedrungen sind; daher erhöht das Hinzufügen weiterer falscher Netzwerkstandorte die Realitätsnähe der Anordnung. Honeypots und Honeynets mit fortschrittlicheren Implementierungen, wie Next-Generation Firewalls, Intrusion Detection Systems (IDSes) und Secure Web Gateways, werden als Deception Technology bezeichnet. Intrusion Detection Systems bezeichnen ein Gerät oder Softwareprogramm, das Netzwerke auf feindliche Aktivitäten oder Richtlinienverstöße überwacht. Automatisierte Funktionen der Deception Technology ermöglichen es einem Honeypot, in Echtzeit auf potenzielle Angreifer zu reagieren.

Honeypots können Unternehmen dabei helfen, mit der sich ständig verändernden Bedrohungslandschaft Schritt zu halten, während Cyber-Bedrohungen auftauchen. Honeypots liefern wichtige Informationen, um sicherzustellen, dass ein Unternehmen vorbereitet ist, und sind möglicherweise die besten Mittel, um einen Angreifer auf frischer Tat zu ertappen, obwohl es unmöglich ist, jeden Angriff vorherzusagen und zu verhindern. Sie sind auch eine gute Wissensquelle für Cybersicherheitsexperten.

Was sind die Vor- und Nachteile von Honeypots?

Honeypots sammeln Daten von echten Angriffen und anderen illegalen Aktivitäten, was Analysten eine Fülle von Wissen bietet. Darüber hinaus gibt es weniger Fehlalarme. Normale Cybersicherheits-Erkennungssysteme können beispielsweise viele Fehlalarme erzeugen, aber ein Honeypot minimiert die Anzahl der Fehlalarme, da legitime Benutzer keinen Grund haben, den Honeypot zu kontaktieren.

Darüber hinaus sind Honeypots lohnende Investitionen, da sie nur mit schädlichen Aktionen interagieren und keine leistungsstarken Ressourcen benötigen, um enorme Datenmengen im Netzwerk auf Angriffe zu durchsuchen. Schließlich können Honeypots bösartige Aktivitäten erkennen, selbst wenn ein Angreifer Verschlüsselung verwendet.

Obwohl Honeypots viele Vorteile bieten, haben sie auch viele Nachteile und Risiken. Zum Beispiel sammeln Honeypots nur Daten im Falle eines Angriffs. Es gab keine Zugriffsversuche auf den Honeypot; daher existieren keine Daten, um den Angriff zu untersuchen.

Darüber hinaus wird der bösartige Datenverkehr, der vom Honeypot-Netzwerk erfasst wird, nur gesammelt, wenn ein Angriff darauf gestartet wird; wenn ein Angreifer vermutet, dass ein Netzwerk ein Honeypot ist, wird er es meiden.

Honeypots sind allgemein von legitimen Produktionssystemen unterscheidbar, was bedeutet, dass erfahrene Hacker mithilfe von System-Fingerprinting-Techniken leicht ein Produktionssystem von einem Honeypot-System unterscheiden können.

Obwohl Honeypots vom realen Netzwerk isoliert sind, sind sie letztendlich auf irgendeine Weise verbunden, damit Administratoren auf die darin enthaltenen Daten zugreifen können. Da ein High-Interaction-Honeypot darauf abzielt, Hacker anzulocken, um Root-Zugriff zu erlangen, wird er allgemein als riskanter angesehen als ein Low-Interaction-Honeypot.

Insgesamt helfen Honeypots Forschern, Risiken in Netzwerksystemen zu verstehen, aber sie sollten nicht als Ersatz für ein standardmäßiges IDS verwendet werden. Wenn ein Honeypot nicht richtig eingerichtet ist, kann er ausgenutzt werden, um Zugang zu realen Systemen zu erhalten oder als Startrampe für Angriffe auf andere Systeme zu dienen.

Der auf dieser Website bereitgestellte Inhalt dient ausschließlich zu Bildungs- und Informationszwecken. Er stellt keine Finanzberatung dar und alle Investitionen beinhalten ein erhebliches Risiko, einschließlich des potenziellen Verlusts des eingesetzten Kapitals. Sie werden dringend dazu ermutigt, eigene umfassende Recherchen durchzuführen und vor jeder Investitionsentscheidung mit einem qualifizierten Finanzfachmann zu konsultieren.