In diesem Blogbeitrag erfahren Sie, wie Sie Bitcoin-Adressen schnell und effektiv analysieren können, um typische Muster zu erkennen und so besser einzuschätzen, ob es sich um eine breit gestreute Spam-Kampagne oder einen gezielten Angriff handelt. Mit diesem Wissen können Sie Mitarbeitende unterstützen und verbessern so die Incident-Response-Abläufe in Ihrem Unternehmen.

Bitcoin als beliebtes Zahlungsmittel bei Cyberbetrug

Sowohl Privatpersonen als auch Unternehmen erhalten immer wieder über digitale Kommunikationskanäle, allen voran per E-Mail, unterschiedliche Arten von Erpresserschreiben. Unternehmen wird zum Beispiel mit einem Distributed-Denial-of-Service-Angriff (DDoS) oder der Kompromittierung ihrer Webseite und dem daraus resultierenden Diebstahl von Geschäftsgeheimnissen gedroht. Angeblich kann nur die Zahlung einer vorgegebenen Menge an Bitcoins an eine Wallet (vergleichbar mit einem Bankkonto) das Unternehmen vor einem solchen Angriff bewahren.

Bei Privatpersonen handelt es sich oft um eine Form von Sextortion mit der Aufforderung einen gewissen Betrag an eine Bitcoin Wallet zu überweisen. Eine Sextortion ist die Androhung der Veröffentlichung von Nacktfotos oder -videos.

Hinweis: Falls Sie oder Ihre Mitarbeitenden eine solche Sextortion-E-Mail erhalten, empfehlen wir Ihnen, die offiziellen Informationsseiten zu konsultieren:

• Schweizerische Kriminalprävention
• Polizeiliche Kriminalprävention der Länder (DE)
• Österreichisches Bundeskriminalamt

Wieso genau Bitcoin als Zahlungsmittel?

Bitcoin ist aus mehreren Gründen das bevorzugte Zahlungsmittel von Cyberkriminellen. Im Vergleich zu herkömmlichen Zahlungsmethoden bietet es ihnen einen entscheidenden Vorteil: Pseudonymität. Das bedeutet, dass persönliche Informationen durch Platzhalter ersetzt oder ganz entfernt werden. Zwar sind alle Bitcoin-Transaktionen öffentlich einsehbar, doch in der Transaktionsliste erscheinen nur die Wallet-Adressen von Sender und Empfänger – und diese lassen sich nicht ohne Weiteres echten Personen zuordnen.

Durch zusätzliche Massnahmen, wie etwa die Nutzung von sogenannten Bitcoin-Mixern, können die Spuren der Transaktionen weiter verschleiert werden. Das macht Bitcoins nahezu anonym, was Ermittlungen erheblich erschwert, wenn auch nicht unmöglich macht.

Für die Opfer von Cyberangriffen ist es zudem relativ einfach, Bitcoins zu erwerben, insbesondere bei kleineren Beträgen. Das senkt die Hemmschwelle für eine Zahlung und erhöht somit die Wahrscheinlichkeit, dass die Forderungen der Angreifer erfüllt werden.

Mit der Bitcoin-Adresse zur Ersteinschätzung

Das Oneconsult International Computer Security Incident Response Team (CSIRT) wird regelmässig von Unternehmen kontaktiert, die solche Erpresserschreiben per E-Mail erhalten. Diese Unternehmen sind sich oft nicht sicher, ob sich dahinter ein gezielter Angriff versteckt und die E-Mail mit der Drohung damit ernst zu nehmen ist oder ob es sich um einen Massenversand, also E-Mail-Spam, handelt. Nachfolgend zeigen wir Ihnen anhand eines Fallbeispiels, wie Sie mit Hilfe der Ihnen zugesendeten Bitcoin-Adresse erste Antworten auf diese Frage erhalten.

Schritt 1: Die Bitcoin-Wallet-Adresse identifizieren

Bitcoin-Wallet-Adressen und öffentlich verfügbare Informationen dazu können wertvolle Hinweise liefern. Der erste Schritt besteht daher darin, die in der Nachricht enthaltene Wallet-Adresse zu identifizieren.

In der folgenden Beispielnachricht ist eine solche Bitcoin-Wallet-Adresse rot markiert:

Sobald die Adresse identifiziert wurde, führen wir eine erste Kurzrecherche durch, noch bevor wir die E-Mail im Detail analysieren.

Schritt 2: Kurzrecherche zur Bitcoin-Wallet-Adresse

Für solche Kurzrecherchen gibt eine Vielzahl kostenloser und kostenpflichtiger Dienste, die Bitcoin-Wallet-Adressen mit bekannten Erpressungsversuchen, Ransomware-Kampagnen oder anderen kriminellen Aktivitäten verknüpfen.

Diese Dienste basieren in der Regel auf Nutzerberichten und öffentlich zugänglichen Quellen. Daher setzt unser Team bewusst auf eine Kombination aus mehreren Plattformen, um die Chancen auf aussagekräftige Treffer zu maximieren. Zu den von uns genutzten Tools und Webseiten gehören unter anderem:

• https://www.chainabuse.com/
• https://www.ransomlook.io/crypto
• https://bitcoinais.com/
• https://bitcoinwhoswho.com/

Basierend auf unserem Beispiel suchen wir also zunächst auf der Chainabuse-Webseite (Suchfeld befindet sich oben links auf der Webseite) nach der Bitcoin-Wallet-Adresse «1KKo7QtKcWwFLXEiRh8xmGGv3MbBjn7LzC», was sofort zu folgendem Resultat führt:

Schritt 3: Bestehende Berichte mit der erhaltenen Nachricht vergleichen

Die Chainabuse-Plattform liefert uns diverse Nutzermeldungen zur gesuchten Bitcoin-Wallet-Adresse. In diesem Fall sehen wir in den Beschreibungen Zusammenfassungen der E-Mail und können diese mit der von uns empfangenen E-Mail vergleichen.

Dabei stellen wir fest, dass die Berichte mit der von uns erhaltenen E-Mail übereinstimmen.

• Insgesamt sind 16 «Reports» mit der Bitcoin-Wallet-Adresse assoziiert. Es gibt also andere Empfängerinnen oder Empfänger, die E-Mails mit dem gleichen oder einem sehr ähnlichen Inhalt erhalten haben.
• Es wurde mehrfach die gleiche Bitcoin-Wallet-Adresse verwendet und nicht eine individuelle Adresse pro Empfängerin oder Empfänger. Das erschwert es Erpressern, zwischen Personen zu unterscheiden, die bezahlt haben, und solchen, die nicht bezahlt haben.

Damit ist es sehr wahrscheinlich, dass es sich bei der E-Mail um einen Massenversand, also Spam, handelt und diese somit ignoriert werden kann.

Fazit: Eine einfache Analyse bringt viel Klarheit

Wenn Sie also eine Bitcoin-Wallet-Adresse erhalten, lohnt sich ein Blick in die oben aufgeführten Dienste. Dies kann Ihnen bei geringem Aufwand sehr schnell zusätzliche Hinweise für die Bewertung der vorliegenden Situation und somit eine nützliche Hilfestellung geben