Garching, 27. April 2022 – Die renommierte Threat Intelligence Einheit Cisco Talos hat den neuen virtuellen Raum im Web 3.0 auf seine Schwachstellen hin untersucht. Das Metaverse bringt neue Technologien, aber auch alte Probleme mit sich. Cisco Talos nennt die wichtigsten 4 Sicherheitsrisiken für das Metaverse und wie man sich schützt.
Das Internet verändert sich: Web 3.0 mit Blockchain, Kryptowährungen und dezentraler Datenspeicherung liefert die technischen Grundlagen für das Metaverse, einen neuen virtuellen Raum für digitale Begegnungen, Austausch und Geschäfte. Immer mehr Menschen experimentieren mit NFTs (Non Fungible Tokens) oder Kryptowährungen und investieren ihr Privatvermögen.
Damit wird das Web 3.0 auch für Cyberkriminelle interessant, die altbekannte Social-Engineering- und Phishing-Techniken für Angriffe nutzen. Rund um das Metaverse entstehen jedoch auch ganz neue Angriffsvektoren. Cisco Talos, eines der weltweit größten privaten Threat-Intelligence-Teams, hat die Verbreitung von Bedrohungen im Metaverse untersucht. Jaeson Schultz, Technical Leader for Cisco’s Talos Security Intelligence & Research Group hat dabei Risiken in einem Blogbeitrag zusammengefasst, aber auch Tipps, wie man sich schützen kann.
„Die meisten Cyberkriminellen sind finanziell motiviert. Das Metaverse bietet ihnen eine große und unregulierte Spielwiese, auf der sie unbedarften Nutzern ihr Kryptogeld und NFTs entwenden können – Vermögenswerte, die im Falle eines Diebstahls nahezu unmöglich wiederzuerlangen sind“, sagt Jaeson Schultz.
Cisco Talos nennt als wichtigste Sicherheitsrisiken:
- ENS-DNS-Domains für Kryptowährungs-Geldbörsen. Der gewählte ENS-Name (Ethereum Name Service) könnte die Anonymität aufheben und die Identität des Besitzers der virtuellen Wallet-Adresse preisgeben. Häufig sieht man ENS-Namen wie „DebbieSmith.eth“ oder findet sie auf Twitter-Profilen, wodurch das Guthaben dieser Person ermittelt werden kann und Cyberkriminelle angelockt werden. 3,8 % der von Talos gefundenen .eth-Adressen enthielten mehr als 100.000 Dollar in Ethereum, während 9 % der Adressen mehr als 30.000 Dollar enthielten.
- Social-Engineering-Angriffe, vor allem über soziale Netzwerke, bei denen Nutzer zu einer unbedachten Handlung verleitet werden sollen. Dies funktioniert besonders gut bei neuen Technologien, mit denen Anwender noch nicht so vertraut sind. Die Angriffe zielen zum Beispiel auf das Klonen von Geldbörsen ab. Auch Metamask-Support-Betrug und Angriffe auf „Wal“-Konten mit großen Mengen an Kryptowährungen zählen dazu.
- Bösartige Smart Contracts. Angreifer schreiben ihre eigene Malware, die sich in Form von bösartigem Smart-Contract-Code auf der Blockchain befindet. Beispiele hierfür sind „Sleepminting“ (Fälschung der Herkunft von NFT) und Angreifer, die Nutzer dazu bringen, Zugang zu ihren Geldbörsen zu gewähren, ohne den digitalen Vermögenswert auszuhändigen.
- Aktive Angriffe auf Seed Phrases (Wortliste zur Wiederherstellung) und absichtliches Ausspähen von Wallet Seed Phrases.
Sicherheitstipps für NutzerInnen:
- Beachten Sie grundlegende Sicherheitsregeln: Wählen Sie sichere Passwörter, verwenden Sie eine Multi-Faktor-Authentifizierung, überprüfen Sie ENS-Domain-Adressen und Krypto-Wallets auf geschickt versteckte Tippfehler und klicken Sie niemals auf unaufgeforderte Links in sozialen Netzwerken oder E-Mails.
- Schützen Sie die Seed Phrase: Kryptowährungs-Geldbörsen werden zunehmend zur Identifizierung und Personalisierung von Nutzern im Metaverse verwendet. Die Seed Phrase sollte niemals an andere weitergegeben werden (insbesondere nicht in Form eines QR-Codes), da der Verlust der Seed-Phrase den Verlust der Kontrolle über die eigene Identität und alle persönlichen digitalen Gegenstände bedeutet.
- Verwenden Sie eine Hardware-Geldbörse: Die Verwendung einer Hardware-Wallet fügt eine weitere Sicherheitsebene für Kryptowährungen/NFTs hinzu, da Sie das Gerät anschließen, mit PINs validieren und jede Transaktion, die die Adresse der Wallet betrifft, genehmigen oder ablehnen müssen.
- Prüfen Sie Transaktionen vorab: Bevor Sie NFTs kaufen/minten, sollten Sie die Adresse des Smart Contracts nachschlagen und prüfen, ob der Quellcode veröffentlicht ist. Unveröffentlichter Quellcode ist ein rotes Tuch. Es wird auch empfohlen, eine neu generierte Wallet-Adresse zu verwenden, die nur die für den Kauf benötigten Mittel enthält.
„Cisco Talos geht davon aus, dass mit der zunehmenden Reife des Web 3.0 und des Metaverse auch das Interesse von Cyberkriminellen steigen wird. Damit wird sowohl das Volumen von Angriffen als auch deren Raffinesse zunehmen“, fasst Jaeson Schultz zusammen.
Weitere Details finden Sie im Blogbeitrag: https://blog.talosintelligence.com/2022/02/securing-web-3.0-metaverse-and-beyond.html