Krypto-Scams, erklärt von einem ehemaligen US Most Wanted

Wie würde der Original Internet Godfather heute eine Hacker-Karriere starten?

Kevin Hi Leute, willkommen bei Wavect. Heute mit zwei ganz besonderen Gästen: Brett Johnson, ehemaliger US Most Wanted, Gründer von ShadowCrew, und der Secret Service hat ihn den Original Internet Godfather genannt. Und auf der anderen Seite haben wir Erhard Dinhobl, Experte für Blockchain-Forensik, und heute reden wir über Krypto und Scams. Und zum Einstieg würde ich direkt mitten ins Thema springen und dich fragen, Brett: Wenn du heute 20 Jahre jünger wärst, mit derselben Hacking-Motivation wie damals, wie würdest du deine Hacker-Karriere jetzt starten?

Brett Oh, wie ich heute anfangen würde? Wahrscheinlich mit irgendeiner Art von Rug Pull oder sowas in DeFi. Ehrlich gesagt, oder mit irgendeinem Social-Engineering-Angriff, bei dem ich versuche, diesen verrückten Apes ihre NFTs zu klauen. Es sieht nicht so aus, als wäre das besonders schwierig. Weißt du, wenn du dir Cybercrime anschaust, wenn du dir anschaust, was ich gemacht habe: Es gibt drei Motivationen für diese Verbrechen. Status, Geld, Ideologie. Wenn du auf Krypto schaust, schaust du auf geldgetriebene Angriffe. Also, was sind die einfachsten Wege dahin? Rug Pulls sehen gerade ziemlich einfach aus. Ich meine, woher holen sich die Leute ihre Investment-Tipps für Krypto? Ein großer Teil kommt von Reddit. Und seien wir ehrlich: Wenn du deine Investment-Tipps von Reddit holst, bist du wahrscheinlich kein Investor. Du bist wahrscheinlich ein Zocker. Es ist also nicht schwer, leider, es ist nicht schwer, solche Leute zu scammen, weil da so wilde Schwindeleien laufen. Und wenn du deine Investment-Tipps von Reddit holst, bist du wahrscheinlich kein Investor. Es ist also nicht schwer, Leute dazu zu bringen, dir Geld zu geben. Und das ist traurig.

Kevin Ja. Leider ist der Markt extrem unreif.

Brett Ja. Ja, wir brauchen Regulierung. Aber leider, für die Art von Regulierung, die wir brauchen, braucht es jemanden, der wirklich versteht, was Krypto ist, bevor da reguliert wird. Und ich habe ehrlich noch keinen einzigen Politiker gesehen, der das Krypto-Feld auch nur ansatzweise versteht.

Haben NFTs eine große Zukunft oder sind sie nur die nächste Blase?

Erhard Und wenn du dir aus der ganzen Krypto-Szene das spezielle Feld anschaust, über das wir hier reden, also NFTs: Siehst du da aktuell, in der jetzigen Situation, eine große Zukunft in dem Bereich, oder ist es vielleicht nur eine Art Blase? Was denkst du darüber?

Brett Weißt du, was ich darüber denke: Nimm zum Beispiel Bitcoin. Die Vorläufer von Bitcoin, die mir sofort einfallen, sind e-gold, Liberty Reserve. Da hast du dieselbe Art von Token, nur ohne Blockchain, okay? Bitcoin kommt auf, Bitcoin wird populär, und ob die Leute das wahrhaben wollen oder nicht: Seine Popularität verdankt Bitcoin in Wahrheit Ross Ulbricht und dem, was er mit Silk Road gemacht hat. Das hat ihm erst einen brauchbaren Use Case gegeben, und von da an wird es über die Jahre immer mehr Mainstream, bis heute. Heute steht dieser Token, glaube ich, bei 39.000 Dollar pro Bitcoin. Ist etwas runter. Aber weißt du, es fängt mit Ross Ulbricht an. Es fängt mit krimineller Aktivität an, mit Leuten, die eine Möglichkeit brauchten, im Grunde ihre Drogen zu bezahlen, ohne PayPal oder irgendwas zu benutzen, worüber man sie leicht hätte aufspüren können. Bei NFTs sehe ich gerade ehrlich gesagt keinen großen Unterschied zwischen den frühen Tagen von Bitcoin und Krypto und dem, was bei NFTs passiert. NFTs sehen für mich im Moment wie ein sehr guter Weg aus, Geld zu waschen. Du kannst ein NFT erstellen, du kannst dein eigenes NFT kaufen, und so weiter. Ich meine, Melania Trump hat ihr eigenes NFT für 160.000 Dollar gekauft. Das ist auf einmal ein sehr hübscher Geldwäsche-Mechanismus. Das sehe ich gerade. Ich sehe eine Menge Geldwäsche. Ich sehe ein sehr junges Feld, in dem die Technologie selbst nicht mal annähernd so genutzt wird, wie sie genutzt werden könnte.

Brett Ich meine, im Grunde sind das gerade JPEGs, die teilweise für Millionen von Dollar verkauft werden. Ich überlege persönlich, eigene JPEGs von rassistischem Zeug in Alabama zu machen und das, na ja, Schnappschüsse aus den Vereinigten Staaten zu nennen, was halt so auftaucht. Vielleicht mache ich ein paar Hunderttausend damit, keine Ahnung. Machen wir einen Smart Contract. Oder mein United States Most Wanted Foto, vielleicht kann ich das verkaufen und ein paar Millionen Dollar machen. Was wirklich lustig war: Jack Dorsey mit seinem ersten Tweet. Ich glaube, das Angebot dafür war, am Ende kauft der Typ das Ding für, was waren es, 2,9 Millionen oder so. Er versucht, es weiterzuverkaufen, und die Angebote lagen bei drei, zwei Riesen oder so. Also, wir stehen da gerade ganz am Anfang. Aber du schaust dir diese Technologie an und versuchst, über Anwendungen nachzudenken, wofür man das tatsächlich einsetzen könnte. Du hast da einen Non-fungible Token auf einer Blockchain. Wir grübeln seit Jahren, oder denken seit Jahren darüber nach: Wie setzt man die Blockchain für Identifikationszwecke ein, für die Betrugsbekämpfung, solche Sachen? Tja, wenn du, sagen wir, ein NFT bauen könntest, das im Grunde die Identität einer Person ist, das wäre nicht schlecht. Vielleicht hast du einen Avatar, bei dem diese Person diese Identität ist, mit dem du auf eine Website wie Amazon oder Apple oder so gehen kannst. Du musst nicht beweisen, wer du bist, weil dieser Token, der auf der Chain liegt, beweist, wer du bist. Du musst dir also keine Sorgen um Identitätsprüfung machen, keine Sorgen um Device-IDs, um keinen dieser anderen Aspekte, weil dieser Token deine Online-Persona ist. Niemand außer dir kann ihn benutzen. Diese Art von Technologie wirkt auf mich sehr mächtig, aber davon sind wir meilenweit entfernt.

Brett Weißt du, und diese Geldwäsche-Phase und all die anderen Dinge, da müssen wir durch. Und ich glaube, um da durchzukommen, sind wir wieder bei der Regulierung. Wir haben so viele Scams, so viele Scams, die laufen, jeden einzelnen Tag. Und ich weiß nicht, ob ihr dieses Netflix-Ding gesehen habt, The Hunt for the Crypto King. Ich kenne den Typen. Der war damals einer von ShadowCrew. Sein Name war Omar Dhanani. Er war Geldwäscher bei ShadowCrew. Sitzt vier Jahre im Gefängnis, als er erwischt wird, kommt raus, tut sich mit einem anderen ShadowCrew-Typen namens Cotton zusammen, Joseph Cotton hieß er, glaube ich, und sie gründen die Krypto-Börse Quadriga in Kanada. Cotton fliegt rüber nach Indien, stirbt auf mysteriöse Weise. Krypto im Wert von 236 Millionen Dollar verschwindet. Zu dem Zeitpunkt ändert Omar Dhanani seinen Namen in Michael Patryn. Er wird für nichts angeklagt. Aber was interessant ist: Vor gerade mal zwei Monaten gab es einen anderen Token namens Wonderland Time. Und ich habe die Show auf Netflix nicht gesehen, ich weiß nicht, ob sie da drüber reden, aber vor zwei Monaten stand Wonderland Time bei über 10.000 Dollar pro Token, bis rauskam, dass dieser Michael Patryn, der bei Quadriga drinhing, einer der Entwickler von Wonderland war. Das Ding crasht auf 300 Dollar pro Token. Also, genau diese Art von Zeug. Es geht darum zu wissen, wer die Entwickler sind. Es geht darum, diese Regulierung zu haben, ordentliches KYC zu haben, all diese Schutzmechanismen zu haben, die es braucht. Aber wir sind an so einem Punkt in der Branche, dass niemand, der an der Macht ist, da ist, um die richtigen Regeln umzusetzen. Also, ich weiß nicht, wo das endet. Ich weiß nur, dass es gerade eine schlechte Situation ist, weil wir an der Schwelle stehen, an der Krypto tatsächlich reinkommen und einige Dinge deutlich verändern könnte, und solange wir die nicht überschreiten, wird das einfach nicht passieren.

Könnte Identität auf der Blockchain Betrug und Fake News lösen?

Erhard Du hast da einen sehr interessanten Gedanken aufgeworfen, weil du gesagt hast, wenn wir die Möglichkeit haben, Identität auf die Blockchain zu bringen. Ich glaube, es geht vielleicht noch einen Schritt weiter: Wir müssen nicht nur Identität auf die Blockchain bringen, sondern eher eine Identifikation von allem. Und mit allem meine ich, der einzig mögliche Link dahin ist, dass du eine Art Hash-Algorithmus hast, der es möglich macht, die Realität zu hashen und auf die Blockchain zu bringen, damit du eine Identifikation hast. Genau, Beispiel: Aus deinem Gesicht kann ich einen Hash-Wert errechnen. Und ich glaube, das ist der fehlende Link.

Brett Das ist absolut der Punkt. Wirklich. Denk an alles Mögliche: Wenn wir an diesen Punkt kommen, wenn wir nur an diesen Punkt kommen, okay, wohin das geht, wenn wir diesen Irrsinn stoppen, dass das der Wilde Westen der Geldwäsche ist. Wenn wir da drüber wegkommen, hat diese Art von Technologie das Potenzial, sehr viele Probleme zu lösen. Sehr viele Probleme. Sie kann das Fake-News-Problem erledigen, all diese Desinformation, die wir überall haben. Sie kann viel lösen, nicht alles, aber sie kann einen Großteil der Betrugsprobleme lösen, die quer durch die Bank laufen, alles von Kreditkartenbetrug über Refund-Betrug bis zum klassischen Identitätsdiebstahl online. Solche Probleme kann sie lösen. Sie kann eine Menge Supply-Chain-Probleme erledigen. Ich meine, Microsoft nutzt die Blockchain gerade jetzt, um Medikamente über große Distanzen zu bewegen, ohne dass Medikamente verloren gehen, ohne sich Sorgen machen zu müssen, dass gefälschte Medikamente gegen die echten ausgetauscht werden, irgendwas in der Art. Und das machen sie sehr effektiv. Es gibt also sehr gute Anwendungen für die Blockchain und für Krypto generell, und für NFTs.

Brett Wenn wir nur diese Lücke überwinden, wenn wir diese Scams loswerden, wenn wir ordentliche Regulierung hinkriegen, wenn wir tatsächlich gutes KYC umsetzen, wenn wir an den Punkt kommen, dass manche dieser Börsen ihr Geschäft sauber führen. Ich meine, schau, ja, wir haben eine Menge Tokens da draußen, und mir kommt es so vor, als wäre es manchmal so, wenn diese Tokens preislich richtig explodieren: Weißt du, da hat jemand, keine Ahnung, drei Billionen davon für dreißig Dollar gekauft, und auf einmal sind diese drei Billionen Tokens vier Monate später vier Millionen Dollar wert, und er will auscashen, was heißt, das musst du über eine Börse machen. Aber die Börse, die hat das Geld nicht, um alle auszuzahlen. Was passiert also? Die Börse hat auf mysteriöse Weise anderthalb Tage lang technische Probleme, bis der Token-Wert wieder runterfällt. Was wir schon gesehen haben. Wir haben das bei Börsen passieren sehen. Und trotzdem kriegen wir keine Regulierung, die sagt: Hey, nein, wenn du Geschäfte machen willst, musst du sie ordentlich machen. Du kannst nicht einfach dichtmachen, wenn es Zeit wird, einige dieser Investoren, Zocker, wie auch immer du sie nennen willst, auszuzahlen.

Erhard Ja, das ist interessant. Wirklich interessant. Wir haben uns so viele Fragen notiert. Kevin, vielleicht machst du mit der nächsten weiter, damit wir weiterkommen.

Wie finden Cyberkriminelle einander und bauen Vertrauen auf?

Kevin Ja, ich glaube, wir sind uns alle einig, dass Krypto gerade voller Scams ist, aber zumindest ist es in den letzten Monaten besser geworden. Aber gehen wir einen Schritt zurück. Eine große Frage, die wir hätten: Wenn du jetzt deine Hacker-Karriere startest, wie würdest du versuchen, an die richtigen Leute zu kommen? Weil, was du in all deinen Videos und Talks ja eigentlich sagst, ist, dass ein Hacker oder Scammer im Grunde nicht in allen drei Dingen gut ist, also Auscashen und so weiter, sondern normalerweise mindestens ein, zwei andere Leute braucht. Wie würdest du die kennenlernen?

Brett Also, und darüber rede ich ziemlich ausführlich. Es gibt drei Notwendigkeiten, um online erfolgreich ein Verbrechen zu begehen: die Daten beschaffen, das Verbrechen begehen, am Ende auscashen. Was ich mit diesen Notwendigkeiten meine: Daten beschaffen, das sind die PII, die persönlichen Informationen, das sind die Bank-Logins, diese Credentials. Es ist jede Information, die du brauchst, aber es sind auch die Tools, die du brauchst, um dieses Verbrechen zu begehen. Also gespoofte Anrufe, RDPs, SOCKS5-Proxies, wenn es das höhere Level ist, Sachen wie Mimikatz oder so. Es sind die Tools, die eben gebraucht werden. Das fällt alles unter den Aspekt Datenbeschaffung. Dann begehst du das Verbrechen, und am Ende cashst du aus. Und wenn ich auscashen sage, ist das mehr, als nur jemanden dazu zu bringen, Geld auf ein Bankkonto zu überweisen. Du musst diese Überweisung, diese gestohlenen Gelder, in Bargeld in der Tasche umwandeln können. Das musst du können. Wenn nicht, bist du nutzlos. Und das Problem ist, dass ein einzelner Krimineller nicht alle drei Dinge kann. Entweder wegen einer Skill-Lücke, er hat schlicht nicht das Wissen dafür. Er kann das Verbrechen begehen, er kann das Geld vielleicht sauber waschen, aber vielleicht weiß er nicht, wie man eine Man-in-the-Middle-Attacke fährt, die Daten sammelt, die Breaches macht, was auch immer. Oder er kann das Verbrechen begehen, er kann die Daten beschaffen, aber er sitzt in einer Region, in der er einen der Aspekte buchstäblich nicht machen kann, und das fällt typischerweise in die Geldwäsche, den Auscash-Aspekt, okay? Es ist also eine Skill-Lücke oder ein geografisches Problem, das diese Notwendigkeit schafft, sich mit anderen Leuten zu vernetzen.

Brett Früher, als ShadowCrew lief, bevor ShadowCrew überhaupt ins Spiel kommt, war der einzige Weg dafür eine IRC-Session, Internet Relay Chat, ein durchlaufendes Chat-Board. Du hattest keine Ahnung, mit wem du redest. Du konntest denen nicht vertrauen. Du konntest niemandem vertrauen. ShadowCrew hat vor allem einen Vertrauensmechanismus geliefert, den Kriminelle nutzen konnten. Jetzt konntest du diesen kriminellen Partnern vertrauen. Du wusstest, was ihr Wissen wert war. Du wusstest, ob du von ihnen lernen konntest, ob du mit ihnen arbeiten konntest, ohne dass sie dich abziehen, solche Sachen. ShadowCrew war übrigens komplett vor dem Dark Web, okay? Über die Jahre gab es dann ein paar Dinge, die sich geändert haben und die Kriminellen wirklich geholfen haben. Der Tor-Browser, das Dark Web ist da, die Kryptowährungen sind da. Das sind zwei große Veränderungen. Tor hat funktioniert. Wenn du wusstest, wie man ihn richtig benutzt, konntest du einigermaßen anonym bleiben. Und das ist ein riesiger Vorbehalt, weil viele Nutzer schlicht nicht wissen, wie man ihn richtig benutzt, okay? Und das ist wichtig, weil es zu dem führt, was Kriminelle jetzt machen. Die nächste große Veränderung war Krypto, womit du große Mengen an Wert einigermaßen anonym bewegen kannst. Wieder: wenn du weißt, wie man es richtig macht. Noch ein riesiger Vorbehalt. Als Bitcoin rauskam, dachten zum Beispiel viele Leute, Bitcoin sei anonym. Es ist alles andere als das. Diese Blockchain ist öffentlich. Sie ist nicht anonym. Zieh jemanden ab und benutz nur Bitcoin, und du wanderst ziemlich schnell ins Gefängnis. Aber wenn du weißt, wie man diese Bridges macht und auf sowas wie Monero rüberwechselt und dann wieder zurück, kannst du es an dem Punkt ziemlich effektiv rauswaschen.

Brett Heute also, je mehr Jahre vergangen sind, und das führt zur eigentlichen Ursache, ist es die Effektivität der Strafverfolgung. Die Strafverfolgung ist ziemlich gut darin geworden herauszufinden, wo die Server der eigentlichen Darknet-Marktplätze stehen. Sie waren ziemlich gut darin, Darknet-Nutzer zu identifizieren. Typischerweise hat ein Darknet-Marktplatz eine Lebensdauer von etwa 18 bis 24 Monaten, bis entweder der Markt einen Exit-Scam hinlegt oder die Strafverfolgung reinkommt, ihn dichtmacht und viele Leute verhaftet. Darin waren sie also sehr effektiv. Gleichzeitig gab es ein paar große Geschichten. AlphaBay wurde 2017 dichtgemacht. Hansa Market folgt zwei Wochen später. Das hat genug Paranoia in dieser Community erzeugt, dass viele Cyberkriminelle angefangen haben, sich für ihre Verbrechen woanders umzuschauen. Sie haben angefangen, sich immer kleinere verschlüsselte Messaging-Dienste anzusehen. Ihnen wurde klar, dass die Dark-Web-Marktplätze nur große Leuchtfeuer für die Strafverfolgung waren, ein zentraler Ort, an dem die Strafverfolgung hingehen, Leute ins Visier nehmen, Verhaftungen durchziehen konnte, alles Mögliche. Die erfahreneren Kriminellen haben also angefangen, woanders hinzuschauen. Es gab also mehr und mehr Gruppen im Surface Web. Du hast angefangen, Kriminelle auf Wickr zu sehen, auf WhatsApp, an solchen Orten. Jetzt haben wir Telegram, und das ist sehr, sehr effektiv. Ja, ich meine, es ist sehr effektiv. Es wird von einem Russen betrieben, dem gehört es. Er ist absolut gegen die Strafverfolgung. Er reagiert auf keinerlei Anfragen von Behörden. Er will nicht mit der Strafverfolgung zusammenarbeiten.

Brett Und das bedeutet, du hast jetzt eine Surface-Web-Anwendung, die sehr leicht zu benutzen ist. Du brauchst eigentlich überhaupt keinen Skill, um darauf ziemlich anonym zu bleiben, außer du postest einfach Identifikatoren, was wir häufig sehen. Du siehst jemanden, der ein Verbrechen begeht, und der postet Belege, postet Bestellnummern, macht Screenshots von dem ganzen Zeug, womit die Strafverfolgung identifizieren kann, wer diese Person ist. Aber das eigentliche Programm, die Anwendung Telegram selbst, ist verschlüsselt. Du kriegst keine IPs raus, du kriegst keine dieser Informationen. Wenn du es also richtig benutzen kannst, ist es sehr sicher, und es ist sehr leicht zu bedienen. Viel leichter als das Dark Web oder der Tor-Browser, viel sicherer, und die Benutzerfreundlichkeit eben. Deswegen sehen wir, dass viele Cyberkriminelle dahin wechseln. Im Grunde rückt das Dark Web, wie wir es kannten, gerade in die zweite Reihe. Der Neue im Viertel ist Telegram, Discord bis zu einem gewissen Grad, solche Kanäle. Wickr ist gerade ein großer. Das wird also benutzt, weil die Bedienung leichter ist. Die Nutzer fühlen sich damit viel wohler. Du brauchst keine besondere Software dafür, nichts dergleichen.

Ersetzt Telegram das Dark Web für Cybercrime?

Brett Das Problem ist jetzt der Vertrauensmechanismus auf Telegram, verglichen damit, wie Vertrauen auf einem traditionellen Dark-Web-Kanal entsteht. In einer Dark-Web-Forenstruktur wird Vertrauen über einen längeren Zeitraum aufgebaut. Du hast diesen großen Kommunikationskanal, diese Forenstruktur. Wenn du also ins Dark Web gehst, hast du da gerade Dread. Auf Dread hast du Nutzer, die typischerweise einen Usernamen benutzen, und dieser Username wird ihre Marke. Die bauen das über eine gewisse Zeit auf. Du weißt, allein indem du dir den Screen-Namen von jemandem anschaust, was sein Skill-Level ist, ob er je jemanden abgezogen hat, ob du von ihm lernen kannst, ob er gut mit anderen arbeitet, all diese anderen Dinge, nur über den Screen-Namen. Im Dark Web hast du Vouching-Systeme, Review-Systeme, Escrow-Systeme, alle mit dem einen Zweck, Vertrauen zwischen dem einen Kriminellen und dem anderen herzustellen, wobei keiner den echten Namen des anderen kennt, keiner weiß, wie der andere aussieht, und sie sich nie begegnen werden. Telegram ist anders. Vertrauen auf Telegram ist viel fließender. Auf Telegram entsteht Vertrauen primär über den Draht, den die Nutzer zueinander haben, was seltsam ist. Es sind also wirklich diese Typen, die da reinkommen, und es sind typischerweise englischsprachige Leute, die diesen Kanälen beitreten.

Brett Während sie Verbrechen begehen oder über Verbrechen reden, diskutieren sie auch über Politik. Sie reden über ihren Alltag, über die Probleme in ihrem Leben. Sie besprechen all diese anderen Aspekte ihres Lebens, während sie Verbrechen begehen. Und du kannst in diese Telegram-Kanäle gehen und dir das anschauen. Es ist einfach, hey, Smalltalk, mehr ist das nicht. Das hilft. Das ist der primäre Mechanismus, der auf Telegram Vertrauen herstellt. Dazu kommt: Sobald du da einen Nutzer drin hast, du hast da den AIO-Crime-Kanal, oder es gibt einen Nutzer namens Noir, der mehrere verschiedene Kanäle hat. Wenn die Nutzer ihm vertrauen, dann vertrauen sie tendenziell dem ganzen Kanal. Aber was passiert: Jeder kann in diesen Kanal reinkommen. Und das siehst du häufig. Jeder kann in den Kanal kommen. Jeder kann jeden Screen-Namen annehmen. Sie können seinen Screen-Namen annehmen, wenn sie wollen, nur mit einem kleinen Unterschied, oder sie hängen ein kleines Tag dran. Und es ist eine komplett andere Sache. Es ist ein komplett anderer Nutzer. Die kommen rein und benutzen das Vertrauen dieses Kanals, um die Mitglieder dieses Kanals abzuziehen. Das ist, was passiert.

Brett Es ist interessant, dass die Art, wie Vertrauen auf Telegram funktioniert, bei weitem nicht so gefestigt ist wie im Dark Web. Und das führt zu viel mehr Scams auf Telegram, Kriminelle, die andere Kriminelle scammen. Wenn sie den Vertrauensmechanismus hinkriegen, wenn sie wirklich einen Weg finden, echtes Vertrauen auf diesem Kanal, auf dieser Plattform herzustellen, dann schauen wir auf eine deutliche Veränderung darin, wie Cybercrime funktioniert. Und dann explodieren die Zahlen richtig. Und es ist ja nicht so, als wären die Zahlen nicht ohnehin explodiert. ShadowCrew, das ich geführt habe: Als wir 2004 hochgenommen werden, hören wir mit 4.000 Mitgliedern auf. Spul vor zu 2017, als AlphaBay dichtgemacht wird: 240.000 Mitglieder. 2019 wird Black Market dichtgemacht: 1,15 Millionen Mitglieder. Alles davon vor der Pandemie. Pandemie, was passiert? Regierungen legen Stimulus-Programme auf, typischerweise ohne jegliche Sicherheitsvorkehrungen. Und an dem Punkt explodieren die Zahlen erst richtig. Also, wenn Telegram das ausgebügelt kriegt, wenn sie wirklich rausfinden, wie sie Vertrauen unter ihren Nutzern herstellen, werden wir einen deutlichen Anstieg an Kriminalität sehen. Absolut.

Wäre eine neue Identität nicht sicherer als ein krimineller Ruf?

Erhard Ich hätte da eine Frage. Normalerweise, wenn du Verbrechen begehst, machst du im Grunde immer mehr davon. Und wenn du das über einen gewissen Zeitraum machst, erhöhst du eigentlich das Risiko, zu viel Aufmerksamkeit von den Behörden zu bekommen. Wäre es nicht vorteilhafter, klar mit dem Trade-off, weniger Vertrauen von den anderen Kriminellen zu haben, sich einfach eine neue Identität zuzulegen?

Brett Ich würde sagen, Vertrauen ist das Allerwichtigste, okay? Ich muss zum Beispiel, wenn ich ein Kreditkartendieb bin, darauf vertrauen können, dass die Person, von der ich gestohlene Kreditkartendaten kaufe, ein gutes Produkt hat, dass das Produkt brauchbar ist, dass die verfügbaren Beträge auf den Karten hoch genug sind, damit ich die Art von Betrug machen kann, die ich machen will, ohne jede einzelne Karte prüfen zu müssen, die ich von dem Typen kaufe. Denn wenn du eine Karte verifizierst, wirft das tatsächlich Fraud-Markierungen hoch, sobald du die Karte nach der Verifizierung benutzt. Ich muss dem Verkäufer also noch mehr vertrauen können. Ich muss sichergehen können, dass der Verkäufer nicht verhaftet wurde oder nicht selbst Strafverfolgung ist, all diese anderen Themen. Vertrauen wird also auf ganzer Linie das Allerwichtigste. Was ich sagen würde: Es ist wichtig, in diesen Umgebungen keinen großen Fußabdruck zu haben. Du willst also nicht der Typ ganz oben auf dem Haufen sein, weil du dann eine Zielscheibe auf dem Rücken hast. Die Strafverfolgung will dich verhaften. Und deshalb siehst du viele erfahrene Kriminelle, die ihr Handwerk wirklich beherrschen, ihr Metier kennen, aber du siehst sie online nicht wirklich mit Sachen angeben oder versuchen, der Top-Player auf diesen Kanälen zu werden, okay? Das Problem dabei geht zurück auf die drei Motivationen von Cybercrime: Status, Geld, Ideologie. Speziell Status.

Brett Wenn du also in deiner kriminellen Gruppe etwas kannst, was kein anderer kann, und versteh das, manche dieser kriminellen Gruppen sind inzwischen Millionen von Mitgliedern groß. Aber wenn du etwas kannst, was sonst niemand in deiner kriminellen Community kann, wenn du Ransomware bauen kannst, wenn du Ransomware deployen kannst, Bots betreiben und deployen kannst, solche Dinge, gestohlene Kreditkartendaten benutzen kannst, um Amazon oder Apple zu betrügen, und niemand sonst kann das. Wenn du solche Dinge kannst, gewinnst du den Respekt jeder einzelnen Person. Und davon rede ich. Du gewinnst den Respekt jeder einzelnen Person in dieser kriminellen Community. Und dieser Respekt bedeutet Profit. Denn wenn dich alle respektieren, was passiert? Leute kommen zu dir und stellen Fragen. Leute kommen mit Exploits zu dir. Hey, ich kenne diese Schwachstelle bei dieser Firma. Niemand sonst kennt sie. Wie kann ich sie nutzen? Wie kann ich Geld machen? Du bekommst also all diese Daten, all diese Intel, all diese Produkte und Services, die sonst niemand bekommt, und das kannst du nutzen, um Profit zu machen.

Brett Mehr noch: Weil du in dieser Community hoch angesehen bist, pusht das dein Ego. Denn Ego spielt im Mindset von Cyberkriminellen eine riesige Rolle. Es braucht Ego, es braucht Wissen, und es braucht die Bereitschaft, diese Verbrechen zu begehen. Wenn dieser Ego-Schub da ist, glaubst du, du kannst alles, und du bist ab dem Punkt eher bereit, alle möglichen Arten von Verbrechen zu begehen. Es pusht also dein Ego. Es gibt dir Wert in diesen Communities, während du vielleicht ein Leben führst, in dem du ein Einsiedler bist oder introvertiert oder was auch immer. Online bist du hoch angesehen, du bist beliebt. Jeder in dieser Community schaut zu dir auf, will Orientierung von dir, all diese anderen Dinge. Und das ist wirklich ein großer Teil des Problems bei Cybercrime. Weil du in diesen Communities bist, in denen du dich wie Teil einer Familie fühlst. Und nicht nur das, du bist das Oberhaupt der Familie, und das zählt. Das macht einen großen Unterschied, wenn es darum geht, online Verbrechen zu begehen.

Was war Bretts echte Motivation, und warum ist Ideologie so gefährlich?

Erhard Und was war deine Motivation?

Brett Das ist eine gute Frage. Ich sage normalerweise, dass meine Motivation Geld war, dass ich Geld stehlen wollte. Und ich sage, das war sie auch, und da ist was Wahres dran, aber es ist nicht die ganze Wahrheit, okay? Es geht darum, was ich mit Geld machen konnte. Weil ich der Typ bin, der Liebe kauft. Ich habe die schlechtesten Teile von meiner Mom und meinem Dad abbekommen. Mein Dad hatte diese Angst, dass die Menschen, die er liebt, ihn verlassen. Das habe ich von meinem Dad. Von meiner Mom habe ich das kriminelle Mindset. Aber bei mir war es immer so, dass ich Schwierigkeiten hatte, Liebe auf gesunde Weise zu zeigen. Ich habe es in meinen Beziehungen immer übertrieben, und typischerweise lief das über irgendein teures Geschenk. So viel ist meine Liebe wert. Und typischerweise habe ich dieses Geschenk gestohlen oder ein Verbrechen begangen, um an das Geld für dieses Geschenk zu kommen.

Brett Meine Motivation ist also irgendwie ideologisch. Es ist das, vermischt damit, mich um die Menschen meines Stammes zu kümmern, die Menschen, die mir wichtig sind. Als ich kriminell war, waren die Menschen, die mir wichtig waren, diese kriminellen Communities. Es gibt einen Grund, warum ich ganz nach oben aufgestiegen bin: weil ich es sehr ernst genommen habe, diese Leute zu schützen, diese Leute auszubilden, dafür zu sorgen, dass alles ordentlich läuft. Jetzt, wo ich auf der Seite der Guten bin, sind mein Stamm diese Konsumenten. Es sind die Unternehmen und Menschen, die ich früher zu Opfern gemacht habe. Ich will sicherstellen, dass sie geschützt sind. Das nehme ich jetzt sehr ernst. Aber meine Motivation war typischerweise genau das, ungesunde Beziehungen, und eben mich um meinen Stamm zu kümmern. Also ideologisch.

Erhard Hast du nicht in deinen anderen Videos gesagt, dass die ideologischen Hacker normalerweise [unverständlich] zu stoppen sind, im Grunde?

Brett Ja, habe ich. Ja, habe ich. Also, denk mal drüber nach. Die meisten geldgetriebenen Angriffe gehen auf die am niedrigsten hängenden Früchte. Du gehst auf den einfachsten Zugang, der den höchsten Return on Investment bringt, okay? Wenn du von einem ideologischen Angriff redest: Egal, ob du die niedrig hängende Frucht bist, die kommen so oder so hinter dir her. Ein statusgetriebener Angriff: Egal, wie viel Security du hast, die schauen auf dich. Die mögen diese hohe Security. Wenn sie da durchkommen, beeindrucken sie ihre Leute. Aus der Cybercrime-Sicht, aus diesen Motivationen heraus, okay: Ich bin der Kopf der Gruppe, ich bin dieser Gollumfun-Charakter auf ShadowCrew, der Godfather des Internets. Wenn ich das bin, wenn ich das wegen Geld mache, ist meine Hingabe nicht besonders groß. Meine Hingabe ist so, dass ich beim ersten Ärger aufhöre und woanders hingehe, den Namen wechsle, was auch immer. Aber wenn meine Motivation ideologisch ist, wenn meine Motivation ist, mich um die Menschen in meiner Community zu kümmern, dann ist das anders. Dann stehe ich diesen Sturm durch. Dann bleibe ich bis zum bitteren Ende und sorge dafür, dass alle so gut geschützt sind, wie ich sie irgendwie schützen kann. Und genau das siehst du wieder und wieder und wieder.

Brett Ross Ulbricht zum Beispiel, mit Silk Road. Er hat Silk Road nicht aufgesetzt, um Geld zu machen. Das wissen wir. Als sie ihn verhaftet haben, haben sie ihn in der öffentlichen Bibliothek in San Francisco verhaftet. Sie haben damals Bitcoin im Wert von 24 Millionen Dollar beschlagnahmt. Heute ist das, was sie von ihm geholt haben, über eine Milliarde Dollar wert. Das haben sie ihm abgenommen. Er hatte nie wirklich etwas von dem Geld ausgegeben. Er lebte in einem Zimmer, schlief auf einer Matratze am Boden. Er hatte in der ganzen Zeit, in der er ShadowCrew geführt hat, einen einzigen Urlaub gemacht. Er hat diese Seite aus [unverständlich] gestartet. Er glaubte, er könnte die Welt verändern. Er hatte da eine gewisse kognitive Dissonanz, weil du die Welt nicht verändern kannst, indem du eine Drogenhandelsseite betreibst, und das war Silk Road. Aber hat er am Ende des Tages die Welt verändert? Vielleicht. Wir müssen sehen, wie Krypto am Ende wirklich ausgeht, weil da hat es seinen Anfang. Ideologie zählt also. Und es gibt einen Grund, warum ich heute Kriminelle, die ideologisch motiviert sind, wirklich verabscheue: weil ich selbst einer war. Ich weiß, wie sich dieses Zeug anfühlt.

Wurde Brett selbst schon mal gescammt?

Erhard Ja. Und eine Frage, nicht persönlich, aber vielleicht doch: Bist du selbst schon mal Opfer eines Scams geworden?

Brett Oh ja, haufenweise. Haufenweise. Absolut. Ja. Und das ist eines dieser Dinge, die irgendwie seltsam sind. Wenn du kriminell bist, besonders cyberkriminell, wirst du ständig gescammt. Du kaufst Produkte, die nicht funktionieren, jemand zieht dich um Geld ab oder sonst was. Und die Sache ist die: Die meisten Kriminellen reden sich das schön und sagen, na ja, so läuft dieses Geschäft eben, und machen weiter. Bin ich im echten Leben gescammt worden, als Nicht-Krimineller? Ja, bin ich. Und das Gefühl ist ein ganz anderes. Ein ganz anderes. Es ist nicht einfach Business. Du fühlst dich als Opfer. Ich meine, ich habe mich als Opfer gefühlt, als es passiert ist. Ich habe lange einen Groll mit mir herumgetragen. Ich bin immer noch sauer deswegen. Also absolut, ich bin auf beiden Seiten des Zauns zum Opfer geworden, und das Gefühl ist völlig unterschiedlich, je nachdem, auf welcher Seite du stehst, wenn es passiert.

Was sind die Top drei Maßnahmen, um in Krypto sicherer unterwegs zu sein?

Erhard Kevin, willst du übernehmen?

Kevin Ja, das war gerade ein bisschen emotional, da bin ich richtig reingezogen worden. Okay, wir haben im Grunde zwei Fragen aus dem Publikum bekommen. Die würde ich gerne stellen, wenn das für dich okay ist.

Brett Klar.

Kevin Was sind deine Top drei Maßnahmen, um sicherer zu sein als die Mehrheit der Krypto-Nutzer?

Brett Top drei Maßnahmen. Hol dir keine Investment-Tipps von Reddit. Bleib weg von Telegram. Es gibt eine Menge Krypto-Kanäle auf Telegram. Ich sage dir: In vielen dieser Kanäle sitzen jede Menge Bots, und die existieren nur, um deine emotionale Reaktion auf diesen Token anzuheizen. Versteh, dass ein Scam vor allem deshalb funktioniert, weil ein Krimineller dich dazu bringt, nicht vernünftig und rational zu handeln. Dieser Kriminelle will, dass du auf etwas emotional reagierst, und das sehen wir jeden Tag. [unverständlich] Investment-Tipps, und es geht nicht um gute Investment-Tipps, es geht darum, eine emotionale Reaktion auf diesen Token zu haben. Du wirst viel Geld machen, du wirst reich, du kannst deinen Job kündigen. Du kannst all das machen. Du musst nur holden, mehr kaufen, mehr kaufen, mehr kaufen. Es ist diese emotionale Reaktion. Ich würde also sagen: Pass auf, woher du deine Investment-Tipps holst. Hol sie von einer seriösen Quelle, okay?

Brett Außerdem: Due Diligence. Due Diligence. Investier nicht einfach in etwas, weil du glaubst, dass es gut laufen wird, oder weil dir das jemand erzählt. Versteh, wer es entwickelt hat. Welche Technologie steckt dahinter? Wie unterscheidet es sich von den Tausenden anderen Tokens da draußen? Wenn du auf NFTs schaust, versteh, dass viele, nicht nur NFTs, sondern Krypto generell, dass viele dieser Tokens schlicht Pyramidenspiele sind. Je mehr Nutzer reinkommen, desto mehr Leute verdienen Geld. Aber am Ende des Tages werden viele der späteren Nutzer oder Investoren oder Zocker oder wie auch immer du sie nennen willst Geld verlieren. Kenn den Token. Mach deine Due Diligence ordentlich. Schau dir alles an. Wenn du in DeFi unterwegs bist, stell sicher, dass die Liquidity Wallet gesperrt ist. Stell sicher, dass du weißt, wer die echten Leute hinter dem Token sind, weil es eine Menge Tokens gibt, die von anonymen Teams entwickelt werden. Das ist ein riesiges Warnsignal. Also versteh ganz genau, was da läuft.

Brett Lies über die Scams, die Verbrechen, die da draußen laufen. Versteh, dass du vielleicht glaubst, du wärst schlauer als diese Scammer. Bist du nicht. Bist du nicht. Jeder kann gescammt werden. Jeder kann zum Opfer werden. Du bist nicht schlauer als die Leute, die das Scamming machen. Das ist ihr Job. Ihre Karriere. Davon leben die. Die sind hinter dir her. Es ist egal, ob es um 5 Dollar geht. Es ist egal, ob es um 500.000 Dollar geht. Die nehmen dir so viel ab, wie sie irgendwie können. Versteh das. Und mehr als alles andere: Reagier nicht reflexartig. Stell sicher, dass jede Entscheidung, die du triffst, nicht aus Verzweiflung getroffen wird, und nicht, ohne zu bedenken, was da gerade passiert. Nimm dir einen Moment. Halt kurz inne, bevor du auf den Kaufen-Button drückst.

Heißt das, man kann nicht in Token Launches investieren?

Kevin Okay. Super Ratschläge. Danke. Im Grunde würde das ja bedeuten, dass man eigentlich nicht in Token Launches investieren kann, weil...

Brett Doch, kannst du.

Kevin Ja, ein Contract wird ja meistens erst kurz vorher deployt.

Brett Klar. Und es gibt einige sehr gute Token Launches, bei denen du Geld machen kannst. Absolut. Aber weißt du, wer das Team ist? Hast du das Whitepaper gelesen? Sieht es so aus, als wäre da tatsächlich echte Arbeit ins Whitepaper geflossen, oder haben sie es von irgendeiner komischen Website zusammenkopiert? Weil das haben wir alle schon gesehen. Okay. Achte nicht darauf, was irgendjemand in einem Social-Media-Kanal darüber erzählt, dass das Ding to the moon geht. Das bedeutet gar nichts. Das ist nur jemand, der dich dazu bringen will, Geld reinzustecken, damit seine Tokens im Wert steigen, damit er dann auscashen kann und du auf dem wertlosen Zeug sitzen bleibst. Also recherchier. Recherchier. Es ist mehr, als nur ein Lotterielos zu kaufen. Recherchier. Such dir einen Token, der wirklich etwas wert ist, der wirklich irgendwo hingeht.

Brett Wobei, das gesagt, gerade haben wir bei NFTs eine Menge Bewegung, diese NFTs, die aus irgendeinem seltsamen Grund im Wert explodieren. Ich weiß nicht, warum. Ich verstehe es nicht. Ich verstehe es nicht. Ich muss es auch nicht verstehen. Ich weiß nur, dass es passiert. Aber die Chancen, dass du mit NFTs Geld verlierst, sind viel höher als die Chancen, dass du mit NFTs reich wirst. Wenn jeder damit reich werden könnte, würde es jeder. Das siehst du nicht. Du siehst ein paar richtig große Wertsteigerungen. Aber auch da: Mach deine Recherche. Das ist das Entscheidende.

Kevin Das ist im Grunde das Interessante bei NFTs. Vielleicht liegt der Floor bei rund 5 ETH oder so. Aber versuch mal, das Ding zu verkaufen. Wenn es keiner kauft, bleibst du trotzdem darauf sitzen, oder?

Brett Du bleibst darauf sitzen. Schau dir den armen Kerl an, der Jack Dorseys Tweet gekauft hat. Der dachte, weißt du, der dachte, er gibt ein paar Millionen Dollar dafür, kommt zurück und verkauft ihn für 40 Millionen. Und sie haben ihm so um die sechzehnhundert Dollar geboten.

Kevin Mann, da wäre ich echt sauer.

Brett Ich persönlich, ich weiß nicht. Ehrlich gesagt fand ich Jack Dorseys Tweet nie irgendwas wert, aber das bin nur ich.

Kevin Ja, das ist im Grunde ein super Zeichen dafür, dass der Markt tatsächlich reifer wird, oder?

Brett Genau. Genau. Das ist eine sehr gute Art, das zu sehen. Das ist ein Zeichen dafür, hey, da kommt jetzt etwas Vernunft, etwas Logik in diesen Markt rein, was heißt, er wird reifen, was heißt, die Technologie selbst wird tatsächlich [unverständlich]. Wir werden die echten Produkte sehen, die man mit dieser Art von Technologie bauen kann, was ziemlich aufregend ist, wenn du drüber nachdenkst. Aber im Moment, im Moment solltest du besser vorsichtig sein.

Verschmelzen Krypto und Cybercrime gerade miteinander?

Erhard Also, Kevin, die letzte Frage, die wir haben, weil ich hätte auch noch eine Frage im Kopf, die mich selbst interessiert.

Kevin Frag ruhig. Ich glaube, die andere Frage wurde ohnehin schon beantwortet.

Erhard Okay. Okay. Dann, du hast ja schon Telegram und all diese Messaging-Dienste und so weiter erwähnt. Aktuell, was ich gesehen habe, weil ich auch drei Jahre für die Polizei gearbeitet habe, und was ich gesehen habe, ist, dass diese Messaging-Dienste, wo diese Kriminellen online sind und ihr Zeug verkaufen und so weiter, und die Krypto-Szene, dass das aktuell irgendwie nur lose gekoppelt ist. Siehst du aktuell eine Tendenz, wohin das geht, sagen wir, in zwei Jahren, dass die mehr und mehr miteinander verschmelzen? Oder wo siehst du das?

Brett Ich würde sagen, wo führt das alles hin, wo geht das hin? Gerade jetzt, glaube ich, siehst du dieses Verschmelzen, besonders wenn du auf diesen Geldwäsche-Mechanismus schaust. Denn, also, du hast einen Kriminellen. Mir ist egal, ob der mit Drogen handelt, mir ist egal, ob es gestohlene Identitätsdaten oder Finanzdaten sind oder was auch immer. Es muss einen Weg geben, Bargeld in die Tasche zu kriegen. Was passiert also: Sagen wir, du überzeugst jemanden, dir Bitcoin zu schicken. An dem Punkt ist es leicht genug, die Bitcoin zu nehmen und damit Monero zu kaufen, was dann anonym ist. Und sobald du Monero gekauft hast, gehst du zurück in Bitcoin und lässt diese Preise weiter steigen, was ja gerade passiert.

Brett Was ich auf Telegram sehe, und das ist wirklich interessant, sind diese ständigen Diskussionen auf kriminellen Kanälen darüber, wohin Krypto geht. In was investierst du? Wie sieht das Metaverse aus? Wohin entwickelt sich Fraud da drin? Was muss ich im Metaverse kaufen? In was muss ich investieren? Tatsächlich gibt es gerade auf Telegram einen Nutzer namens Radiant, der ein sehr großer Betrüger ist. Er ist in der Fraud-Community bekannt. Er betreibt einen Investment-Kanal, der andere Kriminelle berät, in was sie investieren sollen. Da kriegst du die Markierungen, das Tracking, alles. Heute schauen wir uns diesen Token an, heute geht der um so viel Prozent hoch, und er gibt diese Tipps. Das siehst du also auf ganzer Linie. Und ich glaube, das werden wir weiter sehen, bis wir KYC wirklich festzurren, dieses Know Your Customer, bis wir uns einige dieser Börsen vorknöpfen, die dafür bekannt sind, Geld für Kriminelle zu waschen, solche Dinge. Bis wir dieses Zeug unter Kontrolle kriegen, sehe ich diese Beziehung zwischen Krypto und krimineller Aktivität wirklich weiter zusammenwachsen.

Erhard Wow. Sehr, sehr interessant. Danke.

Brett Danke dir.

Kevin Erhard, hast du noch weitere Fragen?

Erhard Eigentlich nicht. Das war die eine Frage.

Kevin War mir ein großes Vergnügen, mit dir zu reden.

Brett Ihr seid großartig, Leute.

Kevin Danke.

Brett Ihr auch. Ihr auch, Mann.

Erhard Du auch, ja.

Brett Hey, wenn ihr mich irgendwann nochmal dabeihaben wollt, sagt einfach Bescheid. Es war mir ein absolutes Vergnügen, heute mit euch zu reden.

Kevin Danke.

Erhard Wirklich vielen Dank.

Kevin Mann, vielleicht wenn du mal Österreich besuchen kommst oder den Norden, ja?

Brett Ja, ja.

Kevin Gib uns einfach einen Wink. Wir führen dich rum und zeigen dir die besten Seiten von Österreich.

Brett Weißt du was? Da komme ich drauf zurück. Darauf kannst du wetten.

Kevin Da wette ich drauf, 100 Prozent. Komm vorbei.

Brett Alles klar.

Erhard Komm her nach Österreich. Wir freuen uns.

Brett Alles klar. Macht's gut. Es war mir ein Vergnügen.

Kevin Danke, Brett. Bis dann.

Brett Okay. Alles klar. Bye-bye.

Erhard Es war ein Vergnügen. Bye.

Brett Bye.

Kevin Bye-bye.