Öffentliches WLAN-Risiko: Evil-Twin-Angriffe auf Bitcoin & Kryptowährungen

Im Zug noch schnell Mails checken, am Gate den Kursverlauf von Bitcoin prüfen, im Hotel die letzte Transaktion kontrollieren - für viele gehört öffentliches WLAN auf Reisen selbstverständlich dazu und wirkt fast wie eine Steckdose für das digitale Leben. Genau auf diese Routine bauen Angreifer, wenn sie gefälschte Hotspots einrichten, die unauffällig aussehen und Zugangsdaten sowie Krypto-Guthaben ins Visier nehmen.

Was sind Evil-Twin-Angriffe?

Der Begriff Evil Twin beschreibt einen "bösen Zwilling" eines WLANs: einen Zugangspunkt, der dem Original in Name und Erscheinungsbild zum Verwechseln ähnlich sieht, aber vollständig unter Kontrolle der Angreifer steht. Technisch wird dazu ein eigener Access Point mit derselben oder einer nur leicht abgewandelten SSID eingerichtet, wodurch Geräte, die sich automatisch mit bekannten Netzwerken verbinden, häufig ohne bewusstes Zutun im falschen Netz landen. Sicherheitsanalysen zeigen, dass Angreifer über diesen Zugang nicht nur den Datenverkehr mitlesen, sondern Anfragen auch gezielt umleiten können, etwa auf Phishing-Seiten oder manipulierte Portale, die den Login-Masken von Börsen oder Wallet-Anbietern sehr nahekommen.

Wie Wallet-Bestände tatsächlich gestohlen werden

Kryptowährungen verschwinden nicht allein dadurch, dass ein Gerät mit einem fremden WLAN verbunden wird; der eigentliche Schaden entsteht im Zusammenspiel von manipuliertem Datenverkehr und Phishing-Mechanismen, wie der Post eines X-Nutzers zeigt, der als Ethischer Hacker auftritt und zur Aufklärung einen solchen Angriff demonstriert.

Most people assume that if their Wi-Fi uses WPA2 with a strong password, they're safe. But little do they know that attackers don’t always need to crack the password to get what they want. One powerful method hackers use is the Evil Twin attack where they clone a legitimate Wi-Fi… https://t.co/6gVg9xiusb pic.twitter.com/DDsKdstT9t

- Winston Ighodaro (@Officialwhyte22) January 1, 2026

Über den kontrollierten Zugang können Angreifer täuschend echte Login-Seiten für bekannte Plattformen ausliefern oder Wallet-Oberflächen nachbilden, in denen scheinbar routinemäßige Sicherheitsprüfungen, Logins oder Wiederherstellungen abgefragt werden, während in Wirklichkeit Zugangsdaten und Schlüssel abgegriffen werden. 23pds, Chief Information Security Officer bei SlowMist, beschreibt laut Cointelegraph, dass Nutzer in solchen Szenarien über gefälschte Update-Hinweise, angebliche Hilfsprogramme oder vermeintlich dringende Warnmeldungen in eine Abfolge von Bestätigungsschritten gezogen werden, an deren Ende häufig die Preisgabe sensibler Informationen steht, die seriöse Anbieter niemals abfragen würden.

Praktische Schutzmaßnahmen für reisende Kryptonutzer

Cointelegraph empfiehlt zudem, besonders sicherheitskritische Vorgänge auf Zeiten und Orte mit verlässlicher Verbindung zu verlagern und unterwegs nur unbedingt notwendige Aktionen durchzuführen, um die Angriffsfläche zu begrenzen. Dazu zählt etwa, keine neuen Wallets auf Reisen einzurichten, keine Passwörter zurückzusetzen und keine größeren Beträge von unsicheren Netzen aus zu bewegen, da hier im Fehlerfall der potenzielle Schaden besonders hoch ist. Auch die Kryptobörse Binance betont, dass die Seed-Phrase ausschließlich offline verwahrt werden sollte und in keinem Fall in Webseiten, Apps oder Support-Oberflächen eingegeben werden sollte.

Beim Zugriff auf Krypto-Dienste über den Browser rät Cointelegraph dazu, feste Lesezeichen für zentrale Dienste zu verwenden und Domains bei Unsicherheit manuell einzugeben, da sowohl in Suchmaschinen als auch in Werbeanzeigen regelmäßig täuschend echte Phishing-Links auftauchen, die auf den ersten Blick wie offizielle Seiten wirken.

Redaktion finanzen.net