Achtung, Ledger-User: gefälschte E-Mails gehen um

Irgendwann wird schon jemand anbeissen ... Bild von bertconcepts via flickr.com, Lizenz: Creative Commons

Derzeit erhalten viele Kunden von Ledger Wallet Phishing-Mails, die angeblich vom Support des Herstellers von Hardware-Wallets stammen und vor einem Sicherheitsproblem warnen. Dem Link in den Mails solltet ihr auf keinen Fall folgen.

Die Hardware-Wallet Ledger des gleichnamigen französischen Herstellers dürfte die beliebteste Wallet ihrer Art sein. Schon 2018 hatte die Firma weit über eine Million Wallets verkauft; bei den Kunden kommt die gut gemachte Wallet mit den vielen möglichen Coins gut an.

Weniger gut dürfte das ankommen, was derzeit passiert: Tausende, wenn nicht Zehn- oder Hunderttausende von Kunden des Herstellers erhalten E-Mails, SMS oder sogar Anrufe von angeblichen Mitarbeitern von Ledger, die vor einem Sicherheitsvorfall warnen und einen auffordern, zu kooperieren, um die Lücke zu schließen.

In einer Mail ist beispielsweise zu lesen, dass die Wallet, die mit der entsprechenden E-Mail-Adresse verbunden sei, von einem Sicherheitsvorfall ebenfalls betroffen ist. Als Kunde wird man darüber informiert, dass die Administratoren Ende September Malware auf mehreren Servern gefunden haben, aber die Schwere des Vorfalls nicht konkret einschätzen können. Aus Sicherheitsgründen gehen sie davon aus, dass die Guthaben auf der Wallet in Gefahr sein könnten. Als Kunde sollte man daher eine neue Software für Ledger installieren und den PIN neu einstellen.

Die Mail war wirklich gut gemacht, auch wenn der Tippfehler „Legder“ anstatt „Ledger“ dem einen oder anderen aufgefallen sein dürfte. Allerdings gibt es wohl zahlreiche Varianten dieses neuen Scams, die auf zahlreiche andere Webseiten weisen. Zumindest ist das Ledger-Forum auf Reddit voll von Berichten. So haben User etwa eine Benachrichtigung bekommen, dass sie einen bestimmten Bitcoin-Betrag gesendet hätten, aber nun 30 Minuten Zeit hätten, um die Zahlung rückgängig zu machen. Dazu müssen sie nur auf die Webseite von Ledger gehen und sich anmelden …

Ausgeliefert werden solche Nachrichten sowohl als E-Mail als auch als SMS. Was natürlich zu der Frage führt – woher haben die Betrüger die Adressen und Nummern von Ledger-Kunden?

Im Sommer dieses Jahres wurde der Server des Onlineshops von Ledger gehackt. Laut Ledger wurde eine Sicherheitslücke Ende Juni ausgenutzt und dabei Daten wie E-Mail-Adressen, Telefonnummern oder Postadressen von Kunden des Herstellers erbeutet.

Dieser Datensatz, bestehend aus rund einer Million Einträgen, wurde anschließend im Darknet zum Verkauf angeboten. Angeblich wurde dieser Datensatz am 5. Oktober für 5 Bitcoin (knapp 60.000 Euro) verkauft. Anschließend setzten die Phishing-E-Mails ein. Dass manche User auf Reddit berichten, von mehreren Telefonnummern unterschiedliche SMS mit verschiedenen Ziel-Domains erhalten zu haben, deutet darauf hin, dass die Besitzer der Daten sie in einem vertriebsartigen System an freiberufliche Kriminelle vermieten, die versuchen, sie zu Geld zu machen.

Was bleibt für euch zu tun, wenn ihr betroffen seid? Klickt auf keinen Fall einen Link, antwortet nicht auf die E-Mail, besucht keine Domains aus der E-Mail, sondern löscht und verbrennt sie. Keine professionelle Krypto-Firma – und dazu gehört Ledger – wird euch jemals nach einer PIN oder einem Passwort oder einer Seed fragen. Wenn das passiert, steht meist die Absicht dahinter, euch um eure Coins zu bringen.

Als Besitzer von Kryptowährungen seid ihr ein Top-Ziel für Scammer, Betrüger und Daten-Fischer. Das solltet ihr euch klar machen. Wenn ihr verschiedene Services benutzt habt, habt ihr eure E-Mail-Adresse oder andere Kontaktdaten auf verschiedenen Servern hinterlegt, und so wie ihr sind diese Server Top-Ziele von Hackern, weshalb ab einem gewissen Punkt die Chance ziemlich groß ist, dass eure E-Mail-Adresse in die Hände von Hackern gefallen ist. Das sollte euch auch klar sein, und ihr solltet eure digitale Hygiene darauf einstellen.

Eine Wallet zu kaufen führt dabei ein grundsätzliches Risiko ein. Ihr könnt zahlreiche Wallets für zahlreiche Kryptowährungen kostenlos und ohne Anmeldung herunterladen. Für die allermeisten Fälle ist das absolut sicher genug. Sobald ihr eine Wallet wie von Ledger oder von Trezor bestellt, erhöht ihr ein Risiko: Ihr füttert eine Datenbank mit Daten wie eurer E-Mail-Adresse, eurer Postadresse, womöglich noch eurer Telefonnummer sowie der konkrerten Wallet, die ihr benutzen wollt. Das macht nach dem obligatorischen Hack der Server zielgerichtete Phishing-Angriffe natürlich leicht.

Über Christoph Bergmann (1902 Beiträge)
Das Bitcoinblog wird von Bitcoin.de gesponsort, ist inhaltlich aber unabhängig und gibt die Meinung des Redakteurs Christoph Bergmann wieder. Christoph hat vor kurzem ein Buch geschrieben: Bitcoin: Die verrückte Geschichte vom Aufstieg eines neuen Geldes. Das Buch stellt Bitcoin in seiner ganzen Pracht dar. Ihr könnt es direkt auf der Webseite Bitcoin-Buch.org bestellen - natürlich auch mit Bitcoin - oder auch per Amazon. Natürlich freuen wir uns auch über Spenden in Bitcoin, Bitcoin Cash oder Bitcoin SV an die folgende Adresse: 1BergmanNpFqZwALMRe8GHJqGhtEFD3xMw. Wer will, kann uns auch Hier mit Lightning spenden. Tipps für Stories sind an christoph.bergmann@mailbox.org immer erwünscht. Wer dies privat machen möchte, sollte meinen PGP-Schlüssel verwenden.

3 Kommentare zu Achtung, Ledger-User: gefälschte E-Mails gehen um

  1. Na hoffentlich werden die Hacker nicht physical und besuchen Betroffene an der geleakten Postanschrift und führen ihren 5$-Wrench vor…

    • Nixgeschenkt // 3. November 2020 um 9:19 // Antworten

      Ja genau diese Sorge kam mir auch gleich in den Kopf… Es ist einfach ungeheuerlich dass diese Daten nicht besser geschützt waren/sind. Am liebsten würde ich Ledger dafür verklagen, was aber wohl kaum Aussicht auf Erfolg hätte. Mailadresse wäre ja nicht so schlimm, aber Telefonnummer und Postanschrift ist wirklich beängstigend. Bisher habe ich 2 Mails und eine SMS erhalten. Mal sehen wann es an der Tür klingelt…

    • Paul Janowitz // 3. November 2020 um 9:40 // Antworten

      OpSec ist eben nicht nur ein Thema des Darknets… Die Plausible Denialability sehe ich klar als Trezors Vorteil, wenn man sich die Dokumentation durchliest, denn sie haben es deutlich weiter gedacht als Ledgers zweite Pin.

      Zur Postanschrift habe ich mich hier schon öfter geäußert und verstehe bis heute nicht, dass man keine anonymen Zustellungen an Packstationen anbietet, weder die DHL noch ihre Mitbewerber. Ein Händler könnte das anbieten oder eben nicht, wenn er z.B. Kreditkartenbetrug fürchtet. Es gibt nicht nur das Darknet, welches auf Privatsphäre fokussiert ist, auch z.B. die Erotikbranche ist dies oder sollte es zumindest sein, damit man nach einem Hack nicht öffentlich einsehen kann, wer sich einen Kruppstahldildo bestellt hat. Dazu muss man als Händler aber tatsächlich auf ein finales Zahlungsmittel wie Kryptowährungen setzen, denn das klassische Finanzwesen bietet keines an, vielleicht kommt barzahlen.de dem noch am nächsten… In einem Ladengeschäft muss ich mich in der Regel auch nicht legitimieren, wenn ich etwas kaufe und ich kann Geschäfte meiden, die mich z.B. per Kamera überwachen, online ist das legal kaum machbar.

Schreiben Sie einen Kommentar

Trage deine Daten unten ein oder klicke ein Icon um dich einzuloggen:

WordPress.com-Logo

Du kommentierst mit Deinem WordPress.com-Konto. Abmelden /  Wechseln )

Google Foto

Du kommentierst mit Deinem Google-Konto. Abmelden /  Wechseln )

Twitter-Bild

Du kommentierst mit Deinem Twitter-Konto. Abmelden /  Wechseln )

Facebook-Foto

Du kommentierst mit Deinem Facebook-Konto. Abmelden /  Wechseln )

Verbinde mit %s