Die Masche ist nicht neu und dennoch ist der Schaden hoch. Über den Chrome App-Store bieten Betrüger eine falsche Wallet-App an. Diese gibt vor Teil des offiziellen Softwarepakets von Ledger zu sein. Die Firma Ledger stellt sehr beliebte Hardware Wallets her, die gemeinhin als besonders sicher gelten, weil sie kaum per Remotezugriff gehackt werden können.
Doch die hohe Sicherheit der Wallets kann jedoch immer noch kompromittiert werden, wenn es zusammen mit nicht vertrauenswürdiger Software eingesetzt wird. Bereits Anfang Januar 2020 gelang es Kriminellen mit der sogenannten „Ledger Secure App“, den Eindruck zu vermitteln, es handle sich um ein legitimes Produkt des Herstellers.
Gestern meldeten sich über Reddit Opfer eines erneuten Betrugs, der auf den gleichen schmutzigen Trick setzt.
App fragt nach dem Seed
Bei den Betrogenen handelt es sich anscheinend um ein Pärchen aud Großbritannien, die davon berichten, dass sie nach der Installation zur Eingabe ihrer „Keyphrase“ aufgefordert wurden. Dabei handelt es sich um den sogenannten „Menomic Seed“.
Mithilfe dieser Kombination aus zufälligen Wörtern, lässt sich das Guthaben auf dem Hardware Wallet wiederherstellen. Die Täter erlangten also durch die Arglosigkeit der Opfer den Vollzugriff auf deren Guthaben. In dem vorliegenden Fall wurden insgesamt 14.908 XRP entwendet (rund 2500 US-Dollar), ohne dass die Opfer Gelegenheit gehabt hätten dies zu verhindern.
Diese Chance hatten sie bereits verspielt, als sie das Geheimnis preisgaben, danach gab es kein Zurück mehr. Nach eigenen Angaben hat das Pärchen die Behörden eingeschaltet. Die Täter verwenden ein Werbebudget, um mehr Opfer über Suchmaschinen anzulocken.
Laut „XRP Forensics“ wurden mehr als 200.000 XRP (ca. 35.000 US-Dollar) alleine im vergangenen Monat durch die Masche gestohlen. Es handelt sich bei dem britischen Pärchen also nicht um einen Einzelfall.
Schützt eure Seeds!
Egal in welcher Form ein Geheimnis abgespeichert wird, es darf auf keinen Fall verraten werden. Es kann sich bei einem solchen Seed um eine zufällige Kombination von Buchstaben und Zahlen handeln, oder um zufällig ausgewählte Wörter.
Keine seriöse App wird dazu auffordern dieses Geheimnis preisgeben zu müssen, damit sie verwendet werden kann. Einzige Ausnahme ist der Import des Seeds in ein anderes Wallet. Dieser Import wird aber in aller Regel vom Nutzer angestoßen. Eine Aufforderung wird nicht gestartet.
Die Software einer Hardware Wallet ist nur eine Schnittstelle, der Seed wird von ihr nie benötigt! Daher handelt es sich immer um Schadsoftware, wenn eine Eingabeaufforderung den Seed des Hardware Wallets verlangt. Grundsätzlich sollte die offizielle Software nur von der offiziellen Herstellerseite bezogen werden. Auch der Download aus dem App-Store sollte von der Herstellerseite aus gestartet werden, weil der Hersteller auf das echte Produkt im Store verlinkt.