Kompakt:
- Aufgrund eines Datenlecks bei Ledger gelangten Hacker an Kundendaten.
- Kunden werden seitdem zum Ziel für Phishing.
- Nun sind die Datensätze allerdings frei erhältlich und das Risiko für die Betroffenen steigt.
Nachdem im Juni rund 1 Millionen Kundendaten durch bisher unbekannte Hacker in Erfahrung gebracht werden konnten, erhöht sich das Sicherheitsrisiko für die Betroffenen nun zusätzlich. Denn ein Hacker stellte die Datensätze öffentlich zum Download bereit.
Viele der Kunden von Ledger erhalten bereits seit Monaten getürkte E-Mails, die sie dazu bringen sollen, ihre Private-Keys preiszugeben. Phishing-Attacken sind kein Novum in der Welt der Kryptowährungen, weil es extrem lukrativ ist, Nutzer von Kryptowährungen ins Visier zu nehmen, sind Hacker immer wieder daran interessiert.
Mit der jüngsten Eskalationsstufe gewinnt das Problem jedoch eine neue Dimension. Während die Daten vorher nur einer vergleichsweise kleinen Gruppe bekannt war, stehen sie nun für jedermann erreichbar im Netz. Damit werden die betroffenen Kunden automatisch zum potenziellen Ziel für eine Vielzahl von Straftaten.
Wie kann man sich schützen?
Als Erstes ist es wichtig zu verstehen, dass man unter keinen Umständen seinen Private-Key oder Seed an Unbekannte übermitteln sollte. Beide sind das Herzstück eines jeden Bitcoin-Wallets, so auch bei dem Hardware-Wallet von Ledger.
Da nun E-Mail- und Wohnadressen im Netz gelandet sind, könnte es zukünftig nicht nur um Phishing gehen, sondern auch vollkommen neue Bedrohungsszenarien entstehen. Unter der Website „Have I been pwned?“ können sich Nutzer kostenlos und sicher darüber informieren, ob sie betroffen sind.
Seit gestern hat die Datenbank auch das Datenleck von Ledger aufgenommen, nachdem der CTO von Hudson Rock sie eingereicht hatte. Neben der Verwendung eines Passwortmanagers und eines Passwortgenerators empfiehlt sich die standardmäßige Nutzung von 2-Faktor-Authentifizierung. Neben dieser Best Practice hilft oftmals der gesunde Menschenverstand. Viele der Betrugsversuche basieren darauf, mit den Gefühlen und Hoffnungen der potenziellen Opfer zu spielen, indem entweder Gefahr oder eine große Belohnung vorgegaukelt wird.
Grundsätzlich gilt, dass kein legitimes Unternehmen jemals Private-Keys, Seeds oder Passwörter abfragt. Wenn es dazu kommt, dann ist das ein letztes Warnzeichen für die betroffenen Nutzer, welches sie aber selber erkennen müssen.
