Author

Topic: Warnung vor Ledger Live Malware (Read 250 times)

legendary
Activity: 2156
Merit: 1506
April 28, 2019, 08:23:58 AM
#11
Übrigens hat Ledger auch einen neues CEO bekommen. Pascal Gauthier  . Vom Präsidenten zum CEO. Auch gut. Und dann wurde auch noch folgendes erwähnt ( ohne Gewähr )  Es soll bald ein / mehrere Smartphones mit einer Ledger Wallet an Bord kommen. Somit ähnlich dann wie das Samsung S10, HTC Exodus und das von Sirin Labs . Weiteres wird man wohl bald lesen können wenn es 100%tig aktuell ist /wird.
PS:Ich meine nicht die Ledger Live App für Android. Sondern einen "echten "Ledger im Handy verbaut
hero member
Activity: 1022
Merit: 683
Love is the answer
April 28, 2019, 07:59:10 AM
#10
Besten Dank für die weiterführenden Erläuterungen, so ist das Paket rund und die Leser können alles ordentlich einschätzen bzw. die notwendigen Sicherheitsmaßnahmen treffen.

Ich bin nur dennoch etwas irritiert, denn dieser Recovery-Seed sollte ja ohnehin nur für "Widerherstellung bei Verlust der Hardware" relevant sein, oder?

Ja genau, der Recovery- Seed ist ja nichts anderes als der 'Master Key' aus dem sämtliche private keys generiert werden.

Möchtest du, aus welchem Grund auch immer, ein Gerät wiederherstellen werden über den Recovery- Seed sämtliche private keys wiederhergestellt.


Hier kannst du dir die Best Practices bei der Verwendung eines Hardware-Wallets durchlesen.

Zusätzlich verweist Ledger noch auf die folgenden 5 goldenen Regeln:

Quote
- Teilen Sie niemals Ihre 24-Wort Recovery- Phrase, in irgendeiner Form, mit anderen.
- Speichern Sie Ihre Recovery- Phrase niemals auf einem Computer oder Smartphone.
- Bewahren Sie Ihr Recovery-Sheet physisch sicher auf, um sicherzustellen, dass Sie es nicht versehentlich verlieren oder zerstören können.
- Vertrauen Sie nur jenen Inhalten, die Sie auf dem Hardware-Wallet-Display sehen können. Überprüfen Sie Ihre Empfangsadresse und Zahlungsinformationen auf Ihrem Gerät.
- Behandeln Sie Informationen, die auf dem Bildschirm Ihres Computers oder Smartphones angezeigt werden, stets mit Vorsicht. Es ist anzunehmen, dass Software jederzeit kompromittiert werden kann.

Na Mensch, da hast du Dir ja heut schon eine kleine handvoll Merits verdient, aber genau das ist die Qualität (in meinen Augen), die von den Lesern gewünscht, geschätzt und belohnt wird. War dann jetzt aber auch mein letzter Merit, so dass ich hoffen muss, dass auch andere es so sehen wir ich Wink

btt: im Endeffekt ist die OP-Gefahr ja ohnehin nur dann gegeben, wenn jmd. seinen Seed eingibt, obwohl dieser ja laut "Goldenen Regeln" solange unter Verschluss bleiben MUSS, bis man selbst ihn für die Wiederherstellung braucht.

Im Zweifel würde ich eine solche Aktion dann erst einmal auf Eis legen und mich mit Screenshots an den Anbieter wenden, um mich rückzuversichern.

Ein Thread wie dieser kann aber wohl auch schon den Ungeduldigen bei der "Ersten Hilfe" helfen.
legendary
Activity: 1232
Merit: 1257
April 28, 2019, 06:03:13 AM
#9
Besten Dank für die weiterführenden Erläuterungen, so ist das Paket rund und die Leser können alles ordentlich einschätzen bzw. die notwendigen Sicherheitsmaßnahmen treffen.

Ich bin nur dennoch etwas irritiert, denn dieser Recovery-Seed sollte ja ohnehin nur für "Widerherstellung bei Verlust der Hardware" relevant sein, oder?

Ja genau, der Recovery- Seed ist ja nichts anderes als der 'Master Key' aus dem sämtliche private keys generiert werden.

Möchtest du, aus welchem Grund auch immer, ein Gerät wiederherstellen werden über den Recovery- Seed sämtliche private keys wiederhergestellt.


Hier kannst du dir die Best Practices bei der Verwendung eines Hardware-Wallets durchlesen.

Zusätzlich verweist Ledger noch auf die folgenden 5 goldenen Regeln:

Quote
- Teilen Sie niemals Ihre 24-Wort Recovery- Phrase, in irgendeiner Form, mit anderen.
- Speichern Sie Ihre Recovery- Phrase niemals auf einem Computer oder Smartphone.
- Bewahren Sie Ihr Recovery-Sheet physisch sicher auf, um sicherzustellen, dass Sie es nicht versehentlich verlieren oder zerstören können.
- Vertrauen Sie nur jenen Inhalten, die Sie auf dem Hardware-Wallet-Display sehen können. Überprüfen Sie Ihre Empfangsadresse und Zahlungsinformationen auf Ihrem Gerät.
- Behandeln Sie Informationen, die auf dem Bildschirm Ihres Computers oder Smartphones angezeigt werden, stets mit Vorsicht. Es ist anzunehmen, dass Software jederzeit kompromittiert werden kann.
hero member
Activity: 1022
Merit: 683
Love is the answer
April 28, 2019, 05:20:59 AM
#8
Vielen Dank für die Info, allerdings fehlt mir (zu einer Meritvergabe) hier noch etwas mehr darüber, wie man zum Beispiel diesen Fishing-Versuch identifizieren kann, wo diese herkommen (eMail?) bzw. wie man sich ausschließlich über Ledger-eigene Updates im Sicheren sein kann.

Ich versuch mal ein paar Fragen zu beantworten  Grin

- Laut Ledger wurde die Quelle und Methode des Malware- Angriffs noch nicht identifiziert
- der Angriff zielt nur auf Windows- Maschinen ab (wieder ein Grund mehr für Linux  Wink)
- auch die mobile Version ist nicht betroffen
- anscheinend gabs bisher nur einen Fall auf einem Computer
- die einzige Auswirkung die diese Malware hat ist einen Phishing- Angriff zu starten

=> also sollte plötzlich das von Soonandwaite gezeigte Fenster zur Eingabe des Seeds erscheinen, bitte nichts eingeben und Ledger Support kontaktieren.


Besten Dank für die weiterführenden Erläuterungen, so ist das Paket rund und die Leser können alles ordentlich einschätzen bzw. die notwendigen Sicherheitsmaßnahmen treffen.

Ich bin nur dennoch etwas irritiert, denn dieser Recovery-Seed sollte ja ohnehin nur für "Widerherstellung bei Verlust der Hardware" relevant sein, oder?
legendary
Activity: 2156
Merit: 1506
April 28, 2019, 04:59:00 AM
#7
Auch von mir herzlichen Dank für die Tipps hier in diesem Thread. Ich habe mir nämlich vor kurzem einen Ledger zugelegt. Hatte aber noch keine Zeit diesen einzurichten, deshalb kommt diese Warnung zur rechten Zeit.
Und denk bitte daran das Ledger Live nur richtig unter Win10 läuft. ( Win8 ) Nicht das du Probleme bekommst weil du Win7 benutzt.

  https://shop.ledger.com/pages/ledger-live      Download von der Original Webseite
member
Activity: 201
Merit: 11
April 28, 2019, 03:47:36 AM
#6
Auch von mir herzlichen Dank für die Tipps hier in diesem Thread. Ich habe mir nämlich vor kurzem einen Ledger zugelegt. Hatte aber noch keine Zeit diesen einzurichten, deshalb kommt diese Warnung zur rechten Zeit.
legendary
Activity: 2156
Merit: 1506
April 28, 2019, 02:25:33 AM
#5
Vielen Dank für die Info, allerdings fehlt mir (zu einer Meritvergabe) hier noch etwas mehr darüber, wie man zum Beispiel diesen Fishing-Versuch identifizieren kann, wo diese herkommen (eMail?) bzw. wie man sich ausschließlich über Ledger-eigene Updates im Sicheren sein kann.
Auch von mir Danke für die Info.Du gibst niemals den Recovery Seed oder PIN über den Computer ein sondern immer über die Hardware Wallet somit hat sich dieser Pishing Versuch erledigt.Das einzige was du über den Computer eingibst ist der Zugangs-Passwort fürs Ledger Live und mehr nicht.
Noch als Tipp wenn Ihr euch sowas zulegt bitte liest doch mal die Anleitung durch dauert keine 10 Min. dort steht exakt dies hier:

Never ever share your 24-word recovery phrase, in any form, with anyone.
Never enter the 24-word recovery phrase into your computer or phone.
Never take a picture of the 24-word recovery phrase.


Na ja. Es gibt Leute die schreiben sich den Seed in eine Excel,Work oder Word Pad Datei und speichern sie ab. Warum ? Weil sie den Seed nochmals gut ausdrucken wollen. Und schon ist er im Cache drinne. Du weißt ja nicht wie die Leute ticken. Aber viele vergessen so etwas halt.Und wenn eine Software darauf aus ist freut sich die Software die 24 Wörter zu sehen. Wird zwar nur einer von 10000 Leuten sein wenn überhaupt. Aber derjenige wird sich ordentlich in den Arsch beissen die Sicherheit ausser Acht gelassen zu haben. Und wenn man hier im gesamten Forum so liest denke ich das so etwas absolut möglich ist. Was hier so alles zu lesen gibt .... Ach Leute. Lasst uns nur das Geld teilen das dieses Jahr verloren wurde durch Verlust des Seeds oder Hacks hier im Forum. Wir bräuchten nicht mehr Malochen  Grin
JL0
full member
Activity: 817
Merit: 158
Bitcoin the Digital Gold
April 27, 2019, 06:45:09 PM
#4
Vielen Dank für die Info, allerdings fehlt mir (zu einer Meritvergabe) hier noch etwas mehr darüber, wie man zum Beispiel diesen Fishing-Versuch identifizieren kann, wo diese herkommen (eMail?) bzw. wie man sich ausschließlich über Ledger-eigene Updates im Sicheren sein kann.
Auch von mir Danke für die Info.Du gibst niemals den Recovery Seed oder PIN über den Computer ein sondern immer über die Hardware Wallet somit hat sich dieser Pishing Versuch erledigt.Das einzige was du über den Computer eingibst ist der Zugangs-Passwort fürs Ledger Live und mehr nicht.
Noch als Tipp wenn Ihr euch sowas zulegt bitte liest doch mal die Anleitung durch dauert keine 10 Min. dort steht exakt dies hier:

Never ever share your 24-word recovery phrase, in any form, with anyone.
Never enter the 24-word recovery phrase into your computer or phone.
Never take a picture of the 24-word recovery phrase.








legendary
Activity: 1232
Merit: 1257
April 27, 2019, 05:23:26 PM
#3
Vielen Dank für die Info, allerdings fehlt mir (zu einer Meritvergabe) hier noch etwas mehr darüber, wie man zum Beispiel diesen Fishing-Versuch identifizieren kann, wo diese herkommen (eMail?) bzw. wie man sich ausschließlich über Ledger-eigene Updates im Sicheren sein kann.

Ich versuch mal ein paar Fragen zu beantworten  Grin

- Laut Ledger wurde die Quelle und Methode des Malware- Angriffs noch nicht identifiziert
- der Angriff zielt nur auf Windows- Maschinen ab (wieder ein Grund mehr für Linux  Wink)
- auch die mobile Version ist nicht betroffen
- anscheinend gabs bisher nur einen Fall auf einem Computer
- die einzige Auswirkung die diese Malware hat ist einen Phishing- Angriff zu starten

=> also sollte plötzlich das von Soonandwaite gezeigte Fenster zur Eingabe des Seeds erscheinen, bitte nichts eingeben und Ledger Support kontaktieren.
hero member
Activity: 1022
Merit: 683
Love is the answer
April 27, 2019, 02:50:15 PM
#2
Vielen Dank für die Info, allerdings fehlt mir (zu einer Meritvergabe) hier noch etwas mehr darüber, wie man zum Beispiel diesen Fishing-Versuch identifizieren kann, wo diese herkommen (eMail?) bzw. wie man sich ausschließlich über Ledger-eigene Updates im Sicheren sein kann.
legendary
Activity: 2156
Merit: 1506
April 27, 2019, 01:31:53 AM
#1
Ich denke das ist wirklich interessant und hoffe das es nicht doppelt oder dreifach ist :

Die Französische Firma Ledger warnt Ledger Benutzern davor ein Malware Update zu installieren. Dann soll man seinen 24 Wörter Seed eingeben und schon ist man seine Gesparten BTC oder andere Assets los. Also falls jemand sein Ledger Live aktualisieren soll und nach dem 24 Seed gefragt wird sollte man vorsichtig sein. Wie Ledger schreibt sollen angeblich nur Windows Rechner betroffen sein.
Natürlich sind unsere Coins und Token sicher. Aber Vorsicht bei diesen Pishing Versuch. Jeder denkt zwar mich kann es nicht treffen aber Vorsicht in Crypto ist das erste Gebot.

 https://twitter.com/Ledger/status/1121443755670814721    





Jump to: