Technical analysis & news on Blockchain & Cryptocurrencies | Coincronica
Dienstleistungen Nachrichten

„Ungemütlicher wurde, dass ich nicht nur Emails erhalten habe, sondern auch SMS und, vor allem, Anrufe.“

In letzter Zeit erhalten immer mehr Bitcoiner unerwünschte Anrufe aus Großbritannien, Österreich, Brasilien oder Deutschland. Dies ist eine der unangenehmen Folgen des Ledger-Leaks, bei dem die privaten Daten von 270.000 Bitcoin-Usern veröffentlicht wurden. Wir haben uns umgehört, wie sehr die deutsche Krypto-Szene betroffen ist – und spekulieren, wie es dazu kommen konnte.

Spam-Emails gehören mittlerweile zum Alltag. Wenn man die eigene Email-Adresse nicht selbst im Netz veröffentlicht hat, gab es sicherlich mal einen Hack des Providers oder eines Shops, bei dem man sie eingereicht hat. Die meisten Internetuser haben daher mittlerweile gelernt, Mails zu löschen, wenn sie ankündigen, dass man eine Menge Geld gewonnen habe, bei einer Transaktion mithelfen solle oder beim Ansehen von schmutzigen Pornos erwischt wurde.

Der Ledger-Hack im vergangenen Jahr hat das Spiel jedoch auf ein neues Level gebracht. Im Sommer vergangenen Jahres wurde die Kundendatenbank des französischen Herstellers von Hardware-Wallets gehackt. In ihr waren nicht nur die Email-Adressen von rund 270.000 Kunden, sondern auch deren Postanschrift und Telefonnummer.

Kurz vor Weihnachten haben die Hacker nun diese Datenbank in einem Darknet-Forum „gedumpt“, also einfach so veröffentlicht. Warum sie das getan haben, ist weiterhin ein Rätsel. Fakt ist aber, dass mit diesem Zug Kriminelle und Hacker Zugriff erhielten auf die privaten Daten von rund 270.000 Besitzern von Bitcoins und anderen Kryptowährungen.

Die Ledger-Wallet ist günstig und extrem beliebt, weshalb so gut wie jeder, der sich mit Bitcoins und anderen Kryptowährungen beschäftigt, ein Exemplar besitzt. Nach einer kurzen Fage in der deutschen Kryptoszene auf Twitter meldeten sich innerhalb einiger Stunden etwa 20 Leute bei mir, die von dem Hack betroffen sind, daneben kenne ich weitere 5 Personen, und in einem Thread im Coinforum melden sich auch zahlreiche Opfer zu Wort. Das dürfte nur die Spitze des Eisbergs sein. So gut wie jeder besitzt eben eine Ledger-Wallet.

Von denen, die eine Ledger-Wallet haben, sind die meisten, aber nicht alle betroffen. Warum das so ist, ist nicht genau bekannt; es wird spekuliert, dass es mit dem Zeitpunkt des Kaufs zusammenhängt. So sind mir etwa Leute bekannt, die 2017 oder 2018 eine Ledger gekauft haben, ohne nach dem Leak belästigt zu werden. Soweit ich weiß, sind die Datenbanken, die veröffentlicht wurde, aber vollständig, weshalb diese Erklärung nicht viel Sinn ergibt. Vielleicht ist es einfach nur Zufall? Pech und Glück?

Mails und Anrufe

Schon im Sommer begann eine ausgefeilte Phishing-Mail herumzugehen: Angeblich informierte Ledger über einen Sicherheitsvorfall und forderte den User auf, eine neue Version der Wallet herunterzuladen. Die Mail war gut gefälscht, lediglich ein Blick auf den Absender zeigte, dass sie nicht von „ledger.com“ kam, sondern von „legder.com“.

Seitdem die Daten veröffentlicht wurden, hat sich die Frequenz dieser Mails vervielfacht: Fluten von Spam-Mails, mit Angeboten zu Kryptowährungen, Lottogewinnen, reichen Erben, Königinnen aus Nigeria und so weiter. Wer eine Ledger-Wallet hat, hat hoffentlich einen guten Spam-Filter.

Gefährlicher sind jedoch die Mails, die so tun, als wären sie von Ledger, und die dazu noch das Sicherheitsbedürfnis des Users gegen diesen wenden: So kopieren Betrüger Mails, die Ledger tatsächlich versendet hat, ändern darin aber natürlich einen Link; oder sie informieren den User über unbefugte Logins oder ausgehende Transaktionen. Und natürlich versuchen Hacker auch, in die Mail-Konten der User einzudringen. Ein Betroffener erzählte mir, dass es seit der Veröffentlichung der Daten jede Woche 100 Versuche gibt, sein Email-Passwort zu erraten.

Aber die Mails selbst sind nur das geringste Übel. „Ungemütlicher wurde es natürlich dadurch, dass ich nicht nur Emails erhalten habe, sondern auch SMS und, vor allem, Anrufe“, erzählt ein vom Leak Betroffener. Er erhielt mehrere SMS, die beispielsweise den Start von „Ledger DeFi“ ankündigten und LGR-Token versprachen, Infos über unbefugte Logins, und ein Alarm darüber, dass vom Ledger-Konto Bitcoins abgebucht wurden.

Am beunruhigendsten waren aber die Anrufe, die dann folgten. „Das geht ein bißchen tiefer, wenn man plötzlich mit einer echten Person redet.“ Die Anrufe kamen von Festnetzapparaten aus Bonn und Berlin. „Ich wollte wissen, was dahintersteckt und habe Fragen gestellt, ohne dass ich selbst etwas bestätigt habe, weder wie ich heiße noch dass ich etwas mit Kryptowährungen zu tun habe.“ Doch er fand nur heraus, dass sich die Anrufer als jemand von einer Trading-Börse ausgaben; als sie bemerkten, dass sie nichts erreichen würden, legten sie rasch auf.

Eine der erstaunlichsten Facetten der Ledger-Hacks ist, wie viele kriminelle Organisation offenbar versuchen, die Daten auszunutzen. So habe ich in der kurzen Umfrage erfahren, dass die meisten Betroffenen auch von Anrufen belästigt werden, allerdings von vielen unterschiedlichen Telefonnummern: Handynummern aus Deutschland, Festnetznummern aus Österreich, oft aus Großbritannien, manchmal aus Brasilien und manchmal aus Spanien. Manche Anrufer geben sich wie im Fall oben als Tradingplattform aus, andere legen sofort auf, nachdem man sich meldet, so, als wollten sie nur prüfen, ob die Nummer aktiv ist. Die Frequenz der Anrufe variiert dabei stark: Manche berichten von mehr als 10 Anrufen am Tag, andere von nur wenigen Anrufen insgesamt.

Die meisten Bitcoiner, von denen ich weiß, wimmeln solche Anrufe sofort ab, wenn sie überhaupt rangehen. Daher habe ich keine Infos dazu, welches Geschäftsmodell hinter den Anrufen steckt. Eventuell versuchen sie, die Kontonummer der Betroffenen herauszufinden, um dann per Lastschrift Geld abzubuchen.

Einen Bericht habe ich auch über eine SMS, die auf ein abgeschlossenes Abo hinweist und eventuell versucht, einen dazu zu bringen, eine Art Zahlungseinzug zu erlauben. Dies trat bisher nur einmal auf, was erneut auf die vielen Facetten der Nutzung der Daten hinweist.

Nervtötend bis bedrohlich

Für viele Bitcoiner werden diese Anrufe und Mails langsam zu einer Belästigung. Einige haben sich eine neue Handynummer zugelegt. Andere denken darüber nach, geben die gewohnte und vertraute Nummer aber nur ungern auf und fürchten, danach von alten Bekannten nicht mehr erreichbar zu sein. In manchen Fällen kann man die Telefonnummern, von denen man belästigt wird, gut blockieren, in anderen sind es so viele, dass man kaum mehr hinterherkommt.

Viele haben sich neue Mailaccounts zugelegt. Manche sind nur genervt, andere etwas beängstigt und sorgen sich etwa vor Sim-Swaps. Nicht jeder ist ein Sicherheitsexperte, aber nach den Ledger-Leaks hat jeder einen Grund, sich um seine Sicherheit sorgen.

Im englischsprachigen Reddit-Forum r/ledgerwalletleaks werden Sim-Swaps zunehmend diskutiert. Der Angreifer versucht dabei, beim Mobilfunkanbieter die Sim-Karte für die Telefonnummer ersetzen zu lassen, was es ihm erlaubt, mit der Nummer SMS zu empfangen und zu versenden. Die Kenntnis des Namens und der Postanschrift sind selbstveständlich von großem Vorteil, wenn man sich für jemand anderes ausgibt. Gerade wenn man durch eine SMS die 2-Faktor-Autorisierung nutzt, um sich bei Banken und Börsen anzumelden, kann ein Sim-Swap schlimme Konsequenzen nach sich ziehen.

Auf Reddit wird empfohlen, sich beim Mobilfunkanbieter eine PIN geben zu lassen, welche für alle Änderungen in Bezug zur Sim-Karte notwendig ist. Bisher scheint es relativ wenige Sim-Swaps von Ledger-Besitzern zu geben, auf Reddit werden allerdings einige erwähnt.

Aber jenseits der Sim-Swaps lauert eine weitere Bedrohung, die noch gruseliger ist: „Ein anderes Thema ist die Befürchtung von realen Attacken, da ja auch die Wohnadresse geleakt wurde,“ schrieb mir jemand. „Hier bin ich immer noch am schauen, wie ich mich und die Familie bestmöglich schützen kann. Auch wenn die Wahrscheinlichkeit nicht sehr hoch ist.“ Ähnlich ein anderer Betroffener: „Viel mehr Sorgen [als die Mails] bereitet mir das Wissen darüber, dass meine Adresse ebenfalls dabei ist. Mit Familie macht das schon mehr Kopfzerbrechen.“

Aus englischsprachigen Foren sind Mails bekannt, in denen die Postadresse genannt und gedroht wird, einen unangenehmen Besuch zu erhalten, falls man nicht einen bestimmten Betrag in Bitcoin bezahlt. Solche Mails weisen nicht unbedingt auf eine echte Gefahr hin, sind aber doch sehr beunruhigend.

Bisher ist mir nicht bekannt, dass in der deutschen Bitcoin-Szene jemand aufgrund des Ledger-Hacks mit Gewalt bedroht wurde. Mein oben erwähnter Gesprächspartner macht sich deswegen wenig Sorgen: „Es gibt mehr als 200.000 Namen in der Datenbank, und nicht jeder davon ist automatisch reich. Wenn jemand wirklich so kriminell ist, dass er zu jemandem nach Hause fährt, kann er gleich in ein Viertel gehen, in dem reiche Leute wohnen. Ich denke, eine SMS ist schnell versendet, aber ein Besuch – da ist die Hemmschwelle um ein Vielfaches größer.“

Dennoch werden Betrugsanrufe und Spammails natürlich noch unangenehmer, wenn man weiß, dass diejenigen, die versuchen, einen abzuziehen, auch wissen, wo man wohnt. Wer seit der Bestellung eines Ledgers umgezogen ist, wird sich vermutlich sicherer fühlen.

Wie konnte das geschehen?

Viele fragen sich zurecht, wie das passieren konnte. Gerade ein Unternehmen wie Ledger, das Hardware-Wallets herstellt, die die privaten Schlüssel um jeden Preis vom Internet trennen – gerade ein solches Unternehmen wird gehackt, und gerade bei einem solchen Unternehmen erbeuten die Hacker eine Datenbank, in der die kompletten Kundendaten stehen. Wer wenn nicht Ledger sollte wissen, wie man sich vor einem solchen Vorfall schützt?

Jedem, der ein wenig über das Thema nachdenkt, fallen Dutzende Methoden ein, wie dies zu verhindern gewesen wäre: Ledger könnte die privaten Daten nach der Auslieferung löschen. Es gibt keinen Grund, weshalb das Unternehmen die Adresse und die Telefonnummer nun noch braucht – falls es die Telefonnummer jemals benötigt hat. Und falls die Aufsicht oder das Finanzamt Ledger zwingt, die Adressen zu behalten – warum speichert es sie dann nicht offline, so, wie die privaten Schlüssel für Bitcoins? Oder warum verschlüsselt Ledger sie nicht wenigstens so, dass der zum Entschlüsseln benötigte Schlüssel offline liegt?

Die französische Firma warnt ihre Kunden vor Phishing-Mails und dokumentiert ihr bekannte Spam-Kampagnen. Nachdem sie zunächst eher defensiv mit dem Hack umging, hoffend, dass er nicht so viel Staub aufwirbeln wird, beginnt sie nun, transparenter zu agieren. Sie entschuldigt sich bei den Kunden, weist darauf hin, niemals den Seed irgendwo einzugeben und warnt vor Mails, die aussehen, als kämen sie von Ledger.

Wie es jedoch geschehen konnte, dass alle Daten in einer Datenbank mit Verbindung zum Netz lagen, erklärte die Firma meines Wissens jedoch bislang nicht. Es könnte daran liegen, dass Ledger keinen eigenen Shop verwendet, sondern den Drittanbieter Shopify; im vergangenen Jahren haben zwei Angestellte von Shopify die Kundendaten von 200 Online-Händlern gestohlen.

Das führt zu einer etwas ironisch-tragischen Situation. Der Hersteller von Hardware-Wallets, die private Schlüssel um jeden Preis vom Internet und jeder anderen Partei fernhalten, vertraut die privaten Daten seiner Kunden einer unsicheren dritten Partei an. „Ich denke das Problem war“ erzählt einer der Betroffenen, „dass sich Ledger als ein Online-Shop verstanden hat, der etwas verkauft, anstatt wie eine Bank. Banken schützen die Kundendaten ja ebenso wie Guthaben, das sollte ein Händler von Hardware-Wallets auch tun.“

Die Ledger-Leaks könnten ein Warnschuss für die ganze Branche sein, Kundendaten nicht länger wie andere Online-Shop zu behandeln. „Andere Anbieter reagieren jetzt auch darauf, etwa ColdCard, die sind aus Kanada. Sie müssen etwa die Email-Adresse behalten, löschen künftig aber rasch die Postadressen und Telefonnummern. Aber das sie es erst jetzt machen, zeigt mir, dass es bei ihnen ebenso passieren konnte wie bei Ledger.“ Vielleicht haben die Leaks so auch etwas Gutes – was für die Betroffenen freilich kaum ein Trost sein drüfte.

Related posts

Vorschlag für Stablecoin-Regulierung in USA könnte unbeabsichtigt Ethereum-Nodes kriminalisieren

Kathrin Jung

Hahn Air bringt Flugtickets auf die Blockchain

Kathrin Jung

“Wir sind zu 100 Prozent gewiss, dass wir das Bitcoin Cash Netzwerk in viele verschiedene Forks spalten können.”

Kathrin Jung