Wie man seine Bitcoins mit CTRL-C CTRL-V verliert

[cygan]

Autor: LoyceV
Original Thema: How to lose your Bitcoins with CTRL-C CTRL-V


Ich habe gerade ein weiteres Opfer auf Clipboard Hijacker Malware gesehen.

Wie funktioniert es
1. Du wählst eine Bitcoin-Adresse und drückst CTRL-C.
2. Die Malware ändert die Adresse in eine Adresse, die dem Hacker/Betrüger gehört.
3. Du drückst CTRL-V und verlierst das Geld, welches du gesendet hast.
Selbst wenn du einen Teil der eingefügten Bitcoin-Adresse überprüfst, ist die Wahrscheinlichkeit groß, dass die ersten paar Zeichen gleich sind und du trotzdem nicht bemerkst, dass die Adresse geändert wurde.

Wie kann man das verhindern
1. Verwende kein Windows, aber wie wir beide wissen, wirst du das auch nicht ändern.
2. Kontrolliere die gesamte Adresse nach dem Kopieren/Einfügen und nicht nur die ersten (oder letzten) Zeichen. Prüfe auch einige in der Mitte. Das ist eine Menge Arbeit, also besteht die Möglichkeit, dass du auch das nicht machst.
3. Ich habe mir etwas anderes einfallen lassen: Kopiert nicht die gesamte Bitcoin-Adresse, sondern nur einen Teil davon, und gebt die letzten Zeichen manuell ein. Selbst wenn die Malware die unvollständige Bitcoin-Adresse selbst austauscht, wird deine Wallet die (ungültige) Adresse nicht akzeptieren, wenn du selbst noch ein paar Zeichen eingetippt hast.
Danach ist immer noch Schritt 2 erforderlich: Überprüfe die Adresse!
4. Verwende Kopieren/Einfügen, um einen Teil der Adresse zu überprüfen. Angenommen, du willst Geld an die Adresse 1PjpEgknyKxQKXtMcYFDym8odkfohFGkui senden. Nach dem Kopieren/Einfügen wählst du „yKxQKXtMc“ aus der eingefügten Adresse aus und drückst dann CTRL-C. Verwende dann CTRL-F gefolgt von CTRL-V, um zu sehen, ob die Teiladresse mit der ursprünglichen Quelle der Adresse übereinstimmt. Vergewisser dich, dass die Quelle authentisch ist: Auch E-Mails können gefälscht werden!
5. Ich füge hier den Vorschlag von o_e_l_e_o hinzu:

Jedes Mal, wenn ich Coins aus einer beliebigen Wallet versende, platziere ich die Adresse, von der ich weiß, dass sie korrekt ist, direkt neben der Adresse, die ich zum Senden eingegeben habe. Das bedeutet in der Regel, dass ich entweder meine Hardware-Brieftasche oder mein Telefon neben meinen Computerbildschirm halte oder die Größe zweier Fenster auf meinem Telefon oder Computer verändere, um die beiden Adressen physisch direkt nebeneinander zu platzieren. Sobald man zwei Adressen hat, die weniger als einen Zentimeter voneinander entfernt sind, ist es sehr einfach, die gesamte Adresse zu überprüfen und nicht nur ein paar Zeichen am Anfang oder Ende.

Bleibt wachsam
Prüft, prüft doppelt und dreifach, bevor ihr Geld sendet!


Bitte keinen Spam
Ich sagte bitte
Ich werde übermäßige Zitate entfernen.

Übersetzung auf Initiative der AOBT erstellt:

[mole0815]

Guter Hinweis. Danke für die Übersetzung, cygan.

Ich gestehe es auch per Strg + C / Strg + V zu arbeiten.
Dem ersten Punkt 3 muss ich widersprechen, denn ich denke nicht, dass es in so einem Fall Adressen gibt, bei denen die ersten 5 und die letzten 5 Stellen (die ich immer prüfe) identisch sind.

Der „wie kann man das verhindern“ Punkt 3 ist gut. Das werde ich in Zukunft so handhaben, um noch etwas mehr Sicherheit zu erreichen

[MaxMueller]

Ich denke die allermeisten hier neigen dazu, eine Adresse nicht vollständig zu überprüfen sondern nur x Zeichen an Anfang und Ende. Der Mensch ist nunmal faul....

Daher mal eine Frage in die andere Richtung:

Wie realistisch (=wieviel Aufwand) ist es denn, dass Angreifer eine Adresse erstellen die 5, 6, 7, 8... Zeichen am Anfang und am Ende Identisch ist?!
Das geht doch in der copy paste Zeit gar nicht oder?

[mole0815]

Das geht doch in der copy paste Zeit gar nicht oder?

Das ist ausgeschlossen.
Und für jede Adresse, die ein potenzielles Scam Opfer per Strg + C kopiert, eine passende (erste 5 und letzte 5 Zeichen sind identisch) Adresse parat zu haben und in die Zwischenablage zu packen, damit sie mit Strg + V Sekunden später eingesetzt wird, ist genauso unrealistisch.
So gesehen ist man mit einem Check der ersten und letzten paar Stellen (mindestens das sollte man sowieso immer machen!) mMn. gut beraten.

[Lafu]

Ich schmeiß hier jetzt einfach mal einen Topic hier rein den ich bereits im Juli 2018 hier geschrieben habe !
Denke das alles erklärt sich dann fast alles von selbst und ich habe schon so oft darauf aufmerksam gemacht und ist nichts neues !
Clipboard Hijacker Malware Monitors 2.3 Million Bitcoin Addresses
Höchstwahrscheinlich haben sich die Methoden zu gunsten der Hacker noch verbessert !
Aber danke cygan für die Erinnerung daran das man nicht alles glauben sollte was man sieht !

[d5000]

Wie realistisch (=wieviel Aufwand) ist es denn, dass Angreifer eine Adresse erstellen die 5, 6, 7, 8... Zeichen am Anfang und am Ende Identisch ist?!

Ich habe dazu diesen Stackexchange Post gefunden. Dort wird die Frage gestellt, wie schwer es ist, die ersten 4 und die letzten 4 Zeichen gleich zu haben.

Die erste Antwort dazu gibt ein paar Anhaltspunkte, allerdings bleiben ein paar Zweifel:

Für Base58check ("Legacy Adressen") muss der Angreifer rund 2 Billionen Adressen generieren. Das hört sich nach nicht so viel an. Bei bech32 ("Segwit-Adressen") sind es nur eine Million, da nur Kleinbuchstaben und Zahlen verwendet werden. Das ist für heutige Computer trivial.

Nun scheint diese Antwort auf reiner Kombinatorik zu beruhen, allerdings sind die letzten Zeichen der Adressen ja Prüfsummen. Ich vermute, das erhöht den Aufwand noch mal um einiges. Dennoch sieht es gerade bei den Segwit-Adressen für mich nicht unmöglich aus, mit einer entsprechenden Serverfarm höhere Übereinstimmungen als 4+4 zu erreichen.

Anderer Ansatz: Vanitygen mit 8 Zeichen (am Anfang) sollte auf handelsüblichen PCs weniger als eine Sekunde dauern (2014 laut Bitcoinwiki: 10 Sekunden). Auch hier besteht natürlich das Problem der Prüfsumme.

Hab auch mal ein paar KIs gefragt. DeepSeek und ChatGPT kommen auf einen deutlich höheren Aufwand, wenn man die Prüfsumme bedenkt: DeepSeek 2⁴⁹ Versuche, das sind 562 Billionen Versuche (angeblich 82 Tage auf einer einzelnen handelsüblichen GPU) und das wäre wahrscheinlich zu kostenintensiv für den Hacker. ChatGPT sogar 2⁵⁵ (36 Billiarden). Gemini bleibt hingegen bei 2 Billionen für base32check, scheint die Prüfsumme zu ignorieren obwohl sie in der Antwort erwähnt wird. Alles ohne Gewähr, da die Ergebnisse voneinander abweichen ist die Wahrscheinlichkeit für Fehler groß ...

[MaxMueller]

Na das klingt doch beruhigend, zumindest was die Live-Generierung angeht. So in etwa hatte ich mir das auch vorgestellt.
Aber ja, wenn die Schadsoftware nur eine Onlinedatenbank abfragt, dann sieht die Sache schon anders aus. Wäre wohl möglich einfach kontinuierlich Adressen zu generieren und die zu nehmen die am besten passt. Und dann kommt auf Verteidigerseite ja auch noch die Statistik ins Spiel. Wenn 1000 Ziele angegriffen werden ist bestimmt 1 dabei wo eine passende Adresse in der Datenbank liegt und mit etwas Pech ist man genau das selbst.

Würde es denn zusätzlichen Schutz bieten wenn man sich selbst eine Vanity-Adresse erstellt und selber schon Rechenleistung rein steckt, vermutlich schon!? So nach dem Motto: die ersten 6-10 Stellen generiere ich selbst und dann merke ich mir noch die letzten 4-6.

[bct_ail]

Danke für die Übersetzung und wie immer, sollte muss jeder Bitcoinuser jeden einzelnen Schritt doppelt und dreifach überprüfen. Das gilt mittlerweile umso mehr, je höher der Bitcoinpreis ist.

Eigentlich wollte ich hier einen Tipp hinschreiben, der sich auf den ersten Punkt bei den Verhinderungsmöglichkeiten bezieht:
In Linux gibt es nämlich einige nette Kommandos, um die Prüfsumme aus einer Zahlen-/Zeichenfolge  generieren und anzeigen zu lassen, z.B. sha256sum oder md5sum.

Wenn aber die Adresse beim Einfügen ins Terminal schon geändert wird, ist mein Tipp natürlich obsolet, falls ein Linux System von so einer Clipboard Hijacker Malware kompromittiert wurde. Allerdings ist es bei Linux unwahrscheinlicher als bei Windows.

[Lakai01]

Na das klingt doch beruhigend, zumindest was die Live-Generierung angeht. So in etwa hatte ich mir das auch vorgestellt.
Aber ja, wenn die Schadsoftware nur eine Onlinedatenbank abfragt, dann sieht die Sache schon anders aus. Wäre wohl möglich einfach kontinuierlich Adressen zu generieren und die zu nehmen die am besten passt. Und dann kommt auf Verteidigerseite ja auch noch die Statistik ins Spiel. Wenn 1000 Ziele angegriffen werden ist bestimmt 1 dabei wo eine passende Adresse in der Datenbank liegt und mit etwas Pech ist man genau das selbst.

Ich glaube ganz ehrlich, dass die Schadsoftware nicht mal eine ähnliche Adresse generieren muss. "Wir" sind dementsprechend vorsichtig weil wir einfach schon sehr viel erlebt haben und kontrollieren bspw. die Adressen, an die wir versenden, sehr genau (oder nutzen Hardware-Wallets, wo man die Adresse nochmal verifizieren MUSS vor dem Senden). Zumindest ich überweise (größere) Beträge auch immer in 2 Schritten. Erst eine sehr kleine Summe, wenn die dann angekommen ist erst den größeren Rest.

Lieschen Müller (der Name ist jetzt natürlich nur zufällig so gewählt ;-) ) macht das aber gar nicht, sie versendet einfach die Coins an die Adresse. Einerseits damit das Ganze schnell geht, andererseits ist ihr das Gefahrenpotenzial auch gar nicht bewusst.