Litecoins aus der Wallet geklaut

[omen]

Hallo Freunde der digitalen Coins,

ich musste heute (Mo.) Abend leider feststellen, daß sich irgendjemand Zugriff auf meine Litecoin Wallet am heimischen PC gemacht hat.
Eigentlich wusste ich um die Gefahren bezgl. des Internets und seine Gefahren. Aber wie zum Teufel hat es jemand geschafft eine Transaktion aus meiner Wallet zu generieren???     
Ich hatte einen Teil bei meinem Coin Dealer und einen Teil in meiner Wallet. Heute wollte ich von meinem "unsicheren Dealer" die Coins inmeine Wallet rüberziehen und was sehe sich da!?!?! Es wurde vor 2 Tagen die gesamte Wallet leergeräumt!
270 LTC = ca. 720€
 

Jetzt habe ich einige Fragen hierzu:
Wie wurde das angestellt?
Kann man das nachvollziehen?
vllt sogar zurückholen -> wunschdenken
Sollte ich meinen PC neu aufsetzten, AV findet keinen PC
hätte eine Wallet verschlüsselung das verhindert? <- habe ich heute nachgeholt <- zu spät anscheinend.

für konstruktive Antworten/Hilfe bin ich dankebar.

In diesem Sinne, cu....

[1713488894]

1713488894

[1713488894]

1713488894

[phantastisch]

Hallo Freunde der digitalen Coins,

ich musste heute (Mo.) Abend leider feststellen, daß sich irgendjemand Zugriff auf meine Litecoin Wallet am heimischen PC gemacht hat.
Eigentlich wusste ich um die Gefahren bezgl. des Internets und seine Gefahren. Aber wie zum Teufel hat es jemand geschafft eine Transaktion aus meiner Wallet zu generieren???     
Ich hatte einen Teil bei meinem Coin Dealer und einen Teil in meiner Wallet. Heute wollte ich von meinem "unsicheren Dealer" die Coins inmeine Wallet rüberziehen und was sehe sich da!?!?! Es wurde vor 2 Tagen die gesamte Wallet leergeräumt!
270 LTC = ca. 720€
 

Jetzt habe ich einige Fragen hierzu:
Wie wurde das angestellt?
Kann man das nachvollziehen?
vllt sogar zurückholen -> wunschdenken
Sollte ich meinen PC neu aufsetzten, AV findet keinen PC
hätte eine Wallet verschlüsselung das verhindert? <- habe ich heute nachgeholt <- zu spät anscheinend.

für konstruktive Antworten/Hilfe bin ich dankebar.

In diesem Sinne, cu....

Autsch, tut mir leid um deinen Verlust.

1) Möglicherweise über einen Trojaner , dein Dealer oder sonstwer mit möglichem Zugriff auf deinen Rechner.
2) Du kannst schauen wohin die Coins wandern. Aber eine Verknüpfung daraus ableiten kannst du direkt nicht.
3) Nein , das ist nicht möglich.
4) PC neuaufsetzen , er ist ab sofort nicht mehr sicher.
5) JA !

[fornit]

ohne walletverschlüsselung kann das alles gewesen sein. irgendeine unspezialisierte malware - oder auch jemand, der zugriff auf deinen rechner hatte.
den rechner neu aufsetzen ist jetzt mehr oder weniger pflicht.

ich habe zum thema bitcoins absichern btw einen blogartikel geschrieben: http://coinblog.de/archive/129
falls du noch größere bitcoin- oder litecoin-bestände hast, solltest du dir das vielleicht mal zu gemüte führen. evtl. war das für dich ja nur der schuss vor den bug, der dir hilft, später größere verluste zu vermeiden.

[Schabooza]

Ändere alle deine Passwörter zu wichtigen Accounts bspw Paypal!

Je nach Virus kann man ein paar Dinge zurückverfolgen allerdings ist das mit einem gewissem Schwierigkeitsgrad und Aufwand verbunden.

[Chefin]

vieleicht ein wenig spät, aber für dei Zukunft vieleicht nützlich:

Der Ratschlag sofort alles am PC löschen und kiste neu aufsetzen ist eines der blödsten Ratschläge. Damit verhindert man sehr effektiv die ausgenutze Lücke zu entdecken. Da der PC danach ja wieder in alter Weise benutzt wird, könnte sich das ganze wiederholen.

Heute sind es eher weniger die direkten Schadsoftware, die solche daten abgreift, sondern interaktive Verbindungen. Schadsoftware hat in der heutigen IT-Landschaft ein großes Problem: NAT-Router lassen es nicht zu das der trojaner nach draussen auf Herrchen lauscht. Die Schadsoftware muss erstmal völlig auf sich alleine gestellt agieren und Daten versenden. Erst jetzt kann Herrchen erkennen was er sich an Land gezogen hat und drauf reagieren. Aber auch nur, indem er neues Futter bereit stellt und dann wieder warten muss bis Trojaner das Futter abholt und verarbeitet.

Gute Schadsoftware die sich auch noch gegenüber Virenscanner gut versteckt wird nicht von Scriptkiddys zusammengeklickt sondern von hochbegabten Programmierern, meist sogar ganze Gruppen aufgrund der Komplexität und dann über Gieskannenprinzip möchlichst großflächig verteilt. Das setzt aber auch ergiebige Ziele voraus. Bitcoins dürften inzwischen ein Volumen haben um ins Visier solcher Menschen zu kommen. Litcoins eher nicht.

Und das der Virenscanner nichts gefunden hat, bestätigt ein bischen meine Vermutung, das die Lücke woanders war. Facebook, Twitter, Google+ und andere sind anfällig für Crossidescripting. Damit ist gemeint, das man in einem Tab zb Facebook offen hat und von einem anderen Tab diese Facebookverbindung übernommen wird. Nun kann man auf viele Funktionen in Facebook zugreifen, die aufgrund des HTTPS einen hohen Vertrauenswert geniesen. Schonmal überlegt warum man zb bei Facebook einfach so eine Datei hochladen kann? Normal macht man das nur mit Bildern, aber es funktionieren auch alle anderen Dateien. Und man wird vom browser nichtmal gefragt, ob man wirklich diese Bilder hochladen will. Wenn überhaupt, fragt das Facebook an. Also wenn Datei-upload möglich ist und man sich die Rechte über Fehler im System klauen kann, braucht man keine Schadsoftware mehr direkt auf dem System haben. Der Browser lädt die datei schön brav hoch auch wenn sie Wallet.dat heist. Und war diese unverschlüsselt...wars das.

Diese Methode ist von einem Virenscanner praktisch nicht zu erkennen, weil es ja die gewünschte Funktionalität ist. Sie wird nur von der falschen Seite aus initiiert. Die Sicherheitsmechanismen des Browsers greifen hier leider nicht, da der Browser meint die Hacker.com gehört zu Facebook bzw Facebook schickt ja die Aufforderung zum Upload(scheinbar).

Jedenfalls...ohne sich im Klaren zu sein, warum man gehackt wurde, führt dazu, das der Hack sich wiederholen kann. Deswegen würde ich die wallet-datei wegkopieren und erstmal nach der Lücke suchen. Wenn man keinen Virus findet(bitte dazu einen Boot-CD nutzen, damit der Virus/Trojaner nicht aktiv ist und sich auf diesem Weg versteckt), sollte man sich Gedanken machen über sein Nutzungsverhalten. Irgendwo hat man dort die Lücke. Manchmal reichen dann einfache Änderungen am eigenen Verhalten um den Fehler zu eliminieren. Findet man nichts...kann man auch danach noch den Rechner platt machen, aber man hat wenigstens versucht aus dem Fehler zu lernen.

PS: wenn man Schadsoftware auf dem PC vermutet sollte man natürlich nicht von diesem PC aus dei PW ändern. Man wird hoffentlich einen Freund haben der einem da aushilft mit einem sauberen PC.

[Toschi]

ich denke so etwas passiert nicht

[MrSegfault]

hätte eine Wallet verschlüsselung das verhindert? <- habe ich heute nachgeholt <- zu spät anscheinend.

Wichtig ist, dass du auf keinen Fall mehr irgendwelche Coins an eine Adresse aus diesem Wallet schickst.
Der Angreifer hat deine Private Keys und kann trotz Verschlüsselung alle Coins abgreifen, die an diese Adressen gehen!

[kimgina]

hätte eine Wallet verschlüsselung das verhindert? <- habe ich heute nachgeholt <- zu spät anscheinend.

Wichtig ist, dass du auf keinen Fall mehr irgendwelche Coins an eine Adresse aus diesem Wallet schickst.
Der Angreifer hat deine Private Keys und kann trotz Verschlüsselung alle Coins abgreifen, die an diese Adressen gehen!

gut zu wissen

[Polarstorm]

Habe nichts zum Thema zu sagen, wollte nur einfach mal ein "guter Post" da lassen für die Chefin.

[numismatist]

Das setzt aber auch ergiebige Ziele voraus. Bitcoins dürften inzwischen ein Volumen haben um ins Visier solcher Menschen zu kommen. Litcoins eher nicht.

...

Diese Methode ist von einem Virenscanner praktisch nicht zu erkennen, weil es ja die gewünschte Funktionalität ist. Sie wird nur von der falschen Seite aus initiiert. Die Sicherheitsmechanismen des Browsers greifen hier leider nicht, da der Browser meint die Hacker.com gehört zu Facebook bzw Facebook schickt ja die Aufforderung zum Upload(scheinbar).

1) Ja was denn sonst?! Die Katzenbilder stehlen?
NUR Litcoins (oder Bitcoins) sind das Ziel. Dafür wurden diese Währungen doch schließlich erfunden.

2) NICHTS zwingt dich diese ~/.*/wallet.dat genau dort aufzubewahren, wo die mit einem Blindschuss hineins in's Blaue gleich getroffen werden können.

Ach, und Facebook macht man sowieso nicht vom Terminal, auf dem mit Coins hantiert wird.