Trezor one gehacked

[nixwisser]

Den Vergleich mit einer e-mail, die nach sensiblen Daten fragt, ist etwas weit her geholt.
Bitte dann vielleicht mal diese Internetseite prüfen lassen.

Wenn sich trezor selbst mal zurückmelden würde, könnten die das übernehmen...

[bob123]

Dass die seeds für den Notfall sind ist klar, aber woher soll man wissen, dass es keiner ist, wenn das Programm sagt "Hallo, da stimmt was nicht mit dem update, seeds eingeben"?

Der Mnemonic Code eines Hardware Wallets sollte nie an einem Rechner eingegeben werden.

Ich glaube Trezor hat hier eine falsche Designentscheidung getroffen und fordert den Mnemonic Code immer über den Rechner an (aber mit einer Anzeige auf dem Trezor Bildschirm, die sagt welches Wort eingegeben werden soll).
Damit müsste der Angreifer trozdem noch 24! = 6.2*10²³ Kombinationen durchprobieren (was unmöglich ist).

Trozdem ist das meiner Meinung nach ein sehr schlechtes Design was eben zu solchen Situationen führen kann.
Besser ist es von vornherein zu sagen "Mnemonic Code nirgens außer direkt am HW Wallet eingeben" wie bei Ledger.

Nachher ist man immer schlauer und es ist dann einfach zu sagen "hätte", aber wenn die Hacker inzwischen so gut sind, dass die homepage aussieht wie immer ( das soll kein Lob sein! ), dann sind Normalanwender solchen Subjekten ausgeliefert.

Das ist leider sehr einfach und erfordert kaum Zeitaufwand.
Wenn du eine Webseite aufrufst, wird sie ja auch lokal auf deinem Rechner gespeichert. Eine Seite zu klonen bedarf gerade einmal einige Klicks mit der Maus.

Mit Mnemonic Code meinst Du mein Kennwort mit den 4-6 Ziffern?

Der Mnemonic Code ist das, was viele hier fälschlicherweise als "Seed" bezeichnen. Die 12- oder 24- stellige Kombination aus Wörtern.
Der Seed wird dann aus dem Mnemonic Code berechnet und ist eine 256 bit Zahl.

Inzwischen bin ich nicht nur tieftraurig, sondern auch enttäuscht und verärgert über ach so sichere Programme. Erst kürzlich haben wie noch ein Avira-Schutzpaket gekauft und selbst der hat das pishing nicht erkannt!

Leider bringt Antiviren Software selten etwas :/

Solch eine Software erkennt entweder bereits weit verbreitete und bekannte Malware- und Phishing seiten oder Malware welche sehr sehr auffällig agiert.
Alles andere bleibt unentdeckt, und es ist relativ einfach Malware zu erstellen die von keiner Antiviren Software erkannt wird.

Der eine Laptop läuft auf Windows 10, der andere auf Windows 7.

Windows 7 würde ich unter keinen Umständen mehr benutzen.
Das Betriebssystem ist outdated und besitzt viele bekannte und leicht auszunutzende Sicherheitsrisiken.

Am besten komplett verabschieden von diesem Betriebssystem.

[bct_ail]

Der eine Laptop läuft auf Windows 10, der andere auf Windows 7. Der neuere, den wir extra für Krypto gekauft haben, reagierte dann nicht mehr auf Buchstabeneingabe.

Welches war der erste Laptop und welcher für den zweiten Versuch. Wo habt ihr den neueren Laptop gekauft? Neu oder gebraucht?

[bob123]

Theoretisch kann ein in anderem Kontext eingefangenes Rootkit auch bewirken, dass der Hostname trezor.io zu einer anderen IP aufgelöst wird, auf welcher eine Fake-Website gehostet wurde.
Ich will aber nicht spekulieren was hier wirklich passiert ist.

Das müsste nicht einmal ein Rootkit sein.
Eine "ganz normale" Malware wäre dazu auch in der Lage. Zusammen mit der Kompromittierung des Browsers und/oder durch Einspeisung eines eigenen Zertifikates ist da dann auch das schöne grüne Schloss zu sehen.

Dass der eigne Rechner nicht kompromittiert ist, ist die Grundvoraussetzung für alle Sicherheitsprotokolle und -mechanismen im Internet.

Den Vergleich mit einer e-mail, die nach sensiblen Daten fragt, ist etwas weit her geholt.

Ist vielleicht nicht die beste Analogie, aber durchaus vergleichbar.

Bitte dann vielleicht mal diese Internetseite prüfen lassen.

Wenn sich trezor selbst mal zurückmelden würde, könnten die das übernehmen...

Ich bezweifle, dass Trezor hier irgendetwas überprüfen kann.
Deren Webseite ist mit sehr hoher Wahrscheinlichkeit nicht von irgendeinem Angriff betroffen gewesen.

Für mich klingt das nach entweder 1) Malware auf dem Rechner oder 2) Zugriff über eine Phishing Seite.

[Bitcoinanfaenger]

Inzwischen bin ich nicht nur tieftraurig, sondern auch enttäuscht und verärgert über ach so sichere Programme. Erst kürzlich haben wie noch ein Avira-Schutzpaket gekauft und selbst der hat das pishing nicht erkannt!

Leider bringt Antiviren Software selten etwas :/

Solch eine Software erkennt entweder bereits weit verbreitete und bekannte Malware- und Phishing seiten oder Malware welche sehr sehr auffällig agiert.
Alles andere bleibt unentdeckt, und es ist relativ einfach Malware zu erstellen die von keiner Antiviren Software erkannt wird.

Und wie kann man sich dann zusätzlich davor schützen außer brain.exe

[Lafu]

Für mich klingt das nach entweder 1) Malware auf dem Rechner oder 2) Zugriff über eine Phishing Seite.

Ich denke das es eine Phishing Seite war das zu all dem geführt hat !

Habe da mal noch etwas gefunden das könnte ein wenig aufschluß geben wegen dem seed.

Trezor will never ask for your recovery seed, and will never communicate with you by text regarding your device.
Do not trust anyone asking for your recovery seed; providing it will compromise your account and allow anyone to take your coins.

Source : https://blog.trezor.io/phishing-attacks-are-targeting-trezor-users-4edac4cb96fa

Und habe auch dies hier noch gefunden :

https://blog.trezor.io/phishing-attacks-used-to-steal-your-coins-recommended-reading-a39c0679c55d

[nixwisser]

Ihr kennt Euch alle so gut aus - hat nicht einer eine Idee, wie ich auch über so einen gemeinen Weg meine Coins wiederbekomme?  ( blöder Scherz! )

Gerne nehme ich Anregungen, wie ich in Zukunft verfahren soll.
Neuen Laptop? Was für eine wallet? Kein zusätzliches Virenprogramm mehr?

[bct_ail]

Ihr kennt Euch alle so gut aus - hat nicht einer eine Idee, wie ich auch über so einen gemeinen Weg meine Coins wiederbekomme?  ( blöder Scherz! )

Gerne nehme ich Anregungen, wie ich in Zukunft verfahren soll.
Neuen Laptop? Was für eine wallet? Kein zusätzliches Virenprogramm mehr?

Na, wenigstens hast du deinen Humor nicht ganz verloren.

Bevor du wieder durchstartest, lass uns doch erstmal erforschen, was da passiert ist. Selbstverständlich helfen wird dir bei einem Neustart, aber du solltest auch verstehen, was passiert ist, damit dir nicht wieder so etwas passiert.

Wir haben viele Fragen gestellt und wenn du die beantwortest, kommen wir der Ursache sicherlich näher.

[nixwisser]

Es drückt sehr in Magen- und Herzgegend, das kann ich beschwören. Zukunftspläne futsch.
Bleibt nichts anderes übrig, als fleissig weitersammeln und hoffen, dass alles an Wert ins unermessliche steigt.
Nochmal passiert uns das nicht!
Wenn mir etwas komisch vorkommt, habe ich ja nun hier nette Menschen getroffen, die ich fragen kann.

Habe ich irgendeine Frage nicht beantwortet?

[bct_ail]

Es drückt sehr in Magen- und Herzgegend, das kann ich beschwören. Zukunftspläne futsch.
Bleibt nichts anderes übrig, als fleissig weitersammeln und hoffen, dass alles an Wert ins unermessliche steigt.
Nochmal passiert uns das nicht!
Wenn mir etwas komisch vorkommt, habe ich ja nun hier nette Menschen getroffen, die ich fragen kann.

Habe ich irgendeine Frage nicht beantwortet?

Ich würde sagen, dass eure Zukunftspläne einfach einige Jahre verschoben sind. 

Ich weiß nicht, wie die Beantwortung bei anderen aussieht, aber ich habe dir oben zumindest noch Fragen gestellt.

Der eine Laptop läuft auf Windows 10, der andere auf Windows 7. Der neuere, den wir extra für Krypto gekauft haben, reagierte dann nicht mehr auf Buchstabeneingabe.

Welches war der erste Laptop und welcher für den zweiten Versuch. Wo habt ihr den neueren Laptop gekauft? Neu oder gebraucht?

Ansonsten gehe den Thread doch nochmal durch und schaue, ob alle Fragen beantwortet wurden. Es sei denn, du hast kein Interesse an einer Aufklärung.

[nixwisser]

Der neuere Lenovo hat Windows 10 und wurde 2017 neu gekauft (Media Markt).
Der alte Acer hat Windows 7, damals auch neu gekauft ( 2011? ), wird aber nicht für´s Internet genutzt.

[playersfun]

Also ich habe einen trezor.
Bei eigentlich keinem Update muss man seinen seed neu eingeben.
Das ist wohl genau das Problem.

[Buchi-88]

Also ich habe einen trezor.
Bei eigentlich keinem Update muss man seinen seed neu eingeben.
Das ist wohl genau das Problem.

Habe nur den Ledger, aber wenn man in einer Software den "SEED" eingeben müsste wäre ja der Sinn der HW Wallet verloren? Denke auch das ist das Problem, einen "SEED" wo eingeben hat immer einen faden Beigeschmack und da sollte man alles 3 mal kontrollieren, denke auch das man sich da was falsches auf den PC geladen hat.

Aber warum man nicht mehr ins Bios beim Laptop kommt ist mir auch schleierhaft, mir nicht bekannt das eine Schadsoftware ein Bios infiltriert (LoJax ist mir da noch im Hinterkopf aber sonst)? Schleierhaft... Die HDD wird auch erst später initialisiert, eventuell einmal versuchen ohne HDD/SSD ins Bios zu kommen 

https://support.lenovo.com/de/de/solutions/ht500222-recommended-ways-to-enter-bios-boot-menu-thinkpad-thinkcentre-thinkstation

[bct_ail]

Ich habe Schwierigkeiten, dass alles in den richtigen Verlauf zu bekommen.

Also ihr habt das 40%-Update zuerst über den neueren Laptop mit Windows 10 über WLAN an eurem Zweit-Wohnsitz gemacht. Später reagierte dieser Laptop nicht mehr auf Tasteneingaben. Zuhause habt ihr dann mit dem älteren Laptop (Windows 7), euren Trezor sowie einen neuen Trezor angeschlossen; beide haben nahezu nichts mehr auf dem Wallet angezeigt.
Ist das richtig so?

Dann folgende Fragen:
Von wo habt ihr beide Trezor gekauft?
Ist das euer Router an eurem Zweitwohnsitz? Ist der Passwortgeschützt?
Wo hatte euer Freund das Update vorgenommen? Auch in eurer Zweitwohnung?

[mole0815]

Ich hätte auch noch eine Frage.

Mehrere Transaktionen an drei Empfänger wurden angezeigt.

Wann genau gab es diese ausgehenden Transaktionen?
Nach dem ersten Versuch des Updates (was bei 40% beendet wurde)?
Oder zum Zeitpunkt als ihr das Gerät per Seed wiederherstellen wolltet?

[Lafu]

Wäre halt echt auch mal intressant von welchem link genau ihr das update gemacht habt !
Es ist nicht immer der richtige link der als ersters bei google auftaucht.
Ich bleibe immernoch dabei das es sich hier um eine phishing seite gehandelt hat wo der download dann gemacht wurde.
Höchstwahrscheinlich dadurch wurde dann der Laptop mit Malware oder Keylogger infiziert.

Hat du die datei noch wo angeblich das update gemacht werden sollte ?
Kann man ja mal auch durch Virustotal schicken und schauen was da rauskommt.

[Acura3600]

Geb doch mal die TX ID‘s von dem Transfer vom Hacker - Eventuell lässt sich was herausfinden.

[bob123]

Und wie kann man sich dann zusätzlich davor schützen außer brain.exe

Allgemein betrachtet, ein sicheres Betriebssystem zusammen mit brain.sh.
Auf Hardware Wallets bezogen: Niemals den Mnemonic Code irgendwo eingeben.

Gerne nehme ich Anregungen, wie ich in Zukunft verfahren soll.
Neuen Laptop? Was für eine wallet? Kein zusätzliches Virenprogramm mehr?

Hardware Wallets sind die beste Kombination aus Sicherheit und Nutzerfreundlichkeit. Damit fährt man eigentlich ganz gut.
Es ist eben nur wichtig den Mnemonic Code niemals in den Rechner einzutippen.

Und wenn doch, dann nur nach Aufforderung des Hardware Wallets. Einfach mal den Recovery Prozess von Trezor anschauen.
Nur so sollte der Mnemonic Code eingegeben werden, niemals anders.

Habe nur den Ledger, aber wenn man in einer Software den "SEED" eingeben müsste wäre ja der Sinn der HW Wallet verloren?

Naja, Trezor hat eine sehr schlechte Designentscheidung getroffen bei dem der Mnemonic Code in den Rechner eingetippt wird, aber in einer zufälligen Reihenfolge.
Die exakte Reihenfolge ist auf dem Bildschirm des Trezors sichtbar.
Wenn da der Rechner infiziert ist, hat der Angreifer zwar alle 24 Wörter, aber eben in falscher Reihenfolge. Das macht dann immer noch 24! = 6.2 * 10²³ verschiedene Möglichkeiten was nicht gebruteforced werden kann.

Trozdem ist das einfach eine blöde Entscheidung gewesen da sie die Nutzer zu falschem Verhalten (siehe dieser Thread) verleitet.

[Lafu]

Geb doch mal die TX ID‘s von dem Transfer vom Hacker - Eventuell lässt sich was herausfinden.

Ja das wäre mal ein Anfang und wir könnten uns die sache genauer anschauen wo die Coins hin gegangen sind .
Eventuell sind ja die Adressen irgendwo schon mal aufgetaucht oder gesehen worden .
Zudem kann man dann auch die Adressen reporten und melden so das diese gemarkt sind .
Bringt zwar nicht viel ist aber ein kleiner schritt um Aufmerksam darauf zu machen das es eine Hacker adresse ist .

[MM_Group_]

Trozdem ist das meiner Meinung nach ein sehr schlechtes Design was eben zu solchen Situationen führen kann.
Besser ist es von vornherein zu sagen "Mnemonic Code nirgens außer direkt am HW Wallet eingeben" wie bei Ledger.

Also ganz kurz dazu:
Ich habe sowohl Ledger als auch Trezor (allerdings den T) getestet und würde das so nicht unterschreiben.
Ich musste 1. NIE meinen Seed bei updates eingegeben bisher (gab es aber in der Vergangenheit wenn sonst Kompatibilitäten verloren gegangen wären) aber zum Wiederherstellen und co. habe ich meinen Seed wenn dann immer direkt am Trezor T eingegeben.

Ja die Passphrase wird bei Trezor am PC erfragt und nur auf einen extra Klick hin kann man auch am Gerät selber den Seed eingeben.
Ich habe mich am Ende bei Trezor (auch weil sie zuerst die Shamir Share Seed (Aufteilung des Seeds) am Laufen hatten) besser gefühlt.

-> Zum Thema hier: Coins weg. Nicht Trezor "Schuld". Nächstes mal: Passphrase benutzen!!!!! Die wird NIE bei einem update benötigt auch nicht wenn mit Seed wiederhergestellt werden muss! Außerdem kannst du mit einer Passphrase auch ein "fake" Wallet erstellen um gegen andere Szenarien gesichert zu sein.