Achtung: recht gut gemachte Phishing-Mail: Fidor Bank warnt vor Sicherheitsmängeln bei Bitcoin.de

[YetAnotherBTCGeek]

Hallo zusammen,

mich hat heute die folgende Phishing-Mail erreicht - die zugegebenermaßen (auf den ersten Blick) gut gemacht ist:

Zitat

-------- Weitergeleitete Nachricht --------
Betreff:     Sicherheitshinweise zu Ihren Kryptowährungseinlagen
Datum:     Tue, 12 Feb 2019 01:19:09 +0000
Von:     Fidor Bank AG <Fidor-bank-ag-Kudenservice-de@onlinehome.de>
An:     [---]

  
    Sicherheitshinweise zu Ihren Kryptowährungseinlagen     
    Bitte beachten Sie folgende Hinweise     
    
Sehr geehrte [---],

leider müssen wir Ihnen mitteilen, dass bei unserem Partnerunternehmen (im folgenden Bitcoin Deutschland AG):

Bitcoin.de
Bitcoin Deutschland AG
Nordstraße 14
32051 Herford
Germany

gravierende Sicherheitsmängel festgestellt wurden.

Da wir, die Fidor Bank AG dem Kreditwesengesetz (KWG) unterliegen, sind wir dazu verpflichtet Ihnen diesen Umstand mitzuteilen.

Diesen Sicherheitsmangel hat unsere Sicherheitsabteilung bei den in den vergangenen Wochen sporadisch auftretenden API-Anbindungsfehlern, sowie dem temporären Ausfall der Währungswechselfunktion entdeckt.

Was bedeutet das für Sie?

Um die Einlagen unserer Kunden zu sichern, werden wir unseren Kunden umgehend ein sogenanntes "Coldstorage Wallet" postalisch zusenden.
Bei einem "Coldstorage Wallet" auch "Hardware Wallet" genannt, handelt es sich um einen physischen Speicherstick, welcher mit einem USB-Stick vergleichbar ist.
Dieser wurde eigens für die Aufbewahrung von Kryptowährungen entwickelt und besitzt im Gegensatz zu "Hot Wallets" keine direkte Anbindung an das Internet.

Cold Storage Wallets sind nur dem Inhaber zugänglich.

Ihnen wird innerhalb der nächsten 14 Tagen eine solche Cold Storage Wallet von der Firma Ledger SAS an die in Ihrem Konto hinterlegte Adresse zugesandt.

Bitte beachten Sie, dass Ihnen aus Sicherheitsgründen die Coldstorage Wallet inklusive Betriebsanleitung getrennt von den Zugangsdaten zugestellt wird.
Somit ist die maximale Sicherheit Ihrer Kryptowährungsbestände gesichert.

Die Zugangsdaten erhalten Sie per separater Post von uns.

Was muss ich nun unternehmen?

Aufgrund des Haftungsdaches gemäß § 2 Abs. 10 Satz 6 KWG unterliegt die Haftung bei Verlust ausschließlich bei der Fidor Bank AG.

Zusätzlich sind wir nach dem Einlagensicherungsgesetz (EinSiG) gesetzlich dazu verpflichtet Ihre Einlagen sicher zu verwalten und zu verwahren.

Aufgrund der aktuellen sicherheitsbezogenen Vorkommnisse transferieren Sie bitte Ihre Kryptowährungseinlagen der Bitcoin Deutschland AG auf die persönlich für Sie von uns eingerichteten, gesicherten Konten.

Bitte beachten Sie, dass diese persönlichen Kryptowährungseinlagekonten ausschließlich Ihnen zugeordnet sind um eine lückenlose Rückverfolgbarkeit zu gewährleisten.

Ihre persönlichen Einlagekonten der Fidor Bank AG lauten:

Bitcoin (BTC): 13[---]FF
Bitcoin Cash (BCH): qp[---]dz
Ethereum (ETH): 0x[---]9c
Bitcoin Gold (BTG): GV[---]5V
Bitcoin Cash SV (BSV): 18[---]pD

Nach Erhalt Ihrer Coldstorage Wallet und der Zugangsdaten, aktivieren Sie diese bitte umgehend. Ihre Kryptowährungseinlagen werden nach der Aktivierung vollautomatisch gutgeschrieben.

Die Gutschrift Ihrer Kryptowährungseinlagen erfolgt nach dem aktuellen Kurs der Bitcoin Deutschland AG.

Für die enstandenen Unannehmlichkeiten möchten wir uns ausdrücklich entschuldigen und versichern Ihnen das wir mit Hochdruck an einer Lösung arbeiten.

 

Mit besten Grüßen

Ihr Fidor Bank Team
    
    © 2019 Fidor Bank AG. Alle Rechte vorbehalten.

Handelsrechtliche Angaben finden Sie im Impressum unter https://www.fidor.de/legal-notice

Falls Sie von der Fidor Bank AG keine weiteren Informationen per E-Mail mehr erhalten wollen, klicken Sie bitte auf den Abmelde-Link in diesem Newsletter oder Ihrem Profil.
Hinweis: Wichtige Bankmitteilungen rund um Ihr Fidor Smart Girokonto (z.B. Konditionsänderungen: Konto/ Bonusprogramm/ Community) erhalten Sie auch ohne Zustimmung zum Newsletter. Darüber hinaus sind wir gesetzlich dazu verpflichtet, unsere Kunden über AGB- und Datenschutzänderungen zu unterrichten

Die roten Hervorhebungen stammen von mir.

Ich hoffe, dass kein Empfänger dieser Mail auf die absurde Idee kommt, seinen Coin-Bestand auf eines der genannten Konten zu überweisen - und will hier nur meine Erfahrung teilen, da ich wahrscheinlich nicht der einzige bin, der angeschrieben wurde...

[Christoph Bergmann]

Auch hier, danke für den Hinweis.

[skunk]

Ich muss mal so blöd fragen. Woher haben die ihre Daten? Spontan würde ich da auf ein unsicheres Passwort oder API Keys tippen. Es muss ja einen Grund geben warum ihr eine Mail bekommt und ich bisher noch auf meine Mail warten muss. Ich will auch eine!

[MalteBosch]

Freue mich auf das Hardware Wallet ...

Malte

[RGarbach]

Gleiche Kombi, aber auch bei mir keine Mail..

Wie hat sich bei euch die Verbindung herstellen lassen?

(Mindestens) Ein Account von euch müsste kompromittiert (gewesen) sein, sonst hätte der Angreifer eure E-Mail Addresse nicht herausgefunden.

Bearbeitet 12. Februar 2019 von RGarbach
Typo

[skunk]

vor 33 Minuten schrieb RGarbach:

(Mindestens) Ein Account von euch müsste kompromittiert (gewesen) sein, sonst hätte der Angreifer eure E-Mail Addresse nicht herausgefunden.

Das lässt sich weiter eingrenzen. Es gibt ja 3 Gruppen. Die meisten von uns gehören in die Gruppe, die sowohl ein Fidor als auch ein Bitcoin Konto haben. Es gibt aber auch einige wenige mit Fidor aber ohne Bitcoin Konto und andersrum.

Genau einer dieser beiden entscheidenen Gruppen hat ebenfalls die Mail bekommen obwohl er kein Bitcoin Konto hat. Damit wissen wir woher die Daten stammen.

https://community.fidor.de/smart_questions/halloele-wie-ist-den-die-bitco/create_answer?page=1

Edit: Man findet auch diverse andere Warnung bezüglich ähnlicher Mails. Alle rund um Fidor. Das ist bei denen also kein Einzelfall.

Bearbeitet 12. Februar 2019 von skunk

[skunk]

Fidor arbeitet mit mobile Tan. Selbst wenn ein Angreifer irgendwie an euer Passwort kommt, kann er trotzdem nicht viel in eurem Account machen. Er kann aber die persönlichen Daten kopieren und für Phishing Mails verwenden.

Ich gehe daher davon aus, dass der Angreifer euer Passwort kennt. Wer so eine Mail erhalten hat sollte daher besser sein Passwort ändern. Nutzt ihr das gleiche Passwort auch bei euer Mail Adresse dann auch da besser das Passwort wechseln. Da wir aktuell nicht bitcoin.de komplett ausschließen können solltet ihr dort ebenfalls euer Passwort ändern.

Anders kann ich mir nicht erklären warum ihr ne Mail bekommt ich aber nicht. Wäre es ne Grundsätzliche Sicherheitslücke dann würden wir wohl alle eine Mail erhalten. Das sieht mir eher nach Brute Force aus. Ich wüßte was ich mit den Daten machen würde. Also besser vom schlimmsten ausgehen und die Passwörter ändern.

[skunk]

Nachtrag: Mal angenommen der Angreifer hat die Hash Liste aller Passwörter kopiert. In dem Fall wird er Jahrhunderte brauchen um mein Passwort zu erraten. Da ich aber paranoid bin generiere ich mir fix ein neues Passwort. Dann wird der Angreifer in hundert Jahren mit dem alten Passwort garantiert nichts anfangen können. Insofern wäre es wohl ratsam jeder von uns wechselt sein Passwort unabhängig davon ob Mail erhalten oder nicht.

Bearbeitet 12. Februar 2019 von skunk

[skunk]

Ich habe gerade ebenfalls eine Email erhalten. Angeblich eine AGB Änderung und ich sollte mir die neuen Dokumente doch online ansehen. Ein Link auf http info fidor de wo mich dann vermutlich Maleware erwartet. Sollte die Email tatsächlich von Fidor stammen so haben sie gegen ihre eigenen Sicherheitsregeln verstoßen. Das kann ich mir irgendwie nicht vorstellen.