Coinbase Hack - 100.000€ weg und Coinbase reagiert nicht!

[ChristophSch]

vor 6 Minuten schrieb Fantasy:

Das habe ich nicht behauptet  es wäre sowieso arg armselig, wenn man hier was erfindet um ein bisschen Aufmerksamkeit zu bekommen.

 

Die Polizei kennt sich also aus...

...hat aber trotzdem keinen Plan  Was soll denn dieser Blödsinn? Was hat ein gehackter Account bei Coinbase mit dem Datenleck von Ledger zu tun?

 

Naja die Geschichte ist in sich nicht schlüssig - hast du noch Zugriff auf den Mailaccount? Ich gehe mal davon aus. Hast du da das Passwort geändert? Sind alle anderen Mails noch da? Sind die "ich authorisiere dieses Gerät" Mails von Coinbase noch da?

Bei welchem Maianbieter bist du? Kannst du da Kontakt aufnehmen und fragen, ob sie dir helfen können. Mit welchem Browser, Betriebssystem, Standort etc. hat man sich eingeloggt - wann wurde das letzte Mal das Passwort geändert etc. Wenn sie dir die Daten nicht rausgeben (wollen), dann müssen sie es für die Ermittlungsbehörden trotzdem tun.

 

Funktioniert deine Google-Auth App noch, also wird dir da immer wieder ein neuer Code für Coinbase angezeigt? Wo hast du den Wiederherstellungs-Schlüssel abgespeichert? Lokal auf deinem PC?

Moin! Das wäre in der Tat armeselig   Habe mich da bei den Kommentaren bei Facebook schon drüber gewundert, dass überhaupt jemand anzweifelt, ob die Geschichte stimmt.

Habe noch Zugriff. Leider ist da keine einzige Mail an oder vom Hacker zu sehen. Account ist bei Web.de, habe schon angefragt wegen möglichen Fremdzugriffen aber noch keine Antwort. Genau, die Polizei hat sich da auch schon eingeschaltet - und ist jetzt auch mit Coinbase in Kontakt.

Ja, da wird immer wieder ein neuer Code für Coinbase und Co gezeigt. Die App läuft. Hatte den Wiederherstellungsschlüssel lokal auf den PC gespeichert. Jetzt habe ich ihn nur noch ausgedruckt in der Wohnung.

[ChristophSch]

vor 6 Minuten schrieb battlecore:

Sorry, Coinbase verschickt keine SMS auf Russisch. Das ist mal Fakt.

Moin! Ist exakt die deutsche Mail nur auf Russisch übersetzt. Telefonnummer exakt gleich, Sperre hat ja auch funktioniert, war nur leider 6 Minuten zu spät. Vielleicht lag die russische Sprache am Standort des Hackers?

[Fantasy]

vor 2 Minuten schrieb ChristophSch:

Hatte den Wiederherstellungsschlüssel lokal auf den PC gespeichert.

Ouch - da haben wir doch schon die Sache eingegrenzt - vermute einen Trojaner auf deinem PC.

So "passt" deine Geschichte jetzt auch. Tut mir leid es so hart auszudrücken, aber du hast fahrlässig gehandelt und es den Hackern wirklich sehr einfach gemacht.

Schade - ich denke dein Geld ist für immer verloren 

[Cricktor]

Rechner und/oder Smartphone könnte man als kompromittiert ansehen. Mit IT-Erfahrung würde ich ein vollständiges Image für ggf. spätere Forensik sichern, anschließend Rechner und Smartphone komplett plattmachen und eine Neuinstallation vornehmen. Anzeige bei Polizei auf jeden Fall machen, auch wenn die Chancen schlecht stehen. Aber es klingt so, als hätte @ChristophSch das ja schon gemacht.

Falls du wider Erwarten einen guten Passwort-Manager verwendet hast, müsste man ggf. davon ausgehen, daß sämtliche deiner Accounts und Passwörter "verbrannt" und als kompromittiert anzusehen sind, falls der Angreifer tatsächlich weitgehenden Zugriff auf deinen Rechner hatte (Trojaner, Malware, whatever). Der Worst-Case wäre sogar ein kompromittiertes UEFI-BIOS, wo die Malware persistent auch eine Neuinstalltion nach Secure Erase der Massenspeicher überleben könnte. Aber so "wertvolle" Malware würde ich für so eine Abzocke nicht annehmen.

Wie gut war dein Passwort für deinen Email- und Coinbase-Account? Es heisst jetzt auch aus den Fehlern zu lernen, die man womöglich gemacht hat. Zu viele Menschen verwenden grottenschlechte Passwörter, häufig noch dasselbe für mehrere Accounts. Kannst ja auf https://haveibeenpwned.com mal checken. Dann ist auch die Frage zu klären, habe ich mir tatsächlich Malware auf den Rechner geholt? Wenn ja, ggf. wie? Warum mache ich evtl. auf einem Rechner alles mögliche und hantiere damit auch auf Seiten mit Werten im 6stelligen Bereich?

 

Bearbeitet 12. Mai 2021 von Cricktor

[ChristophSch]

vor 47 Minuten schrieb Fantasy:

Ouch - da haben wir doch schon die Sache eingegrenzt - vermute einen Trojaner auf deinem PC.

So "passt" deine Geschichte jetzt auch. Tut mir leid es so hart auszudrücken, aber du hast fahrlässig gehandelt und es den Hackern wirklich sehr einfach gemacht.

Schade - ich denke dein Geld ist für immer verloren 

Das ist es ja! Habe schon mehrere Virenscans durchlaufen lassen. Alles in Ordnung -.-

[ChristophSch]

vor 24 Minuten schrieb Cricktor:

Rechner und/oder Smartphone könnte man als kompromittiert ansehen. Mit IT-Erfahrung würde ich ein vollständiges Image für ggf. spätere Forensik sichern, anschließend Rechner und Smartphone komplett plattmachen und eine Neuinstallation vornehmen. Anzeige bei Polizei auf jeden Fall machen, auch wenn die Chancen schlecht stehen. Aber es klingt so, als hätte @ChristophSch das ja schon gemacht.

Falls du wider Erwarten einen guten Passwort-Manager verwendet hast, müsste man ggf. davon ausgehen, daß sämtliche deiner Accounts und Passwörter "verbrannt" und als kompromittiert anzusehen sind, falls der Angreifer tatsächlich weitgehenden Zugriff auf deinen Rechner hatte (Trojaner, Malware, whatever). Der Worst-Case wäre sogar ein kompromittiertes UEFI-BIOS, wo die Malware persistent auch eine Neuinstalltion nach Secure Erase der Massenspeicher überleben könnte. Aber so "wertvolle" Malware würde ich für so eine Abzocke nicht annehmen.

Wie gut war dein Passwort für deinen Email- und Coinbase-Account? Es heisst jetzt auch aus den Fehlern zu lernen, die man womöglich gemacht hat. Zu viele Menschen verwenden grottenschlechte Passwörter, häufig noch dasselbe für mehrere Accounts. Kannst ja auf https://haveibeenpwned.com mal checken. Dann ist auch die Frage zu klären, habe ich mir tatsächlich Malware auf den Rechner geholt? Wenn ja, ggf. wie? Warum mache ich evtl. auf einem Rechner alles mögliche und hantiere damit auch auf Seiten mit Werten im 6stelligen Bereich?

 

Danke dir für deine Einschätzungen! Oh glaube mir.. bei der Summe habe ich definitiv draus gelernt. Wünschte Hack + Learning wären im Bearmarket passiert.. 😉

Genau, ist alles gesichert. Neue Email habe ich auch. Passwörter waren wirklich gut und auch regelmäßig erneuert...

[Fantasy]

vor 3 Minuten schrieb ChristophSch:

Habe schon mehrere Virenscans durchlaufen lassen. Alles in Ordnung -.-

Das muss nichts heißen.

Jemand, der dir unbemerkt einen Trojaner etc. unterjubelt, kann ihn genauso wieder verschwinden lassen.

Ansonsten muss ich @Cricktor vollumfänglich zustimmen.

[Cricktor]

Der Virenscan müsste von einem sicher unkompromittierten Datenträger aus starten, sonst kannste das knicken. Außerdem müsste der Virenscanner dann auch noch die Malware erkennen können, was nie zu 100% garantiert werden kann. Dein Betriebssystem darf da dann nicht die Basis sein, da es nicht mehr zu vertrauen ist. Sozusagen "offline-Virenscan" mit 'nem eigenen Betriebsystem, meist auf Linux-Basis. Ich würde hier auch nicht dem offline-Windows Defender mehr vertrauen, wenn der PC selbst als kompromittiert anzusehen ist.

Überprüfen müsste man *alle* Rechner bzw. Geräte, mit denen du z.B. auf deinen Email-Account zugegriffen hast. Smart-TV im Haus und ggf. damit auch mal auf deinen Email-Account zugegriffen? Solche Teile bekommen nicht übermäßig oft Security-Fixes. Ich würde mir auch überlegen, für Crypto einen ganz eigenen Email-Account anzulegen, mit dem ich garnichts mache, nur die Emails von Börsen etc. pp., d.h. der wird niemals für andere Zwecke irgendwoanders eingegeben oder offengelegt.

Bearbeitet 12. Mai 2021 von Cricktor

[HDClock]

vor 2 Stunden schrieb Fantasy:

Ähm, nein?! Wo hast du das her? Benenne bitte die Quelle.

aus der einfachen Tatsache des An- und Verkaufs von Coin xy innerhalb der unterjährigen Frist.

Mehr ist an der Börse ja erst mal nicht ersichtlich. Und wie will man Beweisen, das der Tausch in BTC nicht der eigene war? Und man kein Zugriff mehr auf die (BTC)Coins hat.

Alle Anzeigen, Polizei Protokolle etc. gut aufheben.

Und ich schrieb ja: gut dass da jetzt also keine 100.000er auszucashen sind und auf das eigene Konto wandern, das erspart ja erst mal jede Nachfrage der Finanzbehörden.

Oder hast du in der Vergangenheit schon crypto Gewinne angegeben, kennen die deine Wallets?

[wwurst]

vor 20 Minuten schrieb Cricktor:

Der Virenscan müsste von einem sicher unkompromittierten Datenträger aus starten, sonst kannste das knicken.

c't desinfect kann da gleich vier verschiedene Scanner loslassen. Kostet für nicht-Abonennten 5,20€ https://www.heise.de/download/product/desinfect-71642

[Fantasy]

vor 11 Minuten schrieb HDClock:

Und wie will man Beweisen, das der Tausch in BTC nicht der eigene war?

Ich denke da irrst du dich.

Da muss die (Finanz)-Behörde schon MIR nachweisen, dass ich das tatsächlich getauscht hab und das Geld zu mir geflossen ist.

Am besten man trackt das und trägt sie als "Verlust" aus. Große Befürchtungen, dass ich irgendwas versteuern muss, was ich nicht mal mehr besitze, muss ich nicht haben - also bitte, lassen wir die Kirche im Dorf

Abgesehen davon habe ich mit meinem zuständigen Finanzamt wirklich nur gute Erfahrungen gemacht - wenn man etwas glaubhaft darlegt, dann passt das schon.

[pauli]

vor 8 Stunden schrieb ChristophSch:

 

Moin zusammen!

Mein Coinbase Account (Plattform für den Handel mit Kryptowährungen) mit Kryptowährungen im Gegenwert von etwa 100.000€ wurde gehackt. 

Trotz 2-Faktor-Authorisierung mit Google Authenticator App hat ein Hacker am 08.05.2021 alle meine Coins in Bitcoin umgetauscht und auf eine andere Adresse (3NL9onuapzDtuGzfGNS2QwdVVaEByaPnjs) übertragen.
 

 

Hallo,

vielleicht hast du ja geirrt oder nicht genau angegeben. Du schreibst " alle Coins in Bitcoin umgetauscht und auf eine Adresse übertragen". Aber auf dieser Adresse liegen nur 0,79 BTC. Da gibt es nur 2 Eingänge, keine Ausgänge. 0,79 BTC sind allerdings weit von 100 000€ Wert entfernt. Bin etwas ratlos🧐

Gruß Pauli

[ChristophSch]

vor 4 Minuten schrieb pauli:

Hallo,

vielleicht hast du ja geirrt oder nicht genau angegeben. Du schreibst " alle Coins in Bitcoin umgetauscht und auf eine Adresse übertragen". Aber auf dieser Adresse liegen nur 0,79 BTC. Da gibt es nur 2 Eingänge, keine Ausgänge. 0,79 BTC sind allerdings weit von 100 000€ Wert entfernt. Bin etwas ratlos🧐

Gruß Pauli

Moin Pauli! Er hat erst Chainlink und Ada in BTC umgetauscht. Dann hat er BTC und ETH über mehrere Transaktionen auf seine Wallet geschoben.

[ratzfatz]

vor 2 Stunden schrieb Fantasy:

vor 3 Stunden schrieb ChristophSch:

Der Kommissar hatte vermutet, dass der Angriff auch mit dem Ledger Hack vor einigen Jahren zusammenhängt.

...hat aber trotzdem keinen Plan  Was soll denn dieser Blödsinn? Was hat ein gehackter Account bei Coinbase mit dem Datenleck von Ledger zu tun?

Die Aussage der Polizei kann schon Sinn machen. Mit dem ledger hack hat man alle Daten für einen raffinierten Phishing Angriff per E-Mail oder eventuell Fake SMS. 

[Fantasy]

vor 21 Minuten schrieb ratzfatz:

Die Aussage der Polizei kann schon Sinn machen.

Nein, das hast du falsch verstanden. Die Anzeige/Aussage bei der Polizei ist auf jeden Fall wichtig und grundsätzlich zu machen.

Ich meinte nur, der Kommissar sieht da einen Zusammenhang zwischen Ledger Datenleck und den Coinbase Hack.

Da fehlt mir die Fantasy dafür

[Arther]

Am 12.5.2021 um 16:42 schrieb Fantasy:

...hat aber trotzdem keinen Plan  Was soll denn dieser Blödsinn? Was hat ein gehackter Account bei Coinbase mit dem Datenleck von Ledger zu tun?

Da kannst du dir keinen Reim drauf machen? Dann fehlt es dir vielleicht etwas an krimineller kreativität, was ja nicht unbedingt schlecht ist ;-).

Sehe gerade nachträglich, du hast es nochmal erwähnt. Also der Punkt ist, dass der Hack potenziell lohnenswerte Ziele in Form von E-Mail Adressen identifiziert hat. Die selbe E-Mail Adresse hat er womöglich auch bei Coinbase verwendet. Dazu kommt, als Beispiel, leaks gibt es ja nicht erst seit gestern und Menschen benutzen gerne immer wieder das selbe Passwort, von mir aus in ein paar Varianten und nicht alle Websites haben in den letzten 10 Jahren sicherer Hash-Verfahren für die Passwörter verwendet. Zuweilen gab es auch Leaks von Telefonnummern, z.B. bei Facebook oder Instagram.

Bearbeitet 13. Mai 2021 von Arther

[roemer]

Am 12.5.2021 um 15:13 schrieb Arther:

Diebesgut u.ä. muss eigentlich immer auch versteuert werden in Deutschland.

Der Bestohlene muss das nicht versteuern, er bracht dafür einen Zufluss der hier ja fehlt.  Die Notwendigkeit eines Zuflusses bei Einnahmen enthält § 11 Abs. 1 Satz 1 EStG. Zudem wird das FA de facto ohnehin nicht auf ihn aufmerksam, solange er nicht in Euro tauscht. Genau deshalb tauschen ja viele Leute nicht in Euro sondern kaufen sich Uhren und Autos von den Coins, statt sie auf irgendwelchen Börsen zu wechseln.

[roemer]

Du schreibst mehrfach, dass Du das Passwort oft geändert hast, das war aber noch nie sinnvoll und wird auch mittlerweile nicht mehr empfohlen, weil jede Änderung auch das Risiko eines Abgreifens birgt: https://t3n.de/news/bsi-raet-regelmaessigem-ab-1249147/

Nach vielen Jahren ist dann auch mal das BSI gefolgt.

[koiram]

vor 3 Minuten schrieb roemer:

Genau deshalb tauschen ja viele Leute nicht in Euro sondern kaufen sich Uhren und Autos von den Coins, statt sie auf irgendwelchen Börsen zu wechseln.

Wer deshalb gerade 1,5 BTC oder 18 ETH gegen ein Auto tauschen möchte: Jaguar F-Type

[roemer]

vor 9 Minuten schrieb koiram:

Wer deshalb gerade 1,5 BTC oder 18 ETH gegen ein Auto tauschen möchte: Jaguar F-Type

Schöne Farbe!

Aber mir wäre er zu laut 🙂

 

[roemer]

Am 12.5.2021 um 12:16 schrieb battlecore:

Die Telefonnummer von der Coinbase diese Info-SMS sendet kann man nicht anrufen.

Wenn du doch dort angerufen hast und da ging jemand ran, dann war das ein Fake. So einfach ist das.

Das geht sehr wohl, Du bekommst bei Coinbase bei jeder Passwortänderung so eine SMS und da geht auch genau Coinbase ran.

[roemer]

Am 12.5.2021 um 16:47 schrieb battlecore:

Sorry, Coinbase verschickt keine SMS auf Russisch. Das ist mal Fakt.

Du musst einfach nur Russisch als Sprache einstellen, dann kommt die SMS aber ganz sicher auf Russisch.  Geht übrigens auch auf Türkisch.

[ChristophSch]

vor 11 Stunden schrieb roemer:

Du musst einfach nur Russisch als Sprache einstellen, dann kommt die SMS aber ganz sicher auf Russisch.  Geht übrigens auch auf Türkisch.

Danke für den Hinweis! Dann hat der Hacker den Account auf Russisch umgestellt, damit er beim Umtausch/bei den Transaktionen der Coins klar kommt.. 

[battlecore]

vor 15 Stunden schrieb roemer:

Du musst einfach nur Russisch als Sprache einstellen, dann kommt die SMS aber ganz sicher auf Russisch.  Geht übrigens auch auf Türkisch.

Ja aber es geht ja offensichtlich um Deutsch, dann sendet Coinbase die SMS garantiert nicht auf russisch. 

[roemer]

Die Fälle häufen sich, hier fast identisch:

https://www.btc-forum.de/forum/index.php?thread/38-coinbase-account-gehackt-mit-riesenschaden-hilfe/