Zum Inhalt springen

Vorsicht! Electrum unter Windows10

david19

Von david19
in Technik, Entwicklung & Sicherheit

 Teilen

Empfohlene Beiträge

david19

david19

Geschrieben
Geschrieben

Ich nutze schon seit 2018 Electrum und bin sehr zufrieden. Hauptsächlich benutze ich es in einer virtuellen Ubuntu Linux Maschine, derzeit ohne Probleme.

Gleichzeitig habe ich 2020, Electrum mit der gleichen Wallet auf Windows benutzt. Eins vorab: Das letzte Update, habe ich von der orginal Seite herunter geladen. Soweit so gut.

Von Windows10: Gestern wollte ich 30 Euro in BTC als Test, nach Bitpanda überweisen. Adresse wurde korrekt eingegeben. Nachdem die Transaktion bestätigt wurde, sah ich, das meine Coins auf eine andere Wallet überwiesen wurde. Die Maleware, ersetzt quasi nachdem senden, die Empfänger Adresse ohne das man es merkt. 

Um sicher zu gehen, habe ich nochmal 30 Euro nach Bitpanda geschickt. Das Gleiche Spiel wie vorher.

Von meinem Linux: Danach habe ich von der gleichen Wallet, allerdings von Linux, wieder 30 Euro überwiesen, diesmal ohne Probleme.

Ich habe jetzt diese Wallet trotzdem entfernt, in Win10 sowie Linux.

Ich muss dazu sagen, das ich 2020 mehrfach Überweisungen von Win10 gemacht hatte, ohne Probleme.

Es wäre die Hölle gewesen, wenn ich gleich alles gesendet hätte, da wären alle Bitcoins weg!

Zum Glück hatte ich damals schon von @Jokin gelesen, das man immer mit kleinen Beträgen anfangen soll, wenn eine Weile nichts passiert ist. Puhh... das war echt knapp.

 

Also ich weiß nicht, wo diese Maleware her kam, ich kann nur sagen, das ich unter Win10 immer von der orginalen Seite das Update drauf gespielt hatte. Es war auch die aktuellste Version. Die Maleware muss sich irgendwie anders eingeschlichen haben. Ebenfalls muss ich anmerken, das 2fa aktiviert war. Vermutlich konnte deswegen die Malware, das Wallet nicht abräumen. Aber das ist nur eine Vermutung.

 

Ich werde trotzdem Electrum weiter nutzen, aber nicht in Windows. Also nicht vergessen, immer erstmal mit kleinen Beiträgen testen, wenn das Wallet 1 Jahr geschlafen hat🙂

  • Thanks 2
  • Like 1
Link zu diesem Kommentar
Auf anderen Seiten teilen
bulsan

bulsan

Geschrieben
Geschrieben

Zu den offiziellen Electrum-Releases gibt es auf der Originalseite auch digitale Signaturen, und die public keys der Entwickler.

Hattest du die vor dem Installieren überprüft? Falls du dir mit der Originalsoftware absolut sicher bist, dann wäre dein Win10-System kompromittiert. Und wenn das dein Antivirus nicht bemerkt, dann ist da ganz dringend plattmachen und von Grund auf neuinstallieren angesagt. Und nie wieder Finanztransaktionen von einem System aus tätigen, das auch zum Surfen benutzt wird.

  • Love it 1
  • Like 1
Link zu diesem Kommentar
Auf anderen Seiten teilen
david19

david19

Geschrieben
  • Autor
Geschrieben (bearbeitet)
vor 35 Minuten schrieb bulsan:

Zu den offiziellen Electrum-Releases gibt es auf der Originalseite auch digitale Signaturen, und die public keys der Entwickler.

Hattest du die vor dem Installieren überprüft? Falls du dir mit der Originalsoftware absolut sicher bist, dann wäre dein Win10-System kompromittiert. Und wenn das dein Antivirus nicht bemerkt, dann ist da ganz dringend plattmachen und von Grund auf neuinstallieren angesagt. Und nie wieder Finanztransaktionen von einem System aus tätigen, das auch zum Surfen benutzt wird.

Die Digitalen Signaturen hatte ich 2018 für mein Linux geprüft. Aber 2020 nicht für mein Windows10. Aber es wurde definitiv immer von der orginalen Seite das Update gezogen. Aber mir fällt noch was ein:

Ich hatte wie gesagt 2020 die gleiche Wallet auf Win10 verwendet. Auch mit größeren Summen. Danach hatte ich diese Wallet nicht mehr angefasst, weder in Win10 noch Linux. Im November 2021 habe ich mich auf Windows10 wieder eingeloggt. Und dort wurde mir ein Update vorgeschlagen, da es noch eine 3 Version war. Ich habe aber nicht auf Update geklickt, sondern bin auf die Orginalseite gegangen. Electrum komplett deinstalliert und die neue installiert. Aber: Die Registerfiles hatte ich nicht gelöscht.

Nachdem Update war auch alles schick, habe fleißig auf diese Adresse meine BTC überwiesen. Und erst gestern, war seitdem die erste Überweisung, und da ist mir das aufgefallen.

Ja genau, man muss echt verdammt aufpassen, weil wie gesagt, man merkt es nicht. Ich hatte 10mal die Empfängeradresse kontrolliert. Bringt aber nichts, wenn das danach Überschrieben wird. 

Ich habe mal für euch von der alten Wallet Screenshots gemacht.

Hier der erste Versuch: Mit 80 Bestätigungen🙄

https://ibb.co/GRgLzVY

Der zweite Versuch:  74 Bestätigungen🙄

https://ibb.co/LYZhynZ

Und jetzt von Linux Ubuntu alles super: 16 Bestätigungen

https://ibb.co/vVDW61R

Bearbeitet von david19
Link zu diesem Kommentar
Auf anderen Seiten teilen
bulsan

bulsan

Geschrieben
Geschrieben

Läuft deine Linux-VM unter Win10?

Je nachdem, welchen Tastaturtreiber du benutzt, könnte ein Keylogger, falls du dir so was im Win10 eingefangen hast, auch da alle Eingaben mitschreiben. Vielleicht scheitert er beim Einfügen ins Linux-Electrum, aber wer weiss wo er deine Eingaben sonst noch hinschickt. Also: plattmachen.

  • Love it 1
Link zu diesem Kommentar
Auf anderen Seiten teilen
biker_70599

biker_70599

Geschrieben
Geschrieben

Ich hatte auch mal das Vergnügen, mich kurz min Win10 auseinandersetzen zu dürfen.

Neues Notebook gekauft (Lenovo Yoga, mit Touchscreen). Win10 war vorinstalliert.

Gestartet. Installer fragte nach einer MailAdresse.

Hab sofort die Festplatte formatiert und Ubuntu drauf getan. Dort läuft alles sehr Elegant in abgeschirmten LXC-Containern. Da kann so was konzeptionell gar nicht passieren.

 

Trotzdem interessant und eine Warnung für alle, die mit unsicheren Systemen Bankgeschäfte tätigen.

  • Like 1
Link zu diesem Kommentar
Auf anderen Seiten teilen
Arther

Arther

Geschrieben
Geschrieben (bearbeitet)
29 minutes ago, bulsan said:

Also: plattmachen.

Alle Keys die das Hostsystem oder auch die Linux-VM berührt haben sind als kompromittiert anzusehen. Ebenso das ganze System, also auch LInux.

  

27 minutes ago, biker_70599 said:

Da kann so was konzeptionell gar nicht passieren.

Doch natürlich, einen Schutz Hostsystem -> Gastsystem gibt es nicht.

  

27 minutes ago, biker_70599 said:

die mit unsicheren Systemen Bankgeschäfte tätigen

Sicherheit definiert sich nicht über das verwendete Betriebsystem, darüber hinaus sind normale Bankgeschäfte durch die seit Jahren vom Staat vorgeschriebene 2FA abgesichert gegen solcherlei Diebstahl, selbst wenn das System kompromittiert worden ist.

Bearbeitet von Arther
  • Thanks 1
Link zu diesem Kommentar
Auf anderen Seiten teilen
Arther

Arther

Geschrieben
Geschrieben (bearbeitet)
6 hours ago, biker_70599 said:

Bestimmte Betriebssysteme begünstigen aber einen »laschen« Umgang in Security-Fragen.

Wie zum Beispiel Linux-Distributionen (z.B. Ubuntu oder Mint), die standardmäßig auf `sudo` setzen und damit jegliche Nutzertrennung bzw. Rechteverwaltung faktisch wirkungslos machen. Dadurch, dass fast jede Consumer-Malware für Windows gebaut ist ist dieses heute stärker gehärtet als eine übliche Linux-Distro.

Bearbeitet von Arther
Link zu diesem Kommentar
Auf anderen Seiten teilen
Rikki77

Rikki77

Geschrieben
Geschrieben
vor 1 Stunde schrieb battlecore:

Nachdem hier vor kurzem festgestellt wurde das Electrum die Keys / Seed unverschlüsselt im Klartext in eine Textdatei speichert obwohl Verschlüsselung aktiviert ist.... für mich ist das ein nogo. Aber muss jeder für sich selbst entscheiden.

Du musst halt ein Passwort eingeben.

Das ist doch wohl nicht zuviel verlangt.  :)

Allerdings könnte da schon ein Warnhinweis kommen.

 

  • Love it 1
Link zu diesem Kommentar
Auf anderen Seiten teilen
Gast

Gast

Geschrieben
Geschrieben
vor 3 Stunden schrieb battlecore:

Nachdem hier vor kurzem festgestellt wurde das Electrum die Keys / Seed unverschlüsselt im Klartext in eine Textdatei speichert obwohl Verschlüsselung aktiviert ist.... für mich ist das ein nogo. 

Wenn kein Passwort gesetzt wird ist auch nichts verschlüsselt.

Link zu diesem Kommentar
Auf anderen Seiten teilen
Gast

Gast

Geschrieben
Geschrieben (bearbeitet)
vor 12 Stunden schrieb david19:

Ich nutze schon seit 2018 Electrum und bin sehr zufrieden. Hauptsächlich benutze ich es in einer virtuellen Ubuntu Linux Maschine, derzeit ohne Probleme.

Gleichzeitig habe ich 2020, Electrum mit der gleichen Wallet auf Windows benutzt. Eins vorab: Das letzte Update, habe ich von der orginal Seite herunter geladen. Soweit so gut.

Von Windows10: Gestern wollte ich 30 Euro in BTC als Test, nach Bitpanda überweisen. Adresse wurde korrekt eingegeben. Nachdem die Transaktion bestätigt wurde, sah ich, das meine Coins auf eine andere Wallet überwiesen wurde. Die Maleware, ersetzt quasi nachdem senden, die Empfänger Adresse ohne das man es merkt. 

Um sicher zu gehen, habe ich nochmal 30 Euro nach Bitpanda geschickt. Das Gleiche Spiel wie vorher.

Von meinem Linux: Danach habe ich von der gleichen Wallet, allerdings von Linux, wieder 30 Euro überwiesen, diesmal ohne Probleme.

Ich habe jetzt diese Wallet trotzdem entfernt, in Win10 sowie Linux.

Ich muss dazu sagen, das ich 2020 mehrfach Überweisungen von Win10 gemacht hatte, ohne Probleme.

Es wäre die Hölle gewesen, wenn ich gleich alles gesendet hätte, da wären alle Bitcoins weg!

Zum Glück hatte ich damals schon von @Jokin gelesen, das man immer mit kleinen Beträgen anfangen soll, wenn eine Weile nichts passiert ist. Puhh... das war echt knapp.

 

Also ich weiß nicht, wo diese Maleware her kam, ich kann nur sagen, das ich unter Win10 immer von der orginalen Seite das Update drauf gespielt hatte. Es war auch die aktuellste Version. Die Maleware muss sich irgendwie anders eingeschlichen haben. Ebenfalls muss ich anmerken, das 2fa aktiviert war. Vermutlich konnte deswegen die Malware, das Wallet nicht abräumen. Aber das ist nur eine Vermutung.

 

Ich werde trotzdem Electrum weiter nutzen, aber nicht in Windows. Also nicht vergessen, immer erstmal mit kleinen Beiträgen testen, wenn das Wallet 1 Jahr geschlafen hat🙂

Du hast auch immer die Möglichkeit, mit Electrum offline zu signieren. 

Besser wäre aber gleich ein Hardware-Wallet.

Bei win10pro, gibts auch noch die Windows-Sandbox.

Bearbeitet von Gast
Link zu diesem Kommentar
Auf anderen Seiten teilen
david19

david19

Geschrieben
  • Autor
Geschrieben
vor 12 Stunden schrieb bulsan:

Läuft deine Linux-VM unter Win10?

Je nachdem, welchen Tastaturtreiber du benutzt, könnte ein Keylogger, falls du dir so was im Win10 eingefangen hast, auch da alle Eingaben mitschreiben. Vielleicht scheitert er beim Einfügen ins Linux-Electrum, aber wer weiss wo er deine Eingaben sonst noch hinschickt. Also: plattmachen.

Ja genau, eine Linux VM. Ich denke nicht das es ein Keylogger ist, denn Electrum hat die richtige Adresse vor dem senden angezeigt. Ich denke eher, es ist eine Malware, welche Electrum irgendwie von außen manipuliert. 

vor 12 Stunden schrieb Arther:

Sicherheit definiert sich nicht über das verwendete Betriebsystem, darüber hinaus sind normale Bankgeschäfte durch die seit Jahren vom Staat vorgeschriebene 2FA abgesichert gegen solcherlei Diebstahl, selbst wenn das System kompromittiert worden ist.

Genau, und hier kommt aber das geniale: Das 2FA, welches in meinem Electrum aktiviert war, hat mich vermutlich geschützt, das es nicht leer geräumt wurde.

Aber: Das 2FA, hat mich nicht gerettet bei der Überweisung. Wenn es statt den 15 Euro, ein fünfstelliger Betrag gewesen wäre, dann wäre alles weg. Trotz 2FA!

Aus diesem Grund finde ich diese Maleware extrem gefährlich.

Ich werde natürlich alles platt machen, und auf die gute alte Paperwallet umsteigen.

Link zu diesem Kommentar
Auf anderen Seiten teilen
Cricktor

Cricktor

Geschrieben
Geschrieben
vor 14 Stunden schrieb david19:

Adresse wurde korrekt eingegeben. Nachdem die Transaktion bestätigt wurde, sah ich, das meine Coins auf eine andere Wallet überwiesen wurde. Die Maleware, ersetzt quasi nachdem senden, die Empfänger Adresse ohne das man es merkt.

Eine Zieladresse gibt man ja praktisch nie händisch ein, sondern kopiert und fügt sie ein. Hast du zweifelsfrei überprüft, ob die eingefügte Zieladresse die war, die deiner Zielwallet entstammte? (Bei Bitcoinadressen reicht ja die Verifikation von einer Handvoll Zeichen am Anfang und Ende einer Zieladresse.)

Ich hab' mein Electrum so konfiguriert, daß ich eine Transaktion vor dem Signieren und ins Netzwerk Senden noch anpassen bzw. überprüfen kann, um ggf. z.B. die Transaktionsgebühren manuell festzulegen. Bevor ich signiere, prüfe ich die Zieladresse(n), bevor ich sende ein letztes Mal.

Ist es auf deinem System jetzt so, daß dir eine für dich richtig aussehende Zieladresse angezeigt wird, aber dein Electrum dann doch eine völlig andere Zieladresse signiert und sendet? Schwer vorstellbar, vorallem wenn deine Wallet so verseucht wäre, warum wird dann deine Wallet nicht sofort komplett leer gemacht? Wenn eine Malware ein System derart kompromittiert, warum sollte sie dann eine Wallet nicht bei der nächstbesten Gelegenheit komplett abräumen? Erscheint mir nicht Malware-smart.

Oder gibt sich die Malware nicht mit ein paar Satoshi-Krümeln ab und wartet lieber auf die dicken Bitcoin-Einheiten?

Egal auf welchem OS man eine Wallet installiert, immer ist die Echtheit der Installationsdateien zu prüfen. Wer das dann noch steigern möchte, kann die installierten Programmdateien, die sich nicht ändern sollen, dann noch mit kryptografischen Prüfsummen loggen und im weiteren Verlauf auf Manipulation prüfen. Voraussetzung bleibt, daß das Hostsystem sauber bleibt. Eine Wallet auf einem Daily-Windows verbietet sich fast, außer es ist nur so etwas wie eine Taschengeldbörse mit sehr überschaubarem niedrigen Wert.

Link zu diesem Kommentar
Auf anderen Seiten teilen
Cricktor

Cricktor

Geschrieben
Geschrieben
vor 2 Minuten schrieb david19:

Genau, und hier kommt aber das geniale: Das 2FA, welches in meinem Electrum aktiviert war, hat mich vermutlich geschützt, das es nicht leer geräumt wurde.

Ach, du verwendest das kostenpflichtige 2FA, das Electrum bietet? Ist das nicht eine 2-von-2-Multisignatur?

Link zu diesem Kommentar
Auf anderen Seiten teilen
david19

david19

Geschrieben
  • Autor
Geschrieben
vor 2 Minuten schrieb Cricktor:

Ich hab' mein Electrum so konfiguriert, daß ich eine Transaktion vor dem Signieren und ins Netzwerk Senden noch anpassen bzw. überprüfen kann, um ggf. z.B. die Transaktionsgebühren manuell festzulegen. Bevor ich signiere, prüfe ich die Zieladresse(n), bevor ich sende ein letztes Mal.

Ja das ist es ja gerade. Du kannst es 10mal vorher kontrollieren, aber nachdem du es bestätigst, greift die Maleware ein. Ich kann leider nur PHP programmieren, und nicht Pyton. Sonst hätte ich mir den verseuchten Code selbst ansehen können.

Link zu diesem Kommentar
Auf anderen Seiten teilen
Gast

Gast

Geschrieben
Geschrieben
vor 3 Minuten schrieb david19:

Ja das ist es ja gerade. Du kannst es 10mal vorher kontrollieren, aber nachdem du es bestätigst, greift die Maleware ein. Ich kann leider nur PHP programmieren, und nicht Pyton. Sonst hätte ich mir den verseuchten Code selbst ansehen können.

Vergleich mal die Prüfsummen der Dateien mit den Github Files. Damit man mal etwas eingrenzen kann.

Link zu diesem Kommentar
Auf anderen Seiten teilen
david19

david19

Geschrieben
  • Autor
Geschrieben
vor 3 Minuten schrieb Cricktor:

Vielleicht solltest du ein Malware-Sample zu den Electrum-Programmierern schicken. Das klingt spooky, was die bei dir treibt!

Ja, das wäre eine gute Idee. Habe schon in anderen Foren gesehen, das schon ein paar erwischt hat. 

Unter Linux konnte ich von der gleichen Wallet, mein ganzes Guthaben zu Bitpanda schicken. Da hatte die Maleware vermutlich keine Chance. Was aber nicht sicher ist, denn ich weiß nicht was passiert wäre, wenn 2FA nicht aktiviert gewesen wäre.

Link zu diesem Kommentar
Auf anderen Seiten teilen
Gast

Gast

Geschrieben
Geschrieben (bearbeitet)

Der muss die Adresse vor dem signieren austauschen. Normalerweise ändern die, die Adresse in der Zwischenablage. 

Aber wenn du sagst du hättest sie kontrolliert bevor du geklickt hast, muss sie danach, und vor der Signatur ausgetauscht werden, also theoretisch in der App.

Bist du sicher das es so war? Dann würden sich der Electrum Entwickler sicher dafür interressieren.

Bearbeitet von Gast
Link zu diesem Kommentar
Auf anderen Seiten teilen
david19

david19

Geschrieben
  • Autor
Geschrieben
vor 13 Minuten schrieb alica:

Ersetzt es die Originaladresse immer mit der selben (scammer) Adresse? 

Das kann ich leider in meinem Screenshots oben nicht sehen.

 

vor 6 Minuten schrieb Cricktor:

Hast dafür Links auf die Foren-Beiträge?

https://github.com/spesmilo/electrum/issues/5448

vor 6 Minuten schrieb alica:

Der muss die Adresse vor dem signieren austauschen. Normalerweise ändern die, die Adresse in der Zwischenablage. 

Aber wenn du sagst du hättest sie kontrolliert bevor du geklickt hast, muss sie danach, und vor der Signatur ausgetauscht werden, also theoretisch in der App.

Ja, ich kann mir das auch nicht erklären. Die 40Euro sind bis jetzt niemals bei mir angekommen. Also die zwei Transaktionen. 

Link zu diesem Kommentar
Auf anderen Seiten teilen

Erstelle ein Benutzerkonto oder melde Dich an, um zu kommentieren

Du musst ein Benutzerkonto haben, um einen Kommentar verfassen zu können

Benutzerkonto erstellen

Neues Benutzerkonto für unsere Community erstellen. Es ist einfach!

Neues Benutzerkonto erstellen

Anmelden

Du hast bereits ein Benutzerkonto? Melde Dich hier an.

Jetzt anmelden
 Teilen
Zur Themenübersicht
×
×
  • Neu erstellen...

Wichtige Information

Wir haben Cookies auf Deinem Gerät platziert. Das hilft uns diese Webseite zu verbessern. Du kannst die Cookie-Einstellungen anpassen, andernfalls gehen wir davon aus, dass Du damit einverstanden bist, weiterzumachen.