Anruf nach Kauf von Bitcoin

[hotti]

Hallo,ich habe heute 0,5 Bitcoin über meine Binance App gekauft. Ein paar Stunden später ruft mich ein angeblicher Mitarbeiter von Binance aus London an. (Konnte ich an der Ländervorwahl 0044 erkennen) Er wusste das ich ich einen halben Bitcoin gekauft habe und da ich sein Anliegen nicht verstanden habe,weil mein Englisch nicht so gut ist, fragte er mich nach Anydesk. Da habe ich sofort aufgelegt. Woher wusste er das ich 1. Bitcoin gekauft habe und 2. Wie viel ich gekauft habe. Ich hoffe ihr könnt mir helfen da ich jetzt besorgt bin das ich eine Schadsoftware auf meinem Handy habe. 

[Jokin]

vor 39 Minuten schrieb hotti:

da ich jetzt besorgt bin das ich eine Schadsoftware auf meinem Handy habe. 

iOS oder Android?

Probierst du gerne mal neue Apps aus?

Ich würde erstmal eine Liste aller Apps machen, die Zugang zu irgendwelchen Vermögenswerten haben - dort dann die Zugänge sofort ändern.

Danach würde ich das Handy komplett neu installieren.

 

[BTCinvestor]

Zusätzlich natürlich die Email-Zugänge

[BTCinvestor]

Du hast auch wirklich ein funktionierendes Binance Konto auf https://www.binance.com ?

Oder bist du zuvor vielleicht schon auf einer Fake-Seite gelandet?

Bearbeitet 27. Juni 2022 von BTCinvestor

[fox42]

vor 4 Stunden schrieb hotti:

fragte er mich nach Anydesk. Da habe ich sofort aufgelegt

Richtig so Ich kann mir nicht vorstellen, dass ein legitimer Mitarbeiter deinen Desktop sehen will.

Dass die dich anrufen und mit Anydesk ankommen, müsste doch aber heißen, die haben vielleicht den Kauf gesehen, kommen aber an nichts dran. Dann kommst du vielleicht mit dem Vorgehen von Jokin nochmal gut weg.

Passwörter aber nicht auf dem Handy, sondern an einem anderen Gerät ändern!

[battlecore]

Woher sollen irgendwer wissen das er 0,5 Bitcoin gekauft hat und woher soll jemand seine Telefonnummer wissen um ihn anzurufen. Von Binance wird das ganz sicher keiner machen. Aber ganz sicher!

Folgerichtig ist irgendwas auf dem Handy wohl nicht ganz in Ordnung.

Da hätte ich auch erstmal den Verdacht das die Binance-App nicht die echte App ist.

Zweite Möglichkeit ist das auch diese User auf jemand hereingefallen ist der ihm den Binance-Account "eingerichtet" hat. Mit Blockchain-Account wurde das ja gemacht ohne Ende. Wieso nicht auch mit Binance.

In beiden Fällen wären die 0,5 BTC demnächst möglicherweise mal weg. Vielleicht hat der User auch nur email-2FA eingerichtet? Oder per SMS?

Man sollte ja eigentlich 2FA mit Authenticator nutzen.

[hotti]

Vielen lieben Dank fuer eure Antworten.

Ich habe die original Binance App und ich habe 2 fache Identi..... Mail und sms.

Ich kaufe und verkaufe seit ca 1 Jahr Etherium und Solana und da war nie was gewesen aber heute wo ich das erste mal Bitcoin gekauft habe, kam dieser Anruf.

Sehr seltsam....

Ich habe mir heute den Ledger Nano X bestellt und werde meine Kryptos damit sichern. Dann kann ich besser schlafen 🙂

Es bleibt trotzdem ein Beigeschmack dass er über meinen Kauf Bescheid wusste. Er kannte meinen Vor und Nachnamen sowie meine Telefonnummer. Sehr erschreckend.

 

 

 

[Jokin]

vor 3 Minuten schrieb hotti:

Dann kann ich besser schlafen 🙂

Ich würde dennoch nicht sicher schlafen können ohne das Handy komplett neu aufzusetzen.

[battlecore]

vor 9 Minuten schrieb hotti:

ich habe 2 fache Identi..... Mail und sms.

Sag ich ja.

Dein emailprogramm ist verseucht, oder du hast einen besch.... emailanbieter. SMS istn Scherz.

Für 2FA nimmt man Authenticator.

[Maaz]

vor 5 Minuten schrieb hotti:

Vielen lieben Dank fuer eure Antworten.

Ich habe die original Binance App und ich habe 2 fache Identi..... Mail und sms.

Ich kaufe und verkaufe seit ca 1 Jahr Etherium und Solana und da war nie was gewesen aber heute wo ich das erste mal Bitcoin gekauft habe, kam dieser Anruf.

Sehr seltsam....

Ich habe mir heute den Ledger Nano X bestellt und werde meine Kryptos damit sichern. Dann kann ich besser schlafen 🙂

Es bleibt trotzdem ein Beigeschmack dass er über meinen Kauf Bescheid wusste. Er kannte meinen Vor und Nachnamen sowie meine Telefonnummer. Sehr erschreckend.

 

 

 

Pass gut auf auf deine Coins, da ist auf jeden Fall etwas faul. Nie würde Binance dich telefonisch kontaktieren. Irgendwer hat unbefugten Zugriff auf deine Transaktionshistorie und möchte das zu seinem Vorteil ausnutzen.

Aber ich würde jetzt auch nichts überstürzen, anscheinend kommt er ohne zusätzliche Informationen von dir nicht weiter.

Ein Ledger ist eine gute Entscheidung.

Das Handy würde ich nicht mehr nutzen.

2 Faktor-Authentifizierung ist gut. Binance-App und 2. Faktor auf dem gleichen Gerät aber nicht.

[Cricktor]

vor 1 Stunde schrieb hotti:

Es bleibt trotzdem ein Beigeschmack dass er über meinen Kauf Bescheid wusste. Er kannte meinen Vor und Nachnamen sowie meine Telefonnummer. Sehr erschreckend.

Ich versuch' mir lieber nicht vorzustellen, wie das ist.

Irgendein Konto, Gerät oder App von dir, daß alle diese Details preisgibt, ist mit großer Wahrscheinlichkeit kompromittiert. Da im Moment nicht klar ist, wo die Schwachstelle ist, solltest du sehr vor- und umsichtig handeln. Achte darauf, daß du keine wichtigen Details oder Zugänge verlierst, solltest du dein Smartphone zurücksetzen.

Hast du ein Smartphone mit Android oder iOS? (Das hat @Jokin schon gefragt und ist ggf. wichtig.)

Schwachstellen können z.B. "schlechte" Passwörter sein (erratbar oder schon in geleakten Passwortdatenbanken enthalten). Welche Tastatur-App verwendest du? Ist dein Smartphone gerootet?

Sei vielleicht auch nicht so freizügig mit Details, mit wievielen Coins du jonglierst. Für Hilfe hier ist es nicht unbedingt nötig zu wissen, wieviel BTC du nun genau gekauft hast.

Da ich Binance nicht nutze: kann man dort den Zugang zum Account geographisch einschränken? Wenn ja: falls du z.B. in Deutschland bist, würde ich zunächst den Zugriff auf dein Binance-Konto auf Deutschland fixieren.

Für alle hier bereits von anderen Usern genannten Säuberungsmaßnahmen wie Passwortänderungen usw. usf. brauchst du ein garantiert "sauberes und sicheres Gerät": am besten ein Live-Linux von einem USB-Stick starten. Spontan dachte ich auch an TAILS, hätte aber leichte Bedenken, weil TAILS über Tor läuft und Binance das vielleicht nicht so gut oder verdächtig finden könnte. (Falls Geofencing für den Account-Zugriff möglich ist, wäre ein Zugriff über Tor u.U. auch kontraproduktiv, wenn du die Geolocation der Tor-Exit-Node nicht festlegen kannst.)

Du solltest vermeiden, daß Binance dir den Zugang sperrt, da jetzt auch wichtig wäre, zu sichern, daß deine Coins auf Binance dort noch sicher sind, bis du deine Hardware-Wallet hast und nutzen kannst.

Eine Hardware-Wallet schützt deine Private Keys vor Malware. Sie kann aber nur dann auch das Signieren von für dich validen Transaktionen schützen, wenn du stets sorgfältig auf der Hardware-Wallet kontrollierst, was und wohin genau transferiert werden soll, bevor du das Signieren dieser Transaktion authorisierst.

Solange du nicht weißt, wo bei dir die Schwachstelle ist, kann es sinnlos sein, Passwörter auf einem kompromittiertem Gerät zu ändern.

Falls du bisher deine Crypto-Aktivitäten überwiegend über dein Smartphone abgewickelt hast, solltest du diese Strategie ggf. überdenken. Wobei ein sicherheitstechnisch schlecht genutzter und gewarteter PC auch keine bessere Lösung ist.

2FA würde ich auch eher über einen Authenticator nutzen, allerdings sollte der dann auch auf einem sicheren Gerät sein. Die 2FA-Einrichtungscodes für die Authenticatoren sollte man analog zu den Mnemonic Seed Wörtern besser nicht digital speichern, sondern nur physisch auf Papier, also immer nur offline. Von Reiner SCT gibt es z.B. auch einen vollkommen eigenständigen TOTP-Authentificator, der zum Google Auth. und Authy kompatibel ist. Der ist offline und air-gapped und vermeidet die Schwachstelle Smartphone. Nachteil: zusätzliches Gerät, das wäre mir aber ab gewissen Handelssummen egal.
[Hab' mich gerade gefragt, wie der Reiner SCT Auth. seine Zeit synchron hält. Pfiffig: https://www.reiner-sct.de/sync]

Daß du beim Stichwort Remote-Zugang/Anydesk sofort abgebrochen hast, war sehr gut und richtig gehandelt. Anydesk wird gern von Betrügern verwendet. Gib' Niemandem Remote-Zugang über Anydesk, wenn du das nicht 100%ig nachvollziehen kannst und demjenigen weitgehend vertrauen kannst.

Bearbeitet 27. Juni 2022 von Cricktor
Kleinere Ergänzungen, u.a. zu 2FA

[Jokin]

vor 11 Stunden schrieb Cricktor:

Du solltest vermeiden, daß Binance dir den Zugang sperrt, da jetzt auch wichtig wäre, zu sichern, daß deine Coins auf Binance dort noch sicher sind, bis du deine Hardware-Wallet hast und nutzen kannst.

Ganz wichtiger Punkt!

@hotti Der Anrufer hat bereits zu viele Informationen. Es wäre ein Leichtes für ihn den Binance-Account zu sperren und sich darauf hin noch einmal zu melden.

Das Ändern von Passwörtern reicht dafür nicht aus, denn der Angreifer kennt die eMail-Adresse mit der du bei Binance aktiv bist.

Daher: Sofort (jetzt gleich!) sämtliches Guthaben von dem Binance-Account abziehen. Ich würde dazu auf einem sauberen Gerät eine neue BTC-Wallet einrichten, das kann auch ein weiteres Smartphone sein welches nicht verseucht ist. Zur Sicherheit sollte dies offline geschehen. 

1. https://iancoleman.io/bip39/ und die HTML-Datei lokal speichern (danach offline gehen) - sie führt dich. immer wieder vom Seed auf die Adressen und Privatekeys
2. 24-Wort-Seed auswählen
3. "generate" drücken
4. "Show entropy details" drücken
5. In "Entropy" weitere Zeichen zufällig in die Zeichenfolge reintippen
6. Den Seed "BIP39 Mnemonic" abschreiben
7. Den Seed ein weiteres Mal abschreiben
8. Beide Abschriften miteinander vergleichen ob diese dieselben 24 Wörter enthalten
9. Die Adressen bei "Derived Adressess" rauskopieren in eine Textdatei.
10. Rechner neu starten
11. Den Seed kannst du zwar auch für deinen Ledger benutzen, ich. empfehle dennoch einen weiteren Seed.

Nun schichtest du alle Coins bei Binance in BTC um und schickst die Bitcoin an deine neu erzeugte eigene Bitcoin-Adresse.
Zusätzlich exportierst du den Report sämtlicher Aktivitäten für deine Dokumentation.

Diesen Binance-Account betrachtest du nun als "kompromittiert", denn jederzeit kann der Angreifer dir den Account sperren (mehrmals falsches PW eingeben).
Ebenso betrachtest du deine eMail-Adresse als "kompromittiert", legst dir also eine neue eMail-Adresse an.
Und auch. deine Rufnummer betrachtest du als "kompromittiert", da brauchste auch eine neue.

Spätestens jetzt erkennst du warum ich in der Kryptowelt folgende Maßnahmen treffe:
1. je Exchange und je Account eine eigene eMail-Adresse erzeugen, die nur für diesen Zweck da ist
2. je Exchange und je Account eine eigene SIM-Karte besorgen, die nur für diesen Zweck da ist (falls Rufnummer erforderlich ist)
Nu so kann ich. eMail-Adresse, SIM-Karte und Exchange-Account ins Archiv schieben - da muss ich nie wieder ran.

Und dein Smartphone betrachtest du auch als "kompromittiert", es ist von nun an für jegliche Krypto- und Bankingaktivitäten tabu bis es resettet und neu installiert ist.

 

Sorry, aber auch wenn diese Maßnahmen als "zu krass" erscheinen mögen - das ist leider das Mindeste was du nun tun solltest um späteren Schaden abzuwenden.

Und um wieder (halbwegs) ruhig schlafen zu können.

 

[Theseus]

vor 13 Stunden schrieb hotti:

Vielen lieben Dank fuer eure Antworten.

Ich habe die original Binance App und ich habe 2 fache Identi..... Mail und sms.

 

Mail .. Wenn kompromittiert, dann keine grosse Hürde.
SMS .. Unter Android kann ich mittels eigener APP SMS empfangen und versenden, ohne dass der Geräteinhaber davon was mit bekommt. Ap braucht einfach nur die entsprechenden Rechte (SMS-Access). Es git einige Apps, wie z.b. das unsichere WhatsApp, die solche Rechte von ihren Usern anfordern.

Wirklich sicher ist 2FA nur auf einem separaten Gerät, also z.b. mit Authenticator auf einem zweit-Handy oder per Hardware-Token wie z.b. RSA-SecureID.

SMS generell kann auch per IMSI-Catcher abgefrühstückt werden und bei Werten wie 0,5BTC ist es auch lohnend für Kriminelle, die physische Nähe zum Opfer zu suchen, um eben per IMSI-Catcher die Kommunikation des Smartphones zu spoofen.

[Cricktor]

vor 50 Minuten schrieb Jokin:

Daher: Sofort (jetzt gleich!) sämtliches Guthaben von dem Binance-Account abziehen. Ich würde dazu auf einem sauberen Gerät eine neue BTC-Wallet einrichten, das kann auch ein weiteres Smartphone sein welches nicht verseucht ist. Zur Sicherheit sollte dies offline geschehen. 

1. https://iancoleman.io/bip39/ und die HTML-Datei lokal speichern (danach offline gehen) - sie führt dich. immer wieder vom Seed auf die Adressen und Privatekeys
2. 24-Wort-Seed auswählen
3. "generate" drücken
4. "Show entropy details" drücken
5. In "Entropy" weitere Zeichen zufällig in die Zeichenfolge reintippen
6. Den Seed "BIP39 Mnemonic" abschreiben
7. Den Seed ein weiteres Mal abschreiben
8. Beide Abschriften miteinander vergleichen ob diese dieselben 24 Wörter enthalten
9. Die Adressen bei "Derived Adressess" rauskopieren in eine Textdatei.
10. Rechner neu starten
11. Den Seed kannst du zwar auch für deinen Ledger benutzen, ich. empfehle dennoch einen weiteren Seed.

Das kann man alles sicher in TAILS machen, was ich auch empfehlen würde. TAILS-USB-Stick erstellen, damit von einem beliebigen Rechner starten (der könnte auch verseucht sein, das beinflusst TAILS nicht, außer es wäre UEFI-persistente Malware, aber mit Letzterem wäre der Rechner wahrscheinlich für die Tonne, wobei solche Malware äußerst selten ist und sehr wahrscheinlich kaum in-the-wild vorkommt).

Zu Punkt 1: Nach dem offline gehen, die lokal gespeicherte HTML-Datei des iancoleman-Skripts in einem Inkognito- oder Privat-Instanz des Browsers öffnen, damit der Browser keine sensiblen temp. Daten lokal speichert. Falls man TAILS benutzt, ist das egal, da TAILS per Design nichts lokal dauerhaft speichert und nach Beenden alles wieder vergisst.

Punkt 9, wichtig: nur die 2. Spalte "Address" rauskopieren bzw. "Path" und "Address"; Private Keys digital zu speichern halte ich für zu gefährlich, wenn man keine 100%ig sichere IT-Umgebung hat, was beim betroffenen User eben nicht der Fall ist.

Wichtig und das fehlt in @Jokins Schrittliste: Derivation Path zusätzlich dokumentieren! Wenn man im iancoleman-Skript nicht rumgefummelt und Jokins Schritte abgearbeitet hat, dann sollte es m/44'/0'/0'/0/0 für die allererste Adresse sein und m/44'/0'/0' bis zur Account-Ableitungsebene. Also am besten die beiden ersten Spalten kopieren: Path und Address.

Beim Dokumentieren von Mnemonic Seed Wörtern eines Seeds am besten stets folgende Details mit dokumentieren, das erspart späteres Rätselraten:
Datum, Grund für den Mnemonic Seed, Derivation Path, Mnemonic Seed Wörter (nummeriert!)

In TAILS steckt man zum Sichern unsensibler Daten (keine Private Keys!) dann einen weiteren USB-Stick rein und speichert die Daten für Punkt 9 dorthin.

Punkt 11: das würde ich auch lassen

Bearbeitet 28. Juni 2022 von Cricktor

[hotti]

Schon mal ganz lieben Dank an Euch alle. Das ist jetzt unheimlich viel an Informationen die ich erstmal sammeln und verarbeiten muss. Werde versuchen alles so umzusetzen. Ich benutze ein Android. 

Also nochmal herzlichen Dank an alle. Werde zeitlich berichten ob ich alles umsetzen konnte.

Grüße Hotti

[Cricktor]

@hotti Ja, ist viel auf einmal. Wenn was unklar ist, frag' einfach.

[Jokin]

vor 58 Minuten schrieb hotti:

Ich benutze ein Android. 

Hab's mir fast gedacht. Mit einem Android würde ich kein Banking machen.

Ohne Bashing gegen Android zu starten, halte ich das iOS-Sicherheitskonzept für deutlich ausgereifter. 

[battlecore]

Bei aller Liebe.

Das sollte jetzt erstmal schnell gehen und nicht erst gross Rumgekaspere mit iancoleman. Am besten noch von demselben Handy aus wo jetzt das Problem ist wa.

Also ist am einfachsten eine Wallet und dann aufn Computer damit. Oder wie?

vor 4 Stunden schrieb hotti:

Schon mal ganz lieben Dank an Euch alle. Das ist jetzt unheimlich viel an Informationen die ich erstmal sammeln und verarbeiten muss. Werde versuchen alles so umzusetzen. Ich benutze ein Android. 

Also nochmal herzlichen Dank an alle. Werde zeitlich berichten ob ich alles umsetzen konnte.

Grüße Hotti

Begib dich an einen Computer und mach das da. Nicht mehr vom Handy aus.

Damit das schnell geht kannst du Exodus nehmen, die ist extrem Einsteigerfreundlich und sofort Einsatzbereit nach dem runterladen und öffnen.

Wenn du Exodus startest gehste auf "Empfangen" und dann wird dir die BTC-Adresse angezeigt. Auf die Adresse sendest du die BTC von Binance.

Drauf achten das du einen sicheren Link zum Download nimmst den du nicht erst jedesmal googelst, denn dann gerätst du schnell an gefakte Seiten usw.

https://www.exodus.com/download/

Empfehlen tu ich natürlich immer das man solche Sachen wie Wallets und Banking auf einem alten Notebook mit Linux macht. Das benutzt man nur dafür und ansonsten bleibt das ausgeschaltet in der Ecke liegen. So geht man Risiken gut aus dem Weg.

[hotti]

Habe mir heute einen Macbook gekauft und der Ledger ist heute morgen gekommen. Eben gerade habe ich eine eigene Domain mit einer neuen Email Adresse erstellt.Ich habe noch ein 2. Handy mit einer anderen Telefonnummer ich denke, damit kann ich jetzt alles in die Wege leiten. 

[battlecore]

Okeeeh...du bist ja schnell bei der Sache 😁

Macht aber auf jeden Fall Sinn. wobei ich da überlegen würde das alte Handy mal auf Wekrszustand zurückzusetzen und da google Authenticator draufzumachen. Das wäre dann ne schicke Sache das du das nur dafür verwenden kannst. Dafür brauchste keine Sim-Karte im Handy, Authenticator ist ne Offline-App die einfach alle 30 Sekunden einen neuen Code generiert.

Jetzt muss ich etwas ausholen.

Wenn du 2FA mit authenticator bei Binance aktivierst, dann wird die ein QR-Code und ein alternativer Zeichencode angezeigt.

Den QR scannst du mit Authenticator und das wars schon.

Diesen QR musst du dir unbedingt speichern, z.b. als Screenshot. Oder die Grafik in ein Textdokument reinziehen mit der Maus. Oder rechte Maustaste und Grafik kopieren, dann halt in ein Dokument einfügen.

Auf das Dokument machste dir dann vielleicht noch die BTC-Adresse von Binane drauf. Das Passwort von Binance. Die mailadresse.

Als PDF speichern, so verhinderste das du später aus Versehen Zeichen in dem Dokument veränderst. Zweifach ausdrucken und einlaminieren. Dann ists Wassergeschützt, und es geht nicht so leicht mit anderen Papieren verloren. Sicher aufbewahren versteht sich ja von selbst.

 

Nicht verkehrt ist es wenn man das zusätzlich auch auf zwei USB-Sticks macht.

Falls dein Handy mal kaputtgeht, brauchste mit dem Ersatzhandy nur wieder den QR scannen und schon geht alles wieder.

Aber pass auf! Wenn du das 2FA einmal ausschaltest und erneut aktivierst, dann wird ein neuer anderer QR angezeigt. Der alte ist dann ungültig. Also musste wieder QR speichern usw.

 

Würdeste Exodus nehmen dann könnteste da ebenso eine Sicherung machen, mit den Adressen drauf, dem Seed, Passwort usw. Und Exodus zeigt auch die Privatekeys an. Was insofern praktisch ist weil Privatekeys auch in jeder anderen Wallet importiert werden können. Der Unterschied zum wiederherstellen mittels Seed ist einfach das beim Privatekeys die dort befindlichen Coins auf eine neue Adresse transferiert werden. Diese hat dann ebenfalls einen neuen Key. Das ist manchmal ganz gut, z.b. wenn man nicht sicher ist ob der Seed kompromittiert ist. Also z.b. durch irgendjemand ausgespäht meinetwegen.

Würde man dann nur eine neue Wallet nehmen und alle Coins mittels Seed wiederherstellen, dann nutzt das rein garnix. Mit dem Privatekey jedoch findet ein Transfer in die neue Wallet statt. Dadurch sind die Coins dann wieder sicher.

[battlecore]

vor 54 Minuten schrieb hotti:

der Ledger ist heute morgen gekommen.

Da lohnt es sich nochmal separat drauf einzugehen.

Wo hast du den Ledger gekauft?

Es gibt kompromittierte Ledger. Z.b. wenn man einen Ledger irgendwo kauft. Bei manchen ist sogar ein Zettel mit einem Seed dabei hab ich mal gelesen. Das ist natürlich hochgradig gefährlich.

Einen Ledger sollte man beim Hersteller kaufen. So kann man diesem speziellen Problem aus dem Weg gehen.

Wobei...Ledger sind Kundendaten abhanden gekommen. Zweimal sogar glaub ich. Mein Vertrauen ist da eher begrenzt. Und ich weiss nicht ob jemand wissen soll wenn ich einen Ledger habe und gleich meine Wohnadresse dazubekommt.

Bearbeitet 28. Juni 2022 von battlecore

[Cricktor]

vor 15 Minuten schrieb battlecore:

Diesen QR musst du dir unbedingt speichern, z.b. als Screenshot. Oder die Grafik in ein Textdokument reinziehen mit der Maus. Oder rechte Maustaste und Grafik kopieren, dann halt in ein Dokument einfügen.

Nein, den Einrichtungscode auf Papier aufschreiben, sonst haben wir vielleicht wieder einen Fall, wie schon im Forum mal diskutiert, wo jemand den 2FA-Einrichtungscode oder -QR-Code digital auf dem Computer abgespeichert gelassen und sich dann gewundert hat, wieso sein Account trotz 2FA gehackt wurde.

@battlecore, bitte, lass' solche Ratschläge bleiben. Wie ich schon in diesem Thema geschrieben habe, halte ich es für sicherer, den 2FA-Einrichtungscode ähnlich wie die Mnemonic Seed Wörter zu behandeln. Aufschreiben und nicht digital speichern, dann kann keine Malware da rankommen.

Falls man doch ein Screenshot auf einem sicheren Computer macht, dann sicher ausdrucken und alles wieder sorgfältig vom Rechner entfernen. Restlos und vollständig!

Bearbeitet 28. Juni 2022 von Cricktor

[battlecore]

vor 4 Minuten schrieb Cricktor:

Nein, den Einrichtungscode auf Papier aufschreiben, sonst haben wir vielleicht wieder einen Fall, wie schon im Forum mal diskutiert, wo jemand den 2FA-Einrichtungscode oder -QR-Code digital auf dem Computer abgespeichert gelassen und sich dann gewundert hat, wieso sein Account trotz 2FA gehackt wurde.

@battlecore, bitte, lass' solche Ratschläge bleiben. Wie ich schon in diesem Thema geschrieben habe, halte ich es für sicherer, den 2FA-Einrichtungscode ähnlich wie die Mnemonic Seed Wörter zu behandeln. Aufschreiben und nicht digital speichern, dann kann keine Malware da rankommen.

Falls man doch ein Screenshot auf einem sicheren Computer macht, dann sicher ausdrucken und alles wieder sorgfältig vom Rechner entfernen. Restlos und vollständig!

 

Um mich mal selber zu zitieren:

vor 1 Stunde schrieb battlecore:

einem alten Notebook mit Linux macht. Das benutzt man nur dafür und ansonsten bleibt das ausgeschaltet in der Ecke liegen.

 

vor 20 Minuten schrieb battlecore:

Als PDF speichern, so verhinderste das du später aus Versehen Zeichen in dem Dokument veränderst. Zweifach ausdrucken und einlaminieren. Dann ists Wassergeschützt, und es geht nicht so leicht mit anderen Papieren verloren. Sicher aufbewahren versteht sich ja von selbst.

 

Nicht verkehrt ist es wenn man das zusätzlich auch auf zwei USB-Sticks macht.

Das man die Dokumente nicht auf dem Computer lässt sollte sich daraus ergeben.

[hotti]

Hui,das ist jetzt echt viel Input auf einmal.....mal schauen ob ich das alles umgesetzt bekomme. Ihr habt mir sehr geholfen. Bin sehr dankbar dafür:-)

[Mails]

Diese Kasper haben mich schon zweimal angerufen und einmal per Mail kontaktiert. 

Die wissen allerdings nicht, was ich auf binance drauf habe allerdings wissen die das ich dort einen Account habe. 

Ich bin mal auf eine fake E-Mail hereingefallen von denen, war eine angebliche Umfrage von Binance. Seitdem haben sie meine Daten, Name, Rufnummer und E-Mail. 

Die Nummer die heute angerufen hat war eine +49 und gutes Deutsch. 

Habe mir mal den Spaß gegönnt und denen 40 Minuten ihrer Zeit geklaut, das, was sie wollten war das ich meine Coins allesamt in BTC umwandle und an ihre angebliche "mining wallet" schicke mit screenshot, dann bekomme ich jeden Tag Mining Zinsen zurück. 

Habe mich dumm gestellt und viele Fragen gestellt, das Callcenter ist wohl im Kosovo oder Albanien. 

Für mich dummen wollte sie mir gleich mit anydesk helfen. Es gibt etliche Betrugsseiten B bla bla code usw. wo diese Leute daten pishen, meldet sich jemand da an, rufen sie  an und sagen das Konto ist nicht aktiviert zum traden man müsse 250 Euro einzahlen um es zu aktivieren usw. 

Das sind die "günstigen" Leads/Datensätze. Die teuren sind dann eben wie bei mir wo man gezielt Daten sammelt. 

Woher die wissen was du auf deinem Binance gemacht hast? Was ich mir vorstellen kann ist das sie Zugriff auf deine E-Mails haben und dort eine Benachritigung über eine Einzahlung oder Kauf eingegangen. Falls die den kompletten Zugriff auf deinen Account hätten, wäre alles bereits weg. 

Ich habe E-Mail, SMS und Authenticator aktiviert. Inzwischen geht, glaube ich auch zusätzlich Fingerabdruck. 

 

Das ist einer darauf reingefallen:

 

https://cryptonews.net/de/news/security/2924165/

 

Sein Datenleck:

 

A.W. glaubt, dass seine Telefonnummer und seine E-Mail Adresse von den Angreifern aus öffentlich zugänglich Quellen zusammengetragen wurden. Wir erinnern hier auch an das Datenleck beim Hardware Wallet Hersteller Ledger, welches dazu führte, dass viele detaillierte Infos zu Ledger Kunden im Internet kursieren.

Hier der Typ verarscht solche Betrüger den ganzen Tag und stellt es online: 

 

 

 

 

Ich persönlich habe mal eine gefälschte Ronin Wallet aus dem playstore geladen, hat mich 800 Euro gekostet und war mir eine Lektion. 

 

Bearbeitet 30. Juni 2022 von Mails