Bitcoin gestohlen?

[Michael N.]

vor 2 Minuten schrieb c0in:

@Michael N.

Bevor du den Rechner platt machst würde ich dir empfehlen ein Image zu machen mit Acronis True Image wenn du hast, oder einer kostenlosen Version von AOMEI Backupper.

Nur für den Fall dass sich einer das mal später genau ansehen will. 
Auch in Zukunft, solche Sicherungen ersparen sehr viel Frust. 

Wenn du es aber nicht eilig hast würde ich schon nachforschen, wie du zu dieser Datei gekommen bist.

Danke, ich werde den Rechner jetzt erst einmal so belassen um keine Spuren zu vernichten.

[Gast]

google filtert die scamseite wenigstens raus.

google zeigt mir keine scamseite an.

kann sein, dass er die seite manuell eingegeben hat und kleine rechtschreibfehler hatten.

weil domaine kann man ja kaufen

[Amsi]

Hör doch einfach mal auf dauernd deinen FUD zu verbreiten ...

[bartio]

Extrem ärgerlich für den Geschädigten. Da hat er aus Sicherheitsgründen extra lange gewartet und dann lief das wirklich so dumm :\
Hoffe dieser Thread kann Einige warnen bzw. die Wachsamkeit nochmal steigern.

Kleiner gut gemeinter Rat für die Zukunft:
Lege dir eine virtuelle Maschine an, in der du dir eine reine Trading-Umgebung erstellst. Würde da eine reine LinuxDistribution (samt aktivierter Festplatten-Encryption) empfehlen. Und die nur für das Trading nehmen. 
Linux hat den Vorteil, das es dort keine einfach ausführbaren Dateien (also schnell mal eine exe runterladen und ausführen) gibt. Man wird also zu mehr Disziplin erzogen und wird die Programme eher aus Repositorys installieren. Da ist es um ein vielfaches unwahrscheinlicher, dass dort gehackte Programme herumirren.
Dazu konzentrieren sich Scammer/Betrüger natürlich wegen der viel größeren Verbreitung lieber auf Windows-Umgebungen.

Ein anderer Vorteil dabei ist, das du deine Tradingumgebung auf eine mobile HDD sichern kannst und wenn der Host defekt sein sollte, du an jedem anderen lauffähigen Rechner, deine gewohnte Umgebung immer parat hast.
Und natürlich auch das man mit der Tradingumgebung nur auf Tradingseiten umhersurft. Das ist beim eigentlichen Alltagsgerät eher nicht der Fall.

Und dank der Festplatten-Encryption kann auch Niemand auf diese Plattform zugreifen wenn Jemand deinen Rechner oder die mobile Festplatte stehlen sollte.
 

Bearbeitet 31. Oktober 2017 von bartio

[Axiom0815]

vor 11 Stunden schrieb c0in:

Vllt. kann noch jemand anderes den SHA256 verifizieren von der electrum-2.9.3-setup.exe.

Ja, die sha256 1621EC830FEBFFC185537DB95840B5440C3C0534984F1E9572C7FE6C7841EA56 ist das Original. Ebenfalls mit der Signatur vom Entwickler signiert.

gpg --verify C:\..\electrum-2.9.3-setup.exe.asc
gpg: die unterzeichneten Daten sind wohl in 'C:\...\electrum-2.9.3-setup.exe'
gpg: Signatur vom 08/11/17 12:35:28 Mitteleuropäische Sommerzeit
gpg:                mittels RSA-Schlüssel 0x2BD5824B7F9470E6
gpg: Korrekte Signatur von "Thomas Voegtlin (https://electrum.org) <thomasv@electrum.org>" [vollständig]
gpg:                     alias "ThomasV <thomasv1@gmx.de>" [marginal]
gpg:                     alias "Thomas Voegtlin <thomasv1@gmx.de>" [marginal]

Man sollte Grundsätzlich mit gpg die Signatur überprüfen!
Oder wenn man es nicht kann, ein vertrauensvollen Menschen darum bitten.

Axiom

[Michael N.]

Ich glaube ich habe die Ursache gefunden. Ich habe mir noch einmal der Verlauf am 30..10. angesehen.

Offensichtlich habe ich die Electrum Installationsdatei auf der Seite electrumbitcoin. org und nicht bei electrum.org heruntergeladen.

Die Seite sieht identisch aus, deshalb ist mir das wohl nicht aufgefallen.

Ein herzliches Dankeschön noch einmal an alle, die sich hier beteiligt haben. Ich scheine ja doch einfach nur dämlich zu sein.

[Gärtner]

vor 5 Minuten schrieb Michael N.:

Ich glaube ich habe die Ursache gefunden. Ich habe mir noch einmal der Verlauf am 30..10. angesehen. Offensichtlich habe ich die Electrum Installationsdatei auf der Seite https://electrumbitcoin.org und nicht bei electrum.org heruntergeladen. Die Seite sieht identisch aus, deshalb ist mir das wohl nicht aufgefallen. Ein herzliches Dankeschön noch einmal an alle, die sich hier beteiligt haben. Ich scheine ja doch einfach nur dämlich zu sein.

Danke für deine Rückmeldung. Finde ich klasse dass du das hier noch postest damit andere gewarnt sind. Mit "dämlich" hat das meiner Meinung nach gar nix zu tun, kann "jedem" passieren. Dass dir das passiert ist tut mir natürlich Leid und das ist und bleibt traurig.

[Michael N.]

vor 7 Minuten schrieb Gärtner:

Danke für deine Rückmeldung. Finde ich klasse dass du das hier noch postest damit andere gewarnt sind. Mit "dämlich" hat das meiner Meinung nach gar nix zu tun, kann "jedem" passieren. Dass dir das passiert ist tut mir natürlich Leid und das ist und bleibt traurig.

Ich habe ja jetzt offensichtlich eine Seite ausfindig gemacht, die angreift. Ist das nicht ein Ansatz für eine Anzeige?

[Jokin]

... nimm bitte den Link wieder raus!

Ich gehe aber mal davon aus, dass hier kein Windowsuser diesen Link anklickt.

Die Wahrscheinlichkeit sich weiteren Schadcode über die Webseite einzufangen ist gar nicht mal so gering.

[Jokin]

vor 1 Minute schrieb Michael N.:

Ist das nicht ein Ansatz für eine Anzeige?

... das ist immernoch “gegen unbekannt” - kannst es ja dennoch probieren.

[Amsi]

vor 1 Minute schrieb Jokin:

... nimm bitte den Link wieder raus!

Nur die Verlinkung bitte bzw. mach nach dem Punkt einfach einen Abstand und dann org.
Die Adresse selbst sollte imo schon ersichtlich bleiben!

[Michael N.]

vor 3 Minuten schrieb Jokin:

... das ist immernoch “gegen unbekannt” - kannst es ja dennoch probieren.

Also noch einmal als Laie. Eine Internet-Domain muss ja registriert sein. Kann man da nicht ansetzen?

[Michael N.]

vor 2 Minuten schrieb Amsi:

Nur die Verlinkung bitte bzw. mach nach dem Punkt einfach einen Abstand und dann org.
Die Adresse selbst sollte imo schon ersichtlich bleiben!

Ich ändere das gerne, weiss aber nicht wie das geschriebene ändern kann. Kannst Du mir helfen?

[Amsi]

vor 2 Minuten schrieb Michael N.:

Also noch einmal als Laie. Eine Internet-Domain muss ja registriert sein. Kann man da nicht ansetzen?

Schwierig bis unmöglich - ist registriert auf WhoisGuard Protected Inc. auf Panama.

Gerade eben schrieb Michael N.:

Ich ändere das gerne, weiss aber nicht wie das geschriebene ändern kann. Kannst Du mir helfen?

Unterhalb vom Post auf Bearbeiten, neben Zitieren, geht aber nur innerhalb von 30 Minuten.

[Amsi]

Der Link ist trotzdem noch drin, du hast nur den Text geändert.
Lösch es nochmal raus und schreib die Seite manuell hin.

[Michael N.]

Ich habe es gerade auch gefunden und ein Leerzeichen eingefügt. Ich hoffe das ist richtig.

[Amsi]

Nein aber ist nicht so schlimm - vl. ändert es ein Mod.

[Michael N.]

vor 2 Minuten schrieb Amsi:

Der Link ist trotzdem noch drin, du hast nur den Text geändert.
Lösch es nochmal raus und schreib die Seite manuell hin.

Ich kann leider nicht mehr darauf zugreifen. Gibt es hier einen Admin, der das ändern kann?

[Amsi]

vor 3 Minuten schrieb Michael N.:

Ich kann leider nicht mehr darauf zugreifen. Gibt es hier einen Admin, der das ändern kann?

Ja, habs schon gemeldet, alles gut.

Bearbeitet 1. November 2017 von Amsi

[Michael N.]

vor einer Stunde schrieb el ninjo:

Das hab ich mir gedacht ......Mach trotzdem auf jeden Fall eine Anzeige und wenn möglich auch auf  https://www.reddit.com/r/Electrum/ das ganze Public machen

 

Registration Date:

2017-10-25

https://www.whois.com/whois/electrumbitcoin.org

für reddit reichen meine Englisch-Kenntnisse leider nicht.

[c0in]

Christoph sollte/könnte das auch im bitcoinblog verbreiten

[Christoph Bergmann]

Kann mir jemand nochmal erklären, was hier konkret passiert ist? Habe den Thread bisher nur überflogen.

Jemand hat eine gefakte Version von Electrum runtergeladen, und dann wurden die Coins gestohlen?

[Gärtner]

vor 5 Minuten schrieb Christoph Bergmann:

Kann mir jemand nochmal erklären, was hier konkret passiert ist?

User Michael M. schreibt hier wo er die betreffende Version von Electrum heruntergeladen hatte weiterhin versicherte er glaubhaft dass ausser Ihm selbst zum fraglichen Zeitpunkt kein anderer Mensch Zugang zu seinem WIN10 Rechner hatte. Die Experten hier im Forum haben auch den Weg des Bitcoin (war wohl ziemlich genau 1 BTC) etwas verfolgen können dieser Coin wurde in "zig" Kleinstbeträge gesplittet und dann weiter versandt. Schlimm und traurig für den betroffenen User.

[c0in]

Die Version die er geladen hat ist nach Hash Überprüfung keine Original-Software. Die Domain die diese vertreibt ist seit kurzem in Panama registriert.
Verlust ca. 5000 €

geladen hat er die "gefakte" Datei hier                               : electrumbitcoin[dot]org
die Domain Daten sind hier                                                  : https://www.whois.com/whois/electrumbitcoin.org
SHA256 von seiner Datei (electrum-2.9.3-setup.exe)      : 19956EA2FBC4FCE17CE4316F57CEFCB5A6388D053CA244367AF3824E53B8FF
SHA256 von Original-Datei (electrum-2.9.3-setup.exe)   : 1621EC830FEBFFC185537DB95840B5440C3C0534984F1E9572C7FE6C7841EA56

 

 

Bearbeitet 2. November 2017 von c0in

[Michael N.]

Auch wenn mir bewusst ist, dass das Geld verloren ist habe ich das heute bei der Kriminalpolizei zur Anzeige gebracht. Es wird heute noch eine Untersuchung hier bei mir erfolgen.