Opgelet: hackers richten pijlen op de seed van je hardware wallet

Phishing

Hackers zijn mensen die gebruikmaken van kwetsbaarheden op het internet of in apparaten. Sommigen doen dat om ervoor te zorgen dat die kwetsbaarheden worden opgelost. Zij worden white hat hackers genoemd. Anderen worden gedreven door malafide motieven, zoals het stelen van geld of het verzamelen van belastende gegevens. Dit zijn de black hat hackers. Leden van deze groep staan vanwege hun criminele acties meestal centraal in de media.

Om zijn doel te bereiken, moet een hacker eerst bij je binnenkomen. Hij start een speurtocht naar een sleutel om binnen te komen op plekken waar hij eigenlijk niets te zoeken heeft. Denk aan je wachtwoord van een dienst als Gmail, waarmee hij toegang krijgt tot een grote bak met privégegevens. Een voorbeeld van een belangrijke sleutel in de wereld van cryptovaluta is je recovery seed. Die fungeert als moedersleutel die toegang geeft tot alle bitcoins die je mag uitgeven.

‘Prima, daar komt niemand bij’, denk je wellicht. Toch gebeurt het regelmatig dat iemand zélf per ongeluk zijn wachtwoord of recovery seed aan een hacker geeft. Dit gebeurt bij phishing, het ‘hengelen’ naar persoonlijke gegevens van mensen.

Deze vorm van internetfraude is populair bij criminelen, omdat het voor hen laagdrempelig is. Zo gebeurt het regelmatig dat er bij een hack van een populaire dienst honderdduizenden e-mailadressen worden buitgemaakt. Voor kwaadwillenden is het kinderspel om naar al die adressen een bedrieglijk e-mailtje te sturen. Daarna hoeft er maar een handvol mensen in te trappen om het de moeite waard te laten zijn.

Ledger raakt e-mailadressen kwijt

In juli dit jaar vond een hack plaats in het hart van de cryptowereld. Hardware wallet-fabrikant Ledger maakte toen wereldkundig dat persoonlijke informatie van 9.500 klanten op straat was komen te liggen. Maar dat was niet het enige: er waren ook 1 miljoen e-mailadressen gelekt.

Our data show that 1M email addresses and 9500 detailed personal information leaked.

If you are concerned by the detailed personal information leak, you will receive a dedicated email today by 5pm CET. If your postal address or phone number is concerned, it will be specified. pic.twitter.com/cCjqgfUom3

— Ledger (@Ledger) July 29, 2020

Je begrijpt dat dit lek voor ‘vissende’ criminelen fungeert als de vondst van een nieuwe goudmijn. Een miljoen mensen die misleid kunnen worden om hun recovery seed aan hen te overhandigen. Het was daarom niet onverwacht dat enkele maanden geleden de eerste phishing e-mails werden gesignaleerd.

Het idee van zo’n e-mail is de lezer ervan te overtuigen dat de afzender legitiem is om hem vervolgens tot actie over te laten gaan. Na de druk op de knop belandt hij op een pagina met aanvullende instructies, waaronder het invoeren van de recovery seed om zijn wallet te beveiligen. Of er wordt een ogenschijnlijk ongevaarlijk bestand ter download aangeboden, waar in werkelijkheid een virus achter schuilgaat.

Sinds afgelopen week worden de buitgemaakte persoonsgegevens ook gebruikt om te vissen naar privégegevens van gebruikers van Trezor-wallets. Met een sms’je bijvoorbeeld:

Als een nietsvermoedende gebruiker het opgestuurde internetadres opent, verschijnt een professioneel ogende website in de huisstijl die ze van Trezor kennen. Vanaf dat punt is alles erop gericht om de recovery seed van het slachtoffer te ontfutselen. Daar is in dit geval veel tijd en energie in gestoken, gezien de zorgvuldigheid waarmee de Trezor-software is nagemaakt. Eenmaal in het bezit van de recovery seed kan de hacker de bitcoins van je afpakken: hij heeft de sleutel binnen om ze te versturen.

Voordat we doorgaan over phishing, eerst een stelregel rond het gebruik van een recovery seed: sla hem offline op en voer hem nooit in op iets anders dan je hardware wallet. Niets meer en niets minder.

Leer phishing herkennen

Hoewel een phishing-aanval voor criminelen relatief eenvoudig uit te voeren is, kleeft er voor hen ook een nadeel aan: ze zijn ervan afhankelijk dat mensen in hun valkuil trappen. Anders gezegd, het meeste gevaar ontstaat doordat veel mensen een gebrekkige kennis hebben van computers en internet. Hoog tijd dus om dat kennisgat te overbruggen en phishing te leren herkennen aan de hand van de volgende tips:

1. Controleer altijd naar de afzender van een e-mail of sms. In de e-mail hierboven zie je bijvoorbeeld het e-mailadres support@legder.com in plaats van support@ledger.com.
   
   
2. Let goed op het taalgebruik. Zeker als je een e-mail in het Nederlands ontvangt, is de tekst geregeld doorspekt met taalfouten. En kent een organisatie je naam en geslacht? Dan word je meestal niet aangesproken met Geachte heer / mevrouw of enkel met een voorletter die uit je e-mailadres te vissen is.
   
   
3. Herken berichten die erop gericht zijn om je ongerust te maken, bijvoorbeeld met een bewering waarvan je schrikt en een overhaaste beslissing uitlokt. In het voorbeeld hierboven is dat: your cryptocurrency assets are at risk of being stolen.
   
   
4. Controleer een link voordat je erop klikt. Dat doe je door met je muiswijzer op de link te gaan staan of, op een mobiel apparaat, lang op de link te drukken. In bovenstaand voorbeeld zou je dan zien dat je naar trezor.io.device.66344.app wordt doorverwezen en niet naar de website van Trezor.

Twijfel je nog? Neem dan contact op met het bedrijf achter de dienst waarvan je gebruikmaakt of controleer de berichtgeving via de officiële kanalen ervan. Laat contactgegevens die in het jou toegezonden bericht staan links liggen; ook daarmee kan gesjoemeld zijn.

Veilig internetten

Het is niet nodig om doodsbang achter je computer te gaan zitten, maar jezelf veilig internetgedrag aanleren is net zo belangrijk als het installeren van goede sloten op deuren en ramen: het houdt het gros van de kwaadwillenden buiten. Het doel is niet om paranoïde te worden, maar minder naïef.

Een goed startpunt is Laat Je Niet Hack Maken van techjournalist Daniël Verlaan. Hij schreef ook een boek, ‘Ik weet je wachtwoord’, met daarin verhalen over de duistere kant van het internet. Een andere bron is Veiliginternetten.nl, een gezamenlijk initiatief van het ministerie van Economische Zaken en Klimaat, het ministerie van Justitie en Veiligheid en het bedrijfsleven.

Wil je controleren of je e-mailadres in een door hackers gepubliceerde database te vinden is? Dat kan met een dienst als ‘Have I Been Pwned’, een zoekmachine die door de gegevens van bijna 500 gehackte websites zoekt; in totaal meer dan 10 miljard accounts.

Enfin, genoeg leesvoer voor de kerstvakantie!