Let op: Phishing bij Ledger Live voor Windows
Ledger waarschuwt op Twitter dat er malware gevonden is in hun software. Dit heeft alleen betrekking op de desktopversie van Ledger Live op Windows.
WARNING: we’ve detected a malware that locally replaces the Ledger Live desktop application by a malicious one. Users of infected computers are asked to enter their 24-word recovery phrase after a fake update. Please refer to our security best practices https://t.co/MlAUlgoqj9 pic.twitter.com/Qzr3o4xaOq
— Ledger (@Ledger) April 25, 2019
Hoe herken je of je slachtoffer bent van deze malware?
De malware zorgt ervoor dat de desktop versie van Ledger Live vervangen wordt door een kwaadaardige versie. Deze versie is vrijwel gelijk aan de legitieme versie maar er is een belangrijk verschil:
De kwaadaardige versie vraagt op een gegeven moment of je je seed phrase van 24 woorden wil invullen, na een neppe update. Vul dit niet in!
Als je die 24 woorden wel invult dan heeft de partij achter deze kwaadaardige versie toegang tot je coins.
Ledger zegt zelf dat de malware een gerichte aanval is. Voorlopig is er pas één melding van een geïnfecteerde computer bij hun binnen gekomen. Zij omschrijven dit als phishing om achter je 24 woorden te komen.
Daarnaast zegt Ledger geen reden te hebben om te denken dat hun mobiele app gevaar loopt.
25e woord toevoegen
Wil je zeker weten dat je je Ledger maximaal hebt beveiligd? Installeer dan het 25e woord als beveiligingsoptie voor je Ledger.
In tegenstelling tot de eerste 24 woorden komt het 25e woord niet uit die lijst met 2048 gebruikte woorden. Het is in feite een aangepaste wachtwoordzin, die je zelf kan kiezen. Hardware wallets zoals Trezor en Ledger Nano S bieden de optie om een 25e woord toe te voegen. Het doel van het toevoegen van deze extra wachtwoordzin is om je root seed nog verder te versleutelen.
Heeft iemand, tegen je zin, toegang tot je 24 woorden dan is alsnog een 25e woord nodig om toegang te krijgen tot je root seed. Zonder het 25e woord zijn je private keys nog steeds veilig.
