Własnie zostałem okradziny

[minerek]

Tez bym stawial na trojany.

Ostatnio nawet jak pisano ...tu na forum nawet Yahoo zawirusowywalo poprzez referery - moze ktos - i nie podejrzewam celowosci dal tutaj jakiegos linka ktory niestety byl zainfekowany. Pare osob z tego forum weszlo - a musicie przyznac ze jestesmy dobrze zlokalizowanym targetem - nie trzeba byc jasnowidzem zeby podejrzewac ze na kompach ktore lacza sie z tym forum a potem polacza sie z tym linkiem moga byc wallety.

[MIRQ3]

Alvaro, witaj, k!@#$%, w klubie.

Siedziałem sobie na Curexie, od czasu do czasu rzucając okiem na kurs. Miałem tam około 2000 zł + 1 BTC. Byłem cały czas zalogowany.
I nagle podczas jednego rzutu okiem, zobaczyłem, że mam 0 BTC / 0 PLN
Myślałem, że to jakiś błąd, ale spojrzenie w tranzakcje i... okazuje się, że ktoś niedawno kupił za wszystkie moje PLNy tyle bitów ile się dało, po czym wysłał je na nieznany mi adres!
O_O WTF !?!
Jak do diabła, dał radę:
- włamać się mi na konto Curexowe? (może jeszcze jakoś by uszło)
- ale żeby zmienić adres, musiał włamać się na pocztę, która miała inne hasło, niż Curexowe! To konto pocztowe było tylko i wyłącznie do celów obsługi Curexa.

Złodziej zmienił mi też hasło do konta Curexowego, bo jak próbowałem przywrócić swój oryginalny adres BTC, zostałem poproszony o hasło właśnie - wpisałem, i się nie udało.
Ale pomimo faktu zmiany hasła Curexowego, przeglądarka wciąż utrzymywała sesję, i jeszcze mogłem oglądać swoje dane. Więc porobiłem trochę zrzutek ekranu, i tyle było mojego.

Wiem, dokąd poszły bity:
https://blockchain.info/address/1dXFhjJ ... XhW9iwsgjQ
https://blockchain.info/pl/tx/d9ebf3abd ... b67b843645

Curex odnotował adres IP: 84.10.1.42
Adres niby polski, ale to najprawdopodobniej jakiś zombiak, bo często jest oskarżany o spam. Zresztą, pracuje na nim jakiś serwer, wystarczy dodać http z przodu...

Ogólnie mówiąc, jestem w czarnej dupie.

Jest sens pisać do supportu Curexa? Nie byłem zweryfikowany, dane osobowo/adresowe miałem wymyślone, za bardzo boję się podawać komuś prawdziwe - a i tak mnie okradziono :/


EDIT: ani mój tutejszy forumowy login ani hasło, nie są nawet podobne do tych z Curexa.
EDIT2: z początku podejrzewałem jakiś "insajder dżob" - ktoś z pracy może... Ale widzę, że to zostało pojechane masowo. Prawdopodobnie jakiś trojanik/syfek. A to oznacza, że mam skompromitowane większość loginów/haseł. Właśnie je zmieniam na innym, bezpiecznym kompie.

[djwally]

ja właśnie przez przypadek zauważyłem że również zostałem okradziony na bitcurexie 02.02.2014r.
Brak błędnych prób logowań.
Zmieniony adres wypłat btc, przy tym brak jakichkolwiek info o zmianie salda czy edycji danych - na pocztę nic nie przyszło.
To jest jakaś masakra.
Zgłosiłem właśnie ticket, zobaczymy co powiedzą.
W zasadzie znam tylko adres na jaki poszła wypłata.

[yogasck]

ja właśnie przez przypadek zauważyłem że również zostałem okradziony na bitcurexie 02.02.2014r.
Brak błędnych prób logowań.
Zmieniony adres wypłat btc, przy tym brak jakichkolwiek info o zmianie salda czy edycji danych - na pocztę nic nie przyszło.
To jest jakaś masakra.
Zgłosiłem właśnie ticket, zobaczymy co powiedzą.
W zasadzie znam tylko adres na jaki poszła wypłata.

Podaj adres, bo jak narazie 3 przypadki gdzie kasa wyszla na ten sam adres

[djwally]

w moim przypadku adres jest inny

1MkFeighwRraJMMuwby6WX4eKRLodN59xa

[Bitmar]

@MIRQ3 i @djwally, tylko mi nie mówcie, że mieliście takie samo hasło do bitcurexa jak do forum bo się załamie. Co do włamań to jest to już plaga, dlatego was ostrzegam tu: https://forum.bitcoin.pl/uwazajcie-na-t ... 12565.html
Nie widzę innej opcji, to musi być jakiś trojan/keylogger. Nie ściągajcie też żadnych dodatków do przeglądarek, szczególnie związanych z BTC, zaktualizujcie javę a nawet wywalcie całkiem. A najlepiej to pracujcie na oddzielnym kompie lub przynajmniej maszynie wirtualnej. A i nigdy nie otwierajcie załączników w mailach, nieważne jakie było by rozszerzenie !!!
Jeśli padliście ofiarą włamania na jednej giełdzie a macie też kasę na innych, to zmieńcie hasła ale na innym kompie !!!

[ekonokomik]

Co do kwestii "skąd ktoś znał mój email?" to często odpowiedzią jest socjotechnika.

Absolutnie nie sugeruję nieuczciwości w tym przypadku, ale łatwo sobie wyobrazić, że w podobny sposób można pozyskać email od jakiejś liczby osób z forum:
https://forum.bitcoin.pl/post152065.html#p152065

[Bitmar]

Ogólnie maile są jawne i dziwne było by ukrywać je przed światem. Po to są maile by je podawać. Najważniejsze jest hasło do poczty a uzyskanie go jest już trudniejsze. Brutal force na powszechnie znane serwisy pocztowe nie jest możliwy, zablokują Cię po którejś tam próbie. Może być też włam ale nie na wiele serwisów pocztowych na raz. Trojan/keylogger w kompie/urządzeniu mobilnym poradzi sobie z tym bez problemu, a F2A też nie jest problemem jak mamy syf w androidzie lub poddamy się technikom socjotechniki. Generalnie najlepiej używać starej komórki do F2A i mieć oddzielny komp lub wirtualkę do operacji na giełdach i przechowywania monet.

[yogasck]

Nawet jak mamy jakiegos trojana to jak go znalezc? Czy moglismy go pobrac kazdy z innego zrodla? Jedynie co jest sensowne to wallety shitcoinow, ja pobieralem jedynie z oficjalnych stron, ale raz pobralem z linka podanego na forum ale nie moge sobie przypomniec jaki to byl...

[Bitmar]

Jutro opiszę kilka sposobów jak poszukać trojanów.
Dziś na szybko:
- http://www.bleepingcomputer.com/download/combofix/ - stary dobry skaner - tylko zróbcie kopie walletów bo kiedyś wykrywał je jako trojan
- http://pl.wikipedia.org/wiki/HijackThis

[prezes]

ComboFix faktycznie jest dobrym rozwiązaniem

[Multi]

Z tymi portfelami shitcoin moze cos byc, nie raz juz bylo ze w jakims portfelu ludzie cos znajduja. Moze hakerzy zmondrzeli sie wlasnie, tworza shitcoin z dorzuconym kodem do binarki, a w kodzie udostepnionym czysto, idealny sposob na wlamania

[wev]

Coraz ciekawsze historie pojawiają się w tym wątku. Więc i może ja dorzucę swoją na szczęście jeszcze bez przykrych konsekwencji. Znajoma postanowiła kupić sobie btc, więc założyłem jej konto na swoim kompie. Sam z niego korzystam i jestem niemal pewien, że jest czysty. Żadnych kradzieży czy to z portfela czy to z curexa (silne hasło do gmaila + 2FA, do każdego serwisu inne hasło (keepass) i kilka zestawów loginów, w curexie 0 błędnych logowań, jednak instalowałem ze 2 lub 3 portfele shitcoinów). Powiedziałem znajomej żeby poczekała na lepszy kurs (jakiś miesiąc temu), ostatnio chciała przelać kase na curexa i pojawiło jej się 15 błędnych logować z obcego ip. Jedyne co mi przychodzi do głowy, to że ktoś ma zestaw popularnych loginów (znajoma raczej taki miała) i dopasowuje popularne hasła, na koncie na curexie ma napisanego maila więc potem próbuje włam na maila z hasłem z curexa. Nie wiem czy gmial przechowuje historyczne ip logowań. Można by porównać czas prób i by było wiadomo czy ta teoria by się zgadzała...

[Multi]

Coraz ciekawsze historie pojawiają się w tym wątku. Więc i może ja dorzucę swoją na szczęście jeszcze bez przykrych konsekwencji. Znajoma postanowiła kupić sobie btc, więc założyłem jej konto na swoim kompie. Sam z niego korzystam i jestem niemal pewien, że jest czysty. Żadnych kradzieży czy to z portfela czy to z curexa (silne hasło do gmaila + 2FA, do każdego serwisu inne hasło (keepass) i kilka zestawów loginów, w curexie 0 błędnych logowań, jednak instalowałem ze 2 lub 3 portfele shitcoinów). Powiedziałem znajomej żeby poczekała na lepszy kurs (jakiś miesiąc temu), ostatnio chciała przelać kase na curexa i pojawiło jej się 15 błędnych logować z obcego ip. Jedyne co mi przychodzi do głowy, to że ktoś ma zestaw popularnych loginów (znajoma raczej taki miała) i dopasowuje popularne hasła, na koncie na curexie ma napisanego maila więc potem próbuje włam na maila z hasłem z curexa. Nie wiem czy gmial przechowuje historyczne ip logowań. Można by porównać czas prób i by było wiadomo czy ta teoria by się zgadzała...

Na dole po prawej stronie masz addresy logowan jak wejdziesz na poczte gmail

[rizar]

alwaro ale ty miales wlaczone na gmailu tylko alerty czy weryfikacje za pomoca sms? bo serio nie wierze, ze przy weryfikacji sms ktos ci wbil na konto mailowe

ja opisywalem juz jakis czas temu, ze mialem wlam na mtgoxa i rowniez z glupoty mialem tu i tam to samo haslo ;] ale jak wspominalem juz w innym poscie winie tylko swoja glupote, zreszta wiem dokladnie jak sa przechowywane hasla w phpbb, wiec luz bez spiny panowie

[wev]

Na dole po prawej stronie masz addresy logowan jak wejdziesz na poczte gmail

To wiem, tylko chodziło mi raczej o takie sprzed np miesiąca, tego chyba nie ma.

[AdamM]

alwaro ale ty miales wlaczone na gmailu tylko alerty czy weryfikacje za pomoca sms? bo serio nie wierze, ze przy weryfikacji sms ktos ci wbil na konto mailowe

Ja na początku podejrzewałem trojana na androidzie. Ale powoli dochodzę do wniosku że łatwiej byłoby jednak trojanem na komputerze. W końcu smsa na 90% nie trzeba przechwytywać bo jak włamywacz się loguje i dostaje pytanie o hasło to potem po prosu używa trojana na kompie żeby użyć przeglądarki w której zapewne alwaro kliknął żeby go nie pytało o smsy, prawda?

[alwaro]

@rizar własnie weryfikacje SMS włączyłem ok 11 dziś rano, nie wiedziałem że coś takiego jest (podwójna weryfikacja)

@MIRQ3 zostałem zhakowany z tego samego ip, podałem go na policji. Za przeproszeniem szkoda mi kolesia skoro to jakiś ruter brzegowy na łączu z UPC to już nie mój problem.


Co do trojanów i wirusów.
Z giełd korzystam z lapka (ubuntu) czysty bez żadnych pierdół, nic nie poprane oprócz chroma oraz update
Portfele są na starym lapku z win 7 który jest włączony raz w tygodniu. Żadnych gówien nie ma tam zainstalowanych....

Do użytku mam lapka 3 tam są dziwne rzeczy

Aha dodam jeszcze że wszystko co z Kryptowalutami ma wspólnego jest na NAT1 (portfele, eruptery itp) a reszta domowników na NAT2 (wifi, lapek3 i inne pc) na wypadek rozprzestrzeniania się jakiegoś syfu po localu

EDIT
@AdamM
Nie mam zapisanych haseł w przeglądarce

[rizar]

no wiec jasne jest, ze ktos znal twoje haslo, skoro na gmailu nie miales 2etapowej weryfikacji to dla zlodzieja raczej juz nie problem

jakis czas temu bylo glosno o wycieku loginow i hasel z pooli do kopania opartych na tym popularnym skrypcie ogolno dostepnym dla wszystkich, prawdopodobnie sporo osob ma rowniez na nich podobne/te same hasla co do kont mailowych

[yogasck]

Uzylem tego combofixa, o to co usunelo
((((((((((((((((((((((((((((((((((((((( Usunięto )))))))))))))))))))))))))))))))))))))))))))))))))
.
.
c:\program files\FreeVideoCutter.exe
c:\program files\FreeVideoCutter.exe\avcodec-54.dll
c:\program files\FreeVideoCutter.exe\avdevice-54.dll
c:\program files\FreeVideoCutter.exe\avfilter-2.dll
c:\program files\FreeVideoCutter.exe\avformat-54.dll
c:\program files\FreeVideoCutter.exe\avresample-0.dll
c:\program files\FreeVideoCutter.exe\avutil-51.dll
c:\program files\FreeVideoCutter.exe\ffmpeg.exe
c:\program files\FreeVideoCutter.exe\FreeVideoCutter.exe
c:\program files\FreeVideoCutter.exe\postproc-52.dll
c:\program files\FreeVideoCutter.exe\swresample-0.dll
c:\program files\FreeVideoCutter.exe\swscale-2.dll
c:\program files\FreeVideoCutter.exe\unins000.dat
c:\program files\FreeVideoCutter.exe\unins000.exe
c:\windows\UA000088.DLL
.
Zainfekowana kopia c:\windows\system32\Drivers\atapi.sys została znaleziona. Problem naprawiono
Plik odzyskano z - c:\windows\System32\DriverStore\FileRepository\mshdc.inf_x86_neutral_a5025d31bee4647c\atapi.sys
.
.
Wszystkie te pliki byly zainfekowane? Czy ktorys jest potrzebny do przywrocenia aby system dzialal prawidlowo?
Dodam ze i tak bede robic reinstal, wiec nie spinac d. ze uzylem programu bez jakiejkolwiek wiedzy na jego temat:D, zawsze na przyszlosc sie przyda