Polskie Forum Bitcoin

Witajcie, drodzy Bitcoinerzy.

Ku przestrodze, opiszę Wam swoją przygodę z BTC.
Zacząłem interesować się tym tematem na początku 2012 roku. W czerwcu zweryfikowałem konto, w sierpniu dokonałem wpłaty na MtGox - 1360zł.
Kupiłem za wszystkie pieniążki BTC (po kursie ok 440zł- około 3,1 BTC).
Zacierałem rączki na spekulowany wzrost (chociaż nie spodziewałem się skyrocket'u do ponad 3000zł)....

I tu zaczyna się smutna część.
Z mojego konta zniknęły prawie wszystkie Bitcoiny, zalogowałem się w tym czasie w którym trwał włam. Uratowałem tylko 340 zł. Support podał mi adres transakcji. Z Ip wynikało że to Francja, ale blockchain wskazał dalsze adresy aż do Rosji.
Dlaczego do tego doszło?
Byłem świeżakiem (nadal jestem, ale minimalnie oklepanym) - Nie miałem dwuetapowej weryfikacji i nie pomogły mi odmienne hasła na e-mail i konto mtgox.

Przestrzegam Was, dbajcie o obwarowanie zarówno komputera jak i wszystkich kont!
Teraz zmądrzałem - używam google authenticator i do maila i do giełdy, w drodze jest YubiKey.

Niestety, środków już nie odzyskałem. Polska policja krzywo się na mnie patrzy gdy mówię o kradzieży kryptowaluty. Odzyskane pieniążki wpłaciłem spowrotem na zabezpieczone już konto, z 350 zł udało mi się wyprodukować profit około 70zł. Ale za takie środki wiele się już nie podziała.
Ominęła mnie wielka szansa - Skyrocket ceny z 440 do ponad 3000zł, przy posiadaniu 3 BTC stwarzało duże możliwości. Niestety już jest za późno.

Raz jeszcze powtarzam, dbajcie o swoje konta i nie popełnijcie takiej gafy jak ja .
P.S.
Jest to mój pierwszy post na tym forum, ale regularnie czytam niektóre działy. Teraz będę się od czasu do czasu udzielał.
Pozdrawiam serdecznie.

Welcome to the jungle. Cała akcja dość smutna ale w sumie lepiej że stało się to teraz niż jakbyś miał stracić np 30 BTC a nie 3
Po takich porażkach człowiek się dużo uczy i mądrzeje. Powodzenia w przyszłości

To już kolejny podobny opis na forum a nadal nikt nie ustalił jakiegoś punktu wspólnego.
Za każdym razem złodziej musiał mieć dostęp do poczty. Skądś ten dostęp musiał być zdobyty: takie samo hasło w innym serwisie, keyloger, backdoor, logowanie na zawirusowanym komputerze itp. Nie mógł to też być przypadek. Przecież nikt, kto dostał się do czyjegoś maila nie wpada na pomysł "A sprawdzę, może gościu ma coś wspólnego z Bitcoinem i przez przypadek ma kont na gox". Złodziej w jakiś sposób musiał wiedzieć czego szukać, musiał wiedzieć, że dana osoba ma coś wspólnego z BTC.
Mam wrażenie, że wspólnym mianownikiem musi być jakiś wyciek danych z jakiegoś forum/giełdy czegoś powiązanego z BTC ewentualnie jakaś aplikacja, strona również powiązana z BTC infekująca użytkowników.

Nie wykluczam domysłów Lucky777.

Osobiście, obstawiałbym wyciek - tym bardziej że do takowych dochodziło na mtgox, keylogger/backdoor lub strony związane z BTC (bardzo dużo ich naotwierałem)

tak na dlugo, polecam chocby watek w ktorym bylo duzo powiedziane w temacie zabezpieczen kont i gield

https://forum.bitcoin.pl/zostalem-okrad ... 11539.html

tak w skrocie w kolejnosci waznosci wg. mnie

1. Uzywaj wszedzie unikalnych i trudnych hasel
2. Uzywaj oddzielnego konta/kont do zarzadzania gieldami/kantorami
3. Zawsze ustawiaj na gieldach/kantorach 2FA, nawet jesli tam masz "drobne"
4. Ustawiaj na kontach email 2FA (np. gmail) w ten sposob jak wycieknie samo haslo/login atakujacy nie uzyska dostepu do poczty
5. Omijaj gieldy ktore nie obsluguja 2FA, jak juz musisz z nich korzystac, trzymaj tam drobne i trzymaj je krotko
6. Rozdzielaj zawsze kanaly autentykacji, tj. jesli mam smartfonie dostep do gieldy, nie wolno na nim miec rowniez google authenticatora
7. Rozwaz zmiane systemu na stacji roboczej z windows na linux, jesli pozostawiasz windows

Zobaczcie TO:

Do infekcji wystarczy aby kliknąć SKRÓT w folderze. Sam wirus siedzi w pliku tekstowym .txt. Nie każdy się połapie.

@lenny

ogolnie trzeba stosowac zasade ograniczonego zaufania, do wszystkiego
ja np. na kazdym kompie mam innego antywira...
bo im przeciez tez nie nalezy ufac

Ja do codziennej pracy używam Linuksa, na każdym komputerze w domu. Nie mam żadnego antywira na Linuksie i nic nie ściągam ani nie instaluję na nim, w większości programy z repo. Do zabawy mam Windowsa, ale tam żadnych portfeli ani nic nie trzymam

@lenny

obsluzy Ci linux 3 monitory?
jakiego uzywasz wm? nadal sie trzeba j... z xorg.conf?
moja ostatnia stycznosc z linuxem na desktopie, to zainstalowalnie binarych driverow radeona i pad systemu...
to byla swieza instalacja i stwierdzilem ze nie chce mi sie grzebac w g...

P.S.
na linuxa oczywiscie sa wirusy

dragonus pisze:@lenny

obsluzy Ci linux 3 monitory?

3 a nawet więcej jeśli trzeba

dragonus pisze:@lenny
moja ostatnia stycznosc z linuxem na desktopie, to zainstalowalnie binarych driverow radeona i pad systemu...

Faktycznie, trzeba się z tym trochę pomęczyć, żeby zabanglało.

dragonus pisze:@lenny
na linuxa oczywiscie sa wirusy

Przy ilości wirusów na windowsy można założyć że ich liczba jest bliska zeru, no i trzeba się o wiele bardziej natrudzić żeby je złapać i uruchomić

ja wiem ze obsluzy
ale konfiguracja powiedzmy 2 kart i 3-4 monitorow to cos co mnie nadal przerasta
a co pod win sie robi w 3 min mysza...

i szczerze mowiac nadal nie rozumiem dlaczego jest to takie trudne
przez 20 lat sie tutaj praktycznie nic nie zmienilo poza nazwa pliku konf.

poza tym zgoda
srodowisko duzo bardziej bezpieczniejsze, co bynajmniej nie oznacza ze pozostale moje tezy sa nieaktualne, moze inaczej, dodam kolejny punkt

dragonus, w dzisiejszych Linuksach nawet nie trzeba mieć pliku xorg.conf. Możesz sobie go stworzyć ale nie musisz. Co do konfiguracji pod 3 monitory to ja nie używam, to się nie wypowiem.

Jednak sądzę że do obsługi TYLKO portfeli warto mieć jakiegoś laptopka z Linuksem, bez żadnych innych śmieci, gier i fejsbuków. I do tego konto e-mail, na które logujemy się tylko z tego lapka. Aby nas nie kusiło, "a zaloguję się u kolegi na kompie na Bitcurexa, żeby mu pokazać moją kasę na giełdzie, jak spekuluje i zarabiam, yo". Bo przez takie kwiatki ludzie najczęściej tracą swoje pieniądze.

@lenny

oddzielne srodowsko to b. dobry pomysl
ale to ewentualnie pkt 8 dla chetnych co znaja linuxa

osobiscie uwazam ze wciskanie linuxa komus kto go nie zna spowoduje duzo wiecej szkod, niz gdyby mial pracowac w znanym sobie srodowisku
przyklad, wkretki ludzi na rm -rf /*
usuwanie badlockow itd.

to nadal dziala, chociazby dlatego ze ludzie uzywaja tylko myszy i nawet nie znaja podstawowych polecen, sorki, ale windows przynajmniej zapyta najpier czy chcesz skasowac caly filesystem, bedziesz musial sporo klikac zanim to NAPRAWDE zrobisz

tutaj jedno polecenie i jestes w ciemnej d...ie

spojrz na to z pkt. spojrzenia ludzi ktorzy pytaj o binarki bitcoind bo nie potrafia uzyc gita i niczego skompilowac
naprawde sadzisz ze linux bedzie dla nich bezpieczniejszy? wlasnie niekoniecznie

dastingo pisze: Teraz zmądrzałem - używam google authenticator i do maila i do giełdy, w drodze jest YubiKey na linie papilarne.

Tylko uważaj na tego Yubikey'a alb zamów zapasowego. Jeżeli stracisz obecny klucz to stracisz dostęp do środków. Ponoć procedura weryfikacji i ewentulnego odzyskania konta jest ogromnie problematyczna.

a np wirtualna maszyna na ktorej stoi linux i ją używać tylko do operacji pieniężnych (domyslnie, giełdy btc i powiązane z nimi maile)? Myślę że dużo bezpieczniejsza opcja niż windows, czy się mylę?

doooku pisze:

dastingo pisze: Teraz zmądrzałem - używam google authenticator i do maila i do giełdy, w drodze jest YubiKey na linie papilarne.

Tylko uważaj na tego Yubikey'a alb zamów zapasowego. Jeżeli stracisz obecny klucz to stracisz dostęp do środków. Ponoć procedura weryfikacji i ewentulnego odzyskania konta jest ogromnie problematyczna.

i b. dobrze ze jest upierdliwa
taka byc powinna

yubikey nie jest na linie papilarne, skad bierzecie takie "madrosci"?
yubikey to zwykla "klawiatura" na USB ktora generuje hasla jednorazowe

Porter pisze:a np wirtualna maszyna na ktorej stoi linux i ją używać tylko do operacji pieniężnych (domyslnie, giełdy btc i powiązane z nimi maile)? Myślę że dużo bezpieczniejsza opcja niż windows, czy się mylę?

tak samo "bezpieczna" jak hypervisor na ktorym pewnie jest windows, facebook, torrenty, gry, itd.

doooku pisze:

dastingo pisze: Teraz zmądrzałem - używam google authenticator i do maila i do giełdy, w drodze jest YubiKey na linie papilarne.

Tylko uważaj na tego Yubikey'a alb zamów zapasowego. Jeżeli stracisz obecny klucz to stracisz dostęp do środków. Ponoć procedura weryfikacji i ewentulnego odzyskania konta jest ogromnie problematyczna.

Procedura jest prosta, w zasadzie jest to ponowna weryfikacja adresu i dowodu, raz tak miałem ze 2 lata temu na MtGoxie, jak zgubilem Yubikey.

... nie mogłem się powstrzymać....

Haha Tak, 2 lata temu jakoś zgubiłem gdzieś Yubikey na lotnisku. Napisałem do supportu i po 2 dniach miałem już moje konto spowrotem. Włączyłem wtedy Google Authenticator i używam go na koncie MtGox do dziś.