Uważajcie na trojany/hakerów

[prezes]

Czyli pozostaje bitcurex i cex

[krateczka]

Hej, jak wiadomo złodzieje nie śpią ale chciałem was ostrzec uważajcie bo nie wiem czy mają bazę użytkowników z Bitcurexa czy co ale mi wczoraj wieczorem wyczyścili konto na Bitcurex najprawdopodobniej przejmując wcześniej moje konto pocztowe. Wypłata poszła na konto 1NaMXTwzrimaeaVLCksqEVhKaQQpEhsP78 , które analizując jest powiązane z setką innych kont prowadzących do milionów dolarów.

[rav3n_pl]

Najpewniej to adres mieszarki... ewentualnie innej giełdy. Jak ktoś już używa trojana i włamuje się to raczej nie zostawia śladów.
BLOKUJCIE DANE na Bitcurex!

[pm7]

Ja zablokowałem. Teraz nie mogę się zalogować na konto (zmienili hasło po ostatnim włamaniu) i chcą mojego dowodu...
Ja bym raczej radził użyć jakiejś giełdy, która obsługuje uwierzytelnianie dwuskładnikowe.

[powered]

@pm7 ja mam tak samo.
Zablokowałem sobie kiedyś konto, a teraz Bitcurex chce wymusić na mnie odblokowanie konta wbrew mojej woli. Ja nie chce odblokowywać, ja chce się tylko zalogować na moje konto.

[rav3n_pl]

AML niestety nie ominiemy. Weryfikacja danych i po sprawie.

[powered]

Wątek poniekąd jest o bezpieczeństwie. Ja dla mojego bezpieczeństwa świadomie założyłem blokadę, a teraz jestem zmuszany abym napisał prośbę (właśnie taka dokładnie jest forma, aby to było w postaci prośby - dziwne) o zdjęcie tej blokady. Więc czegoś tutaj nie rozumiem? A może moje konto już jest puste i potrzebna jest tylko podkładka w dodatku ze skanem dowodu że to ja sam przecież prosiłem się o zdjęcie tej blokady?

[krateczka]

Ja pisałem im wieczorem zaraz po tym jak nie mogłem się zalogować, że coś jest nie tak odpisali, że wszystko ok pewnie jakieś chwilowe problemy. Rano napisali mi, że proszę napisać prośbę o zmianę maila bo możliwe, że ktoś przejął mi pocztę, po zmianie maila i hasła okazało się, że konto jest puste. Szkoda, że od razu nie kazali zmienić tego maila wtedy może udało by się przeszkodzić.

Drugą kwestią jest to, że wystarczy aby ktoś przejął twojego maila i praktycznie może wyczyścić Ci konto na Bitcurex ponieważ ich zabezpieczenia nie są idealne. Po sprawdzeniu mojego maila, ktoś logował się na niego z innego IP w Polsce i Holandii- Ip sieci Tor, ale musiała być to jakaś zorganizowana akcja bo nie da się przeanalizować, gdzie poszła kasa była ona puszczona przez setki kont. Zastanawia mnie również skąd mieli moją nazwę użytkownika oraz maila- może te dane wypłynęły podczas ostatniego ataku na giełdę.

[rav3n_pl]

Podstawową sprawą jest, że użyszkodnicy serwisów NIE używają zabezpieczeń przez serwisy udostępnianych.
Skoro jest 2FA - używaj go. Skoro jest blokada danych do wypłaty - używaj jej!
W przypadku wlezienia na konto ktoś mógłby ci najwyżej "wyprzedać ze stratą" bity. Ty i tak stracisz, ale on nie zyska.
Żadne superhasła nie pomogą, jak masz system z keyloggerem.
Tak jak było to wielokrotnie pisane - tani laptop z linuxem do wchodzenia na giełdy i "giełdową" pocztę, do niczego innego.

[krateczka]

Przeanalizowałem jeszcze gdzie poszła ta kasa i z tego adresu 17QAxKGLXvdDpNbHbrYGQxr3dV5kpVVNUv środki zostały przelane na 1LvaC2EazFoffERQT5UsTXq3aB83L7nq2j - sądząc po kwotach jest to jakaś giełda.

[asmo]

Ostrzegam moi drodzy, nie bądźcie tacy jak ja i używajcie paper walletów do wszystkiego. Wyczyścili mi moje konto na BTC-e. Miałem tam na szczęście niewiele do małego day tradingu, a reszta na papierowych. Straty w wysokości około 1000zł. Zawirusowany mail od bitmine.ch, a raczej jakiejś podróby, kliknąłem jak dziecko, bo czekam na refund już kilka miechów. Dziwne aktywności na liscie IP. Zmieniam hasła maile itp. Czyszczę kompa jak mogę. Dziwne aktywności ustały na 3 tygodnie. Wpłacam małą ilośc do day tradingu. Loguję się następnego dnia (dziś). Pusto. W historii widnieją wypłaty na inny adres. Ticket do supportu tak jakby coś. I tyle.
A teraz idę przejść się korytarzem wstydu...

[Multi]

nie miałeś weryfikacji dwuetapowej ??
Dla mnie to podstawa na mail i na konto.

[asmo]

widzisz nie zdążyłem nawet, wszystko było nowe. Nie sposób zaprzeczyć, że trochę olałem sprawę i za to zapłaciłem. Z resztą teraz sam nie mogę uwierzyć, że się tak dałem zrobić. Może ktoś to przeczyta i będzie mądrzejszy. Gdy leciałem po adresach to pan złodziej miał tam 1,5k ltc.

[Hilary]

Przepraszam, że odgrzewam kotleta, ale muszę na to zwrócić uwagę, bo to kwestia bezpieczeństwa. Każdy ma jakieś tam sposoby, jak chociażby osobne maile do każdego konta, wszędzie różne hasła maksymalnej długości i złożoności (z generatora), jakiś tam nic nie wart mail na spam, jakiś na oficjalną pocztę, Linux oczywiście, szyfrowane partycje, maszyny wirtualne, pendrive, osobne urządzenia... długo kombinować i wszystko pięknie, ale czasem złamanie zabezpieczeń jest złamaniem zabezpieczeń i po prostu jesteśmy w D.

W przypadku wlezienia na konto ktoś mógłby ci najwyżej "wyprzedać ze stratą" bity. Ty i tak stracisz, ale on nie zyska.

Zyska, jeżeli sprzeda... sobie.

By nie czepiać się jednego zdania- odgrzeję troszkę bardziej konstruktywnie.
Podstawową sprawą jest pamięć. Jak powstał BTC? Przed dobrą definicję pieniądza, to był pierwszy krok. Autor zdefiniował po prostu pieniądz! Dlaczego my mamy o tym więc zapominać i mając przy sobie portfel z dużą ilością BTC czuć się lepiej, niż mając dużą ilość gotówki? Nie idziemy do knajpy z tysiącami upchanymi po kieszeniach- BTC to też pieniądze i błędem jest zap0ominanie o tym.
Ostatecznie więc: mieć kilka portfeli. W komórce można mieć tyle, by się schlać w knajpie i mieć potem jak zapłacić za taksówkę. Większych kwot nie potrzebujemy (tym bardziej, że za taksę chyba jeszcze nigdzie BTC nie zapłacimy ).
Dodatkowo- użytkownicy windowsa cierpią z powodu trojanów etc. Do kasy nalezy więc używać Linuksa. Wirtualna maszyna to dobre zabezpieczenie, ale ją też można ściągnąć. Pendrive z portfelem to dobra rzecz, ale można ściągnąć z niego dane, gdy się podłączy go do kompa. Więc co? Więc jeżeli nie jakiś stary, rozklekotany laptop służący tylko do tego, to przynajmniej system na pendrive. Wszystko szyfrowane i pokopiowane, bo pendrive lubi ginąć/zdychać, gdy się okazuje cenny.
Co z giełdami? Najlepiej na każdej giełdzie mieć inne dane. Ja wiem, że jeden mail to wygoda, ale, cholera, o pieniądzach mówimy. Także na każdej giełdzie inny mail, nick, hasło... No i hasło- generujemy losowo. Nie ma mowy o dacie urodzin + nazwa giełdy, to nam daje różne hasła o tej samej podstawie, co nie zmienia praktycznie nic w naszym bezpieczeństwie. Orientujemy się jakie najbezpieczniejsze hasło da się zrobić i takie generujemy z użyciem odpowiedniego programu (cholera, nawet w linuksowej konsoli, jak lubimy więcej widzieć spośród tego, co się dzieje).

Ważną rzeczą na którą warto zwrócić uwagę jest TOR. Niestety, jest on podatny na atak MitM, ruskie robią to notorycznie. Można ściągnąć oczywiście listę "niebezpiecznych" ip, ale tak naprawdę jest to lista IP, które NAKRYTO, nie mamy gwarancji, że reszta jest w porządku. TOR więc, niestety, jest pomysłem z kategorii średnich.

Sprawa być może oczywista, ale warto zaznaczyć. Nieznane sieci są nieznane. Nawet nasza prywatna sieć domowa jest na podsłuchu. RLY, nie musi być do tego sniffowana po wifi. Po prostu ISP może robić co mu się podoba, więc trudno liczyć na anonimowość w dostępie do portfela. Jeżeli mamy własny serwer gdzieś w stanach, czy cholera wie gdzie, to możemy zrobić sobie tunel ssh, jest to jednak też rozwiązanie niedoskonałe, bo "ciotka z ameryki" nie musi się znać i może nam niechcący zainfekować pośrednika, a jakby chcieli nas znaleźć, to nas znajdą.

Użytkownik zawsze jest najsłabszym ogniwem, absolutnie zawsze. To właśnie dlatego tak niewiele jest włamów na serwery i witryny w porównaniu do ataków na użytkowników. Można uznawać jakąś giełdę za bezpieczną, lub też nie, ale prawda jest taka, że hipokryzją byłoby używać jednopoziomowego logowania przy jednoczesnej krytyce zabezpieczeń.

No i tutaj dochodzimy do ideału. Wielopoziomowe zabezpieczenie? Naprawdę dobrym pomysłem byłoby używanie go przy jednoczesnym nie wpinaniu się do swojej domowej sieci wifi. Nigdy. Komórka z wiecznie wyłączonym modułem wifi, niepodłączana do komputera po kablu, czy jakkolwiek inaczej (airdroid, ssh, telnet etc. też się liczą). Wyłącznie transmisja danych po sieci. Istotą tego zabezpieczenia jest izolacja dwóch urządzeń od siebie, niemożność stwierdzenia przez atakującego... gdzie ma atakować. Nie jest to zabezpieczenie doskonałe, zwykły phishing może nas zjeść przecież...

Przydługą litanią o podstawach chciałbym zakończyć prosto. Myśl jak atakujący (nie trzeba mieć dużej wiedzy z zakresu IT do tego, załóż po prostu, że coś się DA zrobić i raczej się nie pomylisz) i wyceniaj swoje pieniądze. Zabezpieczenia są uciążliwe, oczywiście... oceń więc ile wysiłku są warte Twoje środki w portfelach.

Przepraszam ponownie za odgrzanie, ale to jedno zdanie mnie poruszyło... mam nadzieję, że przynajmniej ta litania zostanie jakiemuś nowicjuszowi "z tyłu głowy". Nie po to by straszyć, bo BTC > każdy bank pod każdym względem, a raczej by uświadomić i uchronić przed własnymi błędami.

[Nuke]

@up, dodatkowo polecam zastanowić się nad hardware wallet np. Trezor

[pm7]

http://zaufanatrzeciastrona.pl/post/jak ... ych-hasel/

[piotr14]

Nie będę powtarzał tego co wcześniej wypisywali inni bo trochę dobrych rad się pojawiło.
Od siebie dodam, że giełda powinna dawać możliwość weryfikacji po gpg, opcja oczywiście do wyboru.
Jak to może wyglądać:
Użytkownik podaje klucz publiczny na koncie giełdy i maila lub kilka (tak dobrze by było mieć kilka maili tam aby w razie straty jednego użytkownik mógł się potem zweryfikować przez kod wysłany kluczem)
W przypadku np. wypłaty środków (limit mógłby ustawiać użytkownik, np. 0.1btc/dzień nie wymaga uwierzytelnienia) wysyłany jest ciąg znaków do użytkownika.
Użytkownik idzie do innego komputera (nie podłączany do internetu nigdy, nie trzymany blisko innych urządzeń podłączanych do internetu, telefon z kieszeni też wyciągamy, danych nie przenosimy na nośniku mogącym przenosić malware)
Użytkownik deszyfruje wiadomość, następnie ten sam ciąg znaków szyfruje kluczem publicznym giełdy.
Wiadomość zaszyfrowana jest przenoszona (tak samo jak u góry) na komputer do giełd i wysyłana na giełdę.
Przelew jest realizowany dopiero po zdeszyfrowaniu wiadomości.

Innym rozwiązaniem jest szyfrowanie wiadomości email kluczem publicznym użytkownika. Więc nawet jak atakujący uzyska dostęp do maila to nie odszyfruje wiadomości bez uzyskania dostępu do klucza.

To wymaga oczywiście jasnej informacji zgubisz klucz=stracisz dostęp do środków.

Na koniec najważniejsze, nie używać tych samych haseł w różnych miejscach. Ktoś z jakiegoś forum wyciągnie bazę danych, następnie sprawdzi zgodność mail/pw i już ma gotowe do maile do sprawdzania.

[pm7]

Kraken stosuje opcjonalne szyfrowanie maili wysyłanych do użytkownika podanym przez niego kluczem publicznym GPG. Ponadto podpisuje swoje wiadomości

Podany schemat postępowania jest dość bezpieczny, ale tak uciążliwy dla użytkownika (przepisywanie długich ciągów w tą i z powrotem), że nie widzę, by korzystało z tego więcej niż promil użytkowników. W dodatku giełda nie mogłaby twierdzić, że użytkownik autoryzował przelew, jeżeli tego nie zrobił
Obiecującą technologią są według mnie podpisy Bitcoin. W przyszłości być może będziemy mogli wykorzystać portfele sprzętowe takie jak Trezor i w momencie wypłaty środków z giełdy będziemy np. Trezorem podpisywać zgodę na przelanie środków.

W temacie, chociaż bardziej ochrona przed użytkownikiem niż przed hakerami:
http://bitzuma.com/posts/five-ways-to-l ... addresses/

[piotr14]

Może jest uciążliwe ale warto imo myśleć w tym kierunku i zapewnić różne możliwości zabezpieczania. Sam fakt mnogości rozwiązań utrudnia ataki masowe, czyniąc same ataki bardziej skomplikowanymi i tym samym mniej opłacalnymi.
Podpisywanie wiadomości ma również bitmex ponoć.

Jeżeli chodzi o prostsze rozwiązanie z użyciem bitcoina do tego, to można użyć innej maszyny nie będącej w tej samej sieci i potwierdzać wypłatę transakcją na konkretną niską kwotę. Oczywiście z wcześniej ustalonego adresu.

[ShadowOfHarbringer]

(...) kliknąłem jak dziecko, (...) Dziwne aktywności na liscie IP. (...) Czyszczę kompa jak mogę.

Typowe problemy wingrozy.

Nie czyść kompa, tylko Linuksa od razu zainstaluj. Problem solved.

Jadę na Linuksie prawie od samego początku Bitcoina, miałem już na kompie duże sumy BTC, nigdy nic nie zginęło.

IMHO Na stronach powiązanych z Bitcoinem powinni w sposób otwarty odradzać Wingrozy i zalecać Linuksa, wtedy 95% takich problemów by się rozwiązało.