Uwaga na niebezpieczne maile z trojanem

Postautor: **cyklop** » środa, 26 kwietnia 2017, 13:23

Pierwsza sprawa - wlasnie dostalem taki oto email:

Authorize log-in attempt XXXX

An attempt to login to your blockchain.info wallet was made from an unknown browser
Please check and secure your account.

Please Login here ! (link do adresu linkbucks dot com/AkwTF?XXX)

BlockChain Security Team.

Klikniecie w link prawdopodobnie prowadzi do strony z trojanem linkbucks, nie badalem tego dokladnie (tylko google). Tak, ze uwazajcie.

Druga sprawa - dostalem to na adres, ktorego uzywam tylko na gieldach (bitfinex, btce, bitstamp, kraken). Nie uzywam go z blockchain. Wiec znowu skads sobie maile wyciekly...

Postautor: **pm7** » środa, 26 kwietnia 2017, 16:03

Dostałem praktycznie identycznego maila.
Otrzymany link to:
http:// linkbucks . com /AkwTF?MAIL
gdzie MAIL to mój mail. Mail ten podałem chyba wyłącznie do rejestracji w giełdzie https://btc-e.com/.

Co ciekawe, 23 kwietnia opublikowali poradnik bezpieczeństwa

https://btc-e.com/news/240

How to protect your account from hacking

23.04.17 00:39 from admin
Dear participants of BTC-e,

The cases of hacking accounts with the use of viruses disguised as trade bots, trading platform, and also subscription for mailout, from which you may catch a virus if you follow a link in it, became more frequent. But we would like to use this situation to remind you once again how you can protect your account against hacking:
[...]

Postautor: **michal_m** » środa, 26 kwietnia 2017, 17:13

Co za przypadek !

Postautor: **adam1226** » środa, 26 kwietnia 2017, 19:51

przydalaby sie skrzynka pocztowa dziajaca na zasadzie walleta krypto - dla kazdego odbiorcy podajesz inny adres.. i jeszcze jakas integracja z systemem logowania ;>

@adam1226, często są dostępne aliasy (szczególnie na płatnych usługach pocztowych).
W Bitmessage możesz tworzyć adresów do woli.

Postautor: **adam1226** » środa, 26 kwietnia 2017, 20:50

The Real McCoin pisze: @adam1226, często są dostępne aliasy (szczególnie na płatnych usługach pocztowych).
W Bitmessage możesz tworzyć adresów do woli.

W sumie w swoim spamailu tez mam aliasy.. ale sa one dość schowane.. plus jesli do każdego konta zrobię osobny mail to potem latwo sie pogubić.. no i te aliasy moga zostać wycofoane..

Dobra bo się offtop zrobil, ale bede musial wrocic do tematu..
Generalnie z tego co piszecie to wynika ze w tym "śmierdzi" cos z btc-e.. ?

Postautor: **pm7** » czwartek, 27 kwietnia 2017, 11:39

Istnieje taka funkcja "catch-all".
Jeżeli ma się własną domenę, to można przy rejestracji wpisać cokolwiek przed "@domena.pl" i trafi do nas poczta. Można użyć nazwy wskazującej na serwis, a jak potem coś się stanie, to zablokować maile przychodzące na ten adres

Dostawcy oferujący coś takiego (trzeba mieć własną domenę, polecam np. OVH):
https://mailbox.org/en/ (płatne, 1€/mies)
https://www.zoho.com/mail/
Każdy VPS, na którym sami skonfigurujemy pocztę

Hmm mi chodzilo raczej o problem w odwrotna stronę.. ze nie bede wiedział jaki mail mam na konkretnej stronie..

ale to w sumie jakis keepas rozwiazuje, tak?

Postautor: **pm7** » czwartek, 27 kwietnia 2017, 21:29

Naprawdę masz taki problem? Przecież często właśnie mail jest loginem, to musisz je jakoś przechowywać...
Jak nie usuwasz maili, to możesz też wyszukać w historii po nazwie giełdy i sprawdzić na jaki adres wysłali.

pm7 pisze: Jeżeli ma się własną domenę, to można przy rejestracji wpisać cokolwiek przed "@domena.pl" i trafi do nas poczta.

To rozwiązanie byłoby fajne gdyby nie to, że umożliwia łatwe powiązanie kont do jednej osoby (po domenie).

Postautor: **pm7** » piątek, 28 kwietnia 2017, 00:06

W jakiej sytuacja jest to problemem?
Możesz pewnie użyć kilku domen, albo subdomen, ale nie jestem pewien po co.

Postautor: **pm7** » sobota, 29 kwietnia 2017, 12:15

Na ten sam adres podobny mail dostałem, tym razem niby z serwisu LocalBitcoins.com

Nowy link: gulsider . no /mic/***

pm7 pisze: W jakiej sytuacja jest to problemem?

W takiej, gdy nie chcesz być powiązany między kontami założonymi na wielu serwisach, a sceptycznie zakładasz, że prędzej czy później różne dane wyciekają.
Użycie domeny lub domen, których używa bardzo mało użytkowników, a konkretnie tylko Ty, uniemożliwia to.

Dodano po 19 minutach 50 sekundach:

adam1226 pisze: Hmm mi chodzilo raczej o problem w odwrotna stronę.. ze nie bede wiedział jaki mail mam na konkretnej stronie.. ale to w sumie jakis keepas rozwiazuje, tak?

Mógłbyś utworzyć sobie jakieś pojedyncze słowo klucz i używać je do wyznaczania adresów email.
Np. dla strony serwis1.pl tworzysz konto pocztowe adres@dostawca_poczty.pl wg wzoru:

Kod: Zaznacz cały

adres = pierwsze_kilka_znakow(hasz("kluczserwis1.pl"))

W ten sposób pamiętając tylko klucz, będziesz w stanie w dowolnym momencie odzyskać adres do dowolnego serwisu, w którym masz konto.

Postautor: **pm7** » sobota, 29 kwietnia 2017, 15:13

The Real McCoin pisze: W takiej, gdy nie chcesz być powiązany między kontami założonymi na wielu serwisach, a sceptycznie zakładasz, że prędzej czy później różne dane wyciekają.
Użycie domeny lub domen, których używa bardzo mało użytkowników, a konkretnie tylko Ty, uniemożliwia to.

Ok, widzę, choć nie jest to coś, czego się obawiam.

The Real McCoin pisze: Mógłbyś utworzyć sobie jakieś pojedyncze słowo klucz i używać je do wyznaczania adresów email.
Np. dla strony serwis1.pl tworzysz konto pocztowe adres@dostawca_poczty.pl wg wzoru:

Kod: Zaznacz cały
adres = pierwsze_kilka_znakow(hasz("kluczserwis1.pl"))

W ten sposób pamiętając tylko klucz, będziesz w stanie w dowolnym momencie odzyskać adres do dowolnego serwisu, w którym masz konto.

W sumie dość mocno to skomplikowałeś

Ale w sumie wystarczy stworzyć alias = nazwa serwisu @dostawca_poczty.pl
Z drugiej strony.. jeśli któryś z popularnych darmowych dostawców poczty zniknie.. Ostatnio coraz częściej zaczynam myśleć nad odpaleniem swojego serwera pocztowego, ale tutaj z kolei przydałoby się narzędzie umożliwiające tworzenie wielu aliasów..a wiadomo, że kilkudziesięciu normalnych domen nie wykupie, nawet jakby to miały być domeny regionalne to 50*16zł średnio na rok wychodzi już trochę dużo...

Postautor: **pm7** » wtorek, 2 maja 2017, 15:42

Dziś dostałem "BTC-e voucher for pm7", ale nie na adres mailowy, który podałem przy rejestracji na BTC-e, a ten, który podałem przy rejestracji na forum BitcoinTalk

Żadnych linków, ale jako załącznik plik pm7.docx i w treści hasło.
Na wypadek jakby ktoś nie wiedział: szyfrowanie plików uniemożliwia zadziałanie ochrony antywirusowej u dostawcy poczty. Przesyłanie hasła w tym samym mailu jest zasadniczo bezsensowne i powinno od razu wzbudzić podejrzenia.

Zawartość:

Użyłem oczywiście wirtualizacji w celu ochrony przed wirusem.

Postautor: **Chancellor** » wtorek, 2 maja 2017, 17:28

Też dostałem taki mail. Posłużono się moim nickiem i adresem e-mail z BitcoinTalk. Natomiast nigdy nie miałem i nie mam konta na BTC-e. Co jeszcze bardziej wzbudziło moje podejrzenia, oprócz tego, o czym napisał @pm7.

Inni też dostali: https://bitcointalk.org/index.php?topic=1898046.0

Postautor: **pm7** » wtorek, 2 maja 2017, 18:22

Chancellor pisze: Natomiast nigdy nie miałem i nie mam konta na BTC-e. Co jeszcze bardziej wzbudziło moje podejrzenia, oprócz tego, o czym napisał @pm7.

Cóż, zasadniczo żeby dostać voucher nie trzeba być już klientem.

Spisałem mój mały poradnik:

Jak bezpiecznie odbierać pocztę email:

Nie zajmować się w ogóle odebranymi danymi (treść wiadomości, załączniki) przed ustaleniem nadawcy poprzez analizę i weryfikację metadanych.
Korzystać z dostawcy skrzynki pocztowej, który sam weryfikuje nadawcę i wyświetla informacje o tym w przyjazny człowiekowi sposób (np. Gmail, ProtonMail robi weryfikację, ale jej wynik zapisuje w nagłówkach, które trzeba ręcznie wyświetlić i przejrzeć - pomyślnie zweryfikowane zabezpieczenia SPF i DKIM mają nadawany status PASS).
Bez automatycznego sprawdzenia nadawcy przez dostawcę pocztowego, będzie trzeba przyjrzeć się samemu metadanym.
"Nadawca" to dwie kwestie:
1. Ten kto dostarczył wiadomość (wpisany w nagłówku Return-Path lub w Received za HELO) - weryfikowany przez zabezpieczenie SPF (np. Return-Path: <no_reply@btc-e.com>), które polega na tym, że właściciel domeny opublikował (w rekordach domeny) listę adresów IP i domen, które mają prawo wysyłać emaile w imieniu jego domeny.
2. Ten kto podpisał się pod wiadomością (wpisany w nagłówku From, wyświetlanym przez programy pocztowe) - weryfikowany przez zabezpieczenie DKIM (np. From: "BTC-E" <no_reply@btc-e.com>), które polega na tym, że właściciel domeny opublikował (w rekordach domeny) klucz publiczny, którym należy zweryfikować podpis (obejmujący nazwę domeny z adresu nadawcy) umieszczony w nagłówku wiadomości (DKIM-Signature).
Może się zdarzyć, że wiadomość będzie miała dołączony podpis autora (S/MIME, PGP/GPG), ale to obecnie raczej rzadkość.
Zweryfikować organizację nadawcy w certyfikacie SSL domeny. Może być tak, że przyjdzie wiadomość od "UPS" no_reply@ups-ddr.com z danymi o przesyłce. Ktoś kto się podszywa pod UPS mógł kupić domenę i prawidłowo skonfigurować dla niej SPF i DKIM. Mógł też zainstalować zwykły, domenowy certyfikat SSL dla ups-ddr.com. Oszust nie jest jednak firmą, pod którą się podszywa i jest mało prawdopodobne, że urzędy wydające certyfikaty przyznały mu certyfikat EV (Extended Validation) z dodatkowymi informacjami o organizacji. Poważniejsze podmioty wyrabiają sobie takie droższe certyfikaty. Bez wchodzenia na adres domeny bezpośrednio, można sprawdzić organizację z certyfikatu korzystając z jakiegoś serwisu do sprawdzania certyfikatów, np. https://www.sslshopper.com/ssl-checker.html (przykładowo dla ups.com będzie widoczny wpis: Organization: United Parcel Service, Inc.).
Jeżeli nie jest się nadal pewnym to porównać weryfikowane powyżej elementy z tymi z wiadomości wcześniejszych od tego samego nadawcy, które uznaliśmy za zweryfikowane lub wiarygodne.
Sprawdzić czy wiadomość została zaszyfrowana w tranzycie (Gmail pokazuje to kłódką i opisuje). Ręcznie można to sprawdzić w nagłówkach Received. Będzie tam wpis typu cipher=ECDHE-RSA-AES128-GCM-SHA256. Jeżeli podczas przesyłania wiadomości przez publiczną sieć internetową nie została ona zaszyfrowana to jej treść mogła zostać odczytana przez osoby nieupoważnione, a może nawet mogła zostać zmodyfikowana.
Jeżeli zweryfikowany nadawca nie jest nam znany, to nie przyjmować od niego żadnej treści innej niż tekst wiadomości (nie klikać w linki, nie otwierać załączników, nie pobierać zdalnej zawartości - obrazków).
Nie przyjmować (nawet od znajomych nadawców) załączników innych niż JPG, PNG i PDF (lub archiwa ZIP i inne, zawierające tylko takie pliki). Ktoś mógł się włamać na skrzynkę znajomego (lub złośliwy program przejął kontrolę nad programem pocztowym) i rozsyła "w imieniu" znajomego zainfekowane pliki EXE, DOC lub XLS.
Jeżeli nadawca przesłał załącznik w postaci zaszyfrowanego archiwum ZIP/RAR i w treści wiadomości podał jawnie hasło do niego, to albo nie ma piątej klepki i w tranzycie kto chciał już się zapoznał z tak fatalnie "zabezpieczonymi" danymi, albo, co bardziej prawdopodobne, nadawca chciał aby wirus w tym archiwum dotarł do adresata w sposób nienaruszony przez skanery serwerów pocztowych, które nie są aż tak bezczelne by szukać hasła w wiadomości i pozostawiają archiwum niesprawdzone. Takiego załącznika nie dotykać.