Twój komp jest bezpieczny ? To za mało, zakładaj 2FA. Złodzieje masowo hakują serwisy emailowe
- Zawsze mam rację
- Posty: 6923
- Rejestracja: 15 lutego 2011
- Reputacja: 4513
- Lokalizacja: Zmienna
Twój komp jest bezpieczny ? To za mało, zakładaj 2FA. Złodzieje masowo hakują serwisy emailowe
Postautor: ShadowOfHarbringer » niedziela, 14 stycznia 2018, 01:38
Crackerzy i złodzieje masowo włamują się na serwisy wysyłające mass-mailing (duże witryny używają podwykonawców do wysyłania mailingu, nie robią tego sami).
Z pomocą uzyskanych tam dostępów, hakują konta wszystkim, których maile przechodzą przez te serwisy.
Problemem jest przestarzała technologia e-mail, która co prawda ma szyfrowanie dostępne od lat 80-tych, ale nikt go nigdzie nie używa. "I tak to już się żyje na tej wsi".
=============================
EDIT:
Schemat ataku przedstawia się następująco. Każdy email z serwisu typu giełda czy forum musi przejść następujące kroki:
SERWER GIEŁDY -> INTERNET -> SERWIS MASSMAILINGOWY -> INTERNET -> SKRZYNKA E-MAIL UŻYTKOWNIKA.
Jedyne co musi zrobić złodziej, to:
1. Wysłać maila z prośbą o reset hasła (każdy może to zrobić)
2. Zhakować lub podsłuchać którykolwiek z punktów oznaczonych na czerwono
3. ????
4. PROFIT ! Z giełdy znikają pieniądze, chociaż Twoja skrzynka email miała mocne hasło i nie została zhakowana.
Żadne, nawet najmocniejsze hasło ani szyfrowany mail bez GPG typu Protonmail nie ochroni Cię przed tym atakiem. Niektóre serwisy obsługują GPG (jak giełda Kraken na przykład) ale jest to wciąż rzadkość.
=============================
Z powyższego powodu, 2FA na koncie giełd/innych serwisów których używasz to w dzisiejszych czasach to konieczność. Polecam na androida appkę FreeOTP - jest open source i nie jest od google'a.
Uściślenie: Chodzi o zabezpieczenie 2FA na giełdzie/serwisie docelowym którego używamy, a nie zabezpieczenie 2FA na samej skrzynce emailowej. Zabezpiecznie 2FA skrzynki nic nie da, ponieważ atak nie jest na samą skrzynkę, a na pośrednika przed skrzynką.
Więcej informacji:
https://thenextweb.com/hardfork/2018/01 ... olen-hack/
https://gizmodo.com/reddit-email-vulner ... 1821808073
https://news.bitcoin.com/bitcoin-cash-r ... thousands/
Z ciekawostek: m. in. ukradziono konto moderatorowi i innym userom, a także kradziono tipy w Bitcoin Cash z kont userów na reddicie. Zginęły tipy o wartości tysięcy dolarów.
Próbowano też się włamać na moje konto giełdowe i ukraść BitcoinCashe tam zgromadzone, jednak jestem zbyt ostrożny na takie sztuczki i trzymam zero monet na giełdach. Nic mi nie zginęło. Ale było blisko.
Ocenzurowane i zmanipulowane fora: /r/Bitcoin, /r/CryptoCurrency, BitcoinTalk
ShadowOfHarbringer
- Początkujący
- Posty: 216
- Rejestracja: 19 września 2017
- Reputacja: 45
Twój komp jest bezpieczny ? To za mało, zakładaj 2FA. Złodzieje masowo hakują serwisy emailowe
Postautor: constantine » niedziela, 14 stycznia 2018, 02:05
"Było blisko" czyli próba resetu hasła?ShadowOfHarbringer pisze: (...)
Próbowano też się włamać na moje konto giełdowe i ukraść BitcoinCashe tam zgromadzone, jednak jestem zbyt ostrożny na takie sztuczki i trzymam zero monet na giełdach. Nic mi nie zginęło. Ale było blisko.
constantine
- Moderator
- Posty: 11686
- Rejestracja: 16 lutego 2013
- Reputacja: 3879
Twój komp jest bezpieczny ? To za mało, zakładaj 2FA. Złodzieje masowo hakują serwisy emailowe
Postautor: Bit-els » niedziela, 14 stycznia 2018, 08:42
I wtedy do takiego maila można raczej odpuścić sobie 2fa. Te serwisy wyraźnie informują- masz hasło, masz dostęp. Kilka prób błędnych i blokada do momentu podania właściwego
Bit-els
- Weteran
- Posty: 1175
- Rejestracja: 18 września 2016
- Reputacja: 276
- Napiwki: https://tippin.me/@c_witold
WitoldC
- Weteran
- Posty: 7131
- Rejestracja: 21 sierpnia 2011
- Reputacja: 2357
Twój komp jest bezpieczny ? To za mało, zakładaj 2FA. Złodzieje masowo hakują serwisy emailowe
Postautor: prezes » niedziela, 14 stycznia 2018, 09:00
Czyli że można zastosować brute force attack.
Blog prezesa - blog o inwestowaniu
Giełdy Kryptowalut - wiadomości, opinie, rankingi
Kryptowaluty.info.pl - Informacje ze świata kryptowalut
prezes
- Początkujący
- Posty: 94
- Rejestracja: 14 grudnia 2017
- Reputacja: 4
Twój komp jest bezpieczny ? To za mało, zakładaj 2FA. Złodzieje masowo hakują serwisy emailowe
Postautor: Aleksiejs » niedziela, 14 stycznia 2018, 09:17
Aleksiejs
- Weteran
- Posty: 4618
- Rejestracja: 14 kwietnia 2016
- Reputacja: 2683
Twój komp jest bezpieczny ? To za mało, zakładaj 2FA. Złodzieje masowo hakują serwisy emailowe
Postautor: mecenas » niedziela, 14 stycznia 2018, 09:23
FreeOTP obsłuży klucze do Google Authenticator?
Można zastąpić w dowolnym momencie aplikację od google?
mecenas
- Dyskutant
- Posty: 279
- Rejestracja: 1 lipca 2014
- Reputacja: 39
Twój komp jest bezpieczny ? To za mało, zakładaj 2FA. Złodzieje masowo hakują serwisy emailowe
Postautor: RafaelGrey » niedziela, 14 stycznia 2018, 09:29
RafaelGrey
- Weteran
- Posty: 2518
- Rejestracja: 21 marca 2014
- Reputacja: 1468
Twój komp jest bezpieczny ? To za mało, zakładaj 2FA. Złodzieje masowo hakują serwisy emailowe
Postautor: The Real McCoin » niedziela, 14 stycznia 2018, 11:11
Z tego co widzę to nie tylko oni używają podwykonawców - same napiwki też były obsługiwane przez podwykonawcę, czyli pośrednika.
Kryptowaluty powstały właśnie po to aby nie korzystać z pośredników. Próba "używania" kryptowalut za pomocą pośrednika kończy się często utratą środków.
Bitcoina Cash nie da się używać do napiwków?
The Real McCoin
ikswodnal
- Zawsze mam rację
- Posty: 6923
- Rejestracja: 15 lutego 2011
- Reputacja: 4513
- Lokalizacja: Zmienna
Twój komp jest bezpieczny ? To za mało, zakładaj 2FA. Złodzieje masowo hakują serwisy emailowe
Postautor: ShadowOfHarbringer » niedziela, 14 stycznia 2018, 11:54
Gorzej. Reset hasła, zalogowanie się z amerykańskiego IP. Nie ukradziono nic tylko dlatego, że nic tam nie trzymałem.constantine pisze:"Było blisko" czyli próba resetu hasła?ShadowOfHarbringer pisze: (...)
Próbowano też się włamać na moje konto giełdowe i ukraść BitcoinCashe tam zgromadzone, jednak jestem zbyt ostrożny na takie sztuczki i trzymam zero monet na giełdach. Nic mi nie zginęło. Ale było blisko.
Mówię poważnie: Nie trzymajcie kasy na giełdach, jeżeli absolutnie nie musicie (biznes, handel). A jeżeli musicie, to warto się ubezpieczyć od hackingu - o ile jest w ogóle takie ubezpieczenie.
Nie wiem skąd wziąłeś taką informację. Napiwki były wysyłane z użyciem mechanizmów Reddita, nie miały własnych mechanizmów. Boty na reddicie działają całkowicie w oparciu o mechanizmy reddita, nie mają generalnie własnej integracji z userami.
Jakbyś doczytał precyzyjnie, zauważyłbyś że za pomocą tych samych dziur w reddicie shakowano wcześniej konto jednemu z moderatorów /r/btc
Skąd ten dziwny pomysł ?The Real McCoin pisze:Bitcoina Cash nie da się używać do napiwków?
Na reddicie obecnie są 3 boty napiwkowe, w tym jeden który wysyła napiwki on-chain: /u/chaintip.
Jest to jednak mniej wygodne, bo user musi sobie skonfigurować adres jeżeli otrzyma napiwek (w przeciwnym razie napiwek odbija się i wraca) + jeszcze to że każdy napiwek trzeba ręcznie wysyłać z klienta. Upierdliwe, ale działa.
Generalnie tego typu serwisy nie służą do płacenia sobie, tylko do rozdawania napiwków innym. Rzecz jasna nie należy tam trzymać większych kwot, są to serwisy scentralizowane typu off-chain.
Off-chain też jak widać jest użyteczny w pewnym ograniczonym zakresie.
Ocenzurowane i zmanipulowane fora: /r/Bitcoin, /r/CryptoCurrency, BitcoinTalk
ShadowOfHarbringer
- Zawsze mam rację
- Posty: 6923
- Rejestracja: 15 lutego 2011
- Reputacja: 4513
- Lokalizacja: Zmienna
Twój komp jest bezpieczny ? To za mało, zakładaj 2FA. Złodzieje masowo hakują serwisy emailowe
Postautor: ShadowOfHarbringer » niedziela, 14 stycznia 2018, 11:59
Nie wiem, sprawdź.
Nigdy nie używałem Google Authenticator, FreeOTP to moja pierwsza appka 2FA. Aczkolwiek FreeOTP jest zgodne ze standardami w branży i ma bardzo wysokie noty w sklepie Play. Podejrzewam, że obsłuży.
Generalnie kiedyś odrzucałem całą koncepcję 2FA w stylu "eee tam komu to potrzebne, wystarczy mieć niehakowalnego kompa na Linuksie". Ale widzę teraz że złodzieje przerzucili się na nowe metody i nawet ja muszę mieć 2FA.
Cóż, świat idzie do przodu, złodzieje też.
Ocenzurowane i zmanipulowane fora: /r/Bitcoin, /r/CryptoCurrency, BitcoinTalk
ShadowOfHarbringer
- Zawsze mam rację
- Posty: 6923
- Rejestracja: 15 lutego 2011
- Reputacja: 4513
- Lokalizacja: Zmienna
Twój komp jest bezpieczny ? To za mało, zakładaj 2FA. Złodzieje masowo hakują serwisy emailowe
Postautor: ShadowOfHarbringer » niedziela, 14 stycznia 2018, 12:06
Mylisz się. Drastycznie. Sromotnie. Nic to wszystko nie da.Bit-els pisze:Do serwisów crypto podpinać szyfrowane skrzynki typu protonmail czy tutanota. (...) I wtedy do takiego maila można raczej odpuścić sobie 2fa.
Szyfrowany musiałby być ruch pomiędzy serwerami giełdy czy reddita oraz protonmaila. A ten ruch nie jest w ogóle szyfrowany. Czyli FBI/CIA/NSA/rząd zawsze mogą mieć dostęp.
Dodatkowo, hakowane są też nie same skrzynki email, ale serwisy służące do masowej wysyłki (mass mailing).
Nic to wszystko nie daje. Moje hasło jest stochastyczne, nie zostało w ogóle zhakowane.Bit-els pisze:Hasło stochastyczne, bez możliwości odzyskania na innym mailu (zapisać w 5 miejscach hasło) Te serwisy wyraźnie informują- masz hasło, masz dostęp. Kilka prób błędnych i blokada do momentu podania właściwego
Zhakowano hasło za pomocą resetu hasła i odczytania linka znajdującego się w emailu.
Ocenzurowane i zmanipulowane fora: /r/Bitcoin, /r/CryptoCurrency, BitcoinTalk
ShadowOfHarbringer
- Początkujący
- Posty: 99
- Rejestracja: 30 czerwca 2017
- Reputacja: 10
Twój komp jest bezpieczny ? To za mało, zakładaj 2FA. Złodzieje masowo hakują serwisy emailowe
Postautor: mikolajkulczyk » niedziela, 14 stycznia 2018, 12:19
Rozumiem że nie miałeś zabezpieczenia na giełde 2FA ? Jakim cudem zresetowali Tobie hasło ?ShadowOfHarbringer pisze: Gorzej. Reset hasła, zalogowanie się z amerykańskiego IP. Nie ukradziono nic tylko dlatego, że nic tam nie trzymałem.
Mówię poważnie: Nie trzymajcie kasy na giełdach, jeżeli absolutnie nie musicie (biznes, handel). A jeżeli musicie, to warto się ubezpieczyć od hackingu - o ile jest w ogóle takie ubezpieczenie.
mikolajkulczyk
- Zawsze mam rację
- Posty: 6923
- Rejestracja: 15 lutego 2011
- Reputacja: 4513
- Lokalizacja: Zmienna
Twój komp jest bezpieczny ? To za mało, zakładaj 2FA. Złodzieje masowo hakują serwisy emailowe
Postautor: ShadowOfHarbringer » niedziela, 14 stycznia 2018, 12:31
Nie miałem wtedy 2FA.mikolajkulczyk pisze:Rozumiem że nie miałeś zabezpieczenia na giełde 2FA ? Jakim cudem zresetowali Tobie hasło ?ShadowOfHarbringer pisze: Gorzej. Reset hasła, zalogowanie się z amerykańskiego IP. Nie ukradziono nic tylko dlatego, że nic tam nie trzymałem.
Mówię poważnie: Nie trzymajcie kasy na giełdach, jeżeli absolutnie nie musicie (biznes, handel). A jeżeli musicie, to warto się ubezpieczyć od hackingu - o ile jest w ogóle takie ubezpieczenie.
Ale nawet włączone 2FA nie ochroni Cię przed hackingiem samej giełdy. Albo przed tym, że twórcy giełdy mogą nagle zwinąć biznes, zmienić nazwiska i osiedlić się na kajmanach.
Od początku istnienia Bitcoina chyba ponad połowa giełd i serwisów albo została zhakowana albo zwinęła się z kasą.
Ocenzurowane i zmanipulowane fora: /r/Bitcoin, /r/CryptoCurrency, BitcoinTalk
ShadowOfHarbringer
- Weteran
- Posty: 2518
- Rejestracja: 21 marca 2014
- Reputacja: 1468
Twój komp jest bezpieczny ? To za mało, zakładaj 2FA. Złodzieje masowo hakują serwisy emailowe
Postautor: The Real McCoin » niedziela, 14 stycznia 2018, 12:35
No to trzeba tutaj wspomnieć o Krakenie.
Kraken używa serwisu mailgun.net do wysyłania poczty, ale umożliwia szyfrowanie PGP poczty. W ustawieniach konta giełdowego można podać swój publiczny PGP i wtedy emaile będą wychodziły zaszyfrowane i żaden pośrednik niczego nie ukradnie.
The Real McCoin
- Zawsze mam rację
- Posty: 6923
- Rejestracja: 15 lutego 2011
- Reputacja: 4513
- Lokalizacja: Zmienna
Twój komp jest bezpieczny ? To za mało, zakładaj 2FA. Złodzieje masowo hakują serwisy emailowe
Postautor: ShadowOfHarbringer » niedziela, 14 stycznia 2018, 12:37
Reddit też używał mailguna z tego co pamiętam.The Real McCoin pisze:Kraken używa serwisu mailgun.net do wysyłania poczty, ale umożliwia szyfrowanie PGP poczty. W ustawieniach konta giełdowego można podać swój publiczny PGP i wtedy emaile będą wychodziły zaszyfrowane i żaden pośrednik niczego nie ukradnie.
Po hacku zrezygnowali i przerzucili się na własne serwery.
No ale to co piszesz to dobra opcja. Szkoda, że nie każdy serwis to obsługuje.
Aha, pytanie też czy kraken szyfruje treść maila kluczem u siebie, czy przekazuje ten klucz MailGunowi. Jeżeli przekazuje, to wszystko na nic.
Ocenzurowane i zmanipulowane fora: /r/Bitcoin, /r/CryptoCurrency, BitcoinTalk
ShadowOfHarbringer
- Weteran
- Posty: 2518
- Rejestracja: 21 marca 2014
- Reputacja: 1468
Twój komp jest bezpieczny ? To za mało, zakładaj 2FA. Złodzieje masowo hakują serwisy emailowe
Postautor: The Real McCoin » niedziela, 14 stycznia 2018, 12:45
W kryptowalucie nie ma żadnych kont ani haseł do nich, które można by zresetować.ShadowOfHarbringer pisze: Nie wiem skąd wziąłeś taką informację. Napiwki były wysyłane z użyciem mechanizmów Reddita, nie miały własnych mechanizmów. Boty na reddicie działają całkowicie w oparciu o mechanizmy reddita, nie mają generalnie własnej integracji z userami.
Jakbyś doczytał precyzyjnie, zauważyłbyś że za pomocą tych samych dziur w reddicie shakowano wcześniej konto jednemu z moderatorów /r/btc
Do kradzieży potrzebne są klucze prywatne.
Dodano po 1 minucie 59 sekundach:
Taka opcja powinna być na każdej giełdzie, która do przesyłania poczty używa pośredników.
The Real McCoin
- Moderator
- Posty: 11686
- Rejestracja: 16 lutego 2013
- Reputacja: 3879
Twój komp jest bezpieczny ? To za mało, zakładaj 2FA. Złodzieje masowo hakują serwisy emailowe
Postautor: Bit-els » niedziela, 14 stycznia 2018, 12:48
Link do resetu hasła wysłanego przez giełdę nic dac nie może, bo jak hacker wejdzie na maila? Taki proton to nie onet czy nawet gmail. Ustawienia w mailu dajesz takie, że żadnego odzyskiwania hasła. I albo wchodzisz, albo podając błędne nie
Bit-els
- Zawsze mam rację
- Posty: 6923
- Rejestracja: 15 lutego 2011
- Reputacja: 4513
- Lokalizacja: Zmienna
Twój komp jest bezpieczny ? To za mało, zakładaj 2FA. Złodzieje masowo hakują serwisy emailowe
Postautor: ShadowOfHarbringer » niedziela, 14 stycznia 2018, 12:52
Człowieku o czym Ty rozmawiasz ?The Real McCoin pisze:W kryptowalucie nie ma żadnych kont ani haseł do nich, które można by zresetować.ShadowOfHarbringer pisze: Nie wiem skąd wziąłeś taką informację. Napiwki były wysyłane z użyciem mechanizmów Reddita, nie miały własnych mechanizmów. Boty na reddicie działają całkowicie w oparciu o mechanizmy reddita, nie mają generalnie własnej integracji z userami.
Jakbyś doczytał precyzyjnie, zauważyłbyś że za pomocą tych samych dziur w reddicie shakowano wcześniej konto jednemu z moderatorów /r/btc
Do kradzieży potrzebne są klucze prywatne.
Weź już wypij tą kawę w końcu, bo dalej ja o niebie a Ty o chlebie.
Zhakowane zostało konto na serwisie reddit.com - podaję to tylko jako przykład, że 2FA jest potrzebne.
Oczywiście - wiem, że każda giełda i każdy serwis powinien mieć obsługę GPG i wszyscy powinniśmy używać GPG na codzień. Wiem to od 15 lat. Ale rzeczywistość jest jaka jest, więc zostało nam tylko 2FA.
Ocenzurowane i zmanipulowane fora: /r/Bitcoin, /r/CryptoCurrency, BitcoinTalk
ShadowOfHarbringer
- Bitcoin
- Bezpieczeństwo
- Giełdy i serwisy - zagrożenia
- Anonimowość i bezpieczeństwo w sieci
- Piramidy i scamy
- Bitcoin
- Rozwój projektu
- Twój wkład w rozwój projektu
- Przedszkole
- Pomoc techniczna
- Generowanie monet
- Pomoc
- Ogólnie o miningu
- Mining pools
- Kopacze (miners)
- Sprzęt (hardware) do miningu
- Bitcoin w mediach
- Projekty związane z Bitcoin
- Imprezy, spotkania, konferencje
- Kwestie prawne
- Ciekawostki
- Organizacje charytatywne, zbiórki, dotacje
- Programowanie i wdrożenia
- Ankiety
- Portfele bitcoin
- Dla zaawansowanych - nowi tylko czytają
- Ekonomia
- Rozważania ekonomiczne
- Ankiety ekonomiczne
- Analiza techniczna
- Tutaj zapłacisz bitcoinami
- Polska
- Świat
- Tablica ogłoszeń
- Towary
- Sprzedam
- Kupię
- Zamienię
- Udziały
- Usługi
- Wymiana walut
- Komentarze
- Nagrody
- Wymiana Face-to-Face
- Dolnośląskie
- Kujawsko-pomorskie
- Lubelskie
- Lubuskie
- Łódzkie
- Małopolskie
- Mazowieckie
- Opolskie
- Podkarpackie
- Podlaskie
- Pomorskie
- Śląskie
- Świętokrzyskie
- Warmińsko-mazurskie
- Wielkopolskie
- Zachodniopomorskie
- Cała Polska
- Szukam/dam pracę
- Boty i strategie
- Giełdy, kantory, bitomaty
- Kantory
- Bitomaty
- Inwestycje
- Metale szlachetne
- ICO
- Forki i Alternatywne kryptowaluty
- LiteCoin
- Ekonomia
- Mining
- Ustawienia i konfiguracje
- Linki
- Dogecoin
- Ekonomia
- Mining
- NameCoin
- Ekonomia
- Mining
- Pozostałe
- Scrypt
- SHA256
- Dash
- Ethereum
- ETC
- Lisk
- Bitcoin Cash
- Kopanie kryptowalut
- Kopanie GPU
- Kopanie CPU
- Kopanie ASIC/FPGA
- Kopalnie kryptowalut
- IOTA
- NEO
- Chia
- SCAMY
- Inne
- Linki
- Faucety, kraniki, gry
- Księga skarg i zażaleń
- AMA
- Strona i forum
- Administrator mówi
- Opinie, propozycje, uwagi
- Propozycje banów
Kto jest online
Użytkownicy przeglądający to forum: Obecnie na forum nie ma żadnego zarejestrowanego użytkownika i 15 gości
- Strefa czasowa UTC+02:00
- Na górę
- Zmień szerokość ekranu
- Usuń ciasteczka witryny
O Polskim Forum Bitcoin
Polskie Forum Bitcoin skupia miłośników Bitcoina w Polsce. Tu możesz zadać pytania odnośnie Bitoina lub podyskutować na ciekawe tematy.
Polecamy
Treści na tym forum mają charakter wyłącznie informacyjno-edukacyjny, a posty są wyrazem osobistych poglądów ich autorów. Treśći na forum ani w całości ani w części nie stanowią "rekomendacji" w rozumieniu przepisów Rozporządzenia Ministra Finansów z dnia 19 października 2005 r. w sprawie informacji stanowiących rekomendacje dotyczące instrumentów finansowych, lub ich emitentów (Dz.U. z 2005 r. Nr 206, poz. 1715).