Masowa kradzież środków z kont

[S.O.S]

@gandzialf, nawet jakby miał syf na kompie i codziennie otwierał ten plik na własne potrzeby?

[CzarnaOwca]

No właśnie, jeśli miał jakiś syf, który przechwytuje wpisywane klawisze i robi screeny to sobie może nawet kodować nasa czy siajej, jak otwierał ten plik to kody mogły zostać przechwycone.

[smieszny]

Jak można sprawdzić czy ma się takie coś? Ja mam specjalny komputer do kryptowalut, ale czasami korzystam na nim z internetu (raczej nic nie ściągam). Wszystkie wrażliwe dane i tak trzymam na dysku USB, ale wolałbym być pewny, że komputer jest czysty zanim podłącze USB.

[Bedmen]

Jest jeszcze jedna sprawa warta uwagi.

Na większości giełd po zmianie hasła na platformę giełda z automatu blokuje Ci możliwość wypłacania środków przez 24h. Nie uważacie, że to rozsądne?
Jestem ciekawy czy hacker w moim przypadku, najpierw zmienił hasło a później pobrał BTC na swój portfel, czy na odwrót, pobral BTC a później dla hecy zmienił hasło, żebym miał problem. Nie wydaje mi się, żeby Ci hackerzy robili coś na złość, zależy im tylko na twojej kasie, a więc zapewne zmienił hasło profilaktycznie, przed dokonaniem transakcji żeby podczas przelewania BTC go np. nie wylogowało przez to, że ja się zaloguje - taki mój domysł

[janku66]

Myślę, że na forum robimy kawał dobrej roboty zbierając te obserwacje.
Robimy coś w stylu FMEA, Failure Mode and Effect Analysis.

Gdybyśmy zebrali te wszystkie obserwacje i potencjalne rozwiązania, można przesłać to giełdom.
Jeśli wykażą wolę i chęć, to skorzystają z tego. Wiele rzeczy nie jest odkrywczych, ale może gdzieś nakierujemy ich programistów, może gdzieś coś przegapili, może coś uważają za bardziej skomplikowane niż jest w rzeczywistości.
Taka lista obserwacji i studium przypadków to spora praca, która na forum jest wykonana w stylu wikipedii. Nikt z tego doraźnie nie ma pieniędzy. Sami "wolontariusze", nie licząc motywacji w postaci utraconych środków.

[Avenged90x]

Ja swoich haseł do logowania na giełdy nie trzymam nigdzie, poza głową . Uważam że są dość trudne do złamania (ok 20 znaków) choć można by jeszcze trudniej..

[m.m]

Myślę, że na forum robimy kawał dobrej roboty zbierając te obserwacje.
Robimy coś w stylu FMEA, Failure Mode and Effect Analysis.

tracicie energię na filozofowanie, niestety tylko dzięki takim rozmową ludzie dostrzegają problem. Lepiej kogoś przestraszyć niż zignorować zagrożenie.

może gdzieś coś przegapili, może coś uważają za bardziej skomplikowane niż jest w rzeczywistości.

może wy/my wielu rzeczy nie bierzemy pod uwagę. Rozmowa jest bardzo ograniczona, pozbawiona elementarnej wiedzy a prym wiodą osoby "bardziej wygadane" inni nawet nie zweryfikują ogólnie dostępnych informacji.

Nad zabezpieczeniami pracują sztaby ludzi. Firmy i instytucje przez lata wypracowały odpowiednie polityki bezpieczeństwa jak i rozwiązania techniczne. Rozwiązania są tylko trzeba je chcieć zastosować, problem dotyczy obu stron.

Gdybyśmy zebrali te wszystkie obserwacje i potencjalne rozwiązania, można przesłać to giełdom.
Jeśli wykażą wolę i chęć, to skorzystają z tego.

firmy które kupują gotowe rozwiązania nie traktują takich rzeczy poważnie (co jest uzasadnione), po za tym każda zmiana wymaga analizy, testów i wdrożenia co generuje koszty i zagrożenia.

Ja swoich haseł do logowania na giełdy nie trzymam nigdzie, poza głową

i tak powinno być.

[The Real McCoin]

Ja swoich haseł do logowania na giełdy nie trzymam nigdzie, poza głową .

Nie chcę Cię martwić, ale Twoje hasła do giełd są jedynie tak bezpieczne jak bezpieczny jest Twój komputer, bo to na nim te hasła musisz wpisywać.
Poza tym, dzieciakowi, który ma już hasło do Twojej poczty, hasło od giełdy (BitBay) nie będzie do niczego potrzebne.
Na koniec wątpię aby Twoje hasła były bezpieczne bo jest ich wiele i długie, a ludzki mózg to nie jest najlepsze urządzenie do wymyślania i pamiętania wielu trudnych haseł.

[Avenged90x]

Ja swoich haseł do logowania na giełdy nie trzymam nigdzie, poza głową .

Nie chcę Cię martwić, ale Twoje hasła do giełd są jedynie tak bezpieczne jak bezpieczny jest Twój komputer, bo to na nim te hasła musisz wpisywać.
Poza tym, dzieciakowi, który ma już hasło do Twojej poczty, hasło od giełdy (BitBay) nie będzie do niczego potrzebne.
Na koniec wątpię aby Twoje hasła były bezpieczne bo jest ich wiele i długie, a ludzki mózg to nie jest najlepsze urządzenie do wymyślania i pamiętania wielu trudnych haseł.

No niby tak.. musiałbym mieć jakiś "syf"na kompie przechwytujący to co wstukuję w trakcie logowania. Pocztę też zabezpieczyłem 2fa

[janku66]

@m.m części Twojej odpowiedzi nie rozumiem. Do tego co rozumiem odniosę się.

może wy/my wielu rzeczy nie bierzemy pod uwagę.

Z pewnością.

Rozmowa jest bardzo ograniczona, pozbawiona elementarnej wiedzy a prym wiodą osoby "bardziej wygadane" inni nawet nie zweryfikują ogólnie dostępnych informacji.

Tak, ale dane zebrane od osób oszukanych są często bardzo istotne. Nie jest ważne czy ktoś jest wprawnym programistą czy jest zupełnie zielony. Informacje, to informacje i często nawet choćby podstawowe to niekoniecznie są plewami.
Jest bardzo kiepskim nawykiem tworzyć i później nadzorować coś będąc oderwanym od spostrzeżeń użytkowników. Nie wiem czy jest sens przytaczać tutaj konkretne przykłady, ale jakby sama wiedza i kupa hajsu wystarczyła aby stworzyć coś co jest pozbawione wad, to nie mielibyśmy upadków dużych firm oraz spadku poparcia grup politycznych, a każdy wypuszczony na rynek model samochodu powinien kraść serca ich właścicieli.
Czy naprawdę myślisz, że programiści wzięli wszystkie możliwe scenariusze w analizie systemu swojego bezpieczeństwa? Jestem przekonany, że luk jest sporo, jak z resztą widzimy, bo inaczej byśmy o tym nie dyskutowali.
Dla janości, karcę z premedytacją tych co nie trzymają się podstawowych zaleceń bezpieczeństwa w sieci. Bez listości chłostałbym tych co na własne życzenie proszą się o kradzież mając jedno proste hasło do całego swojego kontaktu z internetem, a którzy po swoim niedbalstwie mają do kogoś pretensje, że to się wydarzyło. Ostatecznie jednak widzimy, że standardy w wielu przypadkach były zachowane, a wciąż do kradzieży doszło.

firmy które kupują gotowe rozwiązania nie traktują takich rzeczy poważnie (co jest uzasadnione),

Nie wiem czemu tak uważasz, może opacznie Cię zrozumiałem.
Nie uważasz, że może być sytuacja, że programiści bezpieczeństwa BB założyli iż sytuacja X będzie się zdarzać sporadycznie, a później w praniu wyszło, że zdarza się sto razy częściej niż zakładali? A taką informację mogliby dostać właśnie od nas. Nie chodzi o dostarczenie im oprogramowania do bezpieczeństwa, a o dostarczenie przypadków jakie miałe miejsce i zaznaczyć, że dzieją się one bardzo często. Dostarczenie warunków jakie są najcześciej spełnione w przypadkach kradzieży. Rozwiązanie leżałoby dalej w ich dłoniach.
Produkt, czy usługa nigdy nie jest bez zmian produkowana czy dostarczana od początku do końca swojego życia w takim samym wydaniu.
Raz zaprojektowany system bezpieczeństwa oraz procedury nie są wyryte w kamieniu. Je się zmienia, ale żeby wiedzieć co zmienić oraz jak, wówczas potrzebne są zebrane dane by zlokalizować źródło.

Nie potrafię teraz wyszukać źródła, ale chyba dotyczyło to KeePass (nie jestem pewny). Duża firma, mądre głowy, sporo planowania etc.
Jeden programista z google, chyba w sporej mierze hobbystycznie, znalazł lukę w ich zabezpieczeniach. Wysłał im gdzie mają błąd i oni to poprawili. Tydzień później znalazł kolejna i też to poprawili.
Powyższa lukę można było wykryć dwojako. Albo tak jak ten programista, śledząc dokładnie kod, albo poprzez praktykę. Czyli odpowiednia ilośc przypadków jaka musiałaby się wydarzyć aby programiści z KeePass zwrócili na to uwagę i sami zdecydowaliby się to poprawić. Na szczęście nie doszło do weryfikacji przez praktykę, bo ktoś (zewnętrzny użytkownik) to wyłapał wcześniej.
My tutaj jesteśmy tymi właśnie testerami ich systemów i możemy dostarczyć im efekty jakie idą razem z występowaniem luk w ich procedurach.
Możemy poprzez nasze przypadki i tą "prostą" ich analizę zwrócić uwagę giełd oraz ich programistów w konkretne miejsca ich procedur.

[m.m]

Tak, ale dane zebrane od osób oszukanych są często bardzo istotne. Nie jest ważne czy ktoś jest wprawnym programistą czy jest zupełnie zielony. Informacje, to informacje i często nawet choćby podstawowe to niekoniecznie są plewami.
Jest bardzo kiepskim nawykiem tworzyć i później nadzorować coś będąc oderwanym od spostrzeżeń użytkowników. Nie wiem czy jest sens przytaczać tutaj konkretne przykłady, ale jakby sama wiedza i kupa hajsu wystarczyła aby stworzyć coś co jest pozbawione wad, to nie mielibyśmy upadków dużych firm oraz spadku poparcia grup politycznych, a każdy wypuszczony na rynek model samochodu powinien kraść serca ich właścicieli.
Czy naprawdę myślisz, że programiści wzięli wszystkie możliwe scenariusze w analizie systemu swojego bezpieczeństwa? Jestem przekonany, że luk jest sporo, jak z resztą widzimy, bo inaczej byśmy o tym nie dyskutowali.
Dla janości, karcę z premedytacją tych co nie trzymają się podstawowych zaleceń bezpieczeństwa w sieci. Bez listości chłostałbym tych co na własne życzenie proszą się o kradzież mając jedno proste hasło do całego swojego kontaktu z internetem, a którzy po swoim niedbalstwie mają do kogoś pretensje, że to się wydarzyło. Ostatecznie jednak widzimy, że standardy w wielu przypadkach były zachowane, a wciąż do kradzieży doszło.

Jak sam zauważyłeś poziom jest różny, im większy noob tym trudniej zdefiniować event i jego okoliczności, więc przeprowadzanie analizy i wyciągnie wniosków często jest niewykonalne.

Wiele rozwiązań jest otwartych, ogólnie dostępnych, przez lata poprawianych i łatanych. Programiści nie tworzą zabezpieczeń od zera, korzystają z dostępnych bibliotek i tu jest największe prawdopodobieństwo powstania błędu np poprzez złą aplikacje danego rozwiązania. Teoretycznie każdy produkt przechodzi testy i takie rzeczy powinny być wyłapane, praktycznie (zwłaszcza u nas) robi się podstawowe testy i wypuszcza produkt.

Często systemy muszą być user friendly a to czasem zmusza do kompromisu, zwłaszcza gdy mówimy o wydajności.

Pewne rozwiązania są stare, proste jak cep i bardzo skuteczne a wielu do dziś ich nie stosuje. Rozwiązań idealnych nie było i nigdy nie będzie bo zawsze będzie czynnik ludzki.

Dlatego uważam że podstawą jest edukacja użytkowników a nie wciskanie produktów. Dlaczego nagle każdy temat dotyczy 2FA ? Najbardziej aktywni wyjadacze na forum wręcz dyskredytują przez lata stosowane i co najważniejsze sprawdzone rozwiązania.

Nie uważasz, że może być sytuacja, że programiści bezpieczeństwa BB założyli iż sytuacja X będzie się zdarzać sporadycznie, a później w praniu wyszło, że zdarza się sto razy częściej niż zakładali? A taką informację mogliby dostać właśnie od nas.

szczerze ? wyjazd na zbity pysk i odszkodowanie....

informować trzeba, muszą wiedzieć że jest problem, pytanie kto zawinił i czy firma cokolwiek z tym zrobi.

My tutaj jesteśmy tymi właśnie testerami ich systemów i możemy dostarczyć im efekty jakie idą razem z występowaniem luk w ich procedurach.
Możemy poprzez nasze przypadki i tą "prostą" ich analizę zwrócić uwagę giełd oraz ich programistów w konkretne miejsca ich procedur.

bardziej ofiarami masz rację ale forum to level 0, nie ma tutaj analiz, poważnych wniosków itd. W każdym dziale mamy ten sam bełkot i parcie na 2fa. My dbamy tutaj o własny tyłek, nie o rozwój bezpieczeństwa.

[Pokemonami]

Moje konto okradli w sposób następujący. W necie jest baza danych gdzie mozna sprawdzić czy twój mail był zarejstrowany w bazie danej na których była kradzież. Sprawdziłem i okazało się że mój mail był w dwóch takich bazach danych. Na policji byłem dwa razy , nikt nie ogarniał o co mi chodzi i mam przyjść za tydzień jak człowiek odpowiedni do tego będzie na służbie . Radzę wam samemu trochę pokopać bo JA się dowiedziałem więcej jak policja. Mam nadzieję że to co odkryłem coś da. Mam również ślad po gościu na IRC . Potrzeba jeszcze sprawdzić tylko logowania na poczte ale sk***** nie chcę mi dać żadnych informacji
MOJA RADA POZMIENIAĆ MAILE NA TAKIE NA KTÓRYCH NIGDZIE NIE JESTES ZAREJSTROWANY

[wojt5]

Najbezpieczniejsza metoda to zmienic maila na 15minutesmail

[Bedmen]

Moje konto okradli w sposób następujący. W necie jest baza danych gdzie mozna sprawdzić czy twój mail był zarejstrowany w bazie danej na których była kradzież. Sprawdziłem i okazało się że mój mail był w dwóch takich bazach danych. Na policji byłem dwa razy , nikt nie ogarniał o co mi chodzi i mam przyjść za tydzień jak człowiek odpowiedni do tego będzie na służbie . Radzę wam samemu trochę pokopać bo JA się dowiedziałem więcej jak policja. Mam nadzieję że to co odkryłem coś da. Mam również ślad po gościu na IRC . Potrzeba jeszcze sprawdzić tylko logowania na poczte ale sk***** nie chcę mi dać żadnych informacji
MOJA RADA POZMIENIAĆ MAILE NA TAKIE NA KTÓRYCH NIGDZIE NIE JESTES ZAREJSTROWANY

Jak doszedłeś do śladu na IRCU?

[Pokemonami]

Mój kolega informatyk mi to znalazł . Bedmen chcę się z tobą skontaktować napisałem do ciebie 2 wiadomości prywatne ,utwóż jakąś konwersacje bo na forum jestem laik

[Bedmen]

Mój kolega informatyk mi to znalazł . Bedmen chcę się z tobą skontaktować napisałem do ciebie 2 wiadomości prywatne ,utwóż jakąś konwersacje bo na forum jestem laik

Nie mam od Ciebie żadnej wiadomości prywatnej, właśnie do Ciebie piszę na pw.

[Leo77]

Bedmen ja też Ci wysłałem wiadomość

[Bedmen]

Proszę o pomoc w ustaleniu co jest waszym zdaniem bezpieczniejsze.

1 wariant.

GA na BITBAY + np. GMAIL z logowaniem za pomocą kodu sms do maila.

2 wariant

Dwustopniowa weryfikacja na BITBAY (za pomocą maila) + GMAIL z logowaniem za pomocą kodu sms do maila.

Moim zdaniem drugi wariant jest lepszy, a wy jak uważacie?

W pierwszym wariancie hacker.
1. Nie będzie znał loginu. (unikamy możliwości resetu hasła) - Warunek jest taki aby go w ogóle nie używać nigdzie indziej ani nawet na BITBAY poprostu nie wklepywać go na klawiaturze.
2. Nie wejdzie na g-mail bo nie będzie posiadał telefonu komórkowego.
3. Znając hasło do BITBAY nie zaloguje się na BITBAY bo przecież GA.

Tutaj pozostaje tylko pytanie czy GA jest bezpieczne <-- skąd wiesz, czy nie ma w nim syfu, albo czy z czasem nie zostanie dołożony - komórkę też łatwo idzie zasyfić skoro tyle aplikacji teraz jest na telefony do pobierania.

W drugim wariancie hacker:
1. Nie będzie znał loginu. (unikamy możliwości resetu hasła) Warunek jest taki aby go w ogóle nie używać nigdzie indziej ani nawet na BITBAY poprostu nie wklepywać go na klawiaturze.
2. Nie wejdzie na g-mail bo nie będzie posiadał telefonu komórkowego.
3. Nawet znając hasło do BITBAY nie zaloguje się bo musiałby złamać e-maila chronionego też weryfikacją dwuetapową.

Tutaj nie mamy GA - więc likwidujemy prawdopodobienstwo ze jest syf na GA.


Pytanie do ludzi co mają większą wiedzę w temacie zabezpieczen proszę o podpowiedź i uzasadnienie.

[redlumek]

Piszesz o syfie na GA, a wybierasz pocztę Gmail?

[Bit-els]

Giełda + protonmail.com
Na obu 2fa aplikacja, nie sms.