Polskie Forum Bitcoin

W ostatnim czasie mamy masową kradzież środków z giełd kryptowalutowych. Najwięcej jest przypadków włamań na konta z powodu braku dodatkowej weryfikacji 2FA.

Jeśli nie wiesz co to jest 2FA.
Korzystając z banków podajesz login i hasło, jednak gdy chcesz zrobić przelew musisz dodatkowo podać kod jednorazowy który zwykle przychodzi smsem. Dzięki temu haker nawet jak pozna twój login i hasło, bez dostępu do telefonu nie zrobi przelewu (chyba, że wyłudzi ten kod przez phising, kierując Cię na fikcyjna stronę banku). W bankach 2FA jest obowiązkowe, na giełdach nie. Giełdy najczęściej korzystają z Google Authenticator. To aplikacja na telefon/tablet a najlepiej stary smartphone którego nie używasz na co dzień.

Koniecznie włącz 2FA na giełdzie!!! Jeśli nie masz 2FA, tylko kwestią czasu jest, aż haker ogołoci twoje konto. Jeśli nie wiesz jak to zrobić, pomożemy Ci tu na forum.

Pamiętaj, że ostatnio wyciekło 10mln haseł do kont pocztowych: https://zaufanatrzeciastrona.pl/post/ha ... a-w-sieci/
Sprawdź czy nie wyciekło i Twoje hasło: https://haveibeenpwned.com/. Jeśli tak, zmień je koniecznie TERAZ! Jeśli nie ma, pamiętaj, że Twoje hasło też może wyciec w najbliższej przyszłości, albo stało się to 5 minut temu.

Hakerzy mają dostęp do 10mln kont pocztowych! Za pomocą botów mogą je przeszukać w poszukiwaniu maili z giełd, tym samym bez problemu powiążą skrzynki pocztowe z giełdami. Jeśli nie macie 2FA to dla hekra ogołocenia waszego konta na giełdzie to już 2 minuty czasu, bez żadnego problemu. Właściwie słowo "haker", jest tu na wyrost, bo na wasze konta na giełdzie (bez 2FA) mogą bez problemu dostać się nastoletni amatorzy.

Pamiętaj też, żeby nie używać tych samych haseł w różnych miejscach, zawsze jest ryzyko, że w końcu gdzieś baza wycieknie. To jest skrajna głupota! Giełdy są dość dobrze zabezpieczone, ale jeśli używacie tych samych haseł w innych miejscach, to odpowiadać mogą za nie kompletni amatorzy. Tym samym sposobem korzystając z jednego hasła powierzacie (niebezpośrednio) bezpieczeństwo swoich środków osobom trzecim, często nie mającym pojęcie o kwestiach bezpieczeństwa!

Jeśli korzystasz ze swojego giełdowego hasła gdzieś indziej, zmień je KONIECZNIE TERAZ! i załóż 2FA!!!
Jeśli Twoja skrzynka pocztowa ma opcję 2FA, załóż też koniecznie!

Posiadanie konta, bez 2FA nie powinno mieć miejsca u osoby która trzyma chociaż 300 PLN na giełdzie.

Ludzie, to jest naprawdę do was ważny apel, bo bardzo mi szkoda osób które straciły pieniądze (niestety po fakcie najczęściej pozostaje tylko płakać). w ostatnim miesiącu zgłosiło się do mnie z prośbą o pomoc około 30 osób. Całe 30 osób, które utraciły środki na giełdach. Wszystkich łączył jeden schemat: nie miałem 2FA na giełdzie, oraz nie miałem 2FA do maila, ktoś mi wbił na maila - błagam pomóż. Środki które łącznie te zaledwie 30 osób potraciło, to jest równowartość około 3 domów..

30 osób, a nie jestem za bardzo znany, to wyobraźcie sobie co przeżywa support giełd i inni znani "od krypto".


Włączcie 2FA, wszędzie! I pamiętajcie: zapisujecie po prostu kod do odzyskiwania na kartce czy innym bezpiecznym miejscu, skanujecie w aplikacji Google Auth (lub inna do 2FA) i gotowe. Operacja z zapisaniem tego kodu do odzyskiwania (w razie utracenia telefonu) trwa około 1-2 minuty. A może uratować wasze środki.


Dziękuję za uwagę i ostatni raz apeluję do wszystkich - załóżcie 2FA, bo jestem pewien że każda osoba, która nie ma 2FA straci kiedyś swoje wszystkie pieniądze, nawet na najlepszej giełdzie (bo to nie kwestia giełdy)

@Bitmar, może na portal to wrzucić. Potem rt na tt się zrobi

Wszystko potwierdzam.

Dodam, że moje konto na giełdzie HitBTC zostało zhakowane, chociaż wszędzie używam innych haseł i mój komp nie został zhakowany. Nie miałem 2FA. Nic nie zginęło tylko dlatego, że jestem ostrożny i nie trzymam kryptowalut na giełdzie.

Zabezpieczenie własnego kompa to już za mało. Złodzieje dobierają się do emailów w locie, lub mają hasło do skrzynki, lub włamują się do dostawcy email, lub nawet na samą giełdę.

Włączajcie 2FA, bo nie znacie dnia ani godziny.

Bitmar pisze: Sprawdź czy nie wyciekło i Twoje hasło: https://haveibeenpwned.com/. Jeśli tak, zmień je koniecznie TERAZ!

Mail wyciekł, 2FA włączone. Skąd pewność, że hasło wyciekło? Nigdy nie miałem próby logowania na moją skrzynkę z innego IP. Muszę zmieniać hasło?

gofer pisze:

Bitmar pisze: Sprawdź czy nie wyciekło i Twoje hasło: https://haveibeenpwned.com/. Jeśli tak, zmień je koniecznie TERAZ!

Mail wyciekł, 2FA włączone. Skąd pewność, że hasło wyciekło? Nigdy nie miałem próby logowania na moją skrzynkę z innego IP. Muszę zmieniać hasło?

jesteś pewny ze chcesz ryzykować ?
NIE ?
To co się głupio pytasz.
koledzy w innych tematach pisali ile trwa wyczyszczenie konta.
2FA narazie jest skuteczne.
Nie oszukujmy sie nawet jeśli system jest bezpieczny i teoretycznie nie do złamania, to niewykluczone ze ma gdzieś furtke

Na tej stronie macie opisane jakie strony z danym emailem zostały hakowane. Np mój email wyrzucił chyba z 10 wyników. Ale to były hakowane tylko te strony z tej listy. Na emailu mam inne hasło zaś na tych stronach miałem swoje standardowe hasło do stron jednorazowych/mało ważnych
Od pewnego czasu do każdej strony mam hasło wygenerowane przez lastpass-a

Bitmar pisze: Sprawdź czy nie wyciekło i Twoje hasło: https://haveibeenpwned.com/. Jeśli tak, zmień je koniecznie TERAZ! Jeśli nie ma, pamiętaj, że Twoje hasło też może wyciec w najbliższej przyszłości, albo stało się to 5 minut temu.

jest jakaś pewność, że ta strona nie sprzeda komuś mego maila, lub nie trafię przy okazji na jakąś spam-listę? bo w sumie nie wiem czy sprawdzać

bejzkuper pisze:

Bitmar pisze: Sprawdź czy nie wyciekło i Twoje hasło: https://haveibeenpwned.com/. Jeśli tak, zmień je koniecznie TERAZ! Jeśli nie ma, pamiętaj, że Twoje hasło też może wyciec w najbliższej przyszłości, albo stało się to 5 minut temu.

jest jakaś pewność, że ta strona nie sprzeda komuś mego maila, lub nie trafię przy okazji na jakąś spam-listę? bo w sumie nie wiem czy sprawdzać

Ta strona jest bezpieczna, reklamują ją i ręczą za nią profesjonaliści w branży.

redlumek pisze: Na tej stronie macie opisane jakie strony z danym emailem zostały hakowane.

No właśnie nie mogę znaleźć, a ciekawy jestem kto "popuścił".

A dobra, zapomniałem przewinąć w dół.

Bitcoin Forum
Dailymotion
lastfm
myspace

mail.ru
exploit.in

Co dziwne - dwóch ostatnich nie kojarzę żebym kiedyś używał.

Dobra, widzę, że exploit.in to zbiorcza baza danych, więc pewnie któreś z pozostałych się załapało.

Na dole powinny być wymienione strony jeśli Twój email został "udostępniony".

Polecam ten serwis:
https://verify.4iq.com/

Podajecie tam swój mail!

Jeśli ten mail zostanie odnaleziony w bazie to przyjdzie wam na niego mail z kilkoma ostatnimi znakami waszego hasła! Jeśli wyciekło!

Wtedy macie dowód! Bo to że mają wasz mail to jeszcze nie musi znaczyć, że mają hasło!

Hej ja mam pytanie, bo trochę się zapatrzyłem dzisiaj zakładając GA do gmaila (na giełdach GA mam już jakiś czas i dla nich spisałem sobie kody) i nie spisałem kodu do odzyskiwania, ani nie mam kodu QR- czy i jak mogę go sobie wyświetlić? Muszę jakby jeszcze raz założyć GA i tym razem już spisać ten kod czy jest na to jakiś inny sposób?

@smp,

smp pisze: Polecam ten serwis:
https://verify.4iq.com/

Podajecie tam swój mail!

Jeśli ten mail zostanie odnaleziony w bazie to przyjdzie wam na niego mail z kilkoma ostatnimi znakami waszego hasła! Jeśli wyciekło!

Wtedy macie dowód! Bo to że mają wasz mail to jeszcze nie musi znaczyć, że mają hasło!

Mail wyciekł a hasło przysłali złe. Poza tym hasło nie zmieniane na moim starym mailu od 2012 roku
Komu by się chciało 24 znaki łamać.

Mi przysłali hasło które miałem jakieś 3 lata temu jak jeszcze tego konta za bardzo nie używałem więc i hasło było proste ale prawidłowe. Poczta na o2.

ShadowOfHarbringer pisze: Złodzieje dobierają się do emailów w locie,

jak ? konkretnie

Może by tak co 30 dni zmieniać hasło ? przecież to są podstawy....

Proponuję korzystać z LastPass - nie jest to może idealne rozwiązanie, ale jest w miarę bezpieczne.

Dobrze jest też stosować prefix lub sufix do zapisanego w LP hasła. Czyli Lastpass zapisuje 20 znaków z hasła, a my dopisujemy na końcu drugą część hasła, którą pamiętamy. W ten sposób nawet przejęcie haseł z LP nie umożliwi łatwego zalogowania się do serwisu. Prefix lub sufix może być ten sam dla wszystkich stron, byle był w miarę skomplikowany i miał >8 znaków.
Oczywiście logowanie do LP też musi być z 2FA.
To naprawdę pomaga w zarządzaniu hasłami. Jakoś nie słychać o wyciekach lub masowej kradzieży haseł z LP. Cały kontener z danymi jest szyfrowany, więc LP nie ma możliwości dostępu do niego.

LP jest darmowe, więc można mieć drugie konto tylko z danymi logowania do giełd i logować się do LP tylko w razie potrzeby i od razu wylogowywać.

m.m pisze:

ShadowOfHarbringer pisze: Złodzieje dobierają się do emailów w locie,

jak ? konkretnie

Czytaj:
https://forum.bitcoin.pl/viewtopic.php?f=21&t=26464

m.m pisze:Może by tak co 30 dni zmieniać hasło ? przecież to są podstawy....

Nie, nie ma to sensu. Jedyne co to zrobić sobie jedno mocne, losowe hasło i bardzo ważne - w każdym serwisie hasło mieć inne.

Do wygodnego przechowywania takich haseł można użyć managera typu lastpass, albo Password Hashera, który wygeneruje Ci z jednego, podstawowego hasła dowolną ilość innych haseł.

ShadowOfHarbringer pisze: Czytaj:
https://forum.bitcoin.pl/viewtopic.php?f=21&t=26464

internet można "podsłuchać" tylko u operatora lub w węzłach wymiany ruchu a tu mamy ruch tysięcy innych użytkowników więc sniffer będzie potrzebował bardzo dużo szmocy by przeanalizować dane więc bardzo szybko zostanie wykryty. Do tego dochodzi nam HSTS i innego zabezpieczenia / szyfrowanie. Operatorzy wi fi również szyfrują komunikację a właściwie producenci anten, tą transmisję można podsłuchać ale tu podobny problem typu wiele sygnałów nam "wi fi w powietrzu", czas, sprzęt i potężny skill.

ok, SSL jest dziurawy ale jego złamanie i tak wymaga bardzo dużo zasobów i czasu. Więc ponownie pytam gdzie można ten "email" przeczytać w locie ?

ShadowOfHarbringer pisze: Nie, nie ma to sensu. Jedyne co to zrobić sobie jedno mocne, losowe hasło i bardzo ważne - w każdym serwisie hasło mieć inne.

okresowa zmiana certyfikatów/kluczy/haseł jest podstawą polityki bezpieczeństwa w każdym miejscu gdzie ważne jest bezpieczeństwo, takie rozwiązanie znajdziesz w standardowych reguły aplikacji czy nawet active directory.

Hasło wycieka 27 grudnia, planowany przelew 5 stycznia, Ty tradycyjnie 1 stycznie zmieniasz wszystkie hasła. Masz rację jest to totalnie zbędne.

ShadowOfHarbringer pisze: Do wygodnego przechowywania takich haseł można użyć managera typu lastpass, albo Password Hashera, który wygeneruje Ci z jednego, podstawowego hasła dowolną ilość innych haseł.

Placebo dobra rzecz, tego się trzymaj.

m.m pisze: ShadowOfHarbringer pisze:
Przejdź do cytowanego posta Do wygodnego przechowywania takich haseł można użyć managera typu lastpass, albo Password Hashera, który wygeneruje Ci z jednego, podstawowego hasła dowolną ilość innych haseł.


Placebo dobra rzecz, tego się trzymaj.

@m.m, ja bym prosił o rozwinięcie twoich zarzutów w temacie tego rozwiązania. Jak zauważyłem przy okazji ostatnich wydarzeń bardzo często polecany jest keypass jako panaceum na problem wielu haseł. Jeszcze nie korzystam a dopiero zbieram wiedzę na temat zastosowania i słabych punktów więc chętnie wysłucham.