Bitcoin Forum

Доброго времени суток.

   История о взломе аккаунта на BTC-e.com, о работе техподдержки биржи и небольшое послесловие.
   Осторожно много букафф.
   Зарегистрировался на бирже BTC-e.com в мае этого года, некоторая сумма. Все было замечательно и хорошо, попыток взлома аккаунта биржи или почты не было, ничего не предвещало беды,  до того момента пока  19 ноября, я не ввел монетки BitCoin на биржу, продался на пике курса и в раздумьях куда потратить свалившееся богатство отправился на заслуженные выходные. 22 числа злоумышленники взломали почтовый ящик и получили доступ к бирже и 24 благополучно вывели мое несостоявшееся богатство.
   Кто не понял, как то это немного странно, что взлом осуществили сразу после ввода средств на биржу.
   Перед вводом средств на биржу пароль был изменен, для тех кто скажет, что аккаут был взломан давно и только этого и ждали.
   Деньги украдены и скорее всего не будут возвращены, кстати - может здесь, представитель биржи, ответит, что то внятное и вразумительное.

Чтобы не создавать еще топиков, отпишусь о техподдержке здесь:
1. При обращение в техподдержку приходит сообщение, что вам ответят в течении 72 часов, при этом при смене пароля аккаунта, вывод средств блокируется на 24 часа, как то логически не увязывается. Понятно, что 72 часа это максимально время и т.д. и т.п., но при неудачном истечении обстоятельств, даже если вы практически сразу заметите взлом аккаунта,  можете попрощаться со своими сбережениями.
2. Работают не быстро, но работают и это уже хорошо, правда время работы какое-то странное, примерно с 9 до 11 утра и с 21 до 23 по Москве, в остальное время занимаются чем-то очень важным, но не тикетами, вся активность в техподдержке происходила именно в это время.
3. Поддержка абсолютно не читает, что написано в тикете, возможно я использовал неверные слова или неясно выражался, сошлемся на мое неумение внятно излагать мысли и прейдем далее.
4. Самое главное и интересное, в связи с утерей контроля над почтовым ящиком предложили изменить почту, ответив на мой тикет вот этим текстом: https://hdbtce.kayako.com/Knowledgebase/Article/View/19/2/the-change-of-an-e-mail-in-a-profile--izmenenie-e-mail-v-profile - мне так показалось, что это именно предложение сменить почту, потому как дописать пару строк никто не удосужился. Дальше больше, заполняю всю необходимую информацию и отправляю в ответ на тикет, но этого оказалось не достаточно, через 24 часа мне приходить письмо от робота - закрываем тикет, вы не предоставили необходимую информацию, если хотите, что бы ваш тикет не закрыли ответьте письмом. Отвечаю письмом, продублировав необходимую информацию - но этого тоже не достаточно, на данный момент тикет закрыт, проблема не решена. Возникает подозрение, что сотрудники техподдержки не умеют пользоваться системой тикетов или им просто, все ниже пояса по хитону.

   Небольшое послесловие, система безопасности откровенно говоря странноватая, при потере контроля над почтовым ящиком повлиять на аккаунт невозможно, как вариант могли бы предусмотреть резервный почтовый ящик или SMS на мой мобильный телефон о смене пароля - пусть даже платный. На данный момент все сделано для того, что бы на 100% отгородится, при таких случаях как мой, от ответственности и в последствии всегда можно сказать, а мы предупреждали лучше защищайте почту.

логи входа на твой акк есть?

Это не важно, если:
1. Ваш компьютер был протроянен или
2. У злоумышленников был доступ к почте.

Службу поддержки btc-e много ругают в последнее время, и я заметил, что это происходит в моменты, когда курс значительно растет. Что скорее всего вызвано потоком фиата на биржу, с которым она к сожалению не может справляться. То есть вам не повезло вдвойне - что вас сломали, и что сломали именно сейчас, когда администрация загружена.

Что касается смс-оповещений и прочего. Я и так считаю, что сейчас чересчур гайки закручены, причем в сторону уменьшения издержек - что было проще сделать, то и прикрутили. Запретили Tor, сделали привязку по ip, сделали подтверждение по почте и т.д. Такое ощущение, что администрации просто не хватает людей, которые были бы компетентны в вопросах и которым можно было бы доверить навешивание дополнительных свистелок. Расширять штат, видимо, некем. С другой стороны, видим стабильную работу и отсутствие взломов самой биржи, так что желание лучшего сервиса конечно есть, но так же хочется не терять то, что уже присутствует.

Про стабильную работу это вы перегнули. Биржа и раньше не справлялась с периодическими ддосами, а сейчас вообще атас.
Надеюсь, что обновление оборудования исправит ситуацию.

То, что не взламывали - это да, радует.

На всякий случай - сделайте и сохраните traceroute с ваших провайдеров до ящика и биржи.

tracert SITE > file.txt


PS  еще можно сделать бэкап системы, если место позволяет, в архив с паролем или на другой диск,
а потом поискать что там свежего антивирусом...

DDoS - проблема вообще любого ресурса, в буквальном смысле, не только btc-e. Да и знает наверняка об атаках только администрация, ведь "сайт работает" != "отсутствие атаки".

Там судя по всему АНБ имеет доступ к данным через хостера,
но мелкие кражи это не в их стиле...  Или там не мелкая была?..
(ну скажем так - намекните сумма больше или меньше скажем 100 K$ )


PS  ну дак че, дети, сайт по безопасности и антишпионажу делать будем, али как?

PPS  кстати перехвачены торг счета mt4(демо не хотят перехватывать - подсовывал) и зачем-то киви...
(склоняюсь к тому что это АНБ, все на это указывает, но зачем им киви не понимаю?  Это ж виса,
они и так ее по офиц каналам могут протрясти...)

Вы че курите, какое АНБ  ;D ;D ;D ;D Чел троя словил.

BigMouse, вы бы не тратили время на тикеты , если деньги ушли все равно уже врядли чем помогут, проверяйте систему, а лучше вообще переставить заново.
Так себя убережете от подобных случаев в дальнейшем (и кражи того, что осталось).
Ну, думаю не лишним, будет напомнить про 2ф авторизацию на бирже и почте, это первым делом.

Че, трояны уже научились ломать SSL с перехватом пакетов(в разрыв соединения!) на уровне сети провайдера?..

PS  дизассемблер с отладчиком в руки и вперед...

А где вы вычитали про взлом SSL И перехват пакетов? О_О  ;D ;D ;D
Человек пишет, что взломали почтовый ящик и вывели монеты.
Гуляют же где-то по интернету базы 50btc и btcsec форума, вот и брутят по ним.

У него что один пароль везде был?

А пароли в тех базах шифрованные были, или можно полностью сам исходный пароль восстановить и поискать систему?


PS  траффик перехватывается, я это вычислил, там вообще какая-то хитрая технология - шифрованные пакеты похоже отлавливают из потока и утаскивают в какой-то тунель, по кр мере они не идут там где все остальные...
(то есть это что-то даже круче сорма - там было зеркалирование канала вроде,
а этих накормить дерьмом оказалось не так-то просто, нельзя же просто так отпускать шпиона не надрав уши ;) )

PPS  как думаете бэкап всего порнолаба в АНБ влезет? ;)

tvv, отсыпь.  ;D ;D ;D

Там в/в скорее  :D

http://prostoprint.com/product/futbolka-741635/

На данный момент, тикеты все что осталось - потому как 80% денег к которым был доступ через комп выгребли с BTC-e, все остальное уже не в виртуальных системах.

Логов с биржи нету и когда будут неизвестно - потому как не могу добиться нормальной двухсторонней связи по вопросу смены почтового ящика, а писать в нагрузку еще один тикет не вижу смысла - уйдет в никуда.
На почте осталась часть логов - каждый раз заходили с разного IP адреса. Полностью логи почта выдать отказалась, типа не вашей компетенции дело, запрашивайте через соответствующие органы.

А лучше вообще не юзать поделки мелких и мягких с их тысячами троянов. А сидеть с систем таких как Linux, *BSD, Solaris, AIX. Тогда шансы словить трояна стремятся к нулю

а чем юникс может помоч против перехвата траффика на уровне провайдера?..

Взломают, причем еще быстрее чем винду тк линукс даже дизассемблировать не надо - меньше работы ;)

Vladimir
PS  ни в коем случае не переставляйте систему пока не сделаете копию всего, включая загрузчик!
(для этого лучше загрузиться с другого чистого диска или переставить этот в другой комп и сделать копии)
Если это новый троян - то его надо дизассемблировать обязательно, а если это одна из разработок спецслужб, то 99% что его не включат в антивирусные базы или включат очень не скоро...

;)   (а почему я не удивлен? ;)  )

когда протрезвеешь, глянь-ка вот это, и поспрошай там что это за хрень там может летать...
(потому как я не шучу - если эти косяки не разрулят, то следующим проектом будет антишпионская ракета ;) )

http://www.go-dominicana.com/forum/viewtopic.php?f=13&t=1696&p=17472#p17472

Vladimir

что за ящик был, на каком сервере?

какие еще платежные системы были использованы при вводе или выводе?
киви использовалась?

куда вывели из бтц-е?

Чего курим? зачем тебе дизассемблер для перехватат трафика?! это что то новое ;) я таких бредней не слышал.
Или таки ты утверждаешь, что Linux менее безопасен чем винды?! ну ну ;)

ЗЫ а от перехватат трафика на стороне прова ничего не поможет кроме жесткого его шифрования, до состояния когда он напоминает шум в канале передачи данных, одна только загвоздка, обе системы и принимающая и передающая должны это уметь и иметь соответствующие наборы ключей

ящик был mail.ru
киви не пользовался неразу
вывели bitcoin монетки

кстати, ты с SSL разбирался?

Через что ее можно взломать?

Можно ли взломать, пусть даже имея сертификат или завербованного админа сервера,
но без использования перехвата траффика в разрыв соединения на уровне провайдера или ложного сервера?


PS  я вообще офигел когда в SSL соединении с киви после отправил код из смс-подтверждения
по этому перехваченному соединению и все прошло...
То есть это не просто шпионаж за счетами - есть техническая возможность перехвата кодов
и при дополнительной защите смс-кодами или разовыми паролями, все равно ведь когда-нить его введете...
(технологии АНБ это вам не тупой СОРМ который использовал зеркалирование канала и только подслушку,
эти упыри могут и покруче атаку устроить, например начать потрошить все счета всех майнеров,
пока вы тут мирно болтаете, а 1% умных которые заметили переключить на другую копию биткоинталка
где они будут героически бороться с атакой под руководством агента ЦРУ, а остальные даже не увидят этих тем...
Ну или сайты правительства и СМИ склонировать аналогичным образом - будет еще веселее.
Вы правда думали что qdi хотят внедрить чтобы бороться с пирацким контентом,
который понятно даже тупым депутатам все равно будет ходить по рукам на флэшках не меньше?..
Это просто прикрытие внедрения шпионского оборудования на основные каналы провайдеров...)

PPS  Бальт, а Бальт, ну скажи что тебе не интересно получить копию этих игрушек для дизассемблирования?
(или у тебя как старого агента они уже есть?)

а, ну тогда это могли быть и хакеры и трояны...

У меня тут есть игрушка поинтереснее ;)

Ну вот не зря вам отписали рекомендацию сменить ящик. Я бы тоже посоветовал это сделать. Как-то у меня лично mail.ru ящики не ассоциируются с надежностью, слышал ломают их. Тут лучше использовать гугл с 2ф , на том же бтц-е всю плешь этим выели. Так что не ждите ответа от сапорта, они вам врядли ни чем не помогут, меняйте пароли, переустанавливайте систему.
tvv, пиши еще, настроение поднимаешь.  ;D ;D ;D

а давай вот что сделаем - напиши заяву в полицию(деньги это или нет не важно - они обязаны
расследовать любой ущерб, не важно украли биткоин или мешок картошки, но лучше если сумма
будет достаточна для заведения дела, хотя в принципе и взлом сам по себе тоже статья есть даже без ущерба),
и посмотрим как они работают, думаю будет забавно, тока попробуй их затащить на какой-нить форум для связи...
(сайт и форум по антишпионажу помоч сделать никто не желает?.. )

С бтц-е возьми адреса всех кошельков(тока пусть прокомментируют что и как там у них использовалось для чего),
я думаю тут найдеться не мало следопытов желающих потрейсить блокчейн...  Будет весело ;)

Была практически такая же ситуация, за исключением того, что доступ к почте сохранился.
Зашли на биржу, обменяли все форки на биткоины и тут же их вывели...В логах к бирже и почте есть айпи злоумышленников, а толку-то?
Ответ саппорта не утешителен:
"Увы монеты ушли в сеть, а их оттуда уже не возможно вернуть"

Я и не надеюсь на возврат монет от BTC-e, меня просто удивляет такая мягко говоря неадекватная поддержка при немалых оборотах биржи и в общем то работы с деньгами.

А вы не пробовали попадать в подобную ситуацию с обычными банками, у которых обороты намного больше? Вот у меня был случай, в СБ сказали что уже вечер, завтра придите и напишите заявление. То, что мои доводы про горячие следы были бессмыслены , так как ни кто не стал разбираться бы ни сразу, ни потом (это я позже понял). Через месяц прислали отписку мол провели расследования - сам мудак.

Так что я тебя понимаю бро. Таковы реалии, % по комиссиям немалые, а как доходит до сути, все в кусты.

Я надеюсь местный представитель BTC-e прояснит эту ситуацию или хоть как то отпишется.

BigMouse, где почта была?
тоже ломали, есть что сказать

mail.ru

я и не сомневался
у меня был там же, причём я этим ящиком не пользовался, или пользовался очень редко, то есть я не логинился в него почти никогда
стояла переадресация на другой ящик, где я всё и читал
по этому могу с уверенностью сказать, что тут замешан сам mail.ru
схема та же, tor, восстановление пароля, и тд.

я немного легкомысленно отнёсся к вопросу безопасности, не подозревая, что взломы аккаунтов пользуется популярностью
дам несколько советов, если будешь дальше работать с крипто, купи минимальный хостинг пакет с доменом xervam.com, заведи там себе ящик, и подключи мобильный девайс к нему
комп с которого работаешь с крипто, не должен быть на венде
кошелёк хранить в зашифрованном виде на компе который не имеет доступ к сети, и запускать только для синхронизации
если где-то используешь подтверждение по sms или платёжные системы типа qiwi или liqpay -номер должен быть контрактный, который не знает никто и используется только для работы с системами
ну двухфакторка тоже должна быть всегда, ещё б к примеру на btc-e добавили фильтры по ip и запрет tor - цены им небыло, а пока хранить там коины стрёмно, есть другие биржи, там где с безопасность получше

Очевидно, потому что твой стаж достаточно велик.

Даже если админы Майл.ру читают письма, этого недостаточно. Нужно либо выловить вашу куку с btc-e,  либо пару логин-пароль. Вот если Вы использовали для биржи специально выделенный комп (О.С.), тогда есть повод призадуматься. А так - обычный скриптовый бровзерный фишинг.

дак вот и я о том-же - явно используются АНБ-шные технологии...


PS  даже если это хакеры до них добрались, то АНБ надо все равно уши надрать дабы не повадно было...

Достаточно читать письма
на них приходит подтверждение удачного логона, или выводв стредств
для админа достаточно посмотреть лог транспортного сервера с фильтром smtp от btc-e сервера
то-есть, логин для биржи уже известен
остаётся только нажать восстановить пароль, ссылка которого придёт на тот же имейл
всё гениально и просто :)

я всегда знал, что маил.ру самая дырявая почта, но почтовый ящик я заводил ещё в далёкие девяностые, когда маил.ру только появился, изредка пользовался для всяких спам подписок, теперь как-бы всё, мне проще в облаке иметь свой почтовик со своим доменом без всяких непонятных сервисов, почта онли

Боюсь что облачные хостинги АНБ окучила первыми - работы столько-же, а улов больше, чем с каждым мелким заморачиваться...
(злые языки поговаривают что и цены на облачные хостинги такие низкие неспроста...)


PS  спросите у btc-e были ли у них контакты со спецслужбами?..
А теперь как думаете, какая вероятность что за пару лет пока биток использовался в основном только на SR,
ни одна спецслужба мира и не один наркоконтроль не поинтересовался ни одним клиентом btc-e?..
(а этих упырей только так можно вычислить - работают довольно грамотно и следов не оставляют,
мне аж интересно стало им пятки поджарить, последнии лет 15-20 не было ничего интересного для хака,
обленился я совсем уже, скоро и кодить наверно разучусь, уже и отладчики не помню где лежат ;) )

PPS  ну дак че, мне чтоли это надо, али как?  Я это и так все знаю, и не такое разрабатывал...
https://bitcointalk.org/index.php?topic=342048
(спасение утопающих проблемы их самих - я могу помоч только со сложной технической частью,
на тупую работу по сбору ссылок и ведению сайта у меня времени нет, тогда хоть donate соберите
чтобы каких-нить студентов можно было нанять...)

PPPS  взломан сам SSL киви(а может и всей визы!), а вы на бедный маил сру наезжаете...
(и кстати прописывание IP против АНБ-шных технологий не помогает - можете менять их хоть на ходу!  Проверял...)