Bitcoin Forum

In seguito ai numerosissimi tentativi di scam e altrettante arrabbiature per il tempo perso (e non parliamo dei soldi in gioco) ho pensato che è il momento di passare al contrattacco.

Il protocollo Skype è un colabrodo e offre sicurezza zero: infatti è possibile conoscere l'indirizzo IP di tutti i vostri contatti (e anche di tutti gli utenti che non hanno modificato le impostazioni di sicurezza dal proprio profilo).

Dal momento che Skype è per praticità usato molto intensamente nelle attività di scambio Bitcoin -sebbene esistano ottime alternative opensource purtroppo poco mainstream- penso che sia opportuno prima di tutto adottare alcuni accorgimenti per migliorare un poco la sicurezza di Skype e in secondo luogo organizzarsi attivamente per piallare il computer ai cani che decidessero di scammare qualche malcapitato.

Parlo da inesperto in quanto nonostante la mia passione per l'informatica non ho competenze sufficienti a garantire da solo la protezione di una vasta moltitudine di utenti.

Sono certo però che se io venissi truffato e qualcuno mi offrisse indietro i miei soldi al netto del 30% delle "spese di recupero crediti" io accetterei la proposta.

Ecco l'idea allora: formiamo un gruppo di smanettoni, ci facciamo mandare le richieste di recupero crediti, buchiamo i computer agli scammer e restituiamo i fondi.

Largo a proposte e commenti.

Mi sembra un zinzino illegale

Sicuramente un +1

..ma butto li un probabile caso:
Lo sceriffo scova ip,nome,indirizzo e sesso(??) del presunto scammer
Si reca a casa sua e lo obbliga a consegnare il malloppo? Gli buca il PC e "sottrae" il suo wallet per recuperare il malloppo?
Nel primo caso lo scammer, che è un Sig.Scammer, ti denuncia per minaccie e/o aggressione
Nel secondo caso lo scammer, che è un Sig.Scammer, ti denuncia per intrusione informatica

Nel caso come ti difendi?

Ciao,
Premetto che mi occupo di sicurezza informatica a livello professionale, quello che dici te oltre ad essere illegale è anche difficile da attuare.
L' idea in se non è male ma tieni presente che gli scammer molte volte sono quelli che usano RAT per crearsi le botnet, minare, spammare, rubare carte di credito etc etc. e di conseguenza sono abbastanza preparati sia ad attaccare che a difendersi.
il 99% degli scammer usa VPN log free, account email fasulli e chi più ne ha più ne metta.
Supponendo di usare le email come veicolo di infezione usando un Crypter 100% fud e bindando l'eseguibile con un PDF, pensi che questo possa bastare? Credo di no :=)
Supponendo di attaccare direttamente il S.O. oltre ad avere degli Exploit 0day necessiti dell' ip reale perchè le VPN non forwardano le porte di default..
Quindi come vedi non penso sia attuabile dal mio punto di vista una soluzione del genere!!
Ovviamente questa è una mia opinione pronta ad essere smentita! :)

Trovo sia molto più utile (e fattibile) spendere un po' di tempo per istruire gli utenti su come curare i propri interessi e la propria sicurezza.

Questo realizzando materiale multimediale, webinars, hangouts, AskMeAnything, etc.

Come ciclonite qui sopra ha chiaramente esplicato, la percentuale di successo dell'operazione da te descritta rasenta quasi lo zero.

Il recupero crediti avviene tramite protocollo TCP/IP in quanto la forza coercitiva è esercitabile solamente dalle forze dell'ordine e necessariamente dovrà avvenire nel rispetto di tutte le leggi vigenti.

Io non buco nessun computer, raccolgo informazioni in merito alle truffe avvenute su questo thread. Se qualche coraggiosa buon anima dovesse effettuare un'intrusione informatica sarebbe sua sola responsabilità e ancora la sua colpevolezza è tutta da dimostrare (proprio come quando uno scammer scamma).

Certo è improbabile che uno scammer non si tuteli decentemente con tunnel, account fasulli e quant'altro.
Effettivamente per conoscere l'indirizzo IP di chi sta dietro a una VPN bisogna "scavalcare" il server. Tutto è in funzione della somma rubata e dell'abilità di si mette in gioco.

Io se riesco a auto-bucarmi la VPN stappo una bottiglia di spumante. Mi rendo conto che da solo posso fare poco o niente. Ma ricordiamoci che si parla di soldi e quando uno scammer arriva ad aver fregato decine di utenti, tutti loro saranno disposti a pagare profumatamente.

Diciamo che io per 1000 euro sarei molto motivato a imparare quello che ora non so.

Concordo pienamente riguardo l'utilità di prevenire i danni, ma si sa, shit happens e dopo che ti hanno derubato sai cosa puoi farci col tutorial sulla sicurezza?

lol
sostanzialmente tu da un ip pretendi che la gente riesca a fare qualcosa?

1°
anche fosse un 30% è relativo... magari una persona si potrebbe mobilitare e perdere le ore di tempo per recuperare un 1000 btc... ma sinceramente anche se ne avessi le capacità non lo farei per cifre inferiori a 100btc...

2°
anche con le capacità l'ip è inutile.. non esiste gente che dato un ip ti entra nel pc...
per entrarti nel pc serve l'ip, ma serve soprattutto che il destinatario abbia una qualche forma di backdoor...
il che significa virus o bug del sistema...
sfruttare bug del sistema è relativamente difficile ... o meglio è facile sfruttare un bug del sistema per entrare in un pc... ma si fa il contrario... dato il bug si trova chi è ha quel bug facendo una scansione e si entra... quindi non è un metodo utile... certo se hai un ip potresti (e dico protresti) fare una scansione per vedere se ha qualche bug che permette l'accesso al computer.. ma poichè windows update li patcha in automatico è abbastanza inutile come lavoro...
se si ha un virus invece è già + facile entrare.... ovviamente deve essere un virus backdoor/trojan ... virus che sono rilevati dal 99% degli antivirus .... ma supponendo che la persona non abbia antivirus si può ancora fare....
a questo si aggiunge il firewall... se si ha un firewall (o meglio ancora un router) è impossibile entrare... ok magari se hai la possibilità di mettere un virus ti apri la porta sul firewall e forse puoi riuscirci anche sul router.... ma dall'esterno è praticamente impossibile...


quindi la domanda è dopo aver passato giorni interi nel tentativo di bucare una persona, e non può esser un pincopallino qualsiasi, tu pretendi che quella persona ti ridia pure i soldi ?
stai fresco ^^

sembra che entrare nei pc sia la cosa + facile del mondo... eppure entrare in un pc preciso è una delle cose + difficili da fare... altrimenti tutti entrerebbero nelle banche et simili....
il fatto che gli accessi a siti del genere sono pochi non è dovuto al fatto che nessuno ci prova... ma semplicemente al fatto che su 1.000.000.000 di tentavi forse 1 va a buon fine....


ovviamente senza contare che è tutto illegale

Se vi capita qualche intervento fisico
in  modalita' "ultra violenza" ditelo eh !

Puoi appunto visionarlo, imparando così dai tuoi errori.

1- Beato te, in Italia e nel mondo è pieno di gente che trotta tutto il giorno per molto meno.

2- Scan IP ---> servizi aperti ---> exploit (so bene che la realtà dei fatti è molto ma molto più complicata, ma la difficoltà è e resta un concetto relativo)

3 (Bonus)- Se fosse possibile fare questa cosa legalmente, avessi le capacità e cio' di cui ho bisogno per vivere lo farei anche gratis.

Io pagherei il 30% per riavere i soldi indietro.

Il punto 2, ammesso che tu sia un "31337 h4xx0r wTF pWN 3v3ry0n3 pH33RRr m3" ti mette dalla parte del torto, un eventuale "scammer" passerebbe così da attaccante a vittima.

Non per niente quando vengono sequestrati i computers per reati telematici, a questi vengono applicati sigilli che possono essere rimossi solo dai tecnici forensi nominati dai tribunali.
So di diverse perizie che sono andate all'aria per molto, molto meno.

Ahahahaha non mi conosci ma ti voglio molto bene!

Penso che se lo scammer diventa vittima la cosa importa poco o niente a nessuno. Ognuno di noi spera in cuor suo che si secchino i testicoli a tutti i disonesti è un istinto atavico. Qualcuno potrebbe anche sostenere che "se lo merita". Io credo semplicemente che se hai rubato dei soldi, questi non sono "moralmente" tuoi ed è giusto che tornino al proprietario.

Ovvio che non buco nessun computer io, ma se mai nascerà un progetto del genere, non lo nego, sono pienamente favorevole ad operazioni di piallaggio informatico nei confronti dei truffatori.

Esatto, aggiungo come hanno detto molti che è tutto figo ma illegale. Non vuoi bucare nessun computer ma è quello che bisognerebbe fare per soddisfare la richiesta, a meno che una volta individuato raggiungi il tizio e lo costringi a rimborsarti, con tutti i rischi del caso. Un utente dovrebbe potersi rivolgere alle forze dell'ordine come per le clonazioni di carte di credito ecc... il problema è che i Bitcoin non sono ancora regolamentati  :-\

1- il fatto che in italia ci sia gente che lavora per molto meno non significa che abbia le capacità per farlo...

2- non credo che tu abbia mai bucato un computer.... se pensi che sia così facile :-P

3- se tu avessi le capacità per farlo non chiederesti qui...
il farlo gratis è relativo...
una cosa abb facile da fare: assassinare la gente... tutti possono farlo (chi + o - bene) eppure chi lo fa si fa pagare parecchio.... per bucare un computer serve un professionista... per ordinare un assassinio serve un professionista... il professionista non ti chiede il 30% di 100€... e penso che le tariffe minime partano da almeno 100k credo...

inoltre anche assumendo lo trovi.... tu stai cercando un ladro che ti recuperi quello che ti hanno rubato per una parte del valore...
essendo un ladro pensi che, in caso di esito positivo, si tenga il 30% o il 100%?

Con l'ip è relativamente possibile fare qualcosa, dipendentemente dal sistema ovviamente.
Suite come metasploit offrono un ampia varietà di tecniche di ingresso e non serve poi molta pratica per imparare a usarlo.

Mancano due considerazioni.
1) L'ip molto raramente è statico. Anche se adesso in Italia qualche servizio lo offre, la maggior parte cambiano a ogni connessione.
Le forze dell'ordine tramite ingiunzione del giudice ottengono i tabulati di assegnazione e possono risalire all'utente che ha utilizzato uno specifico ip in una specifica finestra temporale.
Tuttavia un utente privato non avrebbe certezza che, dato un ip, questo corrisponda necessariamente al truffatore. Senza complicarci la vita con tor e cose varie, potresti infastidire una docile madre di famiglia :)


2) Importa allo scammer :)
che ti denuncia, tu vai a processo, ti sporchi la fedina e lui ottiene un risarcimento.

La cosa migliore da fare è raccogliere più dati possibili e fare segnalazioni alla polizia postale.
Quando si accumulano un "tot" di denunce, partono d'ufficio.

1. Sta di fatto che nel mercato del lavoro, tra lavorare a poco o non lavorare, l'individuo sceglie quasi sempre di lavorare lo stesso.

2. Cosa centra quello che ho fatto io col mio pc? Comunque si sono rimasto colpito dalla facilità con cui mi sono autobucato il pc e mi preoccupa l'idea che qualcuno di più bravo di me - e ce ne sono tanti - possa fare altrettanto.

3. Non tutti i furti sono da 100 euro. Ho già scritto che uno Scammer degno di tal nome ha sul suo conto decine di furti e arrivare ad una somma sufficente a far muovere un "professionista" come lo chiami tu non mi sembra poi così difficile.

4. Che ho subito un furto e sto cercando un professionista lo stai dicendo solo tu.

Allora chiarisci...

Tu parli di non bucare computers... e io quindi do per inteso che tu voglia raccogliere informazioni per proseguire giuridicamente con una denuncia. Dunque ti cito la prassi giudiziaria e i punti fallaci del tuo ragionamento.

Poi parli di bucare computers, una cosa che "tu non farai mai", perché è illegale.

Puoi far capire dove vuoi andare a parare? Ha senso questo thread o stiamo solo qui a perdere tempo?

Ma perchè bucare il pc ?

Trova la privkey e hai risolto  ;D ;D ;D

1) L'ip dinamico non rimane comunque assegnato al router per tutto il tempo che sta connesso (magari 24/7) ?  Comunque sia mi rendo conto che questa attività rischia troppo facilmente di degenerare nell'illecito e non è gestibile da privati.

2) Mi sembra giusto, è quello che farò d'ora in avanti quando ne avrò l'occasione.

basta trovare nome cognome ed indirizzo a quel punto lo inoltri ad un rassicurante energumeno con accento albanese di 195 cm per 110 chili che va a fargli una visitina. Gli dici che il 15% di quello che recupera è suo. Di quel che succede te ne lavi le mani, tu non hai detto niente.

Nope. L'ip dinamico viene "ciclato" in specifiche finestre temporali.
In soldoni: provider come alice o tiscali ti assegnano un nuovo ip ogni tot ore. Alice mi sembra fosse ogni 8 ore.
Ovviamente senza che il router venga riavviato.
Poi può capitare che per mesi tu abbia sempre il solito ip, cosa rara ma può succedere.
Dipende da quanti utenti ci sono nella tua subnet, da come assegnano gli ip ecc.
In generale, non v'è certezza :)

Discorso diverso è fastweb e tutta la storia della subnet ma non addentriamoci.


Fai bene. L'errore delle vittime spesso è la pigrizia nel denunciare.
Per ogni vittima che non ha denunciato, il truffatore ha potuto fare una truffa in più.

anche ammesso che ha fatto decine di furti... ha preso 1000€? 5000€? 10000€?

un professionista che ti riesce a bucare il pc vittima con solo l'ip vuole sicuramente + di 10000€ ^_^

già per il semplice motivo che sta facendo qualcosa di illegale....
un hacker serio può bucare un sistema per divertimento, per mettersi alla prova, o per commissione... quelli che lo fanno per commissione in generale si fanno pagare tanto....

inoltre l'ip è inutile ....
se si ha una connessione diversa da fw basta riavviare il router per forzare il cambio ip... o basta anche scrivere un comando da dos per cambiare ip...

gli unici che ci fanno qualcosa è la polizia....
che è l'unica che può risalire alla persona fisica che ha fatto la cosa...
sempre ammesso che sia una persona e non abbia ad es usato il wifi di qualcuno o 1 internet cafe et simili

Ho voluto farmi un'idea in merito alla possibilità di istituire un gruppo di vigilantes che, su commissione, compie attacchi informatici agli scammer e restituisce gran parte dei soldi rubati alle vittime.

Dalle vostre risposte e dagli sviluppi della discussione mi sono reso conto che:

- Tali azioni di contrattacco informatico rischiano troppo facilmente di degenerare in illeciti. La violazione della libertà personale (inteso anche come domicilio o oggetto personale) è permessa solamente nei casi e nei modi previsti dalla legge. La legge non conferisce ai privati il diritto di bucarsi i computer a vicenda.

- Conseguentemente il massimo che può fare un privato è raccogliere quante più informazioni possibile e avvisare le autorità competenti (polizia postale) e possibilmente gli utenti del forum utilizzando la sezione apposita.

- L'esercizio della giustizia DIY è un comportamento troppo discutibile e che potenzialmente comporta danni maggiori dei benefici: si pensi lasciare in mano ad un gruppo di individui la facoltà di bucare computer a loro discrezione o sulla base di segnalazioni di utenti online la cui identità risulta non sempre individuabile... mi ricorda tanto le squadracce del fascismo o, se avete visto l'Anime Death Note, il protagonista Kira che uccide i delinquenti a sua discrezione e poi si fa prendere la mano.


Chi volesse svolgere questo tipo di attività dovrebbe pertanto e inevitabilmente infrangere le leggi vigenti oppure farsi delegare questo compito dallo stato agendo in nome e per conto suo, entrando a far parte delle forze dell'ordine.

Ricapitolando l'attività di "farsi giustizia" può al massimo consistere nella raccolta di informazioni. E a questo punto mi chiedo se è già possibile sfruttare al massimo questa strada.

Pensavo ad un database distribuito delle identità e ho trovato questo proprio sul forum, si chiama identifi , qualcuno di voi ne avrà già sentito parlare: https://bitcointalk.org/index.php?topic=329537.0

Appena ho un po' di tempo approfondisco.

che fosse illegale penso che era ovvio dal principio....

Capisco che far perdere le proprie tracce è semplicissimo per il ladro e altrettanto difficile è per chi investiga ricostruire le sue tracce...

Gli unici casi nei quali vedo possibile fare operazioni del genere è in presenza di grandi interessi e grandi capitali.

Però scusami è teoricamente possibile che un gruppo di individui riesca a risalire alle informazioni personali di un utente magari rubando queste informazioni proprio dall'ISP?
Disponendo di una potenza praticamente illimitata (e di menti adeguate) è possibile fare qualsiasi cosa nel mondo dell'informatica giusto?

Qual'è il massimo che posso fare come privato per contrastare ladri e truffatori?
Inevitabilmente per capire fin dove si può arrivare bisogna tenere conto di quando questo comportamento sconfina nell'illegalità.

Fare ronda è legale.
Frascare di botte il ladro dopo aver fatto ronda è illegale.

https://en.bitcoin.it/wiki/Private_key (https://en.bitcoin.it/wiki/Private_key)


Quindi le probabilità di beccarlo sono 2^256 o mi sbaglio? A livello di probabilità mi sembra molto più facile riuscire a bucare un pc usando metasploit ma rischio OT

torna a giocare con le barbie.

Non è che rischi.. compiere attacchi informatici è illegale, punto.

Se tu buchi un pc, sfrutti un bug appunto, e quindi sei nell'illegale, perchè è violazione di proprietà non tua.

Non è che se io lascio aperto la porta di casa e sai che ti ho rubato 1000 euro tu provi a scassinarmi la porta per vedere se ho sul comodino i 1000 euro poi, una volta che li trovi, mi denunci.
O denunci a priori, poi altri faranno indagini, o qualsiasi cosa che tu faccia contro la mia persona\proprietà è illegale.

E anche dire "io incarico uno, poi fa tutto lui" non è che te ne lavi le mani.
Se incarichi uno di fare un lavoro illegale e lui lo fa, tu sei complice.

Detto questo, se per te è stato cosi facile bucare il tuo pc... sinceramente hai un pc che fa ridere o hai fatto qualcosa che nella realtà non è applicabile, vedi bucare un pc via lan e non via internet (dove vuoi applicare tu la cosa).
Basta aver un router configurato bene e al pc non ci arrivi neppure più dall'ip pubblico, perchè sta su ip privato non accessibile, altro che bucare il pc.

puoi soltanto affidarti ad investigatori privati e poi riportare le informazioni alla ppolizia. Se vuoi poter fare di più devi diventare procuratore della Repubblica ed allora potrai dirigere delle indagini per conto tuo. Esistono percorsi di studio piuttosto lunghi e concorsi pubblici decisamente selettivi. Auguri.

Impara a fare commenti costruttivi invece che sfruttare la piccolezza degli altri per fare lo sbruffone.

Il tuo commento non aiuta per niente, sai?

ti sbagli, se tu giochi con le barbie nn hai il tempo di aprire post con idee dementi.

leggendo i tuoi post vedo che insulti un po' tutti sul forum, capisco quindi che non è una questione personale, al massimo sarai tu che sei particolarmente incazzato per qualcosa nella tua vita.

Comunque dai il senso dell'umorismo ce l'hai se mi chiedi scusa possiamo anche diventare amici.

quindi stai dicendo :
fanculo all'utente.. è troppo complicato.... meglio bucare la sede centrale che è sicuramente + facile....


è + o - il ragionamento che fanno tutti... è per questo che cercano di bucare i pc della nasa ecc.. perchè sono + facili ^^


almeno che non lavori per l'ISP e non tratti quei dati... è impossibile arrivarci...

e anche se lavori per l'ISP ... stai rubando informazioni alla tua società... il che significa licenziamento + denuncia


................

sulla 2° frase... direi di no....
quando fanno gli hacktest su sistemi particolari ci son fior e fior di hacker esperti che tentano di bucare il sistema... e in genere non ci riescono....
considerando che chi buca quella cosa viene ricompensato da 1 premio che in genere è molto ricco ( es questo http://news.sky.com/story/1152343/microsoft-pays-first-100k-hacking-bounty ) puoi ben immaginare la difficoltà della cosa...

Ho avuto le risposte che cercavo. Per me il caso "Sceriffi Bitcoin" è chiuso.

Mi pare molto più dispendioso e nella pratica inefficace (oltre che, se non lo avessimo detto, poco legally compliant) rispetto a prevenzione + informazione + raccolta dei dati.

Ho trovato nella sezione "Crittografia e decentralizzazione" questo thread (https://bitcointalk.org/index.php?topic=329537.0) che parla del database distribuito " Identifi ", penso che il progetto sia molto interessante nonostante sia ancora in fase embrionale e ci siano alcuni aspetti che mi convincono poco. Penso che potrebbe essere un ottimo passo avanti semplificando il processo di raccolta, inserimento e gestione dei dati relativi alla trust, oltre al fatto che in assenza di tale sistema le informazioni restano sparse in giro per la rete e rimane tutta una questione di due diligence.

10 anni fà forse. Oggi come oggi mi sà che fai prima a fare un brute sulla key. I PC (medioman apparte) non si bucano più così facilmente.


FaSan

ma infatti ... anche perchè basta una piccola cosa e la persona non è raggiungibile...
basta che lo scammer abbia fastweb ed è immune da tutti i non fastweb ^^

se poi adotta altre tecniche diventa sempre +difficile...