Title: Como lidar com tentativas de scam? (engenharia social) história, guia e lol Post by: Lucasgabd on August 09, 2020, 11:40:54 AM Salve salve bitcointalkianos
recentemente um cara tentou me enganar por email e o caso me chamou a atenção pois pela primeira vez ele utilizou informações minhas disponíveis online (contatos, referências de conhecidos) para se passar por um anunciante e tentar me fazer instalar um arquivo ou rodar um script por aqui. nada aconteceu mas achei que valia trazer a história para cá e compartilhar algumas boas práticas de segurança. primeiramente: o que vocês recomendam para cuidar de segurança e evitar ataques de engenharia social? como vocês lidam com esses ataques quando acontecem? respondem os scammers ou ignoram? Esse é o preço que eu pago por não ter desenvolvido meus perfis pensando em privacidade desde o começo. Curiosamente, sou um péssimo alvo pois não tenho muita grana guardada, tive que vender a maior parte do que tinha em crypto por razões pessoais e ainda não pude me organizar para investir novamente. O ataque que tentaram me fazer era relativamente simples: me contataram por email ele vinha com uma oferta interessante e plausível que despertou minha atençao. mas na hora que aceitei a oferta ao invés de proceder como um anunciante normal ele me pediu para acessar seu site, baixar e executar seu programa. óbvio que isso despertou o red flag final e não caí, mas outras pessoas poderiam ter caído. quando percebi eu falei que poderia baixar o arquivo desde que ele depositasse um sinal de 20 usd (fiz isso só para ver sua resposta) e ele negou pq o "manager" não permitiria. Depois fui dando corda só para ver até onde ele iria, sugeri que fizessemos uma ligação pelo zoom. Novamente ele negou por "regras de escritório". obs: se alguém quiser as infos do scammer (email e site), para verificar sites e arquivos, rodar análises ou alguma curiosidade é só falar que mando inbox Achei que valia trazer esse assunto para cá pois vai gerar bons debates por aqui. também faço algumas recomendações básicas de segurança: 1. não linke perfis pessoais com carteiras crypto e anonimize seu trabalho online, sempre que possível. 2. 2FA em tudo (óbvio) 3. use um bom VPN que não guarda logs 4. use passwords seguros e um gerenciador de passwords. 5. faça gerenciamento de risco, distribua fundos em diferentes locais e entenda o quanto você pode perder num hack, se possível use máquinas diferentes para crypto e para trabalhos do dia-a-dia 6. sempre se desvalorize como alvo, nunca ostente. 7. quando o assunto é crypto: não confie, verifique. e não tenha pressa. tem mais, muito mais, mas gosto do número 7 então vou parar por aqui o que vocês acrescentariam à lista? Pra fechar deixo dois vídeos do James Veitch pq eles tem total relação com esse tópico e ri muito assistindo: https://www.youtube.com/watch?v=_QdPW8JrYzQ https://www.youtube.com/watch?v=C4Uc-cztsJo (merits são bem-vindos, tá fácil pra ninguém.) ;D Title: Re: Como lidar com tentativas de scam? (engenharia social) história, guia e lol Post by: TryNinja on August 09, 2020, 12:15:35 PM Pode me passar os links via PM? Eu lembro que esse tipo de caso estava acontecendo muito com youtubers de tamanho médio. Vinha alguém no e-mail deles pedindo para que eles fizessem um video-propaganda de um produto, que acabava infectando o PC deles.
No último que eu vi, o Youtuber baixou um programa que seria futuro "concorrente do Discord". Tinha um site bonitinho e screenshots (copiadas de outro app), mas no fim, o Youtuber teve o canal roubado e utilizado para fazer aquelas lives de crypto scam, e.g: "A Amazon está fazendo um giveaway de BTC. Envie qualquer quantia e ganhe o dobro". Meu top dicas é: - Desconfie de TUDO. Links, e-mails, mensagens... nunca vá cegamente. - SEMPRE olhe para a URL do site que está visitando. É MUITO fácil cair em um phishing por que eles aparecem em qualquer lugar. As vezes você digita o link errado e o scammer já está preparado para isso, com um domínio fake comprado. Já tentaram me scammar muito na Steam, e isso foi um bom treinamento sobre os métodos utilizados pelos scammers. :D Um dos em que me surpreendi, você clicava para logar na sua conta, no site do scammer, e abria uma janela "oficial" da Steam, com o selo SSL e tudo. Porém, aquilo era uma janela HTML contida no próprio site, e não um popup do navegador. Title: Re: Como lidar com tentativas de scam? (engenharia social) história, guia e lol Post by: sabotag3x on August 09, 2020, 03:00:14 PM o que vocês recomendam para cuidar de segurança e evitar ataques de engenharia social? como vocês lidam com esses ataques quando acontecem? respondem os scammers ou ignoram? Rapaz, engenharia social eu nunca vi e espero nunca ver ;D no máximo aparecem uns caras no Telegram, as vezes eu respondo para ver qual golpe estão tentando dar, no final eles ficam brabos pois chamo eles de amadores.. E-mail eu nunca respondo, raramente abro.. Já tentaram me scammar muito na Steam, e isso foi um bom treinamento sobre os métodos utilizados pelos scammers. :D Uma vez tentaram passar o golpe em um amigo meu, o golpista tinha uma "Karambit Doppler Black Pearl" e o preview dela na Steam é igual das outras que não são tão raras.. Só que o cara tinha 2 perfis idênticos, tudo igual, nível, amigos, jogos/horas, inventário, etc.. Ele mostrava a skin verdadeira e depois dava trade com a falsa da outra conta.. O que mais me surpreendeu foi o URL das duas contas, uma delas era "76561168815938262" e a outra "76561168815638262", o começo e o fim eram iguais, só mudava um único número lá meio.. que para ajudar era um 6 por um 9.. Parece que a Steam baniu o cara :D Você que gosta de skins, a falsa e a verdadeira: https://talkimg.com/images/2023/07/23/nkqQJ.png (https://talkimg.com/images/2023/07/23/nkqQJ.png) https://talkimg.com/images/2023/07/23/nk0fC.png (https://talkimg.com/images/2023/07/23/nk0fC.png) Title: Re: Como lidar com tentativas de scam? (engenharia social) história, guia e lol Post by: Lucasgabd on August 12, 2020, 01:58:02 PM Conversando com o Ninja ele me passou esse vídeo que mostra o mesmo tipo de ataque acontecendo com outros youtubers.
postando aqui para registro e pq outras pessoas podem aprender algo com o vídeo, como eu aprendi. https://www.youtube.com/watch?v=x3XNiboiCFM @sabotag3x como será que ele conseguiu as URLs semelhantes? brute force criando várias contas? Title: Re: Como lidar com tentativas de scam? (engenharia social) história, guia e lol Post by: TryNinja on August 12, 2020, 03:11:11 PM como será que ele conseguiu as URLs semelhantes? Muito provavelmente. Sabendo quantas contas em média são criadas por dia, ele consegue estimar quando a conta com um ID parecido vai ser gerada. brute force criando várias contas? E criar contas na Steam é algo absurdamente fácil. Uma vez eu brinquei com um bot de enviar elogios no CS e consegui criar 100 contas em alguns minutos. Não precisava nem resolver o captcha (usava o 2captcha, que custa um pouco mais de $1 por 1000 captchas) @sabota, tô ligado nesse esquema das facas Doppler. Meu sonho, em uma época, era ter uma Black Pearl. :D Já tentaram fazer a mesma coisa comigo. Title: Re: Como lidar com tentativas de scam? (engenharia social) história, guia e lol Post by: sabotag3x on August 12, 2020, 03:48:41 PM Conversando com o Ninja ele me passou esse vídeo que mostra o mesmo tipo de ataque acontecendo com outros youtubers. postando aqui para registro e pq outras pessoas podem aprender algo com o vídeo, como eu aprendi. https://www.youtube.com/watch?v=x3XNiboiCFM Se já atacam esses canais que tem pouco valor, imagina quantas tentativas de ataques as exchanges sofrem e o quanto precisam investir em segurança.. Eu aprendi a não mexer com os russos :P E criar contas na Steam é algo absurdamente fácil. Uma vez eu brinquei com um bot de enviar elogios no CS e consegui criar 100 contas em alguns minutos. Não precisava nem resolver o captcha (usava o 2captcha, que custa um pouco mais de $1 por 1000 captchas) Não sabia que era fácil assim criar contas :o fugindo um pouco do assunto do OP, esses elogios fodem com o jogo já que alteram o grau de integridade e os jogadores denunciados não caem nunca.. @sabota, tô ligado nesse esquema das facas Doppler. Meu sonho, em uma época, era ter uma Black Pearl. :D Já tentaram fazer a mesma coisa comigo. E eu que vendi minha dlore por $1300 e hoje vale 5k? ;D >:( https://talkimg.com/images/2023/07/23/nkDR1.png Title: Re: Como lidar com tentativas de scam? (engenharia social) história, guia e lol Post by: Paredao on August 12, 2020, 07:23:19 PM Se já atacam esses canais que tem pouco valor, imagina quantas tentativas de ataques as exchanges sofrem e o quanto precisam investir em segurança.. Eu aprendi a não mexer com os russos :P Eu me lembro que quando iniciei no mundo das criptomoedas eu entrava em muito sites russos e ucranianos. Eu acho que tive sorte, pois nunca fui hackeado. Que eu saiba. ;D ;D ;D ;D Será que a "KGB" me hackeou e eu nem soube ? :D :D :D :D Title: Re: Como lidar com tentativas de scam? (engenharia social) história, guia e lol Post by: Lucasgabd on August 13, 2020, 07:01:26 PM Se já atacam esses canais que tem pouco valor, imagina quantas tentativas de ataques as exchanges sofrem e o quanto precisam investir em segurança.. Eu aprendi a não mexer com os russos :P Eu me lembro que quando iniciei no mundo das criptomoedas eu entrava em muito sites russos e ucranianos. Eu acho que tive sorte, pois nunca fui hackeado. Que eu saiba. ;D ;D ;D ;D Será que a "KGB" me hackeou e eu nem soube ? :D :D :D :D essa teoria já entra junto com: Será que bitcoin foi inventado pela NSA para espionar os cidadãos? curiosamente muitos hacks partem da ucrania e rússia, ou de VPNs/proxies por lá Title: Re: Como lidar com tentativas de scam? (engenharia social) história, guia e lol Post by: sabotag3x on August 14, 2020, 11:17:27 PM https://www.youtube.com/watch?v=x3XNiboiCFM Ainda sobre o vídeo, sobre a parte que fala que o 2FA é inútil pois o atacante já está com acesso a plataforma que o usuário estiver usando.. Em caso de exchanges/carteiras web, é requerido o 2FA novamente para realizar a operação de saque.. Então creio que todos esses serviços estejam bem seguros com o 2FA ativo em casos de saque, porém o atacante pode realizar ordens de compra/venda dentro da maioria das exchanges.. Que eu lembre, só a KuCoin requer uma "segunda senha" na área de negociação de ativos.. Quem sabe veremos um ataque assim em breve, parecido com aquele que usou as APIs da Binance e comprou VIA e SYS [1] [1] https://medium.com/datadriveninvestor/investigating-the-40m-binance-hack-c5fba32900f1 Title: Re: Como lidar com tentativas de scam? (engenharia social) história, guia e lol Post by: Lucasgabd on August 19, 2020, 02:19:01 PM vale filtrar, não é que 2FA é inutil e que vc deveria desativar o seu.
mas sim que: caso haja um ataque que roube os cookies de sessão do seu navegador, 2FA talvez não te proteja. Title: Re: Como lidar com tentativas de scam? (engenharia social) história, guia e lol Post by: TryNinja on August 19, 2020, 02:37:21 PM O 2FA só impede que alguém gere uma sessão no site caso o hacker não tenha acesso a ele (e solicite saques, etc... nos sites que implementam isso).
Mas no momento que alguém tem o seu cookie/sessão do site, ele já tem acesso à sua conta. Isso vai além da função do 2FA, já que ele só serve para o back end do site ver que a solicitação do login é legit e mandar o cookie/token de auth. Porém, como dito acima, muitos sites também requerem o 2FA para solicitações sensíveis (alterar email/senha, solicitar saques, etc...), então ele ainda tem a sua vantagem imensa. Title: Re: Como lidar com tentativas de scam? (engenharia social) história, guia e lol Post by: mikel_012 on August 20, 2020, 01:31:34 AM O 2FA só impede que alguém gere uma sessão no site caso o hacker não tenha acesso a ele (e solicite saques, etc... nos sites que implementam isso). Ajudando ate injecao na testa. Nunca reclamei de ter que ficar botando 2fa e outras verificacoes de email por que elas ajudam bastante e quando voce fala de muito dinheiro e ate o dinheiro guardado da pessoa voce quer o maximo de segurança possivel. Uma preguica pode resultar em dinheiro de anos perdidosMas no momento que alguém tem o seu cookie/sessão do site, ele já tem acesso à sua conta. Isso vai além da função do 2FA, já que ele só serve para o back end do site ver que a solicitação do login é legit e mandar o cookie/token de auth. Porém, como dito acima, muitos sites também requerem o 2FA para solicitações sensíveis (alterar email/senha, solicitar saques, etc...), então ele ainda tem a sua vantagem imensa. Title: Re: Como lidar com tentativas de scam? (engenharia social) história, guia e lol Post by: Paredao on August 20, 2020, 04:00:54 AM essa teoria já entra junto com: Será que bitcoin foi inventado pela NSA para espionar os cidadãos? curiosamente muitos hacks partem da ucrania e rússia, ou de VPNs/proxies por lá Vai ver que eles passam o dia inteiro sem fazer nada e por isso tentam invadir as contas das outras pessoas. :D :D :D Deixando as brincadeiras de lado, nunca pesquisei muito sobre o assunto. Eu acredito que seja herança da antiga união soviética. Os soviéticos investiam muito em "educação" e espionagem. :o Title: Re: Como lidar com tentativas de scam? (engenharia social) história, guia e lol Post by: Lucasgabd on August 20, 2020, 11:13:49 AM O 2FA só impede que alguém gere uma sessão no site caso o hacker não tenha acesso a ele (e solicite saques, etc... nos sites que implementam isso). Ajudando ate injecao na testa. Nunca reclamei de ter que ficar botando 2fa e outras verificacoes de email por que elas ajudam bastante e quando voce fala de muito dinheiro e ate o dinheiro guardado da pessoa voce quer o maximo de segurança possivel. Uma preguica pode resultar em dinheiro de anos perdidosMas no momento que alguém tem o seu cookie/sessão do site, ele já tem acesso à sua conta. Isso vai além da função do 2FA, já que ele só serve para o back end do site ver que a solicitação do login é legit e mandar o cookie/token de auth. Porém, como dito acima, muitos sites também requerem o 2FA para solicitações sensíveis (alterar email/senha, solicitar saques, etc...), então ele ainda tem a sua vantagem imensa. 2FA é necessário em contas com muito dinheiro ou com pouco dinheiro. e lembra que algumas coisas valem mais que dinheiro, por exemplo seus metadados e alguns dados pessoais específicos. essa teoria já entra junto com: Será que bitcoin foi inventado pela NSA para espionar os cidadãos? curiosamente muitos hacks partem da ucrania e rússia, ou de VPNs/proxies por lá Vai ver que eles passam o dia inteiro sem fazer nada e por isso tentam invadir as contas das outras pessoas. :D :D :D Deixando as brincadeiras de lado, nunca pesquisei muito sobre o assunto. Eu acredito que seja herança da antiga união soviética. Os soviéticos investiam muito em "educação" e espionagem. :o tem gente que tem como profissão enganar os outro, é triste mas é verdade. realmente Paredao, pode ser uma herança dos tempos de guerra fria. |