Bitcoin Forum

Salve salve bitcointalkianos

recentemente um cara tentou me enganar por email e o caso me chamou a atenção pois pela primeira vez ele utilizou informações minhas disponíveis online (contatos, referências de conhecidos) para se passar por um anunciante e tentar me fazer instalar um arquivo ou rodar um script por aqui.

nada aconteceu mas achei que valia trazer a história para cá e compartilhar algumas boas práticas de segurança.

primeiramente:
o que vocês recomendam para cuidar de segurança e evitar ataques de engenharia social?
como vocês lidam com esses ataques quando acontecem?
respondem os scammers ou ignoram?

Esse é o preço que eu pago por não ter desenvolvido meus perfis pensando em privacidade desde o começo.
Curiosamente, sou um péssimo alvo pois não tenho muita grana guardada, tive que vender a maior parte do que tinha em crypto por razões pessoais e ainda não pude me organizar para investir novamente.

O ataque que tentaram me fazer era relativamente simples:
me contataram por email
ele vinha com uma oferta interessante e plausível que despertou minha atençao.
mas na hora que aceitei a oferta ao invés de proceder como um anunciante normal ele me pediu para acessar seu site, baixar e executar seu programa.
óbvio que isso despertou o red flag final e não caí, mas outras pessoas poderiam ter caído.

quando percebi eu falei que poderia baixar o arquivo desde que ele depositasse um sinal de 20 usd (fiz isso só para ver sua resposta) e ele negou pq o "manager" não permitiria.
Depois fui dando corda só para ver até onde ele iria,
sugeri que fizessemos uma ligação pelo zoom.
Novamente ele negou por "regras de escritório".

obs: se alguém quiser as infos do scammer (email e site), para verificar sites e arquivos, rodar análises ou alguma curiosidade é só falar que mando inbox

Achei que valia trazer esse assunto para cá pois vai gerar bons debates por aqui.

também faço algumas recomendações básicas de segurança:

1. não linke perfis pessoais com carteiras crypto e anonimize seu trabalho online, sempre que possível.
2. 2FA em tudo (óbvio)
3. use um bom VPN que não guarda logs
4. use passwords seguros e um gerenciador de passwords.
5. faça gerenciamento de risco, distribua fundos em diferentes locais e entenda o quanto você pode perder num hack, se possível use máquinas diferentes para crypto e para trabalhos do dia-a-dia
6. sempre se desvalorize como alvo, nunca ostente.
7. quando o assunto é crypto: não confie, verifique. e não tenha pressa.

tem mais, muito mais, mas gosto do número 7 então vou parar por aqui

o que vocês acrescentariam à lista?

Pra fechar deixo dois vídeos do James Veitch pq eles tem total relação com esse tópico e ri muito assistindo:

https://www.youtube.com/watch?v=_QdPW8JrYzQ

https://www.youtube.com/watch?v=C4Uc-cztsJo

(merits são bem-vindos, tá fácil pra ninguém.)
 ;D

Pode me passar os links via PM? Eu lembro que esse tipo de caso estava acontecendo muito com youtubers de tamanho médio. Vinha alguém no e-mail deles pedindo para que eles fizessem um video-propaganda de um produto, que acabava infectando o PC deles.

No último que eu vi, o Youtuber baixou um programa que seria futuro "concorrente do Discord". Tinha um site bonitinho e screenshots (copiadas de outro app), mas no fim, o Youtuber teve o canal roubado e utilizado para fazer aquelas lives de crypto scam, e.g: "A Amazon está fazendo um giveaway de BTC. Envie qualquer quantia e ganhe o dobro".

Meu top dicas é:

- Desconfie de TUDO. Links, e-mails, mensagens... nunca vá cegamente.
- SEMPRE olhe para a URL do site que está visitando. É MUITO fácil cair em um phishing por que eles aparecem em qualquer lugar. As vezes você digita o link errado e o scammer já está preparado para isso, com um domínio fake comprado.

Já tentaram me scammar muito na Steam, e isso foi um bom treinamento sobre os métodos utilizados pelos scammers. :D

Um dos em que me surpreendi, você clicava para logar na sua conta, no site do scammer, e abria uma janela "oficial" da Steam, com o selo SSL e tudo. Porém, aquilo era uma janela HTML contida no próprio site, e não um popup do navegador.

Rapaz, engenharia social eu nunca vi e espero nunca ver ;D no máximo aparecem uns caras no Telegram, as vezes eu respondo para ver qual golpe estão tentando dar, no final eles ficam brabos pois chamo eles de amadores.. E-mail eu nunca respondo, raramente abro..


Uma vez tentaram passar o golpe em um amigo meu, o golpista tinha uma "Karambit Doppler Black Pearl" e o preview dela na Steam é igual das outras que não são tão raras..

Só que o cara tinha 2 perfis idênticos, tudo igual, nível, amigos, jogos/horas, inventário, etc.. Ele mostrava a skin verdadeira e depois dava trade com a falsa da outra conta..

O que mais me surpreendeu foi o URL das duas contas, uma delas era "76561168815938262" e a outra "76561168815638262", o começo e o fim eram iguais, só mudava um único número lá meio.. que para ajudar era um 6 por um 9.. Parece que a Steam baniu o cara :D

Você que gosta de skins, a falsa e a verdadeira:
https://talkimg.com/images/2023/07/23/nkqQJ.png (https://talkimg.com/images/2023/07/23/nkqQJ.png) https://talkimg.com/images/2023/07/23/nk0fC.png (https://talkimg.com/images/2023/07/23/nk0fC.png)

Conversando com o Ninja ele me passou esse vídeo que mostra o mesmo tipo de ataque acontecendo com outros youtubers.
postando aqui para registro e pq outras pessoas podem aprender algo com o vídeo, como eu aprendi.

https://www.youtube.com/watch?v=x3XNiboiCFM

@sabotag3x

como será que ele conseguiu as URLs semelhantes?
brute force criando várias contas?

Muito provavelmente. Sabendo quantas contas em média são criadas por dia, ele consegue estimar quando a conta com um ID parecido vai ser gerada.

E criar contas na Steam é algo absurdamente fácil. Uma vez eu brinquei com um bot de enviar elogios no CS e consegui criar 100 contas em alguns minutos. Não precisava nem resolver o captcha (usava o 2captcha, que custa um pouco mais de $1 por 1000 captchas)

@sabota, tô ligado nesse esquema das facas Doppler. Meu sonho, em uma época, era ter uma Black Pearl. :D

Já tentaram fazer a mesma coisa comigo.

Se já atacam esses canais que tem pouco valor, imagina quantas tentativas de ataques as exchanges sofrem e o quanto precisam investir em segurança..

Eu aprendi a não mexer com os russos :P



Não sabia que era fácil assim criar contas :o fugindo um pouco do assunto do OP, esses elogios fodem com o jogo já que alteram o grau de integridade e os jogadores denunciados não caem nunca..


E eu que vendi minha dlore por $1300 e hoje vale 5k? ;D >:(
https://talkimg.com/images/2023/07/23/nkDR1.png

Eu me lembro que quando iniciei no mundo das criptomoedas eu entrava em muito sites russos e ucranianos. Eu acho que tive sorte, pois nunca fui hackeado. Que eu saiba.  ;D ;D ;D ;D Será que a "KGB" me hackeou e eu nem soube ?  :D :D :D :D

essa teoria já entra junto com: Será que bitcoin foi inventado pela NSA para espionar os cidadãos?

curiosamente muitos hacks partem da ucrania e rússia, ou de VPNs/proxies por lá

Ainda sobre o vídeo, sobre a parte que fala que o 2FA é inútil pois o atacante já está com acesso a plataforma que o usuário estiver usando.. Em caso de exchanges/carteiras web, é requerido o 2FA novamente para realizar a operação de saque.. Então creio que todos esses serviços estejam bem seguros com o 2FA ativo em casos de saque, porém o atacante pode realizar ordens de compra/venda dentro da maioria das exchanges..

Que eu lembre, só a KuCoin requer uma "segunda senha" na área de negociação de ativos..

Quem sabe veremos um ataque assim em breve, parecido com aquele que usou as APIs da Binance e comprou VIA e SYS [1]


[1] https://medium.com/datadriveninvestor/investigating-the-40m-binance-hack-c5fba32900f1

vale filtrar, não é que 2FA é inutil e que vc deveria desativar o seu.
mas sim que: caso haja um ataque que roube os cookies de sessão do seu navegador, 2FA talvez não te proteja.

O 2FA só impede que alguém gere uma sessão no site caso o hacker não tenha acesso a ele (e solicite saques, etc... nos sites que implementam isso).

Mas no momento que alguém tem o seu cookie/sessão do site, ele já tem acesso à sua conta. Isso vai além da função do 2FA, já que ele só serve para o back end do site ver que a solicitação do login é legit e mandar o cookie/token de auth.

Porém, como dito acima, muitos sites também requerem o 2FA para solicitações sensíveis (alterar email/senha, solicitar saques, etc...), então ele ainda tem a sua vantagem imensa.

Ajudando ate injecao na testa. Nunca reclamei de ter que ficar botando 2fa e outras verificacoes de email por que elas ajudam bastante e quando voce fala de muito dinheiro e ate o dinheiro guardado da pessoa voce quer o maximo de segurança possivel. Uma preguica pode resultar em dinheiro de anos perdidos

Vai ver que eles passam o dia inteiro sem fazer nada e por isso tentam invadir as contas das outras pessoas.  :D :D :D Deixando as brincadeiras de lado, nunca pesquisei muito sobre o assunto. Eu acredito que seja herança da antiga união soviética. Os soviéticos investiam muito em "educação" e espionagem.  :o

2FA é necessário em contas com muito dinheiro ou com pouco dinheiro.
e lembra que algumas coisas valem mais que dinheiro, por exemplo seus metadados e alguns dados pessoais específicos.


tem gente que tem como profissão enganar os outro, é triste mas é verdade.

realmente Paredao, pode ser uma herança dos tempos de guerra fria.