Hackers extorsionando Webs que aceptan Bitcoins

[sammir]

podrias agregarle a tu web un certificado SSL, encripta tu web a 256 bits lo que la convierte en una web mucho mas segura si lo que haces en tu web son transacciones y ventas.

[1715467877]

1715467877

[1715467877]

1715467877

[1715467877]

1715467877

[1715467877]

1715467877

[1715467877]

1715467877

[1715467877]

1715467877

[dserrano5]

podrias agregarle a tu web un certificado SSL, encripta tu web a 256 bits lo que la convierte en una web mucho mas segura si lo que haces en tu web son transacciones y ventas.

Eso no protege contra SQLi, XSS, CSRF y demás…

[WSDN]

Yo quería implementar el cobro por bitcoin en mi nuevo proyecto, pero viendo esto... buff

Aunque si se puede mejorar la seguridad y hacer lo que comenta el compañero:

Lo segundo es que la BDD. no guarde las claves de los clientes es mejor que guarden un hash de la clave, es más seguro. Otra opción es cifrar los datos de la BDD. Para que en caso de que logren acceder a ella no puedan hacer gran cosa.
Seguramente han usado inyección SQL para acceder al sitio, suele ser lo más usual y más fácil.

WSDN, ¿qué te parece?

Pienso que es posible solucionarlo, migrando el actual sistema a otro más seguro y reforzando la seguridad en general.

[bitjoint]

Usas algún CMS tipo Wordpress, Joomla, etc? estabas al día con las actualizaciones?
Es programación tuya, con algún framework quizás?
Usas windows y usas software piratilla?
Tienes un VPS/Dedicado o compartes hosting? por lo del FTP supongo que es compartido, no?

He visto cientos de casos de estos en un curro anterior mío... te comento mis impresiones: Así a bote pronto coincido con lo que dicen los foreros de que ha sido una SQLinjection, y probablemente con un CMS sin actualizar. Aunque no descartes tener algún troyano en el PC (espero que no uses windows). A nuestros clientes les decíamos más o menos lo siguiente:

1. Comunica a todos tus clientes ipso-facto que tu web ha sido comprometida y que han de cambiar sus passwords inmediatamente, SIEMPRE, nada de esperar al día siguiente. Si usaban el mismo password en otros sitios seguramente ya se encargarán ellos de cambiarlos.
2. Formatea el PC si usas windows y NUNCA instales software que no sea comprado. He visto muchos casos donde esto pasa con troyanos que vienen de regalo en soft piratilla, y usan keyloggers, o te pillan las credenciales del panel de control haciendo un dump de contraseñas guardadas en el navegador.
3. Lee esto http://is.gd/9E2LFD. Consulta los logs de Apache (supongo que es el webserver que usas) y banea el rango de IP's desde la que se conecta. Si no tienes acceso al server, cuenta a tu host que te ha pasado y pídeles que baneen todo el rango de IP's de la red Tor, además de las iP's que hayas podido encontrar en los logs.
4. Revisa tu programación, o cambia de framework web, o si es un CMS comunícaselo a los desarrolladores para que te asistan a descubrir que URL estaban testeando (estará en los logs)
5. Envía a tomar x culo al juanker por el email que te ha dado.
6. Aprende protección básica de SQL injections y pasa escaneos periódicos con http://sqlmap.org/ . Es la librería de sql injections que usa metasploit, te ayudará a estar protegido ante el 90% de estos ataques)
7. Siempre Hashea/Saltea los passwords de la db de usuarios
8. NUNCA guardes contraseñas críticas como la de un panel de control (CPanel, Plesk, Virtuamin o lo que sea) en el navegador web cuando te pregunte: recordar contraseña? Para recordar los passwords usa un gestor como keepass http://keepass.info/


No te preocupes, estas cosas pasan con frecuencia. Suerte.

[aceptamosbitcoin]

Hola, solo decirte que no eres el único que le pasa esto,  a mí también me mandan emails para decirme que si no les pagaba una cierta cantidad de Dólares me tumbaban unas webs, me enviaron unas capturas de pantalla con las carpetas de las webs para demostrar que tenían el control de mi servidor.

No significa que ataquen las webs de BTC pero como ven que te mueves con esta moneda empiezan con este tipo de web , pero supongo que como antes pedían el dinero en LIBERTE RESERVE  y ahora no pueden pues miran otras formas de pago.
No, te líes con la seguridad de tu webs, no se puede hacer nada,  tengo webs súper seguras con todo lo que hace falta hacer para que no entren y aun así me entraron.

Lo mejor es una web hecha la web hacer una copia y tener un servidor que te puedas hacer las copias cada cierto tiempo, pero sobre el robo de las MSQL no hay nada que se pueda hacer.

Recuerda que hace poco entraron en las bases de datos de SONY, VODAFONE, OVH, NINTENDO,  y podría seguir diciendo empresas muy importantes.
Si un hacker quiere entrar en tu web lo hace, otra cosa es que este lo sepa hacer o no, pero ten por seguro que por mucho que te gastes en seguridad y en cosas para que no entren a tu sistema no lo conseguirás,  quizá lo puedas evitar con la gran mayoría de Hacker pero ten por seguro que  si alguien que sabe lo quiere hacer lo hace, nunca te gastaras más del 1% de lo que se gastan estas empresas que comento en la seguridad de tu web , por lo tanto por mucho que te gastes en seguridad será inútil para alguien que quiera entrar.

Por descontado yo nunca he pagado  y tampoco lo tienes que hacer,  me borraron unas 250 webs  y aunque tenía copias de casi todas en el servidor muchas las tuve que subir de nuevo una a una.

Quizá me gaste más en horas y en trabajo que los 2.500 dólares que me pedían, pero es tontería pagar por que si pagas aunque sea 1 BTC  y luego te gastes  1.000 BTC en seguridad entraran de nuevo  y te pedirán más dinero.
Recomiendo que no tiene que ser la mejor opción, que pases del tema, que si tienen los datos de tus clientes pues bueno que les manden lo que le quieran enviar.

No comentas nada de qué tipo de datos son ¿
Nombre y email, ¿  o dirección, números de visa, ¿ claves ccv ¿  si tienen en su poder datos bancarios o de tarjeta tienes que ir echando leches a la policía no pongas ni el tiket en la zona azul y denuncia todo esto ya que como te roben datos bancarios y de tarjetas y los propietarios puedan demostrar que fueron robados  y utilizados por culpa de tu web como no tengas una denuncia hecha se te puede caer el pelo.
Si son datos como nombre y email y poco mas no te tiene que pasar nada en lo que legalidad te pueda pasar, si quieres ir a denunciar puedes ir pero no te servirá de nada y perderás 3 o 4 horas en comisaria.
Piensa que la policía solo investiga casos en España y no se puede demostrar en qué país están los que te piden el dinero,  tampoco van hacer nada internacional por un delito de robo de emails.
Bueno espero que no me pidan mis pocos BTC que tengo…!!!

[BitAddict]

Se están poniendo las cosas muy malitas por aquí. Toda seguridad va a ser siempre poca 

No puedo aportar nada más que lo que ya se ha comentado en cuanto a seguridad. Sobre la decisión de no pagarles, sin duda es la correcta... nadie te garantiza que después no vuelvan a por más.

Te dejo todo mi apoyo y espero que puedas solucionarlo lo más rápido y mejor posible! Ya verás como en poco tiempo has salido de esta

[Krako]

Buenos días
Gracias todos por vuestros comentarios especialmente a los que comentáis haciendo una lectura en positivo e intentando ayudar y a los que habéis contactado conmigo por privado para echarme una mano, ya sabéis quienes sois. Os lo agradezco de verdad.

No creo que el problema venga de windows (es el sistema operativo que uso) casualmente estoy con un equipo nuevo que solo tiene dos semanas y es soft original con licencia, casi todo...

Ya comenté que mi web no está basada en CMS se hizo desde 0 hace como 4 años ya que lo que necesitaba era algo un poco más complejo  en el sitio se realizan ventas tanto al mayor como al público y se necesitaban dos áreas independientes etc. Pagué por ella casi 6000 pavos ayer pude contactar con el programador que la realizó, pero las cosas cambian con los años...El ya no trabaja en la empresa donde la encargué ahora trabaja en otra ciudad y bueno ni puedo ni creo que debo exigirle responsabilidades ya que yo también he ido toquiteando el código para pequeñas funciones que he ido necesitando, pero de todos modos conseguí contactar con el por email, me respondió muy rápido y espero que entre él y alguno de los que me habéis contactado ppr privado pueda ir solucionando el tema.

Afortunadamente, NO guardamos datos ultra sensibles como números de tarjetas, cuentas bancarias etc. Lo que tengo son direcciones de email, direcciones físicas, números de tfno datos sobre los pedidos y las contraseñas de acceso al sitio. Como dije ayer, lo primero que hice fué poner una denuncia  ( tuve que darles un cursillo a los agentes sobre Bitcoin  y se mostraron muy interesados) sé que probáblemente no sirva para nada pero bueno... Puesta está.

Ayer noche mientras pensaba en todo esto se me ocurrió una idea un poco marciana que os quiero comentar, a ver que os parece. No creo que la lleve a cabo es solo una pequeña marcianada basada en la máxima de "si no puedes con tu enemigo intenta unirte a él" ...
La idea era responder al hacker e intentar darle la vuelta a la historia diciéndole que NO  pienso pagar pero ofreciéndole unas monedas a cambio de que me ayude a encontrar las vulnearabilidades y a solucionarlas. Supongo (no se si estaré en lo cierto) que si sabe como entrar también debe saber como cerrar la puerta...  Y si lo que busca es solo pasta que mejor que ganarsela haciendo el bien. Se que es una idea un tanto marciana y es solo eso. Una idea pero espero vuestros comentarios.

saludos

[dserrano5]

La idea era responder al hacker e intentar darle la vuelta a la historia diciéndole que NO  pienso pagar pero ofreciéndole unas monedas a cambio de que me ayude a encontrar las vulnearabilidades y a solucionarlas.

Esta gente opera sin pensar en los demás. Quizá haya alguien ahí fuera que acepte pero sería más una cuestión de suerte que otra cosa, en mi opinión.

Supongo (no se si estaré en lo cierto) que si sabe como entrar también debe saber como cerrar la puerta...

O se encontró el exploit en internet/alguna lista de correo/algún foro ruso oscuro y lo lanzó contra todo internet, para a continuación enviar a todas las víctimas el mail de marras.

Creo que si quisiera ayudarte, ya lo habría hecho.

[hugolp]

Obviamente le puede pasar a culaquier tienda online, pero es poco probable que pase en tiendas online pequeñas como la mia, ya que hay pocas posibilidades de cobrar en moneda de curso con seguridad.

No ataco a bitcoin solo alerto de lo que me ha pasado a mi, para que quien quiera tome nota y las medidas para que no le suceda a el. Yo no había pensado en que me podía pasar a mi y lo que más me ha llamado la atención ha sido el hecho de que pretenda cobrar en BTC y eso es por razones obvias.

Lo que quiero decir es que les pueden pedir btc a cualquiero. No porque no aceptes bitcoins, van a pedirte euros. Te van a decir que te vayas a un exchange y les des bitcoins. Como he dicho, aceptar bitcoin seguramente te hace incrementar las probabilidades de ser un objetivo, pero que te pidan btc en chantaje le puede pasar a cualquiera, los acepte o no los acepte.

[aceptamosbitcoin]

Ayer noche mientras pensaba en todo esto se me ocurrió una idea un poco marciana que os quiero comentar, a ver que os parece. No creo que la lleve a cabo es solo una pequeña marcianada basada en la máxima de "si no puedes con tu enemigo intenta unirte a él" ...
La idea era responder al hacker e intentar darle la vuelta a la historia diciéndole que NO  pienso pagar pero ofreciéndole unas monedas a cambio de que me ayude a encontrar las vulnearabilidades y a solucionarlas. Supongo (no se si estaré en lo cierto) que si sabe como entrar también debe saber como cerrar la puerta...  Y si lo que busca es solo pasta que mejor que ganarsela haciendo el bien. Se que es una idea un tanto marciana y es solo eso. Una idea pero espero vuestros comentarios.

saludos

Aunque los mejores hackers siempre terminan trabajando para grandes empresas, creo que quien te amenaza de esta forma no lo puedes hacer cambiar de opinion, quiza si pero si el fuera listo el primer email te hubiera contado " oye mira hay un problema en su web de seguridad y esto son los datos"  te puedo decir que problema es y solucionarlo por unos pocos BTC" 

Pero del palo que van..  no se....

Mira la semana pasada me jodieron esta web:   www.veetelo.com

La tengo que borrar y hacer nueva, pero claro es una web simple y casi sin usuarios..


Por cierto que web es ?  su web..?? 


Bueno espero que encuentre pronto el problema de la web y lo pueda dejar  un poco mas segura, si le manda el email para intentar solucionar el problema nos comenta para ver que dice el tio este...

[BitAddict]

La idea era responder al hacker e intentar darle la vuelta a la historia diciéndole que NO  pienso pagar pero ofreciéndole unas monedas a cambio de que me ayude a encontrar las vulnearabilidades y a solucionarlas.

Esta gente opera sin pensar en los demás. Quizá haya alguien ahí fuera que acepte pero sería más una cuestión de suerte que otra cosa, en mi opinión.

Supongo (no se si estaré en lo cierto) que si sabe como entrar también debe saber como cerrar la puerta...

O se encontró el exploit en internet/alguna lista de correo/algún foro ruso oscuro y lo lanzó contra todo internet, para a continuación enviar a todas las víctimas el mail de marras.

Creo que si quisiera ayudarte, ya lo habría hecho.

Yo estoy de acuerdo con dserrano5, alguien de estas características no quiere ayudar, sólo dinero rápido. Además quién te dice que no te deja otra puerta abierta para volver a jugártela en unos meses.

Creo que lo mejor es seguir todos los pasos que te han comentado e ignorarle por completo. Ni un sólo mail de respuesta al individuo este... no se lo merece.

[dserrano5]

Ni un sólo mail de respuesta al individuo este... no se lo merece.

Hombre, si la poli está en el ajo, mantener el contacto con el individuo quizá merezca la pena. Si es que es tan tonto como para mantener un contacto prolongado por email. Que sí, que estará escondido y eso, pero le basta un despiste para publicar su IP, y game over.

[Krako]

Ni un sólo mail de respuesta al individuo este... no se lo merece.

Hombre, si la poli está en el ajo, mantener el contacto con el individuo quizá merezca la pena. Si es que es tan tonto como para mantener un contacto prolongado por email. Que sí, que estará escondido y eso, pero le basta un despiste para publicar su IP, y game over.

En la Poli no confío mucho. Tendríais que ver la redacción de la denuncia por el agente. Penoso

[AbraxasCcs]

Mejor no contactes a hacker por nada. Al final, si no respondes él no puede dar por cierto que has leído su email. Antes de que decidas escribirle espera al menos a que él vuelva a escribirte.

[Anillos2]

Mi opinión: que los grandes mineros se alíen y no acepten transacciones salientes de 1K2o3JnDRbPf5tWix7ejCAqqkhCBY8P43Q.

Eso si, antes habría que asegurarse bien de que todo sea correcto, no sea que se esté bloqueando una cuenta inocente aleatoria.

[aceptamosbitcoin]

Ni un sólo mail de respuesta al individuo este... no se lo merece.

Hombre, si la poli está en el ajo, mantener el contacto con el individuo quizá merezca la pena. Si es que es tan tonto como para mantener un contacto prolongado por email. Que sí, que estará escondido y eso, pero le basta un despiste para publicar su IP, y game over.

En la Poli no confío mucho. Tendríais que ver la redacción de la denuncia por el agente. Penoso

La policia no hace nada con estos temas, lo unico que pierde la persona es el tiempo en comisaria.

Aun me acuerdo de hace 7 años que me pase 2 horas denunciando un caso como este en la oficina de los Mossos de Escuadra y lo único que hacían es reírse de mí..!! 

[BitAddict]

Mi opinión: que los grandes mineros se alíen y no acepten transacciones salientes de 1K2o3JnDRbPf5tWix7ejCAqqkhCBY8P43Q.

Eso si, antes habría que asegurarse bien de que todo sea correcto, no sea que se esté bloqueando una cuenta inocente aleatoria.

Esto no sirve de nada por:
1. Krako no va a mandar el dinero, ya que aunque se pudiera bloquear la dirección, él seguiría perdiendo los bitcoins.
2. No se pueden bloquear direcciones/bitcoins. ¿Quién decidiría que bitcoins son robados y cuales no? Sería el principio del fin de bitcoin.

[hugolp]

Mi opinión: que los grandes mineros se alíen y no acepten transacciones salientes de 1K2o3JnDRbPf5tWix7ejCAqqkhCBY8P43Q.

Eso si, antes habría que asegurarse bien de que todo sea correcto, no sea que se esté bloqueando una cuenta inocente aleatoria.

Esto no sirve de nada por:
1. Krako no va a mandar el dinero, ya que aunque se pudiera bloquear la dirección, él seguiría perdiendo los bitcoins.
2. No se pueden bloquear direcciones/bitcoins. ¿Quién decidiría que bitcoins son robados y cuales no? Sería el principio del fin de bitcoin.

+1

[Krako]

Nuevo mensaje de nuestro "amiguete"

From strunm@mac.hush.com

Asunto: Tic Tac

1K2o3JnDRbPf5tWix7ejCAqqkhCBY8P43Q

[vgo]

Nuevo mensaje de nuestro "amiguete"

From strunm@mac.hush.com

Asunto: Tic Tac

1K2o3JnDRbPf5tWix7ejCAqqkhCBY8P43Q

Ni puto caso, que se meta el relojito en el culo y que por supuesto no saque ningún beneficio económico, que es lo que persigue, por mucho que a ti te perjudique. Tu pierdes, pero el no gana.