SCAM upozorenja Zbirni topic

[Trofo]

~snip
Recimo meni je za sad kombinacija mail adrese koju inače ne koristim + 2FA + anti-phishing kod sasvim dovoljna da se osjećam sigurno. Naravno, to sve pada u vodu kod hakiranja walleta ili baze podataka od burze ali u tom slučaju korisnik ne može napraviti ništa da bi se zaštitio osim ne držati crypto na burzi.

da, u biti treba proceniti koji stepen rizika predstavljas, i onda na bazi toga odredis koliko komfora da ostavis sebi prilikom transakcije

ukoliko je rizik veliki, i imovina kojom upravljas solidna, onda stavis sve kombinacije bezbednosti, i radis sto je redje moguce
ukoliko je rizik manji, i mala imovina, onda moze i bez 2FA, i bez anti-phising koda, samo na mail-kod, ili lozinku, kad to berza dozvoli

Upravo tako, u ovisnosti o iznosima koji se riskiraju svaki korisnik treba moći sebi odrediti kombinaciju koja mu je idealni spoj kompfora i sigurnosti.

Ja sam recimo ljut na coinomi što mi nakon update više ne da korištenje bez passworda. Update sam morao napraviti jer stara verzija više nije mogla sinkronizirati wallet. Znam da je sigurnosno totalna nula i da je doslovno bilo tko s mojim mobitelom u ruci mogao poslati kripto di god hoće ali to je moje pravo i sada me nervira upisivanje passworda svaki put kada šaljem BTC. Mogli su bar dozvoliti da šifra ne mora biti 8+znakova, brojke i slova, velika i mala. Ako ja hoću riskirati tih 200$, nikada nema više od toliko i to je moje pravo. Također ne nosim sef umjesto novčanika.

[slackovic]

Ja sam recimo ljut na coinomi što mi nakon update više ne da korištenje bez passworda. Update sam morao napraviti jer stara verzija više nije mogla sinkronizirati wallet. Znam da je sigurnosno totalna nula i da je doslovno bilo tko s mojim mobitelom u ruci mogao poslati kripto di god hoće ali to je moje pravo i sada me nervira upisivanje passworda svaki put kada šaljem BTC. Mogli su bar dozvoliti da šifra ne mora biti 8+znakova, brojke i slova, velika i mala. Ako ja hoću riskirati tih 200$, nikada nema više od toliko i to je moje pravo. Također ne nosim sef umjesto novčanika.

Ja bi rekao da većina aplikacija tjera korisnika na jaču sigurnost da ne bi kasnije imali problema s nezadovoljnim korisnicima. Jer uvijek će biti ljudi koje baš briga za sigurnost, a onda kad se dogodi sranje kriva je aplikacija. Ovako su ipak natjerali ljude da koriste snažniju šifru pa je mogućnost za krađu puno manja.

[Trofo]

Ja sam recimo ljut na coinomi što mi nakon update više ne da korištenje bez passworda. Update sam morao napraviti jer stara verzija više nije mogla sinkronizirati wallet. Znam da je sigurnosno totalna nula i da je doslovno bilo tko s mojim mobitelom u ruci mogao poslati kripto di god hoće ali to je moje pravo i sada me nervira upisivanje passworda svaki put kada šaljem BTC. Mogli su bar dozvoliti da šifra ne mora biti 8+znakova, brojke i slova, velika i mala. Ako ja hoću riskirati tih 200$, nikada nema više od toliko i to je moje pravo. Također ne nosim sef umjesto novčanika.

Ja bi rekao da većina aplikacija tjera korisnika na jaču sigurnost da ne bi kasnije imali problema s nezadovoljnim korisnicima. Jer uvijek će biti ljudi koje baš briga za sigurnost, a onda kad se dogodi sranje kriva je aplikacija. Ovako su ipak natjerali ljude da koriste snažniju šifru pa je mogućnost za krađu puno manja.

To stoji ali daj mi opciju da isključim ako baš želim. Npr nek me natjera da stavim šifru a onda nakon toga da mogu u opcijama isključiti potrebu za šifrom kod slanja kripta. I kada kliknem na to nek me upozori još dvaput i onda pusti na miru. Tako si rješio casual korisnike a ako se sam potrudiš isključiti ne možeš se ni buniti valjda.

[slackovic]

To stoji ali daj mi opciju da isključim ako baš želim. Npr nek me natjera da stavim šifru a onda nakon toga da mogu u opcijama isključiti potrebu za šifrom kod slanja kripta. I kada kliknem na to nek me upozori još dvaput i onda pusti na miru. Tako si rješio casual korisnike a ako se sam potrudiš isključiti ne možeš se ni buniti valjda.

Dobro, to je istina. Ali sumnjam da će ijedna aplikacija to omogućiti. Nisam koristio Coinomi ali zar nemaju opciju da umjesto lozinke koristiš otisak prsta? Tako barem rade neki walleti koje imam na mobitelu.

[cryptofrka]

To je tvoj problem što ne bi znao da taj tekst mora biti u mailu koji si dobio. Meni je to odlična stvar jer netko tko šalje scam mailove nikako ne može saznati koju riječ koristim kao anti-phishing kod. Jedino kako može znati je ako je upao u bazu podataka i ima popis mail adresa i njihove anti-phishing riječi. Ali prilično sam siguran da bi svaka burza upozorila korisnike kad bi se takav hack dogodio.

Pa jasno, nisam ni rekao da nema smisla. Rekao sam samo da meni nije 'prirodno' kao upozorenje jer to nigdje drugdje osim na Kucoinu nemam i ne koristim pa mi mozak to uopće ne registrira dok ne vidim da piše.
Nema šanse da bih nedostatak toga prepoznao kao nekakvo upozorenje da se radi o fake stranici.

Svaki dodatan layer sigurnosti je super i imam sve to uvijek upaljeno na mjestima na kojima imam većinu love.

[dkbit98]

Kad smo kod scam upozorenja, Danijela Martinović je nedavno na svom instagrma profilu poslala poruku pratiteljima da ne nasjedaju na lažne stranice sa njenim imenom koje pozivaju na ''ulaganje'' u Bitcoin.
Podnete su i službene prijave za prevare na internetu, ali sumnjam da policija može tako lako naći one koji odavno prave ovakve lažne profile.
Još jedna (anti)reklama za Bitcoin


https://www.instagram.com/danijelamartinovicofficial/

[slackovic]

Kad smo kod scam upozorenja, Danijela Martinović je nedavno na svom instagrma profilu poslala poruku pratiteljima da ne nasjedaju na lažne stranice sa njenim imenom koje pozivaju na ''ulaganje'' u Bitcoin.
Podnete su i službene prijave za prevare na internetu, ali sumnjam da policija može tako lako naći one koji odavno prave ovakve lažne profile.
Još jedna (anti)reklama za Bitcoin

/snip

Jadan je onaj koga Danijela Martinović nagovori na ulaganje u Bitcoin. Taj bolje neka odmah pita kome i gdje da pošalje pare koje planira izgubiti pa da je miran.

[cryptofrka]

Jadan je onaj koga Danijela Martinović nagovori na ulaganje u Bitcoin. Taj bolje neka odmah pita kome i gdje da pošalje pare koje planira izgubiti pa da je miran.

Hahah, istina. Al fino ti to zapakiraju - meni je mama bila slala 'vidi kako Modrić zarađuje na Bitcoinu'. Imaju njegove slike, izjave, naravno da mi znamo da je to sve muljaža ali naši starci teško povjeruju da netko tako lako to sve skupa izmisli.

Kad smo već kod toga - to se vrti na Indexu kao plaćene reklame - ona 'obitelj iz Bjelovara zarađuje 80 tisuća eura u 28 minuta' šema. Evo, stvarno ne znam kako je to uopće legalno.

Sve to već izgleda dosta ozbiljnije - recimo, meni jučer stiže mail od Coinbasea vezano za withdraw - stvarno je jako sličan pravome. Da nisam u kriptu par godina, i ja bih možda nasjeo na nešto od toga.

[slackovic]

Hahah, istina. Al fino ti to zapakiraju - meni je mama bila slala 'vidi kako Modrić zarađuje na Bitcoinu'. Imaju njegove slike, izjave, naravno da mi znamo da je to sve muljaža ali naši starci teško povjeruju da netko tako lako to sve skupa izmisli.

Kad smo već kod toga - to se vrti na Indexu kao plaćene reklame - ona 'obitelj iz Bjelovara zarađuje 80 tisuća eura u 28 minuta' šema. Evo, stvarno ne znam kako je to uopće legalno.

Sve to već izgleda dosta ozbiljnije - recimo, meni jučer stiže mail od Coinbasea vezano za withdraw - stvarno je jako sličan pravome. Da nisam u kriptu par godina, i ja bih možda nasjeo na nešto od toga.

Ma te prevarantske sheme postaju sve sofisticiranije. Nije Index jedini koji tolerira takve reklame koje promoviraju prevare. Neki dan sam čitao da Australija planira ili je već tužila Facebook zbog prevarantskih reklama u kojima slavne ličnosti promoviraju prevare. Pretpostavljam da se radi o istoj vrsti reklama za kakve te pitala mama

[Pmalek]

To stoji ali daj mi opciju da isključim ako baš želim. Npr nek me natjera da stavim šifru a onda nakon toga da mogu u opcijama isključiti potrebu za šifrom kod slanja kripta. I kada kliknem na to nek me upozori još dvaput i onda pusti na miru. Tako si rješio casual korisnike a ako se sam potrudiš isključiti ne možeš se ni buniti valjda.

"Nije se rodio koje narodu ugodio." Ljudi ne vole da preuzmimaju odgovornost za svoje djela i nedjela. Uvijek je neko drugi kriv. Uvijek je taj neko mogao to bolje da uradi kako se njima nešto loše ne bi desilo. Da su ostavili tu mogućnost, sigurno bi se našao neki pametnjaković koji bi izgubio pare pa bi se onda žalio kako takva funkcija da se šifra isključi uopšte ne bi smjela da postoji.

Prije par dana mi dolazi od druga na FB neka spam poruka tipa jesi ovo ti u videu i neki link. Naravno ne klikam već mu javim da je pokupio neki virus. On već zna jer mu je nekoliko FB prijatelja reklo da su dobili takve poruke od njega. Po njemu je kriv FB što je to omogučio, što nisu na vrijeme reagovali i izbrisali, krivi su drugi što su se zakačili pa je i njemu došlo, itd. Najmanje je on kriv. Zukerberga treba u zatvor i slični komentari...

[slackovic]

Izgleda da nije Ledger samo problematičan kad se radi o curenju podataka. Ljudi su počeli dobivati phishing mailove o tome da su Trezoru procurili podaci i da trebaju preuzeti novi softver kako bi se zaštitili. Da budem 100% točan, podaci nisu iscurili tvrtki Trezor nego MailChimpu kojeg Trezor koristi za slanje masovnih mailova. Prema ovom tweetu izgleda da se radi o zaposleniku MailChimpa koji je iskoristio mail adrese ljudi koji su se prijavili na Trezorov newsletter kako bi poslao phishing mailove.

[Pmalek]

Upravo sam htio da napišem neko upozorenje na tu temu ali vidim da je slackovic to već učinio. 
Ono što je zanimljivo je da MailChimp još uvijek ništa ne spominje u vezi ovog slučaja na svom Twitter profilu: https://twitter.com/Mailchimp
Već je nekoliko različitih phishing stranica napravljeno a neke su u međuvremenu blokirane.

Mail koji se šalje je izuzetno dobro napisan i u početku je dolazio sa trezor.us domene.

Imaju dvije teme u engleskom dijelu foruma u vezi ovog slučaja koje možete pratiti za više informacija:
Watch out for Fake Trezor Suite!
Trezor mailing list breached

[dkbit98]

Izgleda da nije Ledger samo problematičan kad se radi o curenju podataka. Ljudi su počeli dobivati phishing mailove o tome da su Trezoru procurili podaci i da trebaju preuzeti novi softver kako bi se zaštitili. Da budem 100% točan, podaci nisu iscurili tvrtki Trezor nego MailChimpu kojeg Trezor koristi za slanje masovnih mailova.

Pisao sam detaljnije o tome u mojoj temi na engleskom jeziku i moje iskustvo pa se ne želim ponavljati, ali razlika u odnosu na ledger je to da su samo email adrese iscurile.
Moj način zaštite za ovo je korištenje alternativnih email adresa za svaku uslugu, možda koristeći nešto poput Firefox Relay ili email providere koji nude alias i temp adrese.
Zatim napišem oznaku na svaki alias koji koristim, npr. trezor newsletter ili ledger nene; alternativne opcija za neke nevažne stvari su temp email adrese koje samo primaju email, npr getnada.com, maildrop.cc, moakt.com...
U svakom slučaju moram reći da je Trezor opet zajebao stvari nakon nedavnog AOPP fijaska   a ionako ne preporučam Trezor hardverski novčanik dok ne dodaju sigurnosni element (uskoro).

[Pmalek]

....ali razlika u odnosu na ledger je to da su samo email adrese iscurile.

Sreća njihova da je tako. MailChimp su koristili za slanje marketinških mailova i svog newsletter-a. Za te aktivnosti, toj kompaniji nije potrebno više informacija. Ali isto kao što je Shopify hakovan koji je sadržavao detaljne podatke o Ledger korisnicima, tako sutra može i Confirmo. Mislim da oni sa Trezorom rade kad je kupovina i prodaja u pitanju. I oni zbog administrativnih i pravnih razloga sigurno na nekom serveru čuvaju podatke o klijentima i to može da procuri. Ruski rulet u kojem je Ledger izgubio a Trezor i dalje dobiva bitke ali mogućnost da jednog dana krene po zlo je i dalje tu.     

[slackovic]

Sreća njihova da je tako. MailChimp su koristili za slanje marketinških mailova i svog newsletter-a. Za te aktivnosti, toj kompaniji nije potrebno više informacija. Ali isto kao što je Shopify hakovan koji je sadržavao detaljne podatke o Ledger korisnicima, tako sutra može i Confirmo. Mislim da oni sa Trezorom rade kad je kupovina i prodaja u pitanju. I oni zbog administrativnih i pravnih razloga sigurno na nekom serveru čuvaju podatke o klijentima i to može da procuri. Ruski rulet u kojem je Ledger izgubio a Trezor i dalje dobiva bitke ali mogućnost da jednog dana krene po zlo je i dalje tu.     

Smatram da onaj tko negdje online ispunjava bilo kakve podatke mora biti spreman da postoji mogućnost da oni negdje procure. Jednostavno je to tako... Podaci se čuvaju trajno i čudno bi bilo očekivati da će zauvijek ostati sigurni jer smatram da je svaki sustav moguće hakirati, samo je pitanje koliko se to isplati. Hoću reći da nitko neće hakirati sustav ako od toga nema koristi. Pri tome ne mislim samo na financijsku korist nego i imidž. Jer nije isto reći "hakirao sam bazu neke lokalne pekare" i "hakirao sam bazu Mailchimpa".

[slackovic]

Evo još jednog upozorenja koje sam dobio. Preko Discorda se šalju privatne poruke koje izgledaju kao da sadrže sliku koja se ne želi učitati. Ako korisnik klikne na sliku da ju želi učitati, skripta ukrade Discord session token što omogućuje hakeru da promijeni lozinku Discord računa i koristi ga. Ovdje čak niti 2FA ne pomaže jer skripta na neki način ukrade session token i haker je automatski prijavljen na vaš Discord račun.

[Pmalek]

Evo još jednog upozorenja koje sam dobio.

Bez obzira koju metodu napadači koriste, pravila zaštite ostaju ista bez obzira da li je riječ o Discordu, Emailu ili nečemu trećem. Nikad klikati, otvarati, i pokretati bilo šta što vam neko pošalje privatno. Čak i ako je osoba koju poznajete vrijedi provjeriti i priupitati da li vam je ta osoba nešto slala preko te i te stranice. Nekad je i bolje biti paranoičan nego previše opušten i znatiželjan. Ta paranoja će te bar zaštititi da ne uradiš nešto pogrešno što nije slučaj ako zabadaš nos tamo gdje mu nije mjesto.

Ne koristim Discord pa nisam previše upoznat sa pojmovima kao što je "session token". Da li je ovo ekvivalentno privatnom ključu/seedu, u smislu da onaj ko ima pristup session tokenu ima i kontrolu nad nalogom ili je to nešto poput šifre koja se može promijeniti ili restartovati? Nešto mi govori da je ovo prvo...

[slackovic]

Evo još jednog upozorenja koje sam dobio.

Bez obzira koju metodu napadači koriste, pravila zaštite ostaju ista bez obzira da li je riječ o Discordu, Emailu ili nečemu trećem. Nikad klikati, otvarati, i pokretati bilo šta što vam neko pošalje privatno. Čak i ako je osoba koju poznajete vrijedi provjeriti i priupitati da li vam je ta osoba nešto slala preko te i te stranice. Nekad je i bolje biti paranoičan nego previše opušten i znatiželjan. Ta paranoja će te bar zaštititi da ne uradiš nešto pogrešno što nije slučaj ako zabadaš nos tamo gdje mu nije mjesto.

Ne koristim Discord pa nisam previše upoznat sa pojmovima kao što je "session token". Da li je ovo ekvivalentno privatnom ključu/seedu, u smislu da onaj ko ima pristup session tokenu ima i kontrolu nad nalogom ili je to nešto poput šifre koja se može promijeniti ili restartovati? Nešto mi govori da je ovo prvo...

Ma naravno da uvijek treba paziti na što se klika. Session token je nešto (ne znam točno objasniti što ) što omogućuje browseru ili Discord aplikaciji da te automatski prijavi kad ju pokreneš. Ako netko to uspije ukrasti, pokretanjem aplikacije ili otvaranje Discorda u browseru je automatski prijavljen na tvoj account i može promijeniti lozinku, email i sve ostalo.

[dkbit98]

Evo još jednog upozorenja koje sam dobio. Preko Discorda se šalju privatne poruke koje izgledaju kao da sadrže sliku koja se ne želi učitati. Ako korisnik klikne na sliku da ju želi učitati, skripta ukrade Discord session token što omogućuje hakeru da promijeni lozinku Discord računa i koristi ga. Ovdje čak niti 2FA ne pomaže jer skripta na neki način ukrade session token i haker je automatski prijavljen na vaš Discord račun.

Discord mnogo manje koristim nego ranije i imam ga samo zbog bitcointalk party grupe i zbog komunikacije sa s drugim ljudima povezanim sa kriptom.
Zaštita od ovog novog napada je onemogućiti privatne poruke za sve osim za one koji su ti prijatelji, i ne prihvatatati friend request od nepoznatih ljudi.
Ide se na Privacy Settings, omogućiti Keep me safe, i onemogućiti Allow direct messages from server members.
Who can add you as a friend, onemogućiti Everyone.




 

[Trofo]

Evo još jednog upozorenja koje sam dobio. Preko Discorda se šalju privatne poruke koje izgledaju kao da sadrže sliku koja se ne želi učitati. Ako korisnik klikne na sliku da ju želi učitati, skripta ukrade Discord session token što omogućuje hakeru da promijeni lozinku Discord računa i koristi ga. Ovdje čak niti 2FA ne pomaže jer skripta na neki način ukrade session token i haker je automatski prijavljen na vaš Discord račun.

Nisam imao pojma da je takon nešto moguće izvesti. Nikada ne čitam te PM tako da vjerojatno nisam u opasnosti ali mi je jako nevjerojatno da uopće postoji takav vulrnability u softveru koji je raširen kao discord i još nevjerojatnije da nije odavno iskorišten.

Ako mi moraju ukrasti račun od nečega samo nek mi uzmu discord Definitno najnekorisniji account koji posjedujem.