igor72
Legendary
Offline
Activity: 1834
Merit: 2003
Crypto Swap Exchange
|
|
August 27, 2019, 09:28:43 PM |
|
ВТС поступали на аккаунты хацкерят еще пару дней. До сих пор поступают. А тогда, в конце декабря, конечно, мрак был. Меня особенно впечатляли суммы - 83 битка, 27... Как такие деньги люди держат на горячих кошельках без страховки в виде мультиподписи хотя бы? Вроде эта уловка была только на Винде, не? Кажется, для всех платформ было. В день атаки я отправлял какую то транзу. Мой Электрум (до обновления) что то долго коннектился, но потом законнектился и работал как всегда, то есть отлично. И я не получал никаких всплывающих окон и предложений обновиться. Там же далеко не все сервера фейковые были, вы случайно попали на правильный, вам повезло ).
|
|
|
|
|
|
|
|
|
You get merit points when someone likes your post enough to give you some. And for every 2 merit points you receive, you can send 1 merit point to someone else!
|
|
|
Advertised sites are not endorsed by the Bitcoin Forum. They may be unsafe, untrustworthy, or illegal in your jurisdiction.
|
|
|
TheFuzzStone
Legendary
Offline
Activity: 1512
Merit: 1442
thefuzzstone.github.io
|
|
August 27, 2019, 09:31:22 PM |
|
Кажется, для всех платформ было. Гмм, тогда какой формат пакета качался, .deb? А если кто то на Арче сидел, или Федоре, или.. Генту? Или исходники качались? AppImage вроде как после всей этой истории появился... (могу ошибаться)
|
|
|
|
igor72
Legendary
Offline
Activity: 1834
Merit: 2003
Crypto Swap Exchange
|
|
August 27, 2019, 09:40:25 PM Last edit: August 28, 2019, 06:40:25 AM by igor72 |
|
Кажется, для всех платформ было. Гмм, тогда какой формат пакета качался, .deb? А если кто то на Арче сидел, или Федоре, или.. Генту? Или исходники качались? Кажется, .tar.gz. Но не уверен, завтра попробую поискать. AppImage вроде как после всей этой истории появился... (могу ошибаться) Да, впервые появился в 3.3.4. update TheFuzzStone, вот здесь на некоторых скринах видно, как выглядели фейковые страницы. А здесь чел пользовался Linux Mint.
|
|
|
|
TheFuzzStone
Legendary
Offline
Activity: 1512
Merit: 1442
thefuzzstone.github.io
|
|
August 28, 2019, 08:22:53 AM |
|
вот здесь на некоторых скринах видно, как выглядели фейковые страницы. Красиво : И как бы столько народу не смутило electrum e... Хотя файлы качались electrum, хитро. А здесь чел пользовался Linux Mint. Сайт electrum pad уже не работает... самому не проверить. Спросил того чувака в комментах.
|
|
|
|
johhnyUA
Legendary
Offline
Activity: 2422
Merit: 1834
Crypto for the Crypto Throne!
|
|
August 28, 2019, 09:02:33 AM |
|
Там он не Электрум фейковый скачал, а у него была старая версия, которая была неустойчива к недавней атаке, когда кошелек подключается к серверу злоумышленника, сервер запускает код в клиенте кошелька, и человек часто просто кликает обновиться. Вроде эта уловка была только на Винде, не? В день атаки я отправлял какую то транзу. Мой Электрум (до обновления) что то долго коннектился, но потом законнектился и работал как всегда, то есть отлично. И я не получал никаких всплывающих окон и предложений обновиться. Нет, оно везде работало, так как у Електрума старых версий есть возможность запускать гуи код любому. Там главное было законнектиться к серверу злоумышленника (или серверам?) вот тогда происходило веселье.
|
|
|
|
TheFuzzStone
Legendary
Offline
Activity: 1512
Merit: 1442
thefuzzstone.github.io
|
|
August 28, 2019, 01:27:55 PM |
|
Нет, оно везде работало, так как у Електрума старых версий есть возможность запускать гуи код любому. Там главное было законнектиться к серверу злоумышленника (или серверам?) вот тогда происходило веселье.
Понял. Ну, теперь мне интересно в каком формате качали юзеры Линукса. Со стороны хацкерят самым умным решением было бы запилить AppImage, чтобы как можно больше охватить Линукс-аудитории.
|
|
|
|
igor72
Legendary
Offline
Activity: 1834
Merit: 2003
Crypto Swap Exchange
|
|
August 28, 2019, 01:34:18 PM |
|
Ну, теперь мне интересно в каком формате качали юзеры Линукса. Со стороны хацкерят самым умным решением было бы запилить AppImage, чтобы как можно больше охватить Линукс-аудитории.
Там же видно на скринах по моей ссылке, что формат был тот же, что и на оф.сайте, то есть исходники. Это тогда. В последнее время, возможно, добавили и AppImage (логично было бы, раз на оф.сайте он появился).
|
|
|
|
TheFuzzStone
Legendary
Offline
Activity: 1512
Merit: 1442
thefuzzstone.github.io
|
|
August 28, 2019, 01:38:11 PM |
|
Там же видно на скринах по моей ссылке, что формат был тот же, что и на оф.сайте, то есть исходники. Да, действительно. Когда первый раз смотрел, чёт пропустил этот скрин. Ну, кто-то скомпилировал себе подарочек...
|
|
|
|
igor72
Legendary
Offline
Activity: 1834
Merit: 2003
Crypto Swap Exchange
|
|
August 28, 2019, 01:47:46 PM Last edit: August 28, 2019, 03:24:06 PM by igor72 Merited by TheFuzzStone (1) |
|
Ну, кто-то скомпилировал себе подарочек...
Да какая там компиляция в питоне? ). Так, копирование файлов практически... Единственное, что могло бы остановить - говно сайт. я уверен такое еще можно заметить будучи достаточно внимательным.
Сейчас увидел этот ролик. Там на 1:30 видно, что в превью транзакции адрес назначения явно левый. Как можно даже в превью транзакции не глянуть для сверки адреса? Таким и аппаратник не поможет ).
|
|
|
|
johhnyUA
Legendary
Offline
Activity: 2422
Merit: 1834
Crypto for the Crypto Throne!
|
|
August 29, 2019, 11:29:23 AM |
|
Единственное, что могло бы остановить - говно сайт. я уверен такое еще можно заметить будучи достаточно внимательным.
Сейчас увидел этот ролик. Там на 1:30 видно, что в превью транзакции адрес назначения явно левый. Как можно даже в превью транзакции не глянуть для сверки адреса? Таким и аппаратник не поможет ). ну а как клипперы работают? Тоже на этом, человек копирует адрес, вставляет. То, что вставляется совсем другой адрес, многих не волнует. Ну тоесть я всегда сверяю то, что в отправке и то, что мне дают для оплаты например. Но многие чисто на автомате могут такое пропускать.
|
|
|
|
igor72
Legendary
Offline
Activity: 1834
Merit: 2003
Crypto Swap Exchange
|
|
August 29, 2019, 12:21:14 PM Last edit: August 29, 2019, 01:20:29 PM by igor72 |
|
Но многие чисто на автомате могут такое пропускать.
Я и говорю, они и на аппаратнике, наверное, кнопку на автомате нажимали бы. У меня раньше было представление, что в данном случае хакерами тщательно разработана операция, и всё подготовлено максимально безупречно (они же там даже ддосили легальные сервера несколько дней, а это, я так понимаю, недешево). А оказывается, они не смогли дописать пару десятков строк в свой фейковый клиент, чтобы он не выводил на экран левый адрес и прочую разоблачающую их информацию. Разве трудно было это сделать? Слава богу, конечно, что так, иначе жертв могло бы быть гораздо больше. Клипперы - это которые содержимое буфера обмена подменяют? Насколько я понимаю, там сложнее, там нет возможности вмешиваться в работу атакуемого ПО. А здесь вся программа заменена на свою - делай, что хошь.
|
|
|
|
TheFuzzStone
Legendary
Offline
Activity: 1512
Merit: 1442
thefuzzstone.github.io
|
|
August 29, 2019, 02:24:17 PM |
|
Но многие чисто на автомате могут такое пропускать. У меня с самого начала знакомства с криптой выработалась привычка проверять первые и последние 4 символа. Я и говорю, они и на аппаратнике, наверное, кнопку на автомате нажимали бы. +1, патамушта Леджер/Трезор нильзя хакнуть!
|
|
|
|
johhnyUA
Legendary
Offline
Activity: 2422
Merit: 1834
Crypto for the Crypto Throne!
|
|
August 29, 2019, 04:37:17 PM |
|
Клипперы - это которые содержимое буфера обмена подменяют? Насколько я понимаю, там сложнее, там нет возможности вмешиваться в работу атакуемого ПО. А здесь вся программа заменена на свою - делай, что хошь.
Возможности нет, но клиппер может очень долго быть незамеченным. Там идет сверка по строке, и если допустим в буфер копируется не адрес, то клиппер даже не реагирует. По поводу фейкового клиента: ну а зачем заморачиваться если и так работает то? Здесь опять таки, более социально инженерийный аспект включился. Многие как овцы себя повели.
|
|
|
|
Vadi2323
Legendary
Offline
Activity: 2044
Merit: 1231
|
|
September 03, 2019, 12:06:38 AM |
|
...и да если это имеет значение то я использовал linux ubuntu. В итоге украли все мои накопленные деньги...
Конечно имеет значение. Благодарю вас.
|
|
|
|
johhnyUA
Legendary
Offline
Activity: 2422
Merit: 1834
Crypto for the Crypto Throne!
|
Ну на самом деле, атака на Електрум была практически идеальной, притом вот в статье приводятся совсем другие скрины - https://decenter.org/ru/problemy-electrum Там в тех скринах ссылка была на гитхаб, только вот там был electrum-org а реальный гитхаб електрума - spesmilo/electrumВсе блин слишком на правду было похоже. Но да, те, кто проверил подпись могли бы спастись. Про чексуммы смысла говорить нет, думаю вы понимаете почему.
|
|
|
|
|