Como lidar com tentativas de scam? (engenharia social) história, guia e lol

[Lucasgabd]

Salve salve bitcointalkianos

recentemente um cara tentou me enganar por email e o caso me chamou a atenção pois pela primeira vez ele utilizou informações minhas disponíveis online (contatos, referências de conhecidos) para se passar por um anunciante e tentar me fazer instalar um arquivo ou rodar um script por aqui.

nada aconteceu mas achei que valia trazer a história para cá e compartilhar algumas boas práticas de segurança.

primeiramente:
o que vocês recomendam para cuidar de segurança e evitar ataques de engenharia social?
como vocês lidam com esses ataques quando acontecem?
respondem os scammers ou ignoram?

Esse é o preço que eu pago por não ter desenvolvido meus perfis pensando em privacidade desde o começo.
Curiosamente, sou um péssimo alvo pois não tenho muita grana guardada, tive que vender a maior parte do que tinha em crypto por razões pessoais e ainda não pude me organizar para investir novamente.

O ataque que tentaram me fazer era relativamente simples:
me contataram por email
ele vinha com uma oferta interessante e plausível que despertou minha atençao.
mas na hora que aceitei a oferta ao invés de proceder como um anunciante normal ele me pediu para acessar seu site, baixar e executar seu programa.
óbvio que isso despertou o red flag final e não caí, mas outras pessoas poderiam ter caído.

quando percebi eu falei que poderia baixar o arquivo desde que ele depositasse um sinal de 20 usd (fiz isso só para ver sua resposta) e ele negou pq o "manager" não permitiria.
Depois fui dando corda só para ver até onde ele iria,
sugeri que fizessemos uma ligação pelo zoom.
Novamente ele negou por "regras de escritório".

obs: se alguém quiser as infos do scammer (email e site), para verificar sites e arquivos, rodar análises ou alguma curiosidade é só falar que mando inbox

Achei que valia trazer esse assunto para cá pois vai gerar bons debates por aqui.

também faço algumas recomendações básicas de segurança:

1. não linke perfis pessoais com carteiras crypto e anonimize seu trabalho online, sempre que possível.
2. 2FA em tudo (óbvio)
3. use um bom VPN que não guarda logs
4. use passwords seguros e um gerenciador de passwords.
5. faça gerenciamento de risco, distribua fundos em diferentes locais e entenda o quanto você pode perder num hack, se possível use máquinas diferentes para crypto e para trabalhos do dia-a-dia
6. sempre se desvalorize como alvo, nunca ostente.
7. quando o assunto é crypto: não confie, verifique. e não tenha pressa.

tem mais, muito mais, mas gosto do número 7 então vou parar por aqui

o que vocês acrescentariam à lista?

Pra fechar deixo dois vídeos do James Veitch pq eles tem total relação com esse tópico e ri muito assistindo:

https://www.youtube.com/watch?v=_QdPW8JrYzQ

https://www.youtube.com/watch?v=C4Uc-cztsJo

(merits são bem-vindos, tá fácil pra ninguém.)
 

[TryNinja]

Pode me passar os links via PM? Eu lembro que esse tipo de caso estava acontecendo muito com youtubers de tamanho médio. Vinha alguém no e-mail deles pedindo para que eles fizessem um video-propaganda de um produto, que acabava infectando o PC deles.

No último que eu vi, o Youtuber baixou um programa que seria futuro "concorrente do Discord". Tinha um site bonitinho e screenshots (copiadas de outro app), mas no fim, o Youtuber teve o canal roubado e utilizado para fazer aquelas lives de crypto scam, e.g: "A Amazon está fazendo um giveaway de BTC. Envie qualquer quantia e ganhe o dobro".

Meu top dicas é:

- Desconfie de TUDO. Links, e-mails, mensagens... nunca vá cegamente.
- SEMPRE olhe para a URL do site que está visitando. É MUITO fácil cair em um phishing por que eles aparecem em qualquer lugar. As vezes você digita o link errado e o scammer já está preparado para isso, com um domínio fake comprado.

Já tentaram me scammar muito na Steam, e isso foi um bom treinamento sobre os métodos utilizados pelos scammers.

Um dos em que me surpreendi, você clicava para logar na sua conta, no site do scammer, e abria uma janela "oficial" da Steam, com o selo SSL e tudo. Porém, aquilo era uma janela HTML contida no próprio site, e não um popup do navegador.

[sabotag3x]

o que vocês recomendam para cuidar de segurança e evitar ataques de engenharia social?
como vocês lidam com esses ataques quando acontecem?
respondem os scammers ou ignoram?

Rapaz, engenharia social eu nunca vi e espero nunca ver no máximo aparecem uns caras no Telegram, as vezes eu respondo para ver qual golpe estão tentando dar, no final eles ficam brabos pois chamo eles de amadores.. E-mail eu nunca respondo, raramente abro..

Já tentaram me scammar muito na Steam, e isso foi um bom treinamento sobre os métodos utilizados pelos scammers.

Uma vez tentaram passar o golpe em um amigo meu, o golpista tinha uma "Karambit Doppler Black Pearl" e o preview dela na Steam é igual das outras que não são tão raras..

Só que o cara tinha 2 perfis idênticos, tudo igual, nível, amigos, jogos/horas, inventário, etc.. Ele mostrava a skin verdadeira e depois dava trade com a falsa da outra conta..

O que mais me surpreendeu foi o URL das duas contas, uma delas era "76561168815938262" e a outra "76561168815638262", o começo e o fim eram iguais, só mudava um único número lá meio.. que para ajudar era um 6 por um 9.. Parece que a Steam baniu o cara

Você que gosta de skins, a falsa e a verdadeira:

[Lucasgabd]

Conversando com o Ninja ele me passou esse vídeo que mostra o mesmo tipo de ataque acontecendo com outros youtubers.
postando aqui para registro e pq outras pessoas podem aprender algo com o vídeo, como eu aprendi.

https://www.youtube.com/watch?v=x3XNiboiCFM

@sabotag3x

como será que ele conseguiu as URLs semelhantes?
brute force criando várias contas?

[TryNinja]

como será que ele conseguiu as URLs semelhantes?
brute force criando várias contas?

Muito provavelmente. Sabendo quantas contas em média são criadas por dia, ele consegue estimar quando a conta com um ID parecido vai ser gerada.

E criar contas na Steam é algo absurdamente fácil. Uma vez eu brinquei com um bot de enviar elogios no CS e consegui criar 100 contas em alguns minutos. Não precisava nem resolver o captcha (usava o 2captcha, que custa um pouco mais de $1 por 1000 captchas)

@sabota, tô ligado nesse esquema das facas Doppler. Meu sonho, em uma época, era ter uma Black Pearl.

Já tentaram fazer a mesma coisa comigo.

[sabotag3x]

Conversando com o Ninja ele me passou esse vídeo que mostra o mesmo tipo de ataque acontecendo com outros youtubers.
postando aqui para registro e pq outras pessoas podem aprender algo com o vídeo, como eu aprendi.

https://www.youtube.com/watch?v=x3XNiboiCFM

Se já atacam esses canais que tem pouco valor, imagina quantas tentativas de ataques as exchanges sofrem e o quanto precisam investir em segurança..

Eu aprendi a não mexer com os russos

E criar contas na Steam é algo absurdamente fácil. Uma vez eu brinquei com um bot de enviar elogios no CS e consegui criar 100 contas em alguns minutos. Não precisava nem resolver o captcha (usava o 2captcha, que custa um pouco mais de $1 por 1000 captchas)

Não sabia que era fácil assim criar contas fugindo um pouco do assunto do OP, esses elogios fodem com o jogo já que alteram o grau de integridade e os jogadores denunciados não caem nunca..

@sabota, tô ligado nesse esquema das facas Doppler. Meu sonho, em uma época, era ter uma Black Pearl.

Já tentaram fazer a mesma coisa comigo.

E eu que vendi minha dlore por $1300 e hoje vale 5k? >

[Paredao]

Se já atacam esses canais que tem pouco valor, imagina quantas tentativas de ataques as exchanges sofrem e o quanto precisam investir em segurança..

Eu aprendi a não mexer com os russos

Eu me lembro que quando iniciei no mundo das criptomoedas eu entrava em muito sites russos e ucranianos. Eu acho que tive sorte, pois nunca fui hackeado. Que eu saiba.  Será que a "KGB" me hackeou e eu nem soube ? 

[Lucasgabd]

Se já atacam esses canais que tem pouco valor, imagina quantas tentativas de ataques as exchanges sofrem e o quanto precisam investir em segurança..

Eu aprendi a não mexer com os russos

Eu me lembro que quando iniciei no mundo das criptomoedas eu entrava em muito sites russos e ucranianos. Eu acho que tive sorte, pois nunca fui hackeado. Que eu saiba.  Será que a "KGB" me hackeou e eu nem soube ? 

essa teoria já entra junto com: Será que bitcoin foi inventado pela NSA para espionar os cidadãos?

curiosamente muitos hacks partem da ucrania e rússia, ou de VPNs/proxies por lá

[sabotag3x]

https://www.youtube.com/watch?v=x3XNiboiCFM

Ainda sobre o vídeo, sobre a parte que fala que o 2FA é inútil pois o atacante já está com acesso a plataforma que o usuário estiver usando.. Em caso de exchanges/carteiras web, é requerido o 2FA novamente para realizar a operação de saque.. Então creio que todos esses serviços estejam bem seguros com o 2FA ativo em casos de saque, porém o atacante pode realizar ordens de compra/venda dentro da maioria das exchanges..

Que eu lembre, só a KuCoin requer uma "segunda senha" na área de negociação de ativos..

Quem sabe veremos um ataque assim em breve, parecido com aquele que usou as APIs da Binance e comprou VIA e SYS [1]


[1] https://medium.com/datadriveninvestor/investigating-the-40m-binance-hack-c5fba32900f1

[Lucasgabd]

vale filtrar, não é que 2FA é inutil e que vc deveria desativar o seu.
mas sim que: caso haja um ataque que roube os cookies de sessão do seu navegador, 2FA talvez não te proteja.

[TryNinja]

O 2FA só impede que alguém gere uma sessão no site caso o hacker não tenha acesso a ele (e solicite saques, etc... nos sites que implementam isso).

Mas no momento que alguém tem o seu cookie/sessão do site, ele já tem acesso à sua conta. Isso vai além da função do 2FA, já que ele só serve para o back end do site ver que a solicitação do login é legit e mandar o cookie/token de auth.

Porém, como dito acima, muitos sites também requerem o 2FA para solicitações sensíveis (alterar email/senha, solicitar saques, etc...), então ele ainda tem a sua vantagem imensa.

[mikel_012]

O 2FA só impede que alguém gere uma sessão no site caso o hacker não tenha acesso a ele (e solicite saques, etc... nos sites que implementam isso).

Mas no momento que alguém tem o seu cookie/sessão do site, ele já tem acesso à sua conta. Isso vai além da função do 2FA, já que ele só serve para o back end do site ver que a solicitação do login é legit e mandar o cookie/token de auth.

Porém, como dito acima, muitos sites também requerem o 2FA para solicitações sensíveis (alterar email/senha, solicitar saques, etc...), então ele ainda tem a sua vantagem imensa.

Ajudando ate injecao na testa. Nunca reclamei de ter que ficar botando 2fa e outras verificacoes de email por que elas ajudam bastante e quando voce fala de muito dinheiro e ate o dinheiro guardado da pessoa voce quer o maximo de segurança possivel. Uma preguica pode resultar em dinheiro de anos perdidos

[Paredao]

essa teoria já entra junto com: Será que bitcoin foi inventado pela NSA para espionar os cidadãos?

curiosamente muitos hacks partem da ucrania e rússia, ou de VPNs/proxies por lá

Vai ver que eles passam o dia inteiro sem fazer nada e por isso tentam invadir as contas das outras pessoas.  Deixando as brincadeiras de lado, nunca pesquisei muito sobre o assunto. Eu acredito que seja herança da antiga união soviética. Os soviéticos investiam muito em "educação" e espionagem. 

[Lucasgabd]

O 2FA só impede que alguém gere uma sessão no site caso o hacker não tenha acesso a ele (e solicite saques, etc... nos sites que implementam isso).

Mas no momento que alguém tem o seu cookie/sessão do site, ele já tem acesso à sua conta. Isso vai além da função do 2FA, já que ele só serve para o back end do site ver que a solicitação do login é legit e mandar o cookie/token de auth.

Porém, como dito acima, muitos sites também requerem o 2FA para solicitações sensíveis (alterar email/senha, solicitar saques, etc...), então ele ainda tem a sua vantagem imensa.

Ajudando ate injecao na testa. Nunca reclamei de ter que ficar botando 2fa e outras verificacoes de email por que elas ajudam bastante e quando voce fala de muito dinheiro e ate o dinheiro guardado da pessoa voce quer o maximo de segurança possivel. Uma preguica pode resultar em dinheiro de anos perdidos

2FA é necessário em contas com muito dinheiro ou com pouco dinheiro.
e lembra que algumas coisas valem mais que dinheiro, por exemplo seus metadados e alguns dados pessoais específicos.

essa teoria já entra junto com: Será que bitcoin foi inventado pela NSA para espionar os cidadãos?

curiosamente muitos hacks partem da ucrania e rússia, ou de VPNs/proxies por lá

Vai ver que eles passam o dia inteiro sem fazer nada e por isso tentam invadir as contas das outras pessoas.  Deixando as brincadeiras de lado, nunca pesquisei muito sobre o assunto. Eu acredito que seja herança da antiga união soviética. Os soviéticos investiam muito em "educação" e espionagem. 

tem gente que tem como profissão enganar os outro, é triste mas é verdade.

realmente Paredao, pode ser uma herança dos tempos de guerra fria.