Recompensa 10 BTC por ayudar en robo de bitcoin:
<< < (4/20) > >>
Anillos2:
Es que en BTC-E está la clave, ellos son los que podrían permitir continuar el hilo...


No estaría de más que creasen un programa de Bitcoin que registrase IPs y transacciones, si lo usase mucha gente podríamos seguir el rastro de algunos ladrones.
franckuestein:
Buenas Varmetric! Siento mucho lo sucedido tío y vamos a intentar ayudar un poco...
(Creo que he visto incidencias similares en otros foros así que voy a meterme a investigar porque la verdad son de muy mal gusto este tipo de "robos" y quiero ayudar)

Antes hay que dejar una cosa clara sobre el tema IP's en las transacciones:


Lo primero y que supongo que muchos habréis hecho es investigar en la blockchain como bien dices: https://blockchain.info/address/1EqSNkLecuKpxQnnbxjbyv369YmLJEdnht
Vamos a intentar aprovechar este comentario para desgranar un todas las cosas e ir dejándolo un poco más visual:

(Esta imagen se correspondería al "transaction tree" de todo el movimiento que ha habido en esa cartera.
1º: Los 30 BTC entraron a las 13:01 del día 14. En cuestión de 2 horas hizo 2 transacciones (out)
14.9999BTC15.0001BTC
La teoría de que han ido a BTC-e me cuesta de creer, pues habría muchos más inputs en una dirección de BTC-e tengo entendido. De todas formas, si fuera correcto y esta dirección (https://blockchain.info/address/16R14EH4v8A9GPXkAAP8gcMFBA8oxA8nbY) es de un scammer que lo manda a BTC-e estafando a la gente, esta es su cuenta en localbitcoins: https://localbitcoins.com/p/FX2btc/ Pese a todo, su última conexión es de hace 1 mes y 1 semana por lo que podria ser este usuario pero ya sabemos que con tus BTC no habría pasado nunca por Localbitcoins a comercializarlos, esta vez todo directo a BTC-e o su cartera.

Ahora quizá estaría bien que mandaras un mensaje a BTC-e preguntando por estas transacciones.
Evidentemente leyendo su política de privacidad no podrían facilitarte datos de ningún usuario o transacción efectuada en su exchange por lo que yo empezaría con una carta muy refinada preguntando por favor si tienen conocimiento de que esa transacción ha sido registrada en su exchange (explicándoles tu caso y todo lo que ha sucedido del robo) a ellos también les interesa luchar contra actividades fraudulentas en su exchange. A partir de ahí si fuera correcto y accedieran a contactar contigo es muy probable que te manden una respuesta afirmando que quieren colaborar contigo después de ver todas las pruebas.

Lo que sí está claro es que los movimientos del tío no eran casuales y yo no descartaría que los haya pasado por un BitcoinMixer para no dejar rastro y aquí si que termina la investigación porque habría un punto en el que las transacciones serían demasiado "cruzadas" y confusas para deliberar.

--

A partir de aquí analicemos un poco los correos electrónicos, nos citas que van a la URL: http://www.steddblue.com/index.php

Comprobando en VirusTotal parece que no es maliciosa pero si te fijas en el analizador Wepawet podria ser una "Suspicious site" https://www.virustotal.com/es/url/35d283ed1ae119520bddb672728dab56339f72ab8e360b6e9d7b0a2a6a901201/analysis/1403276421/

· Por lo tanto he vuelto a analizarla mediante otro sistema: http://wepawet.iseclab.org/view.php?hash=df5fac0587ea7bf42647fafd74d00e6f&t=1403276514&type=js y parece haber 1 pequeño problema benigno (es decir, sin gravedad alguna que probablemente sea problema de la web pero que para nada debería contener virus ni nada por el estilo)
Esto no nos delibera nada importante pero OJO! he hecho un whois y se me cita la siguiente información del propietario del dominio http://www.steddblue.com:
Quote

Registrant Name: carlos g****
Registrant Organization: SIRE***
Registrant Street: fray vicente ********* ****
Registrant City: le**
Registrant State/Province: Guana*****
Registrant Postal Code: 37***
Registrant Country: MX
Registrant Phone: +52.4772177***
Registrant Email: carlos*******@hotmail.com

No dejo datos en BTCTalk por si está prohibido pero si puedo poner el enlace de la página donde puedes verlos todos ya que es una página web pública en Internet:
http://whois.net/whois/steddblue.com

Por lo tanto, con estos datos ya tienes el propietario del dominio que enlaza la página web http://www.bitpays.com/wallet-downloads-rFinieshed.seam=

Ahora, analicemos el http://www.masted.org/download/index.php desde donde se descarga el archivo:
Quote

Registrant Name:Alfonso Felipe **** ******
Registrant Organization:Ninguna
Registrant Street: All**** 8, Col. Alta *****
Registrant City:Xochil*****
Registrant State/Province:Pue***
Registrant Postal Code:74***
Registrant Country:MX
Registrant Phone:+52.0000***** (parece que no lo pone. RECUERDO que es ilegal registrar dominios sin datos reales.
Registrant Email:afeli****@gmail.com
Tampoco dejo datos en BTCTalk por si está prohibido pero si puedo poner el enlace de la página donde puedes verlos todos (de esta segunda persona) ya que es una página web pública en Internet:
http://whois.net/whois/masted.org

P.D: Buscando el nombre de este chico damos a una posible página de about.me de un Mexicano con su mismo nombre. Docente de Universidad y al que por su perfil de Twitter una de sus aficiones es programar (no pongo link por si no es probable, en caso de necesidad privado - o si se puede poner notificadlo y lo paso sin ningún tipo de problema.

Entonces... como veis tenemos dos sospechosos más ya, propietarios de las páginas que te han forzado la descarga del archivo con el que teóricamente se te robaron los BTC.


Un saludo compañero, a ver si te sirve de ayuda, nos comentas y a seguir con la investigación. Esta gente no merece nada y mucho menos quedarse con BTC de la manera que lo han hecho porque todo viene desde un simple email pero mira como termina.
Disculpad por el "tocho" y si en algún momento me expreso mal, pero he empezado a analizarlo todo desde el principio y hasta que no he llegado al tema de los dominios y las personas "teóricamente" propietarias de lo que te han mandado no he parado. Es difícil obtener datos de alguien a partir de una dirección de BTC pero sí desde el sitio donde han querido atacarte  ;)

Veo que eres de México no? Lo digo por el tema de tu dirección de correo electrónico... entonces las cosas cuadran. Quizá un profesor de Universidad? Alguien que te conoce por alguna cosa de Internet?

No sé... se puede especular mucho pero sin duda creo que son buenos detalles.
Salu2!  :D
Anillos2:
No es un mensaje tocho, al contrario, es constructivo y útil.
nikkus:
Quote from: Anillos2 on June 20, 2014, 06:08:40 PM

No es un mensaje tocho, al contrario, es constructivo y útil.


Creo que entre todos podríamos sentar las "bases" de como proceder en casos de ese tipo.Que os parece? :)
nikkus:
Otra cosa no creo que debamos "olvidar" delos mas de 14BTC que van a acabar en 1HC3dc4DubRat1P39YBBkwVRbph3ijbtPQ.

Desde allí hay varias entradas y salidas que pueden al final ayudar a comprobar la identidad del "meliante".
Navigation
Message Index
Next page
Previous page