Recompensa 10 BTC por ayudar en robo de bitcoin:

[franckuestein]

nikkus:

Sisi, sin ningún tipo de problema puedo retirarlos y pasárselos por privado si él lo desea.
De todas formas creo que por enlazar "páginas web" en el foro o enlaces no debería haber ningún problema para nadie de nosotros, no?

De hecho, sólo se han citado links y nombres con **** por eso ya lo puse: dejo aquí los datos pero no íntegros. Si alguien los requiere se puede acceder desde los enlaces que: están públicos en Internet  sino no lo pondría jaja

Pero vamos, que si hay que hacerlo, se hace sin ningún tipo de problema...
Y en todo caso, los que tienen un problema por no hacer todos los datos públicos en el registro del whois son ellos y el problema legal sería para ellos, pues en el whois de una de las dos páginas web no hay número de teléfono especificado por lo que esos datos podrían ser falsos y todo dominio debe estar correctamente registrado 

--
Pero es lo que te digo, en parte tienes razón y si contesta Varmetric en este hilo y necesita cualquier cosa por privado se la facilito y borro de aquí, pero creo que con ser enlaces no habría problema. Si algún mod quiere comentarlo también que lo haga 

[nikkus]

nikkus:

Sisi, sin ningún tipo de problema puedo retirarlos y pasárselos por privado si él lo desea.
De todas formas creo que por enlazar "páginas web" en el foro o enlaces no debería haber ningún problema para nadie de nosotros, no?

De hecho, sólo se han citado links y nombres con **** por eso ya lo puse: dejo aquí los datos pero no íntegros. Si alguien los requiere se puede acceder desde los enlaces que: están públicos en Internet  sino no lo pondría jaja

Pero vamos, que si hay que hacerlo, se hace sin ningún tipo de problema...
Y en todo caso, los que tienen un problema por no hacer todos los datos públicos en el registro del whois son ellos y el problema legal sería para ellos, pues en el whois de una de las dos páginas web no hay número de teléfono especificado por lo que esos datos podrían ser falsos y todo dominio debe estar correctamente registrado 

--
Pero es lo que te digo, en parte tienes razón y si contesta Varmetric en este hilo y necesita cualquier cosa por privado se la facilito y borro de aquí, pero creo que con ser enlaces no habría problema. Si algún mod quiere comentarlo también que lo haga 

Tampoco creo yo que habrá problemas, es mas, creo que si supusiera algún tipo de problema los propios moderadores ya nos habrían dicho algo, pero... Cuando uno no conce la Ley a "nivel abogado" no sabe como pueden proceder los que se sientan "ofendidos", pq piensa una cosa, ¿Quien te dijo que estos tipos no "pupulan" por el foro? Sabes?

Pero nada...Creo que tienen ellos mas q temer que cualquiera de nosotros!

[vgo]

Yo no veo el problema si la info es publica, porque es publica, no?

[franckuestein]

Yo no veo el problema si la info es publica, porque es publica, no?

Claro, todo son enlaces sacados de google / páginas web públicas en Internet
Sino, no habría tenido acceso 

[lukyforvar]

Una cosa yo siempre que entro en btc-e me envía un mail con la ip desde la que hice login, ¿te llego ese correo o es que ya tenias la session abierta? o te robo la cookie

[Varmetric]

Gracias chicos, seguimos avanzando.

Efectivamente en btc-e entraron en mi cuenta con mi login y password y se llevaron 283LTC minados y ahorrados desde noviembre del año pasado (calor, gastos de luz increíbles... y lo peor, es virtualmente imposible volver a minarlos dada la dificultad actual).

btce no suelta prenda en cuanto a que cuenta de cliente pertenece las transacciones de bitcoin enviadas a su plataforma, espero que los comisarios si tengan mas éxito en este sentido. Pensad que una persona particular no puede tener acceso de datos de nadie, por mucho que te hayan robado, pero un agente de la ley si puede tener acceso a esta información.

En el caso de btc-e hubo un login con mi cuenta para llevarse los LTC. Esta IP es de un proveedor de internet en San Sebastian. Esta IP coincide además con un intento de acceso a CEX.IO unas horas antes de entrar en btc-e. La IP en ambos accesos es la misma:212.166.90.20 y esta IP es la que se ha llevado los LTC confirmado por btc-e.

Para mi entender esta IP es la pista más sólida de todas y seguramente la que más cerca está del ladrón. Creo que los nervios y la prisa puede haberle hecho cometer algún error como entrar con su ordenador personal en estas cuentas y rápidamente llevarse los fondos, sin preocuparse tanto de usar métodos de ocultación, pero ojo, es solo una sensación personal.

El acceso a cex.io fue:
2014-06-14 13:24 GMT+02:00 CEX.IO Mailer <noreply@cex.io>:
Username: Varmetric
IP: 212.166.90.20

Best regards,
CEX.IO

El acceso a btc-e fue:
2014-06-14 13:18 GMT+02:00 BTC-E <no_reply@btc-e.com>:
Successful authorization.

Login: Varmetric
IP: 212.166.90.20

Y el correo para retirar los fondos fue:
2014-06-14 18:05 GMT+02:00 BTC-E <no_reply@btc-e.com>:
Dear Varmetric,

We received a request to withdraw 283.00000000 LTC on purse LNvk842FDEyK7fDwNWw1qj6SqNwW7wJ6QW

To confirm the transaction, go to:
https://btc-e.com/withdraw_confirm/035d2955125fdae6657d7e4e66c3cbd4c738b404688a8f988ea866d8c910cdfcbb5113c2a4a1d0d2955309df2ca20bc5add0dcc59c78e5d47dd80a21fee00fa7

To cancel a transaction, go to:
https://btc-e.com/withdraw_confirm/035d2955125fdae6657d7e4e66c3cbd4c738b404688a8f988ea866d8c910cdfcbb5113c2a4a1d0d2955309df2ca20bc5add0dcc59c78e5d47dd80a21fee00fa7?cancel=1

IP: 212.166.90.20
Login: Varmetric

Regards,
Administration of BTC-E.COM

Al recibir este correo hice click en cancel y envié un ticket a btc-e para que no dieran curso al withdraw y me responden que lamentablemente...
2014-06-14 21:09 GMT+02:00 Support E <root.servers.btc@gmail.com>:
Hello!

We are sorry but your money was transferred out from BTC-E.
Withdrawal has been confirmed with your mail.
We can't refund and return your money.


Ticket Details
Ticket ID: AJV-598-80867
Department: Litecoin
Type: Issue
Status: In Progress
Priority: Normal

Helpdesk: https://support.btc-e.com/index.php?


Y hasta aquí lo que sabemos. Tengo la sensación de que el ladrón no se percató del registro de la IP al entrar en btc-e y en cex.io por lo que pudo haberlo hecho con su ordenador personal o a través de un pc cercano a él. Esta IP es la misma durante el transcurso de varias horas lo que me da buena sensación.

Veremos que pasa, si el ladrón está en España, ya puede correr, si está en Mexico, bye bye btc.

En cuanto a los sospechosos mexicanos me cuesta mucho pensar que un profesor de universidad se arriesgue a tirar su libertad a la borda. No digo que no sea sospechoso pero de momento le doy beneplácito y creo que es víctima del atacante. Hay que pensar que estas webs son de poca relevancia por lo que nadie se iba a obsesionar en proteger adecuadamente el site.

Veremos que sucede.

[segaklon]

No se si te sirve de algo pero he encontrado el numero de telefono del proveedor de internet llama le comentas el caso y aber que te dicen.

http://www.ip-adress.com/whois/212.166.90.20

[franckuestein]

Antes de llamar al proveedor de Internet es importante saber que todos estos tests online para ver de dónde es una IP no son verdaderos al 100%

Ejemplificación:
- Posible localización 1: IBERCOM - Localización: Pais Vasco. --> Fuente: http://www.elhacker.net/geolocalizacion.html?host=212.166.90.20

- Posible localización 2: IBERCOM - Localización: Entre Madrid y Toledo. --> Fuente: http://es.geoipview.com/?q=212.166.90.20&x=-647&y=-283
Además podéis comprobar en http://www.internautas.org/w-iplocaliza.html y http://www.dnsqueries.com/es/localizar_lugar_direccion_ip.php que nos muestra la cercana a Madrid.
--

Para descartar cosas, tú eres de Madrid o la IP coincide con la tuya?
Además, me parece muy "bestia" que el tío/a entrara a todas las páginas web relacionadas con el mundo de BTC para ver si tenías algo pero hay una cosa bastante clara y es que el ataque ya te lo hicieron antes a través de algún mail con link de phishing. Pues sino no habrían intentado una 2ª vez mandarte otro para que te descargaras ese .jar
**

Pero hay algo que hemos pasado por alto y creo que no tiene que ver con que el ataque venga desde España.
Os cuento: tu dirección de correo electrónico para empezar era esa mexicana del trabajo (.mx) veo muy poco probable y demasiada casualidad que una persona española ataque un host de ESAS webs MEXICANAS para meter un archivo fraudulento para que pique un ESPAÑOL.

XD
Sinceramente es todo demasiado confuso porque en el correo la dirección es de Australia incluso y luego te manda a las de México.
--

La verdad es que se ha montado un lío considerable pero deberías comentar dos cosas:
Eres de Madrid o del Pais Vasco? Has comprobado que realmente no sea tu IP? Hay alguna página más donde hayas podido verificar el registro de IP's?

Hasta ahora te digo que si tienes la IP de la persona que entró por última vez a tu cuenta y realizó la transferencia de LTC ya lo tienes todo porque en caso de juicio o lo que sea, se podría demostrar que ESA persona ha accedido y al formalizar una denuncia la Policía supongo que se encargaría de contactar evidentemente con el ISP y exigir los datos de esa IP para proceder a encontrar el infractor. Y entonces el problema ya no sería encontrar el país desde donde se ha cometido todo. Simplemente si tenemos/tienen la localización exacta del infractor el tema estaría zanjado y se podría demostrar que ha habido robo y las pruebas estarían ahí

Salu2!  

[lukyforvar]

Si es de España lo tienes mucho mas facil, pero la verdad que me parece un poco cutre. Hacer lo del robo de wallet para luego ¡¡entrar con su pc!!
O ese jar es algo que hay rulando por ahí en foros y cualquiera se puede bajar o no me cuadra.

Bueno hace tiempo en un chat un "hacker" me dijo que le diera mi ip que me iba a no se ... le dije que era la 127.0.0.1 y poco después desaparecio jeejje asi que de todo hay

[nikkus]

La IP 127.0.0.1 SIEMPRE se refiere a la makina local(LOCALHOST)...

[lukyforvar]

La IP 127.0.0.1 SIEMPRE se refiere a la makina local(LOCALHOST)...

ya, se lanzo un ataque a su maquina. Por eso digo que con suerte lo mismo esa ip es del ladrón

[nikkus]

Si es de España lo tienes mucho mas facil, pero la verdad que me parece un poco cutre. Hacer lo del robo de wallet para luego ¡¡entrar con su pc!!
O ese jar es algo que hay rulando por ahí en foros y cualquiera se puede bajar o no me cuadra.

Bueno hace tiempo en un chat un "hacker" me dijo que le diera mi ip que me iba a no se ... le dije que era la 127.0.0.1 y poco después desaparecio jeejje asi que de todo hay

Lo que quiero decir es que si invado una máquina(y no lo digo que yo lo hago o lo haría), la IP 127.0.0.1 no me sirve! Pq? Pq se refiere tanto a mi máquina como a la del atacado, como a cualquier otra! Pq es local y es mas, no hace falta ni tener red, deshabilitas el wlan y el eth y seguirás teniendo la 127.0.0.1! Otra cosa es que lo haya echo para distraerte y atacar a tu IP de red interna(192.168.x.x o 10.x.x.x, etc).

[franckuestein]

No demos vueltas a temas de nuestra IP (Localhost) jaja es absurdo darle vueltas

Ahora mismo parece que la única opción de recuperar esos BTC pasaría porque la persona fuera española.
De todas formas, OP por favor verifica que no sea tu IP por casualidad... para salir de dudas 

[Varmetric]

Doy fe que no es mi IP y no tenía esa IP en el momento del ataque. Esta IP es la pista mas sólida que tengo pero no significa que fuese el atacante. Puede ser normal que el ordenador que tuviese esa IP estuviese infectado y remotamente hicieran ese juego, hay que dar la presunción de inocencia ante todo porque a todos nos puede pasar que nos cuelen un troyano y desde nuestro pc hagan putadas y luego se presenten un par de policías con cara de pocos amigos a por ti y tu no saber que pasa y porqué.

Sin embargo, tengo la sensación que esa IP es la más cercana al ladrón, es quizás la esperanza que tengo porque es IP española y puede suceder que el atacante entrase desde su pc por descuido no pensando que su IP se iba a registrar, pero es solo una esperanza.


Soy de Madrid y la IP no se parece a la mía en absoluto.

A ver si tengo noticias pronto!!

Por cierto, los comisarios SI sabían perfectamente que era esto del bitcoin, sabían hasta el precio de cotización. Deben seguirlo de cerca, quizás porque existan bastantes denuncias de robos de bitcoin.

[franckuestein]

Si la IP de tu router es dinámica es probable que sea la tuya de Madrid que haya cambiado y hoy veas una diferente... por eso te lo comentaba 

Has ido ya a denunciar?

Esperamos leer noticias por aquí de como va el tema eh? Sí, es probable que hayan recibido otras denuncias previamente pero obviamente sin tantas pistas y pruebas
Habrás estado un buen rato explicándolo todo jeje

[Varmetric]

El lunes siguiente al robo interpuse denuncia, a los dos días llamaron los comisarios a recabar más información y desde entonces estoy a la espera. Estas cosas por la prudencia debida, lleva tiempo. Es un desastre ir a por un ciudadano que es inocente, por eso andarán con mucho tiento.

En 40 minutos hice toda la exposición inicial.

[franckuestein]

El lunes siguiente al robo interpuse denuncia, a los dos días llamaron los comisarios a recabar más información y desde entonces estoy a la espera. Estas cosas por la prudencia debida, lleva tiempo. Es un desastre ir a por un ciudadano que es inocente, por eso andarán con mucho tiento.

En 40 minutos hice toda la exposición inicial.

Bien hecho!
Te dejé un privado hace unos días, contéstamelo y si necesitas cualquier cosa o link que pueda tener guardado, notifícamelo

[Anillos2]

El lunes siguiente al robo interpuse denuncia, a los dos días llamaron los comisarios a recabar más información y desde entonces estoy a la espera. Estas cosas por la prudencia debida, lleva tiempo. Es un desastre ir a por un ciudadano que es inocente, por eso andarán con mucho tiento.

En 40 minutos hice toda la exposición inicial.

Exacto, a lo mejor esa persona tiene el ordenador lleno de virus.

Hay mucha gente que hace clic a lo primero que le llega por Internet y luego pasa lo que pasa.

Y ya no es sólo hacer clic, es por ejemplo, no integrar en el navegador visor de PDFs de Adobe, no instalar Java... Si necesitáis ver un PDF, bajadlo, analizadlo en VirusTotal y luego abridlo. Y con Java, si lo necesitáis, en una máquina virtual.

[nikkus]

Varmetric,

Tres preguntas:

1) Que S.O. utilizas?
2) Ese ordenador solo lo utilizas tu?
3) Sueles cambiar la passwd de tu router muy a menudo?

pq pregunto? Simples, igual si tu OS es un windows puede ser(y estar) mas susceptible a un ataque. Si este ordenador lo utiliza alguien, quizás ese alguien si que haya sido victima de un ataque, y no tu. Y si tu router no esta debidamente configurado y protegido puede haber sido parte importante(o mismo fundamental) en ese ROBO(lamemos las cosas por su nombre).

[Varmetric]

Nikus, uso Windows 7, el ordenador lo uso solo yo y no he cambiado la password del router aunque solo es accesible por ip local. Acabo de ver el router y no he visto puertos abiertos ni nada que hayan tocado.