Re: rubati 24 bitcoin su bitstam. 2FA+password lunga 20 + email di conferma prelievo
Ciao gabridome,
ho letto adesso il tuo post iniziale.
Prima di tutto, mi spiace molto per quanto accaduto! Grazie per aver condiviso questa tua "triste" esperienza, servirà sicuramente a molti, in modo che non capiti più in futuro.
Passo velocemente all'analisi dell'attacco.
Premessa n.1: Per mancanza mia di tempo, non ho letto tutto il thread. Spero di non aver saltato tue ulteriori importanti informazioni sull'accaduto.
Premessa n.2: Non ho mai usato Bitstamp.
CASO #1: Attacco interno da parte di Bitstamp.
Percentuale di successo 5% (massimo).
In effetti, questa ipotesi non si può mai escludere, ne ho viste tante di situazioni del genere.
Gli ho dato una piccola percentuale per ricordarsi che tutto può sempre accadere, ma sinceramente non credo sia questo il tuo caso.
CASO #2: Attacco sullo smartphone.
Percentuale di successo 1% (e sono stato generoso).
Si, in teoria ed in pratica è possibile fare un attacco via smartphone, ma le variabili in gioco sono molte, troppe !!!
Non sto a "perdere" tempo nella spiegazione, anche qui non credo sia il tuo caso.
CASO #3: Attacco sulla macchina.
Percentuale di successo 94%.
Tenendo sempre a mente la premessa n.1 e n.2 (vedi sopra), dal log che hai pubblicato nel primo post, mi sa tanto che avevi un virus all'interno della macchina.
Dal tipo di attacco, il virus è riuscito a prelevare dal tuo computer i dati di sessione di Bitstamp.
Le domande che ti devi fare sono principalmente due:
1) Cosa hai installato sulla macchina prima di subire l'attacco ?
2) Quando ti connettevi a Bitstamp cliccavi sul pulsante "Esci" (oppure "Logout", "Chiudi", ecc...) ?
Ti è stata presa la sessione attiva che avevi sulla macchina, è stata usata quella per accedere la prima volta su Bitstamp e poi hanno cambiato la password in modo da avere libero accesso.
Vorrei farti notare che non mi interessa se hai una password di 1.245 caratteri con simboli speciali e 45 controlli 2FA....
una volta che ti sei autenticato a sistema e ti attivo la sessione, sei dentro... punto e basta.
Questo tipo di attacco è interessante per due fattori:
1) Chi attacca la macchina della "vittima" deve controllare che l'utente rimanga attivo in sessione. L'attacco quindi non può essere portato dopo alcuni giorni, ma deve essere effettuato nel giro di alcune ore. Non so quanto sia persistente la sessione di Bitstamp.
2) Bitstamp NON controlla in sessione l'IP dell'utente! Si vede che alcuni utenti che hanno l'IP che cambia nel corso di sessione si sono lamentati e Bitstamp si è quindi adeguato.
Spero di esser stato di qualche aiuto,
saluti,
Tommaso
Grazie per la solidarietà.ho letto adesso il tuo post iniziale.
Prima di tutto, mi spiace molto per quanto accaduto! Grazie per aver condiviso questa tua "triste" esperienza, servirà sicuramente a molti, in modo che non capiti più in futuro.
Passo velocemente all'analisi dell'attacco.
Premessa n.1: Per mancanza mia di tempo, non ho letto tutto il thread. Spero di non aver saltato tue ulteriori importanti informazioni sull'accaduto.
Premessa n.2: Non ho mai usato Bitstamp.
CASO #1: Attacco interno da parte di Bitstamp.
Percentuale di successo 5% (massimo).
In effetti, questa ipotesi non si può mai escludere, ne ho viste tante di situazioni del genere.
Gli ho dato una piccola percentuale per ricordarsi che tutto può sempre accadere, ma sinceramente non credo sia questo il tuo caso.
CASO #2: Attacco sullo smartphone.
Percentuale di successo 1% (e sono stato generoso).
Si, in teoria ed in pratica è possibile fare un attacco via smartphone, ma le variabili in gioco sono molte, troppe !!!
Non sto a "perdere" tempo nella spiegazione, anche qui non credo sia il tuo caso.
CASO #3: Attacco sulla macchina.
Percentuale di successo 94%.
Tenendo sempre a mente la premessa n.1 e n.2 (vedi sopra), dal log che hai pubblicato nel primo post, mi sa tanto che avevi un virus all'interno della macchina.
Dal tipo di attacco, il virus è riuscito a prelevare dal tuo computer i dati di sessione di Bitstamp.
Le domande che ti devi fare sono principalmente due:
1) Cosa hai installato sulla macchina prima di subire l'attacco ?
2) Quando ti connettevi a Bitstamp cliccavi sul pulsante "Esci" (oppure "Logout", "Chiudi", ecc...) ?
Ti è stata presa la sessione attiva che avevi sulla macchina, è stata usata quella per accedere la prima volta su Bitstamp e poi hanno cambiato la password in modo da avere libero accesso.
Vorrei farti notare che non mi interessa se hai una password di 1.245 caratteri con simboli speciali e 45 controlli 2FA....
una volta che ti sei autenticato a sistema e ti attivo la sessione, sei dentro... punto e basta.Questo tipo di attacco è interessante per due fattori:
1) Chi attacca la macchina della "vittima" deve controllare che l'utente rimanga attivo in sessione. L'attacco quindi non può essere portato dopo alcuni giorni, ma deve essere effettuato nel giro di alcune ore. Non so quanto sia persistente la sessione di Bitstamp.
2) Bitstamp NON controlla in sessione l'IP dell'utente! Si vede che alcuni utenti che hanno l'IP che cambia nel corso di sessione si sono lamentati e Bitstamp si è quindi adeguato.
Spero di esser stato di qualche aiuto,
saluti,
Tommaso
Sono esperto di informatica ma la sicurezza ho cominciato a considerarla coi bitcoin.
Ciò che scrivi ha senso per me.
Come ho scritto ho avuto il mio primo malaware un mese fa cointhief preso con bitstealth. Avevo cancellato l'infezione seguendo le istruzioni ma avrei dovuto formattare il disco rigido e reinstallare mac (cosa che ho fatto ieri l'altro ( a buoi scappati).
Posto appena riesco la parte di "hystory" di Bitstamp precedente al furto in modo che possiamo discutere se e come hanno potuto tenere in piedi la sessione "rubata". Sinceramente non ricordo l'accesso più recente pre furto.