Ninjastic
PostEdited versionsQuotes to this post
Post
Topic
Board Español (Spanish)
Re: Me han robado todos los bitcoins de mi cartera de Localbitcoins esta tarde-noche
by
ioxoi
on 20/05/2014, 18:50:38 UTC
Por lo que comenta usa doble factor de autenticación, basado en hojas y no en móvil, si buscamos formas de vulnerar a este usuario (lo siento, te toca el papel de usuario ;-), el vector para este ataque necesita:
1) Comprometer el OTP, mediante un ataque:
   1.1) físico o local, vamos que alguien ha visto tus hojas y tiene una copia.
   1.2) en la incialización de OTP.
   1.3) un man in  the middle.
   1.4) captura de la semilla.
2) ademas de comprometer el OTP (hojas de papel) también se ha comprometido su password.

1.1) un ataque físico o local no es descabellado, piensa donde guardas tus hojas por si acaso tienes "un amigo" cerca, también vigila cosas como webcams,  cámaras de seguridad, etc. en principio lo veo con probabilidad baja, ya que además necesitan la password (ojo a las cámaras, podrían ser la respuesta incluso estar vulneradas)
1.2) este es el caso de capturar el puerto de impresión o tener vulnerado el equipo o el canal de comunicaciones, muy poco probable.
1.3) Este es quizás el más común, es el equivalente a conseguir desviar el tráfico para poder ser analizado, dado que localbitcoins usa ssl siempre, o estan dentro del navegador o han tenido que cambiar el canal https a http, no es trivial pero existen posibilidades para hacerlo, deberías revisar tu equipo, como usas windows descarga las herramientas de sysinternals de MS, te sera de utilidad Autoruns,  filemon, tcpview, portmon, psview, etc. otra cosa es como han llegado a comprometer o capturar tu tráfico, piensa en cualquier ejecutable que te haya llegado por correo, llaves usb encontradas o prestadas, etc, esta es la vía más probable, para tenerlo claro un forense de tu equipo te dará alguna pista.
Una cosa que no me cuadra, es que si han comprometido tu equipo, tendrían tu wallet y la password de este, acceso a tu banco, etc, ¿para que ir a localbitcoins si se los pueden llevar todos?, esto es raro, o están en la red o no me cuadra. ¿por cierto no te conectaras por redes publicas o de terceros?, si es una red corporativa, pregunta si han tenido algún incidente de seguridad  que pueda tener que ver con tu caso (por defecto no te lo vana  decir)
1.4) es el caso de que hayan comprometido localbitcoins, como comenta dserano5, es poco probable, sería interesante que localbitcoins diera un listado de los últimos accesos, Ips, navegador, etc. el atacante antes de dar el ataque final, a debido verificar todos los accesos previamente.

2) si han comprometido además tu password ... algo me dice que en tu red hay algo, las trampas suelen funcionar, manda alguna contraseña de una cuenta de gmail (creo que registra todos los accesos, o mejor usa uno al que tengas acceso a los logs) y cosas por el estilo, algo que le pueda interesar, aunque después del ultimo ataque "debería" haber desaparecido.

Por cierto, y si nos esta leyendo, saludos.