Внимание мошенник и вымогатель!

[pendalf2008]

День добрый товарищи. Хочу сообщить о преступном элементе скрывающимся под видом "security" биткойна. В общем...
Захожу сегодня с утреца на почту, вижу пару писем от "bitcomsecresearch@gmail.com" следующего содержания:
 

 

Hi,
I'm a security researcher for a site you frequent.I think it is wise to respond back to me so we can discuss returning the stolen bitcoins. If you do not return them I will dox you, forward to your authorities and you will get to enjoy prison for some time.

So, what do you want to do?
I have your IP addresses, contact to Everest. And am waiting on you.
Return the bitcoins to: 1SEC1BS5wFDSToi1v3RubV9PjCSSPa6s9

As for the Litecoins I think we can talk about that.

Email me back ASAP.

Thanks.

--

[bitcomsec]

founder und lead security researcher

reddit: https://reddit.com/r/bitcoinsec

twitter: https://twitter.com/bitcomsec

about: http://blog.bitcomsec.org/post/72193060412/an-introduction-to-bitcomsec

BTC: 1SEC1BS5wFDSToi1v3RubV9PjCSSPa6s9

-----BEGIN PGP PUBLIC KEY BLOCK-----

xo0EUrsmqQED/2uxmE6D/HG057/OTy3Pdxlip5F92byq3/v1TN9HUcI9fEPt
vKj1c6QNYIAJAW4vBKobvQnTVig1z8G1cwJo8dJz5irCnXbVbNif3saE32qE
ImJC7B8EaWAxCnpxiWyjcg2aiA0mJBDLC2e0a67BRnb4i0oYJ0IYLkIfmW1g
8YmXABEBAAHNMmJpdGNvbXNlYyByZXNlYXJjaGVyIDxiaXRjb21zZWNyZXNl
YXJjaEBnbWFpbC5jb20+wpwEEAEIABAFAlK7JsMJEOw5JoZLxtEcAADKSQP/
QNsiAjmj08qSpC1Dym20OjraZLI1n35A3EYTmaB1pOShPb0iUwkn2uQ9q1nU
d0IBHK46tK8k2/mXwFzOOou474lvKY3O1mw+rzmKo1v+MeJJbBces0p1Sy3o
pwK3jf6zAVbxlEdchcsGj4CnE7qwDAbTpXMsrdxaZu5LwCrV3ZM=
=/OA9
-----END PGP PUBLIC KEY BLOCK-----
 

 

Ну ясень пень я даже толком смотреть не стал этот бред и отправил его в спам. Так данный мошенник не остановился и пишет мне биткоинтолке меседж

 

 

Hi Anton,
I suggest you check your email.
We need to talk.
Time to return the bitcoins you have stolen.

 

от se[c] . Тут мне уже стало интересно, что ж за неугомонный придурок то такой. И перешел я по ссылкам которые в письме были. Оказалось что данный вымогатель позиционирует себя как "сила добра" которая "защитит всех обделенных и обварованных". Этакий мега Робин Гудище мира криптовалют. Мало того, этот упырь нашел мой акк в кентакле и вычислил ір-шник с которого сижу. И так собственно говоря теперь признаки мошенничества:

 

1. Откуда он узнал мою почту изначально? На профильных форумах она закрыта, получить ее можно было бы только путем взлома сайта (что кстати наблюдалося тут осенью, тогда благодаря моей беспечности и идинаковости паролей тут и на коинотроне я потреял немного лайтов). Т.е. данный товарищ может быть причастен к взлому форума. Еще вариант получения почты - он мог ее отловить ломанув пул форков, я много где ее юзал. Там же в принципе мог подловить и айпишник. То есть все равно мошенник.

 

2. С чего он взял что именно я "украл" деньги? Что в системе криптовалют переводы теперь делаются по почте? :D  Т.е. просто тупой вымагатель...

 

К чему я все это пишу - к тому чтобы такие упыри не могли развивать свои ресурсы "поддержки" сети, сами при этом попросту дурача людей. Щас еще буду биткоинтолк засорять...

 

P.S. К модераторам - не знал в какую ветку засунуть тему, потому ложу в общие... Не со зла, если что....

[Maksim6850]

хватает же дебилов на земле, какие только способы уже не придумают, лишь бы чужое захапать. Этот, наверное, самый лох в ихней братии, судя по методике вымогательства

[pendalf2008]

Итак. Данный товарищ не успокоился. Откопал мой домашний, видимо с сайтов с резюме или из научных статей. Не суть важно. Позвонил полудурок, разбудил. Ясень пень трубку я бросил. Успел только услышать что он Андрей и из "США". Еще говорить пытался таким "американским" акцентом. Правда ежели это он - накой на своем твиттере искал вчера человека говорящего по русски/украински? :D

В общем думаю, раз уже проснулся - гляну чо там этот гений понаписывал. Вот кароче, поулыбайтесь на бикоинтолке:

 

109.108.237.17 - - [11/Mar/2014:03:53:19 +0100] "GET /.git/config HTTP/1.1" 200 294 "-" "Mozilla/5.0 (Macintosh; Intel Mac OS X 10_9_1)
              AppleWebKit/537.36 (KHTML, like Gecko) Chrome/33.0.1750.146 Safari/537.36"
You made the mistake of accessing /.git/ from your real IP address.
If you do not return the bitcoins you stole we will contact the authorities. We will expose you to the internet. And you will lose whatever anonimity you thought you had.
Return the bitcoins and we will provide you cash reward.
Do not be a thief. It will not pay off.
I see you logged in. I see you read our messages.
Now it is time to do the right thing.

Судя по всему посищение гита теперь ужасное уголовное преступление :D . Хотя честно говоря на гите качал только исходники apecoins, stratum-proxy да cgminer-а... А нет еще пула mpos...

Дальше:

 

I read your posts on btcsec.com and although amusing I find it offensive you're putting me in the same bracket as you.
Perhaps it is hard for you to understand. But SOMEONE be it you, or your neighbor, or someone in your home, USED your IP address to attack an exchange. I was hired by the exchange to do forensic work.
In my research I discovered your IP address initiating the attack, and switching to a german VPS/VPN/PROXY.
Your same IP lead to your username pendalf2008.
And hence how I got the rest of your information.
So, where do we go from here? Do you admit you stole the coins? Do you tell me who did in fact steal the coins FROM YOUR IP ADDRESS?
Or do we contact authorities?
Your move.

Ну все та же песня. VPS/VPN/PROXY - это насколько я понимаю технологии обеспечивающие анонимность. И как же он получил "мой" ip-шник? Наванговал наверное... Тут уж я ему ответил:

 

First at all, I will tell you why you a spammer:
1. You dont telling the sum of "stolen" bitcoins
2. You forgetting to tell adress on which thay was "stoled"
3. Intersting, how could you "get the IP", if it switch VPS/VPN/PROXY, by your worlds? Lie again
4. Etc...

Dy Ukrainian laws your process of collecting my personal information is a hard crime. I will repost all this massages in themes, that I created on this forum and btcsec. And will create new theme in English branch. People must know about that you are crime...

Может мой английский и не идеален, но суть ясна... На что в ответ получил я два сообщения:

 

Anton,
BTC: 13RdgpA5Tx24wgVran2xQ1ptm59ThZZpDC
LTC: Lgo5u3FDnpZeBoZHQgb9Fud5QkKE7kbe4E
Return stolen Bitcoin and Litecoins to the above addresses. And we will reward you for returning stolen coins.
Stealing is never good.

и

 

You are trying really hard to sound convincing but here is the problem:
We literally have logs of you attacking an exchange, stealing the money and logging back into the exchange to check random balances.
Had you fucking responded to me from my first email we would have discussed the situation instead of you ignoring me and posting on BTCSEC. If you aren't involved in the hack, then clearly someone on YOUR IP ADDRESS did.
So, with that being said your response is complete and utterly idiocy.

Ну в общем агрессия уже пошла. Ну я ему опять ответил - мол чо ж ты забываешь указать кошелек на который я якобы украл койны. Щас вот глянем чем разродится...

[php]

Зачем ведешься? Не отвечай ему.

[pendalf2008]

Зачем ведешься? Не отвечай ему.

Просто интересно. Куда ж их безлогика заведет... А да, на биткоинтолке данный товарищ создалл акк, Hedgemon, с которого оветил в теме. Ну понятно "я мошенник и вымагатель, бла, бла, бла" и украл у "ихнего обменника" 600 BTC i 2700 LTC. Оказуется я богат :D . А да и на меня уже подали чо-то там в США). Боже мой, какие идиоты....

[Maksim6850]

а, так ты оказывается целую биржу обчистил :D

вот клоуны а...ну а какую же биржу то ты обчистил они написали ?))

[pendalf2008]

а, так ты оказывается целую биржу обчистил :D

вот клоуны а...ну а какую же биржу то ты обчистил они написали ?))

Видно пока еще не нашли жертву) Но во какой я - оказывается биржу увел! Наверно страдаю сонамбулизмом... Во сне, понимаешь сижу и ддосю биржы.... :D . С трашитесь меня великого и ужасного. kr1z1s, помнишь ты мне бан дал? Все, я биржу сумел увести если верить спамеру, так и тебя найду :D . И мстя моя будет страшна :D

[Maksim6850]

а скажи его IP адрес, дабы забанить эту нечисть в файерволе вообще на всякий случай.

Да и вообще интересно будет посмотреть что скажет нам его IP

Edited 14 Mar 2014, 09:16 by Maksim6850

[pendalf2008]

О, имеем продолжение:

 

Clearly someone used your IP to steal BTC. Either it was you, or your girlfriend, or your mother, or your neighbor. Someone FROM YOUR IP stole BTC.
Is this hard to understand? I posted logs of the attack into your thread since you seem so sure that I'm a spammer/scammer. How about you research who I am first. I run a security project for Bitcoin exchanges. I help exchanges recover stolen Bitcoins. I help exchanges fix security problems.
You're looking like a real idiot by claiming I am a scammer/spammer/whatever. I didn't ask you for your personal measily BTC. I asked for the BTC that was stolen FROM YOUR IP.
If you did not do it fine. Tell me who did it. Obviously you must know the person.
Check the attack logs. Check the IPs. It all POINTS TO YOU Anton.
So either work with me, or answer to authorities.

 

 

В общем батенька видит что на испуг меня не взять, и долбит тем фактом что у него есть IP. И мифические прувы каких-то логов, которые он непонятно куда послал...

а скажи его IP адрес, дабы забанить эту нечисть в файерволе вообще на всякий случай.

Да и вообще интересно будет посмотреть что скажет нам его IP

А как его прохавать то? Честно не знаю... А то бы поиграл в эту игру в двустороннем порядке)

[Maksim6850]

если ты проверяешь почту через браузер, то никак. В Thunderbird не знаю, а в TheBat очень просто. Можешь в принципе установить даже TheBat, хотя бы ради этого случая, чтобы IP посмотреть.

В общем получаешь письмо в Bat'e, тыкаешь в него правой кнопкой мыши, в открывшемся меню выбираешь СПЕЦИАЛЬНОЕ - открывается еще одну меню, в нем выбираешь ИСХОДНЫЙ ТЕКСТ ПИСЬМА. И вуаля, там будет и его внешний инетовский IP и внутренний (но не всегда) и даже "правильный" адрес почты, если этим "bitcomsecresearch@gmail.com" он маскируется.

Edited 14 Mar 2014, 09:49 by Maksim6850

[pendalf2008]

Ок, щас попробую. А уже полученные письма так нельзя проверить?

[Maksim6850]

Ок, щас попробую. А уже полученные письма так нельзя проверить?

Можно. Но в любом случае, спровоцируй его написать тебе хотя бы еще раз и получить письмо именно в TheBat. Как раз и сверим, старые письма, полученные в браузере и потом закачанные Батом, и новое, полученное уже в Бате, на идентичность IP.

Edited 14 Mar 2014, 09:33 by Maksim6850

[Turbo]

хоть я и далек от биткоина и криптовалют - скажите мне, что мешает просто послать этого гоблина?

ну пусть в полицию обратится с заявлением о краже криптовалют)))))денег, которых не существует))))над ним посмеются в любом отделении и скажут куда идти:)

[Format.C^]

Чета бред какой то...этот Робин Гуд школьник чтоли?

[pendalf2008]

Влез в бат, спасибо за наводку. Вот тут как я понимаю его ip:

Authentication-Results: mxs.mail.ru; spf=pass (mx177.mail.ru: domain of gmail.com designates 209.85.192.176 as permitted sender) smtp.mailfrom=bitcomsecresearch@gmail.com smtp.helo=mail-pd0-f176.google.com;
         dkim=pass header.i=gmail.com
Received-SPF: pass (mx177.mail.ru: domain of gmail.com designates 209.85.192.176 as permitted sender) client-ip=209.85.192.176; envelope-from=bitcomsecresearch@gmail.com; helo=mail-pd0-f176.google.com;
Received: from [209.85.192.176] (port=46073 helo=mail-pd0-f176.google.com)
        by mx177.mail.ru with esmtp (envelope-from <bitcomsecresearch@gmail.com>)
        id 1WOLxp-0002Cq-JS

 

[Maksim6850]

 

Влез в бат, спасибо за наводку. Вот тут как я понимаю его ip:

Authentication-Results: mxs.mail.ru; spf=pass (mx177.mail.ru: domain of gmail.com designates 209.85.192.176 as permitted sender) smtp.mailfrom=bitcomsecresearch@gmail.com smtp.helo=mail-pd0-f176.google.com;

         dkim=pass header.i=gmail.com

Received-SPF: pass (mx177.mail.ru: domain of gmail.com designates 209.85.192.176 as permitted sender) client-ip=209.85.192.176; envelope-from=bitcomsecresearch@gmail.com; helo=mail-pd0-f176.google.com;

Received: from [209.85.192.176] (port=46073 helo=mail-pd0-f176.google.com)

        by mx177.mail.ru with esmtp (envelope-from <bitcomsecresearch@gmail.com>)

        id 1WOLxp-0002Cq-JS

 

 

Да, вот это 209.85.192.176. Но судя по 2Ip это айпишник Гугла. Значит он проксиком сам пользуется, видимо, либо это из старого письма, которое уже было получено тобою в браузере ? Если да, то скорее всего из-за этого. Надо новое письмо от него и чтобы получить его прямо в Бате, не получая и не открывая до этого в браузере.

[Maksim6850]

Чтобы перепровериться, попросил друга сбросить мне письмо, получил его в Бате, проверил, отобразился его статический IP адрес, присвоенный ему провайдером, а не IP почтовой службы.

Так что выманивай от него еще одно письмо :)

 

UPD Посмотрел таким же образом письма, которые были получены и открыты в браузере, а потом уже закачаны в Бат. Да, в таком случае, получается, отображается IP почтовой службы.

Edited 14 Mar 2014, 10:18 by Maksim6850

[Tomcat_MkII]

Завязывайте с этим гиблым делом:)

Почтовый сервер никак не обязан хранить оригинальный IP отправителя, в большинстве случаев это будет адрес SMTP-шлюза его почтовой службы. Зависит и от количества пересылок, если например написать с одного ящика gmail на другой - то оригинальный IP отправителя может сохраниться, а если будет пересылка с ящика mail.ru на gmail, то получатель увидит только IP исходящего шлюза mail.ru. Не говоря уже о том, что отправитель может банально иметь серый адрес, статика нужна немногим.

[Maksim6850]

Завязывайте с этим гиблым делом :)

Почтовый сервер никак не обязан хранить оригинальный IP отправителя, в большинстве случаев это будет адрес SMTP-шлюза его почтовой службы. Зависит и от количества пересылок, если например написать с одного ящика gmail на другой - то оригинальный IP отправителя может сохраниться, а если будет пересылка с ящика mail.ru на gmail, то получатель увидит только IP исходящего шлюза mail.ru. Не говоря уже о том, что отправитель может банально иметь серый адрес, статика нужна немногим.

Всё равно скучно и нечем заняться, сейчас проверю) Отправлю себе с mail.ru на gmail и наоборот. Скажу, что отобразится.

Ну если у того клоуна и не статика, а динамика, то в любом случае, можно будет узнать провайдера. Может его там сосед троллит сидит этими письмами :)  Если прокси не использует для отправки, конечно.

Edited 14 Mar 2014, 11:13 by Maksim6850

[pendalf2008]

Ну оно следит за этими темами. Что тут что на биткоинтолке. Так что думаю теперь даже если и выманить его на письмо  реальный ip мы там не увидим.

 

А чо не послать - да так, решил потролить спамера. Честно говоря уже поднадоело малость. Да еще меня возмутил тот факт, что он скрывается под видом "возвращателя украденных средств". Это мне по факту понятно что он  и как, а будет какой-нить школьник? Может и спужатся...

Edited 14 Mar 2014, 11:23 by pendalf2008

[ariele]

Ещё раз вам здесь напишу..Никакие это не американцы, знаю их менталитет не понаслышке. Никакой американец не вычислил бы вас даже на биткоинтолке, не говоря уже от том чтобы мониторить чисто русский ресурс. Это всё равно что мы на китайском форуме сейчас будем искать какого-нибудь Васю-чингачгука да ещё и мониторить этот китайский форум будем-вы себе это представляете?я нет. И такую изощерённо-запутанную историю тоже не каждый американец способен придумать, попахивает здесь до боли знакомым русским выражением про то без кого жизнь плоха...

И юристы и ресерчи у них совсем другого уровня, там дядьки серьёзные и письма официальные, и никто бы вам из них не фамильярничал Антон,Антон..Уж поверьте, я знаю о чём говорю..

Edited 14 Mar 2014, 11:46 by ariele

[ariele]

Давайте я вам на английском составлю письмо в какую-нибудь надзорую организацию на него чтобы проверили что за ресёрч, если это официальный ресёрч криптовалют кои в природе появятся только лет через 20, то тогда у него должен быть офиц. американский адрес, счёт в банке, налоги, лицензии и т.д. В Америке стать дилером или надзорным органом знаете какие заслуги и бум.разрешения надо иметь...

[Maksim6850]

 

Завязывайте с этим гиблым делом :)

Почтовый сервер никак не обязан хранить оригинальный IP отправителя, в большинстве случаев это будет адрес SMTP-шлюза его почтовой службы. Зависит и от количества пересылок, если например написать с одного ящика gmail на другой - то оригинальный IP отправителя может сохраниться, а если будет пересылка с ящика mail.ru на gmail, то получатель увидит только IP исходящего шлюза mail.ru. Не говоря уже о том, что отправитель может банально иметь серый адрес, статика нужна немногим.

Всё равно скучно и нечем заняться, сейчас проверю) Отправлю себе с mail.ru на gmail и наоборот. Скажу, что отобразится.

Ну если у того клоуна и не статика, а динамика, то в любом случае, можно будет узнать провайдера. Может его там сосед троллит сидит этими письмами :)  Если прокси не использует для отправки, конечно.

 

В общем получается так. Письма везде получал ThaBat'ом.

1. Отправка с Mail.ru на Gmail

При отправке письма с Майл.ру при помощи Bat на Гмэйл отображается IP адрес и почтовой службы Майл.ру и IP отправителя.

При отправке письма с Майл.ру из Браузера на Гмэйл тоже отображается IP адрес и почтовой службы Майл.ру и IP отправителя.

 

2. Отправка с Gmail на Mail.ru

При отправке письма с Гмэйл при помощи Bat на Майл.ру отображается IP адрес и почтовой службы Гмэйл и IP отправителя.

При отправке письма с Гмэйл из Браузера на Майл.ру отображается только IP адрес почтовой службы Гмэйл.

 

3. Отправка с Gmail на Gmail

При отправке письма при помощи Bat при получении отображается IP адрес отправителя.

При отправке письма из Браузера отображается только IP адрес почтовой службы Гмэйл.

 Проверено по три раза каждое :)

 

Вывод - 1. Не используйте TheBat для отправки писем (и другие почтовые программы думаю тоже), если не хотите светить свой реальный IP. 2. Майл.ру засветит ваш реальный IP, даже если отправляете из Браузера, а не из почтовой программы :)

[ariele]

Я думаю вы не первый и не последний кому такие биткоиресёрчи рассылают письма с угрозами. Какой-то же Вася изначально додумался зарегистрировать такой емейл, значит с определённой целью. Просто вы сразу же догадались это на форум выложить

[sks998]

Ну что удалось еще на письмо выманить?