Украли все средства с аккаунта BTC-e

[madmaximka]

@madmaximka,По вашему стилю общения понятно уже многое.

Особенно угроза про дизлайк. Что касаемо тех кто минусовал пост, мне интересно мнение людей которые заминусовали. Что в тех постах было не так, то что я описал как можно себя обезопасить?

ремарки про детвору и презервативы умиляют, как и люди с помощью телепатии угадывающие возраст на расстоянии. именно это я и хотел донести до вас. 

Изменено 17 апр 2014, 16:24 пользователем madmaximka

[AntonCh]

@AntonCh, Согласитесь, но добровольно давать данные третьим лицам между потребителем и непосредственно биржей, гораздо опаснее чем работать напрямую.

Попробуйте посмотреть с другой стороны: если вы никому не доверяете (и правильно делаете), не будет ли разумно дать часть данных одному лицу, часть - другому, так что ни у кого из них нет полной картины и нет полного комплекта ключей от вашей "квартиры"?

[thecure]

 

 

 

@koksokola, первая же сслка http://www.banki.ru/forum/?PAGE_NAME=read&FID=34&TID=41943

так фуфло же

где там про смс написано? только логин и пароль. это не банк, а какой-то ахтунг :D

 

зайди в сбербанконалйан, там для таких как вы на первой странцие написано, что никому нельзя сообщать смс код, ни для каких отмен операций, никаким лицам ,представляющимися сотрудниками банка. Думаю сам догадаешься, почему именно это там висит предупреждением.

 

 

речь идет о взломе без участия владельца аккаунта

не надо перекладывать с больной головы на здоровую

 

узнать код из смс конечно же можно, если тот, у кого хотят узнать, полный дегенерат

 

Ну в таком случае ничто не мешает переть данные троянами с компа, если юзер дегенерат и не принимает элементарных мер безопасности.

[angru]

ТС из Белоруси, может через большой белорусский fw информация утекла?

[AntonCh]

@AntonCh, кстати вопрос.

Почему вы считаете что использование 2фа бесмысленно?

2фа в исполнении BTC-e бессмысленно. А вообще замечательная вещь, которую мы (и не только) с удовольствием используем.

 

 

Если в момент генерации и создания кода у вас уже сидит вирус то это опять же все на плечах пользователя, нужно быть ответственным.

 

 

 

 

Конечно, легко переложить все на плечи пользователя. Но на дворе 2014 год, и пользователь уже не тот, что 20 лет назад. Он не понимает угроз, которые таятся повсюду, легко кликает на фишинговые ссылки, ставит трояны и т.д. Поэтому сервис, который игнорирует этот факт и не готов взять на себя свою часть ответственности за безопасность пользователей, такой сервис рискует не дожить до 2015.

 

Если же вы про троян который перехватывает данные то если такой троян сидит уже в компе, то при регистрации в вашем сервисе(или на бирже) троян подсунет свою ссылку на скачку(и пользователь не узнает об этом),

а также пропихнет на аппстор свое приложение, а также взломает биржу, чтобы она посылала запросы на подтверждение операций не на azid.ru, а на сайт взломщика...

 

 

недаром данным видом авторизации пользуются крупнейшие банки, сервисы и тому подобное.

 

кстати не знаю ни одного банка, который пользуется гугл аутентификатором. Google тоже не знает.

 

И кстати, на будущее, все что подключенно к интернету УЖЕ уязвимо

Не обижайтесь, но тогда вам в Тундру (с нетбуком за 5000 в рюкзаке). Все что изобретено за последнее время, представляет опасность - машины, самолеты, интернет, ... ну и что теперь?

[En1ken]

@AntonCh, Насчет 2фа в банках, как минимум в альфа банке используется, называется альфа ключ, немного модифицированное приложение, за что огромный респект, я админам уже писал что нужно такое им сделать, там то не так просто содрать пароль ибо там в 3 поля вводишь 1 пароль от приложения(который устанавливаешь сам) 2 поле вводишь проследние 6 цифр счета(в нашем случае можно ид транзакции сделать) 3 поле сумма жмешь генерировать и тебе дается пароль. вот и все, а ключь к приложению ты получаешь звонком в офис, в нашем случае можно при регистрации выдавать, или же при включении.

Так же благодаря этой проге возникла идея,мысль для приложения которому похрен на то что если даже злоумышленник подгонит не те данные в браузере.

[RaiH]

...............

Изменено 23 июл 2015, 19:35 пользователем RaiH

[En1ken]

Идея состоит в следующем, пользователь(например биржи) когда подключает 2 фа то ему дается ключ, причем разбитый на 2 части, первая часть показывается в браузере а вторая часть либо приходит в смс либо же в письме на почту.

Этот ключ вбиваем в прогу и все, прога активированна(как щас сделанно, но с разницей ключ на 2 части), после этого при запуске приложения прога просит ввести 5 значное число, его мы получаем НА СТРАНИЦЕ ПРИ СОВЕРШЕНИИ ОПЕРАЦИИ например, вывод, ввели сумму и жмет ок, выскакивает окошко которое просит в програме на телефоне ввести пару цифр, введя которые мы получаем валидный код ДЛЯ этой операции, даже если злоумышленник подделает все данные он не сможет подделать запрос на вывод ибо это уже будет другая операция со свим уникальным индентификатором, получается что пользователь вводя цифры никак не подтвердит не свою операцию.

@RaiH, 1 минуту действует.Поэтому нужно чтобы время на девайсе было синхронизированно со временем на сервере биржи.

[RaiH]

..............

Изменено 23 июл 2015, 19:35 пользователем RaiH

[En1ken]

@RaiH,Не, тут смс и нафик не нужно, все по методу шифрования у вас в телефоне и на самом сервере.

Например, вы выводите средства на кошель 1A1zP1eP5QGefi2DMPTfTL5SLmv7DivfNa и сумму 2 биткоина 

После нажатия отправить вам биржа предлагает ввести в программе следующее последние 6 значений адреса(в нашем случае DivfNa) а во втором поле цифру 2, вы это все вбиваете и програма делает генерацию, и выдает вам цифры которые нужно ввести на бирже,в тоже время сервер биржи сгенерировал по тому же алгоритму такое же число, ну и при вводе правильных комбинаций биржа отправляет перевод.

[RaiH]

............

Изменено 23 июл 2015, 19:36 пользователем RaiH

[En1ken]

@RaiH, Легко ватсон при авторизации, вирус свистнул код и отменил 2фа, после того как вы попользовались биржей и ушли(причем сомневаюсь что нажали выход) то злоумышленик спокойно вывел средства и включил 2фа опять

[RaiH]

................

Изменено 23 июл 2015, 19:36 пользователем RaiH

[En1ken]

@RaiH,Не, тут смс и нафик не нужно, все по методу шифрования у вас в телефоне и на самом сервере.

Например, вы выводите средства на кошель 1A1zP1eP5QGefi2DMPTfTL5SLmv7DivfNa и сумму 2 биткоина 

После нажатия отправить вам биржа предлагает ввести в программе следующее последние 6 значений адреса(в нашем случае DivfNa) а во втором поле цифру 2, вы это все вбиваете и програма делает генерацию, и выдает вам цифры которые нужно ввести на бирже,в тоже время сервер биржи сгенерировал по тому же алгоритму такое же число, ну и при вводе правильных комбинаций биржа отправляет перевод.

Суть в том что если злоумышленник так же захочет сделать вывод то ему придется повторить запрос на вывод, а это уже совсем другие значения для программы, следовательно и выдаваемый код разный,

 

@RaiH, Легко ватсон при авторизации, вирус свистнул код и отменил 2фа, после того как вы попользовались биржей и ушли(причем сомневаюсь что нажали выход) то злоумышленик спокойно вывел средства и включил 2фа опять

так чтобы включить обратно - опять нужен двухвакторный код, откуда он его взял???

 

Я могу с вами поспорить но что то вы все равно не договариваете. Слишком у вас все просто

[RaiH]

..................

Изменено 23 июл 2015, 19:36 пользователем RaiH

[En1ken]

@RaiH, Читайте внимательней насет ип с которых был вход, по мне так совершенно разные опсосы, или же кто то у вас хорошо сидит.

[RaiH]

...............

Изменено 23 июл 2015, 19:37 пользователем RaiH

[En1ken]

@RaiH, Получается что кто то с вашего рабочего ип вывел средства пока вы были на работе?

Чисто мои догадки, не думаете что ваш сис админ мог смотреть ваш трафик? Хотя возможно бред.

[RaiH]

..................

Изменено 23 июл 2015, 19:37 пользователем RaiH

[SECBTC]

 

 

как? если ему нужен мой телефоН? да и не думаю что он скамер, кот спер 3600битков и каждый день у каждого откусывает по чуть чуть?   Я создал тему, чтобы разобраться в проблеме и чтобы ни с кем бы такого больше не случилось!

 

Сегодня оказался коллегой по несчастью. Правда сумма чуть больше, около 52 тыс. рублей. Мне их уже вернули. Не прошло и двух часов. О чем не могу промолчать. Парни молодцы, отработали на отлично. Моя история здесь https://forum.bits.media/index.php?/topic/7169-gocio-birzha-otkryty-btc-rur-ltcrur-btcltc/?p=156020

[RaiH]

.................

Изменено 23 июл 2015, 19:37 пользователем RaiH

[thecure]

RaiH

Злоумышленник вообще мог уже знать секретный ключ для аутентификатора, который он заскринил у тебя, когда ты только подключал себе 2ФА.

[RaiH]

.................

Изменено 23 июл 2015, 19:38 пользователем RaiH

[Loft]

Вот это я понимаю лояльность к клиентам!

А некоторые только и заявляют, что сам дурак.

Надо и свои 3копейки перевести в другое место, тем более, что биток,что лайток пока в глубоком дауне:(

Сегодня оказался коллегой по несчастью. Правда сумма чуть больше, около 52 тыс. рублей. Мне их уже вернули. Не прошло и двух часов. О чем не могу промолчать. Парни молодцы, отработали на отлично. Моя история здесь https://forum.bits.media/index.php?/topic/7169-gocio-birzha-otkryty-btc-rur-ltcrur-btcltc/?p=156020 

[thecure]

 

как? если ему нужен мой телефоН? да и не думаю что он скамер, кот спер 3600битков и каждый день у каждого откусывает по чуть чуть?   Я создал тему, чтобы разобраться в проблеме и чтобы ни с кем бы такого больше не случилось!

 

Сегодня оказался коллегой по несчастью. Правда сумма чуть больше, около 52 тыс. рублей. Мне их уже вернули. Не прошло и двух часов. О чем не могу промолчать. Парни молодцы, отработали на отлично. Моя история здесь https://forum.bits.media/index.php?/topic/7169-gocio-birzha-otkryty-btc-rur-ltcrur-btcltc/?p=156020

 

Хакер вывел краденые деньги на яндекс? Не смешите меня. Биржа таким образом самопиарится. Сами вывели, сами вернули.