Pages:
Author

Topic: Внимание, мошенник и вымогатель! - page 3. (Read 5694 times)

newbie
Activity: 18
Merit: 0
Ну в общем вы сами видите - на данных спамеров не действуют никакие аргументы. Говорю выложить кошелек на который увели битки - в ответ "ты увел битки". Говорю назвать обменник с которого увели - в ответ "ты увел битки". Теперь еще меня на испуг пытаются взять) Клоуны Grin. По ip-шнику они вычислили Grin. Да я сам, не сильно шарящий в инет технологиях могу назвать как минимум 3 путя использования моего ip как промежуточній пункт или точку атаки. Идиоты...
sr. member
Activity: 868
Merit: 251
Мндя, неужели вы думаете, что если б человек реально атаковал биржу, он делал бы это со своего домашнего айпишника?
newbie
Activity: 3
Merit: 0
Zdrastvuy Pendalf2008.

Ti sprashival kak mi dobilis tvoego IP? Tak ti je sam ego nam ostavil kogda ukral U nas 600 BTC i 2700 LTC s nashego exchange.
Ili to mojet zabil shto u nas dosihpor vse tvoyi logi i danniye.

Net, Anton, eta ti nas izvini, Varovat s sayta eto esho adno delo, no prikidovatsa nevinim eto uje ne vinosimo!
"мошенник" eto ne mi Anton. мошенник eto ti.

Mi uje podali na Subpoenu v CWA shtobi preobresti nujniy documenti no orrest po Cyber Security / Cyber Terrorism.
Posle suda i turmi, tebya uje ne odin universitet ne primet.

Hochesh dakozatilstva? tak mi tebe ego uje prislali i na etojem saiti i Vistovili.
newbie
Activity: 35
Merit: 0
Anton (pendalf2008),

I think your strategy of trying to deflect guilt onto someone else (who has tracked you) is not a good strategy for you. I've given you plenty of chances to do the right thing but if you want to make the situation worse for yourself, then by all means.

For those reading this: Essentially what happened here was an exchange was robbed of a high number of BTC. I was hired by the exchange to do post-hack forensic work and track down the attacker. Unfortunately for our Ukrainian friend pendalf2008 he left his IP address in Apache's logs when he initially discovered the attack vector. Once he realized he had found the attack vector, and also realized he was connected via his home IP he then went ahead and jumped onto a VPN/Proxy/VPS from Germany to finish the steal.

For respect of the Exchange, I left attack vector, exchange url and other requests out of the logs.

109.108.237.17 - - [11/Mar/2014:03:47:00 +0100] "GET /favicon.ico HTTP/1.1" 304 - "-" "Mozilla/5.0 (Macintosh; Intel Mac OS X 10_9_1) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/33.0.1750.146 Safari/537.36"
109.108.237.17 - - [11/Mar/2014:03:48:11 +0100] "GET [attack vector] HTTP/1.1" 200 23 "-" "Mozilla/5.0 (Macintosh; Intel Mac OS X 10_9_1) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/33.0.1750.146 Safari/537.36"
109.108.237.17 - - [11/Mar/2014:03:48:20 +0100] "GET [attack vector] HTTP/1.1" 200 169 "-" "Mozilla/5.0 (Macintosh; Intel Mac OS X 10_9_1) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/33.0.1750.146 Safari/537.36"
109.108.237.17 - - [11/Mar/2014:03:48:33 +0100] "GET [attack vector] HTTP/1.1" 200 41 "-" "Mozilla/5.0 (Macintosh; Intel Mac OS X 10_9_1) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/33.0.1750.146 Safari/537.36"
109.108.237.17 - - [11/Mar/2014:03:48:43 +0100] "GET [attack vector] HTTP/1.1" 200 708 "-" "Mozilla/5.0 (Macintosh; Intel Mac OS X 10_9_1) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/33.0.1750.146 Safari/537.36"
109.108.237.17 - - [11/Mar/2014:03:48:59 +0100] "GET [attack vector] HTTP/1.1" 200 201 "-" "Mozilla/5.0 (Macintosh; Intel Mac OS X 10_9_1) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/33.0.1750.146 Safari/537.36"
109.108.237.17 - - [11/Mar/2014:03:51:28 +0100] "GET / HTTP/1.1" 200 59770 "-" "Mozilla/5.0 (Macintosh; Intel Mac OS X 10_9_1) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/33.0.1750.146 Safari/537.36"
109.108.237.17 - - [11/Mar/2014:03:51:40 +0100] "GET [attack vector] HTTP/1.1" 200 57467 "https://www.[exchange]/" "Mozilla/5.0 (Macintosh; Intel Mac OS X 10_9_1) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/33.0.1750.146 Safari/537.36"
109.108.237.17 - - [11/Mar/2014:03:51:42 +0100] "GET [attack vector] HTTP/1.1" 200 367738 "https://www.[exchange]/" "Mozilla/5.0 (Macintosh; Intel Mac OS X 10_9_1) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/33.0.1750.146 Safari/537.36"
109.108.237.17 - - [11/Mar/2014:03:52:28 +0100] "GET [attack vector] HTTP/1.1" 200 59770 "https://www.[exchange]/" "Mozilla/5.0 (Macintosh; Intel Mac OS X 10_9_1) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/33.0.1750.146 Safari/537.36"
109.108.237.17 - - [11/Mar/2014:03:52:58 +0100] "GET [attack vector] HTTP/1.1" 200 60053 "https://www.[exchange]/" "Mozilla/5.0 (Macintosh; Intel Mac OS X 10_9_1) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/33.0.1750.146 Safari/537.36"
109.108.237.17 - - [11/Mar/2014:03:53:19 +0100] "GET [attack vector] HTTP/1.1" 200 294 "-" "Mozilla/5.0 (Macintosh; Intel Mac OS X 10_9_1) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/33.0.1750.146 Safari/537.36"

After he discovered the attack vector he waited some time and came back from his new connection:

78.47.55.70 - - [11/Mar/2014:06:22:19 +0100] "GET [attack vector] HTTP/1.1" 206 28532736 "-" "Mozilla/5.0 (Macintosh; Intel Mac OS X 10_9_1) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/33.0.1750.146 Safari/537.36"
78.47.55.70 - - [11/Mar/2014:06:23:27 +0100] "GET [attack vector] HTTP/1.1" 304 - "-" "Mozilla/5.0 (Macintosh; Intel Mac OS X 10_9_1) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/33.0.1750.146 Safari/537.36"
78.47.55.70 - - [11/Mar/2014:06:28:00 +0100] "GET [attack vector] HTTP/1.1" 304 - "-" "Mozilla/5.0 (Macintosh; Intel Mac OS X 10_9_1) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/33.0.1750.146 Safari/537.36"

Notice the same exact UserAgent? Hitting the same attack vector as no one else did in the logs.

Once he got the access to what he needed, he transferred funds out to two wallets which I can not name as of yet. After BTC was stolen, he connected back to his exchange account to check his balances from: 109.108.238.71 with an Opera User-Agent. The same IP also listed as accessing his 'pendalf2008' user account on the exchange. In total he has connected to his same account using 3 IP addresses: 109.108.238.71, 109.108.238.161 and 109.108.237.17 all hosted by Everest ISP in Ukraine, Vinnitsa.

Once we confirmed it was his IP that attacked the server initially, and confirmed all three IP addresses from the same ISP to the same town in UA logged into the 'pendalf2008' account we then began finding personal information on who he was. We doxed him. Contacted him. And instead of admitting the fault, and simply returning BTC he has resulted to deflecting the situation.

Like I said in prior messages Anton, I'm a security researcher tracking a Bitcoin thief. Apparently you are that thief. Now unless you allow someone to use your IP addresses to get on to the Internet then everything points to you. If you know who stole the BTC then contact me privately and we can easily resolve the issue. If you do not comply, then all of this information with full unredacted logs will be sent to the authorities and they will have to handle you.

So tell me what you want to do.

If you don't want to deal with me, fine so be it. Contact the exchange you robbed and return their BTC.

Good day.
newbie
Activity: 18
Merit: 0
Итак. Данный товарищ не успокоился. Откопал мой домашний, видимо с сайтов с резюме или из научных статей. Не суть важно. Позвонил полудурок, разбудил. Ясень пень трубку я бросил. Успел только услышать что он Андрей и из "США". Еще говорить пытался таким "американским" акцентом. Правда ежели это он - накой на своем твиттере искал вчера человека говорящего по русски/украински? Cheesy

В общем думаю, раз уже проснулся - гляну чо там этот гений понаписывал. Вот кароче, поулыбайтесь на бикоинтолке:

Quote
    109.108.237.17 - - [11/Mar/2014:03:53:19 +0100] "GET /.git/config HTTP/1.1" 200 294 "-" "Mozilla/5.0 (Macintosh; Intel Mac OS X 10_9_1)
                  AppleWebKit/537.36 (KHTML, like Gecko) Chrome/33.0.1750.146 Safari/537.36"
    You made the mistake of accessing /.git/ from your real IP address.
    If you do not return the bitcoins you stole we will contact the authorities. We will expose you to the internet. And you will lose whatever anonimity you thought you had.
    Return the bitcoins and we will provide you cash reward.
    Do not be a thief. It will not pay off.
    I see you logged in. I see you read our messages.
    Now it is time to do the right thing.

Судя по всему посищение гита теперь ужасное уголовное преступление Cheesy . Хотя честно говоря на гите качал только исходники apecoins, stratum-proxy да cgminer-а... А нет еще пула mpos...

Дальше:

Quote
    I read your posts on btcsec.com and although amusing I find it offensive you're putting me in the same bracket as you.
    Perhaps it is hard for you to understand. But SOMEONE be it you, or your neighbor, or someone in your home, USED your IP address to attack an exchange. I was hired by the exchange to do forensic work.
    In my research I discovered your IP address initiating the attack, and switching to a german VPS/VPN/PROXY.
    Your same IP lead to your username pendalf2008.
    And hence how I got the rest of your information.
    So, where do we go from here? Do you admit you stole the coins? Do you tell me who did in fact steal the coins FROM YOUR IP ADDRESS?
    Or do we contact authorities?
    Your move.

Ну все та же песня. VPS/VPN/PROXY - это насколько я понимаю технологии обеспечивающие анонимность. И как же он получил "мой" ip-шник? Наванговал наверное... Тут уж я ему ответил:

Quote
    First at all, I will tell you why you a spammer:
    1. You dont telling the sum of "stolen" bitcoins
    2. You forgetting to tell adress on which thay was "stoled"
    3. Intersting, how could you "get the IP", if it switch VPS/VPN/PROXY, by your worlds? Lie again
    4. Etc...

    Dy Ukrainian laws your process of collecting my personal information is a hard crime. I will repost all this massages in themes, that I created on this forum and btcsec. And will create new theme in English branch. People must know about that you are crime...

Может мой английский и не идеален, но суть ясна... На что в ответ получил я два сообщения:

   
Quote
Anton,
    BTC: 13RdgpA5Tx24wgVran2xQ1ptm59ThZZpDC
    LTC: Lgo5u3FDnpZeBoZHQgb9Fud5QkKE7kbe4E
    Return stolen Bitcoin and Litecoins to the above addresses. And we will reward you for returning stolen coins.
    Stealing is never good.
и

   
Quote
You are trying really hard to sound convincing but here is the problem:
    We literally have logs of you attacking an exchange, stealing the money and logging back into the exchange to check random balances.
    Had you fucking responded to me from my first email we would have discussed the situation instead of you ignoring me and posting on BTCSEC. If you aren't involved in the hack, then clearly someone on YOUR IP ADDRESS did.
    So, with that being said your response is complete and utterly idiocy.

Ну в общем агрессия уже пошла. Ну я ему опять ответил - мол чо ж ты забываешь указать кошелек на который я якобы украл койны. Щас вот глянем чем разродится...
member
Activity: 168
Merit: 10
+ спс, будем знать
newbie
Activity: 18
Merit: 0
Репост https://forum.btcsec.com/index.php?/topic/6640-vnimanie-moshennik-i-vymogatel/, если кого-то смущает число моих сообщений на этом форуме.

День добрый товарищи. Хочу сообщить о преступном элементе скрывающимся под видом "security" биткойна. В общем...
Захожу сегодня с утра на почту, вижу пару писем от "[email protected]" следующего содержания:
 
Quote
    Hi,
    I'm a security researcher for a site you frequent.I think it is wise to respond back to me so we can discuss returning the stolen bitcoins. If you do not return them I will dox you, forward to your authorities and you will get to enjoy prison for some time.

    So, what do you want to do?
    I have your IP addresses, contact to Everest. And am waiting on you.
    Return the bitcoins to: 1SEC1BS5wFDSToi1v3RubV9PjCSSPa6s9

    As for the Litecoins I think we can talk about that.
    Email me back ASAP.
    Thanks.

    --
    [bitcomsec]
    founder und lead security researcher
    reddit: https://reddit.com/r/bitcoinsec
    twitter: https://twitter.com/bitcomsec
    about: http://blog.bitcomse...on-to-bitcomsec
    BTC: 1SEC1BS5wFDSToi1v3RubV9PjCSSPa6s9

    -----BEGIN PGP PUBLIC KEY BLOCK-----
    xo0EUrsmqQED/2uxmE6D/HG057/OTy3Pdxlip5F92byq3/v1TN9HUcI9fEPt
    vKj1c6QNYIAJAW4vBKobvQnTVig1z8G1cwJo8dJz5irCnXbVbNif3saE32qE
    ImJC7B8EaWAxCnpxiWyjcg2aiA0mJBDLC2e0a67BRnb4i0oYJ0IYLkIfmW1g
    8YmXABEBAAHNMmJpdGNvbXNlYyByZXNlYXJjaGVyIDxiaXRjb21zZWNyZXNl
    YXJjaEBnbWFpbC5jb20+wpwEEAEIABAFAlK7JsMJEOw5JoZLxtEcAADKSQP/
    QNsiAjmj08qSpC1Dym20OjraZLI1n35A3EYTmaB1pOShPb0iUwkn2uQ9q1nU
    d0IBHK46tK8k2/mXwFzOOou474lvKY3O1mw+rzmKo1v+MeJJbBces0p1Sy3o
    pwK3jf6zAVbxlEdchcsGj4CnE7qwDAbTpXMsrdxaZu5LwCrV3ZM=
    =/OA9
    -----END PGP PUBLIC KEY BLOCK-----
     

Ну понятно я даже толком смотреть не стал этот бред и отправил его в спам. Так данный мошенник не остановился и пишет мне биткоинтолке меседж
 
Quote
    Hi Anton,
    I suggest you check your email.
    We need to talk.
    Time to return the bitcoins you have stolen.

от https://bitcointalksearch.org/user/sec-251055 . Тут мне уже стало интересно, что ж за неугомонный то такой. И перешел я по ссылкам которые в письме были. Оказалось что данный вымогатель позиционирует себя как "сила добра" которая "защитит всех обделенных и обварованных". Этакий мега Робин Гудище мира криптовалют. Мало того, этот .... нашел мой акк в кентакле и вычислил ір-шник с которого сижу. И так собственно говоря теперь признаки мошенничества:

1. Откуда он узнал мою почту изначально? На профильных форумах она закрыта, получить ее можно было бы только путем взлома сайта (что кстати наблюдалося осенью на btcsec, тогда благодаря моей беспечности и jдинаковости паролей тут и на коинотроне я потерял немного лайтов). Т.е. данный товарищ может быть причастен к взлому форума. Еще вариант получения почты - он мог ее отловить ломанув пул форков, я много где ее юзал. Там же в принципе мог подловить и айпишник. То есть все равно мошенник.

2. С чего он взял что именно я "украл" деньги? Что в системе криптовалют переводы теперь делаются по почте? Cheesy  Т.е. просто тупой вымагатель...

К чему я все это пишу - к тому чтобы такие упыри не могли развивать свои ресурсы "поддержки" сети, сами при этом попросту дурача людей. И прошу администрацию форума как-то наказать пользователя se[c]. А то как-то некрасиво получается... Кстати на этих письмах он не успоколился, и на форуме сообщения также шлет (я даже на какие-то жалобу писал администрации)...

P.S. Хотелось бы сообщить еще и в английской ветке, для этого надо делать перепост на английском?
Pages:
Jump to: