Topic: Остерегайтесь криптомошенников! - page 17. (Read 7523 times)

Нет, они представляются представителями каких-то реальных компаний и приглашают пофрилансерствовать на них, так что встреч не проводят, всё общение ведут через удалённые средства связи. Но фрилансеры к этому привычные.


А зачем им те, кто более-менее разбирается в криптовалютах? Такие как раз с меньшей вероятностью попадутся в подобные расставленные садки. А что касается посетителей форума... нередко в такой откровенный скам люди деньги несут (да и со мной бывает, никто не застрахован), что и здесь оказывается, что не все особо разбираются. А уж поставить неизвестный кошелёк для вознаграждения за какую-нибудь баунти — так это вообще массово и за милое дело!

Интересно, мошенники играют роль работодателя, проводят встречи и назначают задачи и все это ради обмана пользователя? По-видимому, представители криптовалютного коммьюнити уже настолько заматерели, что мошенникам нужно постоянно извращаться и еще и обучаться актерскому мастерству для успешной преступной деятельности. Им бы эту энергию в правильное русло направить и начать зарабатывать честным трудом. А вообще ситуация интересная... У кого-нибудь здесь в ру-локале есть опыт работы (не подписные) с оплатой в криптовалюте? Часто ли работодатели просят устанавливать конкретные кошельки и вообще указывают ли они левую криптовалюту в качестве оплаты? В вакансиях что я видел, предлагается оплата в Bitcoin и USDT, и обычно работодатель или HR дополнительно уточняют, удобно ли соискателю сам способ оплаты.

Почему вокруг меня такие богатые дурочки не водятся (хотя это наверно и к лучшему)? Я бы у них взял кредит на супер лайтовых условиях. Почему в интернете мамонты не переведутся? Ведь они не первый раз в сеть вошли, раз сумели переводы сделать. Что-то ведь про безопасность наверно слышали; у них ведь явно есть друзья, кто не первый день в сети. Когда же люди поумнеют и поймут, что легких денег без последствий просто не существует. Меня вот больше всего поражает, что мошенник это всегда какой-то посредник. Ну неужели пользователю сложно самому кнопки пожмакать, разобраться во всем, проверить. Нет же, надо всегда соглашаться на чью-то «безвозмездную» помощь…

Канадский центр по борьбе с мошенничеством предупреждает, что участились случаи фейковых предложений о работе с предложением оплаты в криптовалюте. Смысл мошенничества в том, что для выполнения рабочих задач требуется установка специального программного обеспечения, включая, насколько я понимаю, криптокошелёк. На этот криптокошелёк якобы начисляется зарплата, но снять с него ничего нельзя. Цель мошенников в том, чтобы пострадавшие также пополняли этот криптокошелёк, с которого средства на самом деле выводят сами мошенники.

Также по-прежнему актуальна проблема найма доверчивых граждан быть посредниками в мошеннических платежах, когда людей приглашают на работу операторами платежей: они должны на свои счета получать платежи от клиентов и переводить потом «работодателю» эти деньги в биткойнах. Проблема в том, что такие «работники» потом могут оказаться обвиняемыми в соучастии в преступлении.

---

Плюсиком история из Великого Новгорода, где очередной доверчивый гражданин по входящему телефонному звонку опять решил поучаствовать в инвестировании в биткойн. Когда он успел уже за больше месяца наинвестировать на 400 тысяч рублей, он решил-таки попробовать вывести средства с биржи, и тут неожиданно выяснил, что у него там нет аккаунта.

Я не понимаю, при всём количестве материалов о телефонных мошенниках, как по-прежнему можно им переводить и переводить деньги-то?! Gosh!

Понятно, что тип кошелька здесь не играет особой роли, так как сид-фраза может быть сгенерирована небезопасным способом через псевдорандомный алгоритм. Просто создание бумажного кошелька или покупка аппаратного - это осознанный шаг, и пользователь должен изучать всю необходимую информацию прежде чем предпринимать его. Если бумажный кошелек, то готовится необходимый сетап, проверяются все алгоритмы, в том числе необходимо проверить достаточно ли популярны используемые библиотеки, как много контрибуторов и код ревьюверов. Необязательно проверять все самому или знать как это делать, тут вполне достаточно доверия. В случае аппаратника требования попроще, в случае сомнений можно чекнуть обзоры на форуме или спросить совета.

Если для создания бумажного кошелька будет использоваться такая же программка, как Libbitcoin в тех её версиях, где была уязвимость, то никакой бумажный кошелёк не будет защитой. Бумажный кошелёк тоже ведь не сам по себе образуется. Поэтому проблема не решается за счёт выбора типа кошелька, тут важно именно чтобы при формировании приватника или сид-фразы не оказалось, что каким-то образом сильно сужено поле возможных вероятных ключей. Потому что взлом в данной истории идёт путём перебора, а не доступа к кошельку в любом его виде.

Если использовать популярный опенсорсный кошелек, в котором испольуется не программный псевдорандом, а нормальный аппаратный источник энтропии, то это может спасти в таких случаях. За закрытый код ничего сказать нельзя, здесь вы покупаете кота в мешке и надеетесь, что он не станет левые фишки вводить как тот же Ledger. Но если вы не доверяете даже открытому аппаратнику, то здесь самостоятельная генерация ничего не даст, кроме потенциально слабой энтропии. Лучше уж тогда пользуйтесь обычными бумажными кошельками и радуйтесь супер-безопасности, потому что такие уязвимости обнаруживаются сейчас и будут обнаруживаться в будущем, от этого не защищены ни аппаратные, ни программные кошельки.

Те же яйца.

Я отреагировал на пост, в котором речь идёт о кошельке. Саму новость не читал.  bx (или по вашему консольная утилита) это приложение использующее библиотеки Libbitcoin, 

В новости речь идёт о консольной утилите libbitcoin-explorer, которая сама по себе позволяет генерировать мнемонические фразы и приватные ключи.

Маленькое уточнение.

Libbitcoin это не кошелёк, а набор библиотек на С++, который может использоваться в различных приложениях, в том числе и при создании криптовалютных кошельков.


Проекты, использующие Libbitcoin :

А как это спасёт? Особенно если у аппаратника закрытый код? Он точно так же может организовать генерацию сид-фразы с помощью недостаточно рандомного генератора псевдослучайных чисел, и тогда взломщики прекрасно взломают и его. Любой технарь на форуме скажет, что генерить себе адреса надо только программно, потому что человек недостаточно случайно выберет адрес. Но если доверяешь программке то, в чём сам не понимаешь, то риск столкнуться с такой проблемой есть вне зависимости от конкретного кошелька, с аппаратником в такой же мере.

Больше всего в этих историях удивляет именно суммы которые пострадавшие несут мошенникам, это же не пару тысяч долларов, 15к-35к это большие деньги. Если мошенник утверждает что случайно отправил средства, то можно же сначала проверить, правда ли это перед тем как отправлять. Наверное кто то проверяет, а кто то более доверчивый не проверяет.

Важная информация для тех, кто пользуется Libbitcoin. Все сгенерированные в версиях с 3.0.0 по 3.6.0 адреса в этом кошельке могут быть скомпрометированы, поэтому лучше срочно перенести все средства из них в другие кошельки.

Что произошло: генератор псевдослучайных чисел, как это время от времени бывает, был настроен так, что создавал комбинации недостаточно случайно, в результате чего выборка возможных комбинаций сгенерированных им приватников оказалась в сильно меньшем диапазоне, чем ожидаемо, и в итоге адрес можно попытаться взломать на достаточно мощном компьютере за считанные дни вместо пары вечностей.

Вероятно, злоумышленники прознали о такой уязвимости ещё три месяца назад, но кражи продолжаются (уже уведено, по имеющимся оценкам, крипты на сумму немногим менее миллиона долларов), так что они вычислили ещё не все уязвимые кошельки. Если вы создавали адреса через Libbitcoin, стоит подстраховаться и срочно перевести средства на новый адрес. Считается, что возникшая из-за команды «bx seed» уязвимость устранена в актуальных версиях того же кошелька, поэтому можно рискнуть создать новый адрес в нём же, если у вас версия новее, чем 3.6.0.

Всегда поражало насколько доверчивы и недальновидны люди, и насколько креативно работают умы злоумышленников. Так же всегда удивляло, как люди умудряются заработать и сохранить такие большие деньги, если они так просто ведутся на подобные схемы. Ладно там в случае с PayPal USD можно по невнимательности купить не то, но вот поверить в байку "я тебе отправил случайно тысячи долларов, а ты верни мне назад биткойн" это как-то совсем глупым надо быть.

Я вот с всегда с подозрением и недоверием отношусь к звонам с незнакомых номеров. И мейлы читаю только от тех, от кого я жду. А вот слепо поверить в то, что кто-то там что-то перевел или сделал, или делает с моими средствами и я должен сейчас или быстро как-то отреагировать на это, как по мне это очень детский развод.

Фактически это такая же история, как в рассматриваемом в соседнем разделе деле о криптомате и мошенниках. Там тоже разные уведомления якобы от операционных систем выскакивают, и люди несут стандартно по 15 тысяч, а иногда и гораздо больше по звонкам от якобы техподдержки. Причём, там компания-оператор криптоматов говорит, что подобные случаи мошенничества носят ежедневный характер, так что очень много народу попадается, несмотря на всю нелепость ситуации.

Мошенник представился сотрудником Microsoft и выманил у канадца 35к долларов в биткоинах. У пользователя появилось всплывающее уведомление о том, что ему нужно обновление, в сообщении был указано номер телефона, в разговоре мошенник сказал, что брандмауэр компьютера устарел, после чего доверчивый мужчина купил у них поддельное программное обеспечение и установил его.

На следующий день злоумышленники, выдававшие себя за сотрудников службы поддержки Microsoft, связались с пользователем, чтобы убедиться в нормальной работе ПО. Затем мошенник сказал мужчине, что случайно отправил ему деньги на счет и попросил, чтобы пользователь вернул ему средства в биткоинах. Жертва перевела подставному сотруднику Microsoft около $35 000 в BTC. Источник.

Не знаю, выглядит это слишком жестко, как в такое можно поверить и тем более перевести такую сумму, представить не могу.

Мошенники активно включаются в тему с новым стейблом от PayPal USD, в сети уже появилось минимум 66 фейковых PYUSD. Данные DEXTools показывают, что поддельные токены есть в сетях Эфириума, BNB Chain, Base и других. Большинство размещены на Ethereum, где выпущен оригинальный токен PYUSD. Хотя токены еще не поступили в широкую продажу, злоумышленники плодят фейковые токены. Объем торгов одним из таких фейковых Ethereum-токенов на бирже Uniswap уже достиг $2,9 млн. Источник.

Схема расчитана на тех пользователей, которые многократно используют один и тот же свой адрес в своих транзакциях.

Поэтому думаю, что мошеники парсят блокчейн с целью выявленя таких адресов, после выявления генерят соответствующие подсадные адреса и рассылают на них небольшое количество сатошей.

Дальше остаётся только ждать кто из жертв захватит наживку.

Не вникал в суть этой новой схемы обмана, но мне не понятно как эти мошеннические Vanity адреса генеряться на лету при копировании. Допустим, жертва использует Ledger Live и жмет кнопку "получить". Далее она сразу же копирует адрес и посылает его на Binance через стандартный копипаст. Мошенник за эти несколько секунд должен взять адрес жертвы, сгенерировать похожий и заменить его в клипборде. Или так сделать невозможно или сам Vanity софт должен стоять на устройстве у жертвы. Либо, как утверждает автор, адрес был не похож на его, что может означать использование еще более старого приема: https://techcrunch.com/2018/07/03/new-malware-highjacks-your-windows-clipboard-to-change-crypto-addresses/