Topic: Остерегайтесь криптомошенников! - page 20. (Read 8342 times)

Очередная история когда Норфолка украли около $200к. В рекламе инвестиций в криптовалюту женщина заполнила форму, а дальше все по классике, с ней связались на протяжении нескольких месяцев налаживали доверительные отношения, и в итоге уговорили ее дать доступ к ноутбуку и телефону, для перевода крупных сумм для инвестиций. Понятно чем это все закончилось, когда женщина обратилась в банк то выяснила что деньги просто украли. Источник.

В итоге женщина осталась ни с чем и теперь она говорит, что боится за свою будущее, потому что у нее ничего не осталось. Понятно что сейчас в ней говорит отчаянье, и если сумела скопить такие средства, то что то сможет скопить еще, но очевидно что больше никогда не будет такой доверчивой. Слишком дорогой урок.

Работал более года в одном стартапе где то на востоке, точно локацию не знаю, да и моей локацией ни кто не интересовался. Работа не пыльная, не криминал,   доставал из разных блокчейнов то, чего попросят. Оплата в биткойнах раз в месяц, платили хорошо. По количеству работы - раз на раз не приходилось, в основном, получалось справляться за 6-8 часов в день, но бывали дни с загрузкой и по 12-14 часов. Совсем без работы дни тоже были...  Когда дней без работы стало много - работа кончилась  

У меня есть, причем с некоторыми проектами оформлялись официально, в документации четко прописывалось куда (на какой адрес), сколько (обычно соглашался на 70% в крипте, и 30% в фиате). Были и рабочие отношения, когда оплата была в какой-то экзотической крипте, но чтобы ставить какое-то. левое ПО, такого не был.

Нет, они представляются представителями каких-то реальных компаний и приглашают пофрилансерствовать на них, так что встреч не проводят, всё общение ведут через удалённые средства связи. Но фрилансеры к этому привычные.


А зачем им те, кто более-менее разбирается в криптовалютах? Такие как раз с меньшей вероятностью попадутся в подобные расставленные садки. А что касается посетителей форума... нередко в такой откровенный скам люди деньги несут (да и со мной бывает, никто не застрахован), что и здесь оказывается, что не все особо разбираются. А уж поставить неизвестный кошелёк для вознаграждения за какую-нибудь баунти — так это вообще массово и за милое дело!

Интересно, мошенники играют роль работодателя, проводят встречи и назначают задачи и все это ради обмана пользователя? По-видимому, представители криптовалютного коммьюнити уже настолько заматерели, что мошенникам нужно постоянно извращаться и еще и обучаться актерскому мастерству для успешной преступной деятельности. Им бы эту энергию в правильное русло направить и начать зарабатывать честным трудом. А вообще ситуация интересная... У кого-нибудь здесь в ру-локале есть опыт работы (не подписные) с оплатой в криптовалюте? Часто ли работодатели просят устанавливать конкретные кошельки и вообще указывают ли они левую криптовалюту в качестве оплаты? В вакансиях что я видел, предлагается оплата в Bitcoin и USDT, и обычно работодатель или HR дополнительно уточняют, удобно ли соискателю сам способ оплаты.

Почему вокруг меня такие богатые дурочки не водятся (хотя это наверно и к лучшему)? Я бы у них взял кредит на супер лайтовых условиях. Почему в интернете мамонты не переведутся? Ведь они не первый раз в сеть вошли, раз сумели переводы сделать. Что-то ведь про безопасность наверно слышали; у них ведь явно есть друзья, кто не первый день в сети. Когда же люди поумнеют и поймут, что легких денег без последствий просто не существует. Меня вот больше всего поражает, что мошенник это всегда какой-то посредник. Ну неужели пользователю сложно самому кнопки пожмакать, разобраться во всем, проверить. Нет же, надо всегда соглашаться на чью-то «безвозмездную» помощь…

Канадский центр по борьбе с мошенничеством предупреждает, что участились случаи фейковых предложений о работе с предложением оплаты в криптовалюте. Смысл мошенничества в том, что для выполнения рабочих задач требуется установка специального программного обеспечения, включая, насколько я понимаю, криптокошелёк. На этот криптокошелёк якобы начисляется зарплата, но снять с него ничего нельзя. Цель мошенников в том, чтобы пострадавшие также пополняли этот криптокошелёк, с которого средства на самом деле выводят сами мошенники.

Также по-прежнему актуальна проблема найма доверчивых граждан быть посредниками в мошеннических платежах, когда людей приглашают на работу операторами платежей: они должны на свои счета получать платежи от клиентов и переводить потом «работодателю» эти деньги в биткойнах. Проблема в том, что такие «работники» потом могут оказаться обвиняемыми в соучастии в преступлении.

---

Плюсиком история из Великого Новгорода, где очередной доверчивый гражданин по входящему телефонному звонку опять решил поучаствовать в инвестировании в биткойн. Когда он успел уже за больше месяца наинвестировать на 400 тысяч рублей, он решил-таки попробовать вывести средства с биржи, и тут неожиданно выяснил, что у него там нет аккаунта.

Я не понимаю, при всём количестве материалов о телефонных мошенниках, как по-прежнему можно им переводить и переводить деньги-то?! Gosh!

Понятно, что тип кошелька здесь не играет особой роли, так как сид-фраза может быть сгенерирована небезопасным способом через псевдорандомный алгоритм. Просто создание бумажного кошелька или покупка аппаратного - это осознанный шаг, и пользователь должен изучать всю необходимую информацию прежде чем предпринимать его. Если бумажный кошелек, то готовится необходимый сетап, проверяются все алгоритмы, в том числе необходимо проверить достаточно ли популярны используемые библиотеки, как много контрибуторов и код ревьюверов. Необязательно проверять все самому или знать как это делать, тут вполне достаточно доверия. В случае аппаратника требования попроще, в случае сомнений можно чекнуть обзоры на форуме или спросить совета.

Если для создания бумажного кошелька будет использоваться такая же программка, как Libbitcoin в тех её версиях, где была уязвимость, то никакой бумажный кошелёк не будет защитой. Бумажный кошелёк тоже ведь не сам по себе образуется. Поэтому проблема не решается за счёт выбора типа кошелька, тут важно именно чтобы при формировании приватника или сид-фразы не оказалось, что каким-то образом сильно сужено поле возможных вероятных ключей. Потому что взлом в данной истории идёт путём перебора, а не доступа к кошельку в любом его виде.

Если использовать популярный опенсорсный кошелек, в котором испольуется не программный псевдорандом, а нормальный аппаратный источник энтропии, то это может спасти в таких случаях. За закрытый код ничего сказать нельзя, здесь вы покупаете кота в мешке и надеетесь, что он не станет левые фишки вводить как тот же Ledger. Но если вы не доверяете даже открытому аппаратнику, то здесь самостоятельная генерация ничего не даст, кроме потенциально слабой энтропии. Лучше уж тогда пользуйтесь обычными бумажными кошельками и радуйтесь супер-безопасности, потому что такие уязвимости обнаруживаются сейчас и будут обнаруживаться в будущем, от этого не защищены ни аппаратные, ни программные кошельки.

Те же яйца.

Я отреагировал на пост, в котором речь идёт о кошельке. Саму новость не читал.  bx (или по вашему консольная утилита) это приложение использующее библиотеки Libbitcoin, 

В новости речь идёт о консольной утилите libbitcoin-explorer, которая сама по себе позволяет генерировать мнемонические фразы и приватные ключи.

Маленькое уточнение.

Libbitcoin это не кошелёк, а набор библиотек на С++, который может использоваться в различных приложениях, в том числе и при создании криптовалютных кошельков.


Проекты, использующие Libbitcoin :

А как это спасёт? Особенно если у аппаратника закрытый код? Он точно так же может организовать генерацию сид-фразы с помощью недостаточно рандомного генератора псевдослучайных чисел, и тогда взломщики прекрасно взломают и его. Любой технарь на форуме скажет, что генерить себе адреса надо только программно, потому что человек недостаточно случайно выберет адрес. Но если доверяешь программке то, в чём сам не понимаешь, то риск столкнуться с такой проблемой есть вне зависимости от конкретного кошелька, с аппаратником в такой же мере.

Больше всего в этих историях удивляет именно суммы которые пострадавшие несут мошенникам, это же не пару тысяч долларов, 15к-35к это большие деньги. Если мошенник утверждает что случайно отправил средства, то можно же сначала проверить, правда ли это перед тем как отправлять. Наверное кто то проверяет, а кто то более доверчивый не проверяет.

Важная информация для тех, кто пользуется Libbitcoin. Все сгенерированные в версиях с 3.0.0 по 3.6.0 адреса в этом кошельке могут быть скомпрометированы, поэтому лучше срочно перенести все средства из них в другие кошельки.

Что произошло: генератор псевдослучайных чисел, как это время от времени бывает, был настроен так, что создавал комбинации недостаточно случайно, в результате чего выборка возможных комбинаций сгенерированных им приватников оказалась в сильно меньшем диапазоне, чем ожидаемо, и в итоге адрес можно попытаться взломать на достаточно мощном компьютере за считанные дни вместо пары вечностей.

Вероятно, злоумышленники прознали о такой уязвимости ещё три месяца назад, но кражи продолжаются (уже уведено, по имеющимся оценкам, крипты на сумму немногим менее миллиона долларов), так что они вычислили ещё не все уязвимые кошельки. Если вы создавали адреса через Libbitcoin, стоит подстраховаться и срочно перевести средства на новый адрес. Считается, что возникшая из-за команды «bx seed» уязвимость устранена в актуальных версиях того же кошелька, поэтому можно рискнуть создать новый адрес в нём же, если у вас версия новее, чем 3.6.0.

Всегда поражало насколько доверчивы и недальновидны люди, и насколько креативно работают умы злоумышленников. Так же всегда удивляло, как люди умудряются заработать и сохранить такие большие деньги, если они так просто ведутся на подобные схемы. Ладно там в случае с PayPal USD можно по невнимательности купить не то, но вот поверить в байку "я тебе отправил случайно тысячи долларов, а ты верни мне назад биткойн" это как-то совсем глупым надо быть.

Я вот с всегда с подозрением и недоверием отношусь к звонам с незнакомых номеров. И мейлы читаю только от тех, от кого я жду. А вот слепо поверить в то, что кто-то там что-то перевел или сделал, или делает с моими средствами и я должен сейчас или быстро как-то отреагировать на это, как по мне это очень детский развод.

Фактически это такая же история, как в рассматриваемом в соседнем разделе деле о криптомате и мошенниках. Там тоже разные уведомления якобы от операционных систем выскакивают, и люди несут стандартно по 15 тысяч, а иногда и гораздо больше по звонкам от якобы техподдержки. Причём, там компания-оператор криптоматов говорит, что подобные случаи мошенничества носят ежедневный характер, так что очень много народу попадается, несмотря на всю нелепость ситуации.

Мошенник представился сотрудником Microsoft и выманил у канадца 35к долларов в биткоинах. У пользователя появилось всплывающее уведомление о том, что ему нужно обновление, в сообщении был указано номер телефона, в разговоре мошенник сказал, что брандмауэр компьютера устарел, после чего доверчивый мужчина купил у них поддельное программное обеспечение и установил его.

На следующий день злоумышленники, выдававшие себя за сотрудников службы поддержки Microsoft, связались с пользователем, чтобы убедиться в нормальной работе ПО. Затем мошенник сказал мужчине, что случайно отправил ему деньги на счет и попросил, чтобы пользователь вернул ему средства в биткоинах. Жертва перевела подставному сотруднику Microsoft около $35 000 в BTC. Источник.

Не знаю, выглядит это слишком жестко, как в такое можно поверить и тем более перевести такую сумму, представить не могу.