Topic: Bitcoins e etc roubados - ajuda, não para recuperar, mas p/ entender o ocorrido - page 2. (Read 1187 times)

Uma coisa que nunca mais faço é clicar em links do youtube.
Infectei meu pc uma vez com um vírus que ficava abrindo um monte de propaganda toda hora. Saía da minha pagina e abria outra.
Formatei na hora tudo.
So clico de for de amigo mesmo que conheço.

Gringo. O cara reproduziu um vídeo legítimo do GunBot, por isso acabei caindo.

Erro de n00b, mas ninguém está livre disso.

Também pensei nessa hipótese: algum keylogger antigo?

Eu dei uma pensada sobre essa assunto, acredito que não foi o fato de você baixar o bot que te pegou. Creio que quem fez isso já te tinha na mira a algum tempo, só esperou você se ausentar para te roubar. Digo isso porque em tão pouco tempo ele não conseguiria fazer tudo isso.

Jamais. Ninguém loga nesse computador a não ser eu. As pessoas que moram aqui sequer sabem o que é bitcoin.

Alguns amigos sabiam que eu tinha criptomoedas. Mas não a quantidade nem onde as mantinha.

Puxa, fells bad man, mas se você está encarando com racionalidade e buscando corrigir o erro já está de parabéns  .
 Realmente bem surreal, uma curiosidade, o vídeo sobre bot trade era BR ou gringo?

Pelo seu relato tudo leva a explicação do hack por malware , aliás você explicou muito bem o que aconteceu. Desculpa a pergunta, mas alguns casos de roubo por computador ocorrem também por engenharia social. Você compartilha sua máquina ou sua rede com alguém (mesmo que seja de confiança .....tipo namorada , esposa , família). Alguém sabia que você tinha essa quantidade de moedas nas suas carteiras ? Desculpa a pergunta e a especulação da sua vida pessoal.

O hacker tinha o gmail e o arquivo de recuperação do authy (2FA) pelo que eu entendi...

Bom 30k é pra desesperar sim mesmo que ja tenha muito, hehe
Mas com relação a segurança pelo relato, você está ou estava bem seguro, de todo o relato a minha perplexidade é de como foi burlado a autenticação em 2 passos, o malware não iria acessar seu pc e e seu fone ao mesmo tempo, neste caso relatado, tudo precisava dar muito certo para que a invasão tenha tido sucesso e o malware precisaria ser ninja para ter programação de quebrar a qt e também senhas webs e 2fa etc...

Neste caso possivelmente o malware deu acesso a alguém, e este alguém saberia como trabalhar, mas ainda sim fica a questão do 2FA, ele conseguiu burlar, então acho que vale uma reclamação nas corretoras, para verificarem via log etc.... como podem ter burlado o 2FA, ou se acessaram via 2FA mesmo, mas se acessaram mesmo usando 2FA, ai lascou...

Simplesmente hacker, e nenhum Hacker que sabe lidar com computação vai deixar rastro, simplesmente isso, sempre tenha um bom anti-vírus em seu  computador e não saia baixando programas com baixa reputação e confiaça. 

Eu tinha um arquivo com senhas. Mas evitava colocar as mais importantes. Pelo que estou vendo das que transcrevi para o papel e tirei do pc depois do ocorrido, realmente eu tinha a chave do authy anotada ali ; (  Provavelmente anotei em caráter provisório e esqueci de tirar.

Ficava num arquivo de texto na minha área de trabalho (agora eliminei o arquivo por completo).  

Quanto às senhas das wallets e das exchanges, nunca as anotei em lugar algum. E eram senhas de 19 dígitos.

De fato acessei tudo pelo computador infectado, mas muito depois do invasor. Ele/ela entrou cerca de duas horas antes de mim (segundo o histórico de login da Poloniex) e fez umas 20 operações nos 6 minutos seguintes. Quando eu entrei já estava tudo consumado.

As carteiras eu não tenho histórico de login, mas lembro que assim que acessei, na interface de ambas a primeira coisa que aparece é o saldo, o qual já estava zerado. Se ele tivesse feito depois do meu login eu veria o saldo cair e ao menos ouviria, na Exodus, o som característico de quando você envia ou recebe.


Pra transferência é confirmação por email. Nem preciso dizer que nunca encontrei qualquer email né. Suponho que o cidadão os recebeu, leu e eliminou.

Uma dúvida. Seu relato realmente merece acompanhar o tópico para que possamos entender o que ocorreu, mas ... ficou uma dúvida.

Sempre que criamos um 2FA, principalmente quando falamos nos códigos do Google ( o Authenticator ) ele cria uma chave que será importada pelo app e uma série de códigos que serão usados para recuperação de uma conta ou serviço caso você esteja sem acesso ao seu smartphone neste momento.

Como eles mesmo dizem é bom guardar isto em um local que não esteja muito a vista.

Um ponto a ser olhado além lógico, dos horários como foi dito acima em um dos replys é se você não guardou estes códigos de recuperação do 2FA em algum lugar de fácil acesso dentro do seu computador e email.

Com isto o cara faria a transferência numa boa mesmo havendo o 2FA habilitado.

Sim da Polo eu lembro mesmo que tem que confirmar a transferência via email. A dúvida que eu fiquei é se o gmail dele não estava autenticado na hora, porque se estiver era só o cara ter pego o email e confirmado já que estava com controle total do computador.

Quanto a Foxbit ... se não me engano tem uma camada de autenticação na transferência que é feita. Só não me lembro ao certo se é via email ou autenticação dois fatores ...

Olá @tht397.
Meus pêsames pela sua perca, todos cometemos erros.
apesar dessa sua mancada, se de fato você tinha todas essas medidas de segurança então podemos dizer que de forma alguma você era negligente quanto as suas moedas.

Uma dúvida que me ficou e precisa ser investigada....
Veja ao certo o horário em que as wallet e exchanges foram limpas. Presumo que você acessou todas elas pelo computador infectado, certo?
Por acaso as transferências não ocorreram de forma automática pelo malware milissegundos após você acessar cada um deles para verificar o saldo?

Aí fica outra dúvida também... os 2FA que você tem é só pra acesso à conta ou também é necessário para a transferência de fundos?

Não sei quanto a foxbit, mas que eu me lembre na polo você tem que confirmar por e-mail quando faz o resgate. Abre um ticket no suporte deles...

Essa ai ate eu quero saber como ocorreu, o cara te limpo e não deixou rastros. Se foi feito por uma pessoa pode ter certeza que foi um cara que manja muito pra poder burlar essas autenticações. Vou acompanhar o topico e ver oque as pessoas que tem mais experiencia tem a dizer sobre o ocorrido.

Em resumo, tive minhas lindas moedas digitais roubadas. Posso abandonar o mundo crypto ou posso dar-lhe outra chance, desde que eu entenda como foi possível ocorrer o que ocorreu, pelo que peço o auxílio de vocês.  

Tinha conta na FoxBit (corretora brasileira) e na Poloniex. Tinha duas carteiras no meu PC - a Ripple Wallet e a Exodus.

Um belo dia estava pesquisando sobre bots de trade, vi um vídeo de youtube e caí na besteira de baixar um arquivo e rodá-lo.

"Ué, mas então você já tem a explicação de como aconteceu!! Aconteceu porque você foi babaca e enfiou malware no PC!!"

Concordo que fui babaca, mas ainda assim quero entender como foi possível acontecer o que aconteceu. Vocês entenderão o porquê da indagação.

Logo depois de rodar o "programa" apareceu uma mensagem de travamento do mesmo, o que me fez não suspeitar.

E tive de me ausentar por cerca de uma hora e meia de casa. Importante - só eu tenho acesso ao computador.  

Quando voltei todos os ativos das duas corretoras e das duas carteiras haviam sido liquidados e enviados para endereços diversos.

"Foi o malware, seu babaca!"

Considerem o seguinte:

- uso senhas fortes nos 4 ambientes, de mais de 10 dígitos, misturando letras, números e símbolos.
- nas corretoras uso autenticação em 2 passos, sendo que o segundo passo era um código gerado pelo aplicativo "authy" no meu meu telefone, o qual está completamente limpo.  
- não estava logado nem nas carteiras nem nas corretoras desde muitas horas antes, e o navegador não grava senha pra nenhuma das corretoras muito menos há preenchimento automático de login em nenhuma das carteiras.
- as senhas não estão escritas em parte alguma, nem no PC nem fora dele.
- Logo, e aí entra a parte que não entendo, mesmo alguém que assumisse o controle do meu PC teria que fazer login OU resetar minhas senhas. Não sei bem se com as carteiras é diferente, mas ao menos nas corretoras teria de ser assim. Ou estou enganado?
- todos esses ambientes são vinculados a uma conta do gmail (sim, eu sempre ia adiando a hora de ajeitar isso) e a conta do gmail loga no automático.

"Ahh, então foi isso! Tomaram controle do seu gmail e resetaram suas senhas!!"

Ocorre que a senha do gmail não mudou. A senha das corretoras e das carteiras também não mudou. Também descarta-se a hipótese de keylogger, pois entre eu clicar no arquivo maldito e o roubo, eu não fiz login em nenhum dos serviços.

Para o aumento da minha perplexidade, aparentemente o invasor contornou a autenticação em 2 passos das corretoras, pois não precisou do código randômico gerado no meu telefone (embora ele me seja pedido até hoje).

Sei que cometi erros grosseiros, mas ainda assim, eu vos pergunto - como um invasor, sem você estar com as sessões abertas, sem ter suas senhas, sem resetar suas senhas, sem ter acesso ao autenticador que seria o segundo passo do login, consegue acesso a tudo simplesmente acessando seu computador? Um simples arquivo instalado no seu PC faz essa mágica em menos de uma hora?

A resposta é crucial pra eu saber se boto dinheiro de novo ou não nesse mundo. Já li sobre diversos golpes - portar o telefone pra outra operadora e aí resetar tudo, conseguir acesso ao email e daí fazer o resto, dentre outros. Mas nunca li um caso como o meu. Nenhuma senha foi alterada. Parece que o invasor fez tudo sem precisar de senha alguma. Se algo assim é possível, eu não me sentiria seguro, nem tomando as precauções que deixei de tomar.

A quem interessar possa, perdi 30 mil. Nada que vá cortar os pulsos, mas dá o que pensar.

Agradeço antecipadamente qualquer feedback.