Topic: Me han robado todos los bitcoins de mi cartera de Localbitcoins esta tarde-noche - page 3. (Read 11736 times)

hummmmm

Puedes verificar cuando te conectaste tu y si coincide casi al minuto con este acceso:

May 11, 2014, 8:36 p.m. Two-factor login        173.254.223.119 Mozilla/5.0 (Windows NT 6.1; rv:31.0) Gecko/20100101


Lo comento por que si ha interceptado tu intento de logeo, debería ser prácticamente a la vez que lo hiciste tu ya que entiendo que los códigos son validos solo durante unos segundos o minutos a lo sumo,

¿alguien puede verificar si son de un solo uso o son validos por un periodo de tiempo?

por que si son de un solo uso, no veo la manera de acceder si no tiene una copia de la hoja o está accediendo al trafico entre tu navegador y localbitcoins.

Alguna prueba más que puedes hacer para ver si tienes algo en tu equipo o red es:

verifica que resuelves correctamente desde tu equipo la dirección de localbitocoins
C:\>ping localbitcoins.com

Haciendo ping a localbitcoins.com [108.162.206.226] con 32 bytes de datos:
Tiempo de espera agotado para esta solicitud.

debe darte una de las siguientes IPs:

Name:   localbitcoins.com
Address: 108.162.206.226
Name:   localbitcoins.com
Address: 108.162.205.226

también prueba a ver si conectando a localbitcoins.com con tu navegador habitual se mantiene la conexión ssl (verifica el certificado por quien esta expedido), si te puedes instalar el wireshark (un sniffer) podrás verificar si realmente sale tu trafico cifrado, si es solo el trafico que debe o tenemos alguna cosita más.

El certificado debería ser expedido por Comodo:

openssl s_client -connect localbitcoins.com:443
CONNECTED(00000003)
depth=1 C = GB, ST = Greater Manchester, L = Salford, O = COMODO CA Limited, CN = PositiveSSL CA 2
---
Certificate chain
 0 s:/OU=Domain Control Validated/OU=PositiveSSL/CN=localbitcoins.com
   i:/C=GB/ST=Greater Manchester/L=Salford/O=COMODO CA Limited/CN=PositiveSSL CA 2
 1 s:/C=GB/ST=Greater Manchester/L=Salford/O=COMODO CA Limited/CN=PositiveSSL CA 2
   i:/C=SE/O=AddTrust AB/OU=AddTrust External TTP Network/CN=AddTrust External CA Root
---

Gracias ioxoi, por desglosar cuales han podido ser las vias principales del robo.

Te respondere a la mayoria de cosas que comentas, si se me olvida algo o tienes alguna duda me dices :

1.1 Sobre el ataque fisico es decir que mis hojas hayan sido comprometidas y alguien las haya visto, esto seria lo primero que quedaria descartado completamente. No tengo ninguna camara ni nada por el estilo en el cual hayan podido ser visualizadas las claves.

Sobre a que tipo de linea me conecto, se trata de una linea Adsl propia.

1.2 Esto podria llegar a ser, pero porque hacerlo despues de tener las hojas que llevaba usando desde hacia mas de 2 meses?

1.3 Sobre esta via lo unico te puedo decir de momento antes de que ponga en marcha y investigue un poco con los programas que me comentas. Es que efectivamente en dicho ordenador hacia uso de también la banca online, ademas de los monederos de Litecoin y Bitcoin.
Y una cosa importante aqui tambien a resaltar es que tenia otro monedero de una ALT coin que no era mucho unos 40-50$ al cambio, sin cifrar y que en el momento de ocurrirme dicho suceso, me esperaba que tambien me hubieran sido robados y para nada, cuando actualice dicha cadena de bloques seguian ahi.

1.4 Respecto a pedirle mas datos a Localbitcoins estoy de acuerdo que una vez me vuelva a poner en contacto con ellos sin duda se lo pediria.

2. Sobre este punto decirte que mi correo no fue vulnerado o al menos no hay ninguna IP que no sea la mia desde el cual se conecto.





Atraves del soporte español si que me lo hiceron saber.

La Ip es al siguiente:   173.254.223.119

Por lo que he visto se trataria de alguna empresa de hosting o algo por el estilo que tienen o tendran alquilado imagino.

Dicha IP intento acceder una primera vez sin exito. Como aqui puedes ver.

May 11, 2014, 8:30 p.m. Failed login attempt    173.254.223.119 Mozilla/5.0 (Windows NT 6.1; rv:31.0) Gecko/20100101

Para posteriormente:

May 11, 2014, 8:36 p.m. Two-factor login        173.254.223.119 Mozilla/5.0 (Windows NT 6.1; rv:31.0) Gecko/20100101


May 11, 2014, 9:13 p.m. Send from wallet        173.254.223.119 Mozilla/5.0 (Windows NT 6.1; rv:31.0) Gecko/20100101



( Decir que aunque en Log de registros y operaciones que me envio Localbitcoins aparece como Two-factor login, como os comente una vez entre a mi cuenta despues del robo el Two-factor estaba desactivado )




Voy a intentar redactar una respuesta para el soporte ingles, roterdam me esta echando una mano que le agradezco desde aqui también

Asi que haber si pudieramos tener alguna respuesta mas por parte de Localbitcoins asi como alguna averiguación o investigacion más por su parte.



Saludos a todos los que esteis leyendo y esteis pendientes del caso, asi como todo el apoyo y ayuda en general  

pero ....a ver, revisando la conversacion creo entender que todavia no te han enviado el log completo con los registros de operaciones y direcciones ip y navegador.
si esto es asi, dimelo para que podamos requerirselas con la mayor urgencia, esto es lago que estan obligados a facilitarte, no vale una mera respuesta de que segun ellos ha podido ser un phishing.
hazmelo saber !!!

Por lo que comenta usa doble factor de autenticación, basado en hojas y no en móvil, si buscamos formas de vulnerar a este usuario (lo siento, te toca el papel de usuario ;-), el vector para este ataque necesita:
1) Comprometer el OTP, mediante un ataque:
   1.1) físico o local, vamos que alguien ha visto tus hojas y tiene una copia.
   1.2) en la incialización de OTP.
   1.3) un man in  the middle.
   1.4) captura de la semilla.
2) ademas de comprometer el OTP (hojas de papel) también se ha comprometido su password.

1.1) un ataque físico o local no es descabellado, piensa donde guardas tus hojas por si acaso tienes "un amigo" cerca, también vigila cosas como webcams,  cámaras de seguridad, etc. en principio lo veo con probabilidad baja, ya que además necesitan la password (ojo a las cámaras, podrían ser la respuesta incluso estar vulneradas)
1.2) este es el caso de capturar el puerto de impresión o tener vulnerado el equipo o el canal de comunicaciones, muy poco probable.
1.3) Este es quizás el más común, es el equivalente a conseguir desviar el tráfico para poder ser analizado, dado que localbitcoins usa ssl siempre, o estan dentro del navegador o han tenido que cambiar el canal https a http, no es trivial pero existen posibilidades para hacerlo, deberías revisar tu equipo, como usas windows descarga las herramientas de sysinternals de MS, te sera de utilidad Autoruns,  filemon, tcpview, portmon, psview, etc. otra cosa es como han llegado a comprometer o capturar tu tráfico, piensa en cualquier ejecutable que te haya llegado por correo, llaves usb encontradas o prestadas, etc, esta es la vía más probable, para tenerlo claro un forense de tu equipo te dará alguna pista.
Una cosa que no me cuadra, es que si han comprometido tu equipo, tendrían tu wallet y la password de este, acceso a tu banco, etc, ¿para que ir a localbitcoins si se los pueden llevar todos?, esto es raro, o están en la red o no me cuadra. ¿por cierto no te conectaras por redes publicas o de terceros?, si es una red corporativa, pregunta si han tenido algún incidente de seguridad  que pueda tener que ver con tu caso (por defecto no te lo vana  decir)
1.4) es el caso de que hayan comprometido localbitcoins, como comenta dserano5, es poco probable, sería interesante que localbitcoins diera un listado de los últimos accesos, Ips, navegador, etc. el atacante antes de dar el ataque final, a debido verificar todos los accesos previamente.

2) si han comprometido además tu password ... algo me dice que en tu red hay algo, las trampas suelen funcionar, manda alguna contraseña de una cuenta de gmail (creo que registra todos los accesos, o mejor usa uno al que tengas acceso a los logs) y cosas por el estilo, algo que le pueda interesar, aunque después del ultimo ataque "debería" haber desaparecido.

Por cierto, y si nos esta leyendo, saludos.

Se me ha adelantado haztecoin, pero sí, es prácticamente imposible que tenga acceso a la partición ext sin que yo sepa, y aún más que pueda tener acceso a los datos del home cifrado (que por defecto las ultimas versiones de las principales distribuciones aconsejan cifrarlo)


Pero sí que tenia ciertos datos importantes también en windows (no me gusta wine) aunque afortunadamente estaban en un volumen encriptado con truecrypt y al parecer no han tenido acceso, si no ya lo sabria.

Eso lo veo muy difícil teniendo otros métodos más sencillos.
Primero Windows no reconoce las particiones que nos sean las propias de su SO. Se que se puede leer particiones ext? desde windows pero de manera limitada.
Segundo puede que tenga el home en una partición distinta e incluso puede tener el home cifrado, o incluso toda la raíz puede estar cifrada.
Tendrían que hacer un "virus" muy especifico y si algo se sale un poco de las especificaciones no funcionaria.

Seria más fácil hacer un virus que entre en ciertos router que tengan la configuración por defecto y modificar las DNS por unos servidores maliciosos y desde esos pueden modificar todo el trafico que les de la gana y seguramente ni te enteres. Este método es mucho más factible que el anterior y muy fácil de implementar.
 

Un apunte técnico, dices que tienes un PC con windows, donde instalas de todo y por lo tanto no lo utilizar para meter ninguna información crítica, y lo importante lo haces con Linux.

En el caso de que ese windows y ese linux estén instalados en el mismo ordenador un virus en windows, mientras se ejecuta windows, podría acceder a los datos de linux. No es algo que haga un virus "normal" pero si algo que puede hacer una persona que ataque directamente tu ordenador.

salu2

Pienso lo mismo Godzilla, he estado pensando y investigando sobre lo sucedido, y por mas que intento darle una explicación logica a todo el asunto no la encuentro.

Yo considero que soy un usuario de bitcoin, con medidas de seguridad altas. Solo hay que ver que en vez de usar un metodo de 2FA atraves del movil lo hacia atraves de hojas fisicamente que llevaba usando desde hacia meses y siendo las mismas (nunca habia actualizado iba por el codigo 7x-8x de 100 disponibles), sin ningun problema. Siempre he tenido mucho cuidado de por donde navegar en mi ordenador de trabajo. Ademas de contar con Antivirus Firewalls y demas. Analizar mi ordenador semanalmente etc etc....


Cuando me paso, era lo que esperaba que hubiera mas casos como el mio, de momento al menos en el foro hispano nadie lo ha hecho saber, aunque me han comunicado via MP algun caso que pudiera ser parecido, aunque sin llegar a ver sido realizado con exito.

* He llegado a pensar haya algun grupo de hackers, sobre todo con las recientes caidas de la web de Localbitcoins, que algun grupo de hackers que obtubo algunas bases de datos en su dia y que tuvo a su disposición datos de los clientes, esten trabajando en todo esto y obteniendo beneficios economicos de todo ello. Bueno de mi ya lo han hecho. Y por lo que he podido ver en la misma direccion a la que fueron enviados mis bitcoins, algunos mas concentran a dia de hoy.




Por mi parte he comunicado a Localbitcoins de momento solo via soporte español, a ver si Roterdam pudiera echarme un cable con el ingles, que investiguen a fondo lo sucedido y que deberian asumir la responsabilidad en el asunto, no se lo diría si no lo considerará así.

En cuanto tenga novedades os digo.

Un saludo

El historial no sirve de nada si han modificado las DNS. Eso lo pueden hacer en tu ordenador o en otro conectado a la misma red.

Pero entonces estaríamos viendo decenas de casos como este, y no me consta que así sea .

Buenas compañeros, este finde semana he estado revisando el historial, sin llegar a encontrar ningun otro enlace que haya llegado a entrar y que se hiciera hacer pasar por Localbitcoins, la verdad es que yo siempre he tenido cuidado con esto, y no creo que haya entrado en otro Localbitcoins donde haya intruducido alli mi usuario y contraseña. Cuando entro a localbitcoins lo hago desde mis marcadores que al tengo desde hace meses puesta, asi que dudo bastante que haya sido atraves de phising. Ademas de esto para que estaba mi 2 factor authentification? Cada vez que usas un codigo ya no vale y necesitas el nuevo.... por lo que es que sigo alucinando, y me siento indignado con la situación.

Este finde semana o ayer iba a dar respuesta a Localbitcoins asi como si hace falta no se como pero hacerle llegar mi historial para que ellos mismo comprueben todo lo que quieran, pero resulta que la web se encuentra inoperativa, ellos dicen que por un problema de hardware o hosting, pero yo la verdad es que desde lo que me ha ocurrido no me creo nada por su parte.

Lo unico  que se me ocurre es que de alguna manera en la base de datos que robaron fue vinculada a mi cuenta o alguien pudiera ver ahi mi 2FA o desactivarlo atraves de un fallo de localbitcoins, no le veo ninguna otra explicación, alguien ha usado los datos robados ....

PD: MP contestado a ioxoi

Phishing editados .

POR FAVOR, no pongas enlaces de pishing, edita tu mensaje agregando un espacio intermedio o algo similar
Gracias

Ahora mismo la web de localbitcoins no funciona...

Lo mismo que ha dicho roterdam, envíales tu historial de navegación no solo de ese día sino de uno ó dos días antes.

Y comprueba tu mismo que no hayas accedido a ninguna pagina extraña parte del phishing de los días posteriores fue con este enlace:

hxxp://localbit.5gbfree.com/login/

(entre otros)


 Si no ha ocurrido con phishing es su responsabilidad....si ha sido con la web falsa difícilmente recuperes algo.

si fue mediante phishing deberias de ver en tu historial de navegacion que accediste a una copia de la pagina de localbitcoins que no era la autentica, esto lo veras porque la direccion no es exactamente la misma (puede ser que no sea https sino http o en vez de localbitcoins.com sea localbicoins.com por ejemplo).
de todas maneras me resulata extraño, que haya sido de esta forma porque no se han oido mas casos de este tipo.
por si te sirve de consuelo yo creo que tu proceder fue apropiado con respecto a depositar los bitcoins ya que fue de una manera puntual para una cierta operacion.
de todas maneras creo que los de localbitcoins en este caso no han dado la talla, y echan un poco balones fuera.

Efectivamente sobre las 11 como dice elbill tenemos contestación, atraves de ambos soportes tanto atraves del español como del ingles.

En general en los dos atribuyen la causa a que la manera de acceder a mi cuenta teniendo activado el 2FA es mediante phishing.

Contestacion:

Hi,

I am sorry to hear about your misfortune with an account hack. I saw that you already received the log from the actions on your account, and it shows that the money were transferred by someone who had full login credentials along with the 2FA codes.

Regarding the database leak, that possibility is highly unlikely. First of all, the whole volume localbitcoins.com was running on was completely encrypted. Also, passwords are not stored in plaintext.

Seeing your several subsequent logins on the website, I consider it more likely that some kind of phishing method was used to access the account. However, I cannot say for sure, since we just have these log files.


El soporte español es algo mejor en mi opinion ya que me han facilitado las IPS desde el que se accedio , finalmente me dice que le haga saber si me llego un correo de phising.


Ahora el tema es como se yo que fue atraves de phising y como puedo desmostrarselo???

Si asi fuera espero que puedan reconocer su fallo tras robar mi correo de la base de datos y logre recuperar mis bitcoins ¿ o como lo veis?

Imagino tendre que revisar el correo.  

Todos los días entre las 11 y las 12 contestan a los mensajes. Si les escribes después de esa hora hay que esperar al día siguiente. Y ahora que hago memoria, tenía un ticket en Español de cuando tradujeron el sitio, y nunca me contestaron, pero sí al ticket en ingles que mande dos días después.

Así que yo creo no tienen soporte en Español, no se si me equivoco. 

La mayor fortaleza el bitcoin también es su mayor debilidad... El anonimato y descentralizado del mismo, también lo hace altamente inseguro. Lamentablemente no se puede fiar uno de nada, yo para hacer compra o venta de bitcoins lo hago todo en persona en el acto con notebook de por medio, así si intentan robarme al menos puedo pegarle a alguien jaja.

En mi caso envie los Bitcoins con los que iba a operar a lo largo del dia.Aunque para mi fuera una cantidad importante y cuantiosa en caso de perderla (aunque esto no me lo podia llegar a imaginar), no era la primera vez que realizaba una operacion así. Pensaba despues de llevar algo mas de un año utilizando Localbitcoins que estaban de manera segura, y mas cuando estaba utilizando como quien dice un "cold 2 factor authentification" .

Pero esta claro por lo visto que ya no te puedes fiar de nada.



Respecto a Localbitcoins, seguimos sin respuesta. Aunque esta tarde gracias a Roterdam he podido enviar un mensaje a soporte en ingles, del que espero tener respuesta en el dia de mañana o proximos.

No se si estan investigandolo y por eso no han contestado o la verdad es que no se que pensar ya.

Seguimos a la espera de novedades.

Un saludo