Topic: Me han robado todos los bitcoins de mi cartera de Localbitcoins esta tarde-noche - page 5. (Read 11736 times)

No sé si será el caso, pero si no han entrado en tu mail, hay que descartar otras opciones.

Hay malware que intercepta la comunicación con la impresora, que por defecto no va encriptada por lo que para imprimir (o mejor aún, copiar a mano) una tarjeta de claves o una llave privada, debes hacerlo desde un equipo offline 100% seguro y con cable directo a la impresora. Nada de redes.

Las claves deben bajar a tu equipo infectado ya encriptadas. De ahí copias en archivo encriptado a un USB que te llevas a tu equipo offline. Ahí lo desencriptas y lo imprimes o copias. Mejor si tu equipo offline es linux.

Por desgracia el uso seguro de bitcoins por ahora sigue siendo algo complicado hasta que tengamos dispositivos adhoc fáciles de usar.

El problema de seguridad está en que si un hacker entra en el móvil en el que tienes Google Authenticator, se puede hacer con la semilla generadora de la cadena pseudoaleatoria de números de 2FA. A su vez, si el hacker te instala un keylogger en ese mismo móvil y tú te conectas a localbitcoins desde ahí, tendrá también acceso a tu contraseña. Con la semilla 2FA y con tu contraseña, ya tiene control absoluto de tu cuenta en localbitcoins.

Sin embargo, si en el móvil donde tienes instalado Google Authenticator no hay rastro de localbitcoins ni de la cuenta de correo electrónico que utilizas en localbitcoins, es prácticamente imposible que el atacante haga la asociación, y por tanto tu cuenta estará segura por lo que respecta a tu responsabilidad. Si cumples esos pasos y te han robado, podrías estar prácticamente seguro que localbitcoins habría sido hackeado.

Espero haber sido más claro...

Hola.

Esa IP es turismo PC, es también llamada la de localhost o lookback. Se suele usar para probar si te funcional el TCP/IP.
http://es.wikipedia.org/wiki/Localhost

Y siento mucho la situación EdukoBIT. Todo lo que ese relacionado con dinero, hace que se tenga que tener mucho cuidado y sobre todo, 1000 OJOS. Y aún así, te la cuelan.

Un abrazo.
Antuam

Como dije las tengo impresas en un papel.

Evidentemente imagino en la base de datos de Localbitcoins deben aparecer vinculadas a mi cuenta, y cuando fue hackeado puede que se robaran. Es lo unico que se me ocurre. No se que pensar ya la verdad.

El tema es que no se si habra mas casos o he sido el unico. De momento en el el foro español parece que si y buscando un poco por los ingleses pero no consigo ver nada...

La verdad que es muy raro. Yo ayer la deshabilité momentáneamente para cambiar la matriz de números por otra y para ello me pidió justamente el código que seguía (no recuerdo bien si iba por el 21 creo..)
Dónde tenías las cordenadas? impresas en un papel o grabadas en el disco? es alguien que tuvo acceso a tu hoja de coordenadas, estoy casi seguro.

He estado mirando, la actividad de mi correo y todas las conexiones, no hay ninguna conexion desde fuera o otro sitio que no sea mi ordenador y desde mi localización.

Asi que al menos a mi correo parece ser no se ha tenido acceso. No puedo explicarme entonces como alguien ha desabilitado la doble autentificación, si para poder desactivarla necesitas uno de los codigos que tengo impresos.

Alucinante....

Y nada de momento han pasado mas de 24h y seguimos sin noticias de Localbitcoins.

Gracias, lo voy a poner en práctica.
Otra pregunta, yo en el listado veo mi IP local que es fija, pero también veo siempre el IP 127.0.0.1 que está siempre presente. ¿qué es esa dirección?

2) 2FA real. Es decir, NUNCA te conectes a localbitcoins desde el móvil donde tienes Google Authenticator, y  que no haya ninguna referencia en ese móvil a localbitcoins o al correo que utilizas en localbitcoins.

Si cumples esos dos pasos a rajatabla, y te roban, puedes estar casi seguro que la web ha sido comprometida, aunque tengas todos tus dispositivos llenos de virus.

podrias explicar esto del mismo dispositivo mas tecnicamente (donde podria estar el fallo de seguridad)?
me resulta interesante

Diría que es seguro si cumples dos condiciones a rajatabla.

1) Contraseña segura, suficientemente larga, que no utilices en ninguna otra web.
2) 2FA real. Es decir, NUNCA te conectes a localbitcoins desde el móvil donde tienes Google Authenticator, y  que no haya ninguna referencia en ese móvil a localbitcoins o al correo que utilizas en localbitcoins.

Si cumples esos dos pasos a rajatabla, y te roban, puedes estar casi seguro que la web ha sido comprometida, aunque tengas todos tus dispositivos llenos de virus.

si usas  gmail vete a: cuenta - seguridad- actividad reciente
y ahi te saldra todas las ips que se conectaron a tu correo

tambien me parce muy importante el tema del sistema operativo (aunque en este caso parece que no vienen por ahi los tiros), yo me decantaria por una opcion basada en linux para mi hoy por hoy windows y bitcoin son polos opuestos.

El problema no es que sea grave, el problema es que no lo sabes. Es fundamental conocer nuestro sistema para saber lo que es normal y anormal, y detectar algo raro cuando ocurre. Sí, ya sé que no podemos pedirles eso a nuestros padres/abuelos.



O mejor aún, desactivar js en todas partes menos donde haga falta. Que es en muchos sitios .



Los 0day van a aparecer en cualquier versión, no solo en la última. Pero la última corrige todos los errores conocidos. Este me parece un mal consejo.



En 24 horas desde tu último mensaje dales cañita, que no se "olviden" ni lo "dejen pasar".

Buenas de nuevo compañeros, acabo de llegar de poner la denuncia en la Policia Nacional, ya que en la G.Civil me han dicho que en mi caso era quien se ocuparia de ella, ya que cuentan con una unidad de Delicuencia Economica y Telematica.

Primero de todo gracias por el apoyo pues para mi ha sido un duro golpe despues de perder los fondos en Mtgox en su dia. Ahora haya recibido un golpe mayor, ya que he perdido mas bitcoins que en mtgox. Asi que la verdad es que cuesta mantenerse igual de animado.

He estado mirando lo que comentabas elbill pero no me salen tantas conexiones como a ti o con direcciones largas y que ponga conexion establecida. Tampoco entiendo muy bien sobre este tema aunque lo mirare.

Respecto a lo que comentas Jaime, no he recibido ninguna advertencia de mi correo en este caso uso Gmail acerca de que hayan intentado entrar a mi correo o algo parecido.

Y sobre las recomendaciones que planteas, gracias, voy a intentar aplicarlas todas las que propones para mejorar la seguridad.

PD: Sigo a la espera de una respuesta por parte de Localbitcoins, no se si estaran investigando el caso o que, pero todavia no se han pronunciado al respecto. En cuanto me digan cosas lo hare saber.

Un saludo

Lo siento por lo que ha sucedido. Recientemente ha habido un aumento de este tipo de fraude. l'autenticacion de doble factor/antivirus por desgracia no es suficiente para dormir tranquilo  

Como ya te han sugerido, lo mas probable es que entraran en tu email y luego se hicieran con tu cta. de Localbitcoins. Después te contactaron para que rellenaras tu wallet y asunto concluido. Una putada.


Recomendaciones (para todos):

1) Qué password usabas en Localbitcoins y en tu email.
   el mismo o poco seguros > mal
   distintos e imposibles de averiguar (>12 caracteres sin palabras de diccionario) > bien

2) Qué servicio de email usas y si usas 2FA ahí también.
    - gmail con 2FA > bien
    - todo lo demás > ojo, tienes que saber muy bien lo que haces

3) Cuando visites sitios relacionados con bitcoin, Javascript desactivado. Crea un usuario en Chrome sólo para eso y configúralo.

4) Si tienes IP fija y/o si tu router es vulnerable, deberías navegar con Tor

5) No instales nada más que aplicaciones open source después de haber verificado los hashes y la firma del desarrollador. Si tuvieras que instalar otra cosa, pásalo antes por Virustotal y a ser posible nunca instales una versión muy reciente (para que de tiempo a que los zero-day salgan a flote).

@principiante

Si claro, el netstat te lista las conexiones del equipo, con -ano vemos las conexiones y puertos a la escucha, y el proceso (PID) involucrado. Y luego con tasklist comprobamos a qué proceso pertenece ese PID.


En la imagen que puse vemos que el proceso java esta conectado a 2 IPs a los puertos 13404 y 36653 de esas dos ips respectivamente (no mis puertos). Creo que las conexiones de skype que mencionas están dentro de lo normal, seguramente estén conectadas al puerto 443 (HTTPS/SSL), lo raro en mi caso es que se conectan a puertos muy inusuales, sin ninguna aplicación ejecutándose, y que ademas he tenido esos incidentes en los que google te avisa que alguien ha intentado loguearse desde un sitio inusual.


Creo que es importante controlar periódicamente estas cosas porque como digo no detecta nada ni el Kaspersky, ni el Nod. Aunque creo que el caso de edukobit por lo que menciona de la doble autentificación puede que sea problema de localbitcoins y no de su PC.

Qué buen dato que aportas elbill !!

Me sumo a la consulta de Principiante.

Hola elbill, disculpá mi ignorancia: si tenes un minuto y ganas, me explicas un poco que es esa pantalla?
¿el comando netstat te lista todas las conexiones actuales verdad?
esos 2 IPs que se ven, del pid de java abrieron los puertos 13404 y 37653 respectivamente en forma automática? acceden a tu router y los abren? como es eso?

Yo intenté hacer una muestra como la tuya y veo que el skype, en mi caso el pid 2420 se conecta como con 10 o 12 IPs distintas, eso es grave?

Gracias y disculpa si estoy preguntando una estupides.

Ánimo y denuncia, eso está claro. Una pregunta ¿la url del Localbitcoins que usaste ese día -que tienes que tener en tu histórico del navegador- es la de Localbitcoins? sería lo primero a comprobar, quizá entraste o te redirigieron, a algún otro lado.

Te entiendo perfectamente y lo siento por ti, yo he tenido un incidente similar y de hecho lo tengo aunque lo solucionare en breve, he tenido una serie de intentos de login desde IPs de finlandia ó estados unidos, en mi correo personal, correo de empresa, mi cuenta blockchain, y seguramente también en localbitcoins aunque ellos no avisan de esas cosas.

Afortunadamente siempre he considerado mi PC personal, zona hostil, y lo tienen difícil para robarme aún teniendo acceso a muchas cosas que creo que lo tienen. Este es un netstat -ano de ahora mismo del PC que estoy usando seguido de un tasklist para identificar el PID:





Como se puede ver Java esta permanentemente conectado a 2 IPs con puertos muy particulares y que ademas corresponden con nodos de Tor, señal de un troyano. Kaspersky no encuentra nada y Nod32 tampoco.  Y todo esto sin ejecutar ni el navegador.

Las causas?


No quiero mencionar a ninguna en particular pero cuidado con las monedas "de 2 generación 100% POS"... porque es lo único que instalado últimamente, aunque no se desde hace cuanto lleva eso ahí. Y supongo que de ser eso habría mas casos. Tampoco me preocupa porque uso más linux que windows y espero que no hayan tenido acceso a nada demasiado importante.


En tu caso concreto quizá sea por el hackeo a LB ó los numerosos intentos de phishing con emails falsos posteriores. Espero que asuman su responsabilidad si la tienen.


En fin, mucho animo edukobit.