Pages:
Author

Topic: Recompensa 10 BTC por ayudar en robo de bitcoin: - page 5. (Read 9223 times)

legendary
Activity: 1960
Merit: 1130
Truth will out!
Buenas Varmetric! Siento mucho lo sucedido tío y vamos a intentar ayudar un poco...
(Creo que he visto incidencias similares en otros foros así que voy a meterme a investigar porque la verdad son de muy mal gusto este tipo de "robos" y quiero ayudar)

Antes hay que dejar una cosa clara sobre el tema IP's en las transacciones:


Lo primero y que supongo que muchos habréis hecho es investigar en la blockchain como bien dices: https://blockchain.info/address/1EqSNkLecuKpxQnnbxjbyv369YmLJEdnht
Vamos a intentar aprovechar este comentario para desgranar un todas las cosas e ir dejándolo un poco más visual:

(Esta imagen se correspondería al "transaction tree" de todo el movimiento que ha habido en esa cartera.
1º: Los 30 BTC entraron a las 13:01 del día 14. En cuestión de 2 horas hizo 2 transacciones (out)
  • 14.9999BTC
  • 15.0001BTC

La teoría de que han ido a BTC-e me cuesta de creer, pues habría muchos más inputs en una dirección de BTC-e tengo entendido. De todas formas, si fuera correcto y esta dirección (https://blockchain.info/address/16R14EH4v8A9GPXkAAP8gcMFBA8oxA8nbY) es de un scammer que lo manda a BTC-e estafando a la gente, esta es su cuenta en localbitcoins: https://localbitcoins.com/p/FX2btc/ Pese a todo, su última conexión es de hace 1 mes y 1 semana por lo que podria ser este usuario pero ya sabemos que con tus BTC no habría pasado nunca por Localbitcoins a comercializarlos, esta vez todo directo a BTC-e o su cartera.

Ahora quizá estaría bien que mandaras un mensaje a BTC-e preguntando por estas transacciones.
Evidentemente leyendo su política de privacidad no podrían facilitarte datos de ningún usuario o transacción efectuada en su exchange por lo que yo empezaría con una carta muy refinada preguntando por favor si tienen conocimiento de que esa transacción ha sido registrada en su exchange (explicándoles tu caso y todo lo que ha sucedido del robo) a ellos también les interesa luchar contra actividades fraudulentas en su exchange. A partir de ahí si fuera correcto y accedieran a contactar contigo es muy probable que te manden una respuesta afirmando que quieren colaborar contigo después de ver todas las pruebas.

Lo que sí está claro es que los movimientos del tío no eran casuales y yo no descartaría que los haya pasado por un BitcoinMixer para no dejar rastro y aquí si que termina la investigación porque habría un punto en el que las transacciones serían demasiado "cruzadas" y confusas para deliberar.

--

A partir de aquí analicemos un poco los correos electrónicos, nos citas que van a la URL: http://www.steddblue.com/index.php

Comprobando en VirusTotal parece que no es maliciosa pero si te fijas en el analizador Wepawet podria ser una "Suspicious site" https://www.virustotal.com/es/url/35d283ed1ae119520bddb672728dab56339f72ab8e360b6e9d7b0a2a6a901201/analysis/1403276421/

· Por lo tanto he vuelto a analizarla mediante otro sistema: http://wepawet.iseclab.org/view.php?hash=df5fac0587ea7bf42647fafd74d00e6f&t=1403276514&type=js y parece haber 1 pequeño problema benigno (es decir, sin gravedad alguna que probablemente sea problema de la web pero que para nada debería contener virus ni nada por el estilo)
Esto no nos delibera nada importante pero OJO! he hecho un whois y se me cita la siguiente información del propietario del dominio http://www.steddblue.com:
Quote
Registrant Name: carlos g****
Registrant Organization: SIRE***
Registrant Street: fray vicente ********* ****
Registrant City: le**
Registrant State/Province: Guana*****
Registrant Postal Code: 37***
Registrant Country: MX
Registrant Phone: +52.4772177***
Registrant Email: carlos*******@hotmail.com

No dejo datos en BTCTalk por si está prohibido pero si puedo poner el enlace de la página donde puedes verlos todos ya que es una página web pública en Internet:
http://whois.net/whois/steddblue.com

Por lo tanto, con estos datos ya tienes el propietario del dominio que enlaza la página web http://www.bitpays.com/wallet-downloads-rFinieshed.seam=

Ahora, analicemos el http://www.masted.org/download/index.php desde donde se descarga el archivo:
Quote
Registrant Name:Alfonso Felipe **** ******
Registrant Organization:Ninguna
Registrant Street: All**** 8, Col. Alta *****
Registrant City:Xochil*****
Registrant State/Province:Pue***
Registrant Postal Code:74***
Registrant Country:MX
Registrant Phone:+52.0000***** (parece que no lo pone. RECUERDO que es ilegal registrar dominios sin datos reales.
Registrant Email:afeli****@gmail.com
Tampoco dejo datos en BTCTalk por si está prohibido pero si puedo poner el enlace de la página donde puedes verlos todos (de esta segunda persona) ya que es una página web pública en Internet:
http://whois.net/whois/masted.org

P.D: Buscando el nombre de este chico damos a una posible página de about.me de un Mexicano con su mismo nombre. Docente de Universidad y al que por su perfil de Twitter una de sus aficiones es programar (no pongo link por si no es probable, en caso de necesidad privado - o si se puede poner notificadlo y lo paso sin ningún tipo de problema.

Entonces... como veis tenemos dos sospechosos más ya, propietarios de las páginas que te han forzado la descarga del archivo con el que teóricamente se te robaron los BTC.


Un saludo compañero, a ver si te sirve de ayuda, nos comentas y a seguir con la investigación. Esta gente no merece nada y mucho menos quedarse con BTC de la manera que lo han hecho porque todo viene desde un simple email pero mira como termina.
Disculpad por el "tocho" y si en algún momento me expreso mal, pero he empezado a analizarlo todo desde el principio y hasta que no he llegado al tema de los dominios y las personas "teóricamente" propietarias de lo que te han mandado no he parado. Es difícil obtener datos de alguien a partir de una dirección de BTC pero sí desde el sitio donde han querido atacarte  Wink

Veo que eres de México no? Lo digo por el tema de tu dirección de correo electrónico... entonces las cosas cuadran. Quizá un profesor de Universidad? Alguien que te conoce por alguna cosa de Internet?

No sé... se puede especular mucho pero sin duda creo que son buenos detalles.
Salu2!  Cheesy
legendary
Activity: 1260
Merit: 1003
Es que en BTC-E está la clave, ellos son los que podrían permitir continuar el hilo...


No estaría de más que creasen un programa de Bitcoin que registrase IPs y transacciones, si lo usase mucha gente podríamos seguir el rastro de algunos ladrones.
legendary
Activity: 1522
Merit: 1005
Tus Bitcoins salen de tu btc address:


14.9998 para aqui:
https://blockchain.info/es/tx/21b52da1316b42373ee156b219412d52df85da951f30f5b6f6a679143dcca954

Y esta es la que MUY probablemente va a parar en BTC-E como dijo el compañero antes! Pero

15BTC para aquí:

https://blockchain.info/es/tx/869d6c9ee00609cb3d21e21c44490449b115c72000ed1fe04aa20f1e60847677
(1JzA51EzejpSmH47jpVTyENeHb4KdkLa8b)
Y de ahí los 15 BTC se dividen, y 10BTC van para  aquí:

https://blockchain.info/es/tx/aa9b104ef9889f073d876fd8208b49813b2f3d20dddc98ec0f1f1b6d38c8e339
(1HC3dc4DubRat1P39YBBkwVRbph3ijbtPQ)

Y de esa dirección ya hay gente q "no se fía", o sea, ya hay sospechas...

Ademas esta entre las 100 direcciones con mas transacciones!
http://bitinfocharts.com/top-100-busiest_by_transactions-bitcoin-addresses.html

Y 4,9999BTC para aquí:
1Fa6yc2g3MmCSRf2eRZn4pWbuKmwosEXbb

Pero de ahí parece q las grandes transacciones convergen a: 1HC3dc4DubRat1P39YBBkwVRbph3ijbtPQ

Así que SUPONGO que esta dirección es la cartera del "culpable" por la sustracción de tus Bitcoins, o quizás de algún otro servicio que esta persona utilice.

Este tema me toca muy de cerca, pq también fue victima de una situación similar. por lo tanto seguiré "husmeando" por ahí a ver que logro ver.

Un saludo!
P.D.: Comentale a los de BTC-E a ver si se hizo alguna retirada de dinero a esta cuenta que te dije antes.
legendary
Activity: 1260
Merit: 1003
Las transacciones ladronas son estas:

https://blockchain.info/tx/869d6c9ee00609cb3d21e21c44490449b115c72000ed1fe04aa20f1e60847677
https://blockchain.info/tx/21b52da1316b42373ee156b219412d52df85da951f30f5b6f6a679143dcca954

Las posteriores ya son realizadas por los servicios web donde se depositó el dinero.

Sería fantástico poder ver de dónde se retransmitieron esas transacciones, aunque lo mismo son enviadas desde TOR.

Este hilo quizás esté relacionado:
https://bitcointalksearch.org/topic/m.7377515
legendary
Activity: 1260
Merit: 1003
sr. member
Activity: 246
Merit: 250
Hombre , amigo Hector me parece increible que te hayan robado de nuevo , sera casi imposible cojer al ladron , espero noticias tuyas campeon. Smiley

Y animos recuerda que los ultimos seran los que lo consigan.

He rastreado la IP que has citado 122.201.94.179 y nos lleva a Sydney Australia , complicado de pillar pero seguire buscando .

http://www.elhacker.net/geolocalizacion.html?host=122.201.94.179

Dirección IP 122.201.94.179
ASN Info

AS      | IP               | BGP Prefix          | CC | Registry | Allocated  | AS Name
9512    | 122.201.94.179   | 122.201.80.0/20     | AU | apnic    | 2006-10-27 | NETLOGISTICS-AU-AP Net Logistics Pty. Ltd.,AU
DNS 122.201.94.179
Pais Australia
Código de área New South Wales
Región Australia
Ciudad Sydney
Código ZIP -
Zona Horaria +10:
Ips vinculadas 122.201.94.179
 
Whois IP RFC-3912 % Joint Whois - whois.lacnic.net
% This server accepts single ASN, IPv4 or IPv6 queries

% APNIC resource: whois.apnic.net

% [whois.apnic.net]
% Whois data copyright terms http://www.apnic.net/db/dbcopyright.html

% Information related to '122.201.64.0 - 122.201.127.255'

inetnum: 122.201.64.0 - 122.201.127.255
netname: NETLOGISTICS
descr: Net Logistics Pty. Ltd.
descr: Web Hosting and Web Application Provider
descr: Sydney, NSW, Australia
country: AU
admin-c: NLN3-AP
tech-c: NLN3-AP
status: ALLOCATED PORTABLE
mnt-by: APNIC-HM
mnt-lower: MAINT-AU-NETLOGISTICS
remarks: This IP space is statically assigned
remarks: -+-+-+-+-+-+-+-+-+-+-+-++-+-+-+-+-+-+-+-+-+-+-+-+-+-+
remarks: This object can only be updated by APNIC hostmasters.
remarks: To update this object, please contact APNIC
remarks: hostmasters and include your organisation's account
remarks: name in the subject line.
remarks: -+-+-+-+-+-+-+-+-+-+-+-++-+-+-+-+-+-+-+-+-+-+-+-+-+-+
mnt-irt: IRT-NETLOGISTICS-AU
changed: [email protected] 20080926
changed: [email protected] 20100421
source: APNIC

irt: IRT-NETLOGISTICS-AU
address: P.O Box 514
address: Broadway NSW 2007
address: AUSTRALIA
e-mail: [email protected]
abuse-mailbox: [email protected]
admin-c: KR81-AP
tech-c: KR81-AP
auth: # Filtered
mnt-by: MAINT-AU-NETLOGISTICS
changed: [email protected] 20111123
source: APNIC

role: Net Logistics NOC
address: Suite 85, 330 Wattle St
address: Ultimo, NSW, 2007
country: AU
phone: +61-2-90433968
e-mail: [email protected]
admin-c: KR81-AP
tech-c: KR81-AP
nic-hdl: NLN3-AP
mnt-by: MAINT-AU-NETLOGISTICS
changed: [email protected] 20100420
source: APNIC

% This query was served by the APNIC Whois Service version 1.69.1-APNICv1r0

He encontrado mas informacion relativa a la estafa .

http://bitcoin-scam.blogspot.com.es/2013/11/bitcoin-team-scam.html
newbie
Activity: 28
Merit: 0
Os doy mas detalles, la cabecera del correo es:
Delivered-To: [email protected]
Received: by 10.216.209.198 with SMTP id s48csp795534weo;
        Sat, 14 Jun 2014 03:08:57 -0700 (PDT)
X-Received: by 10.66.248.228 with SMTP id yp4mr9875568pac.94.1402740536291;
        Sat, 14 Jun 2014 03:08:56 -0700 (PDT)
Return-Path: <[email protected]>
Received: from host.ozanimart.com ([122.201.94.179])
        by mx.google.com with ESMTPS id nx10si4845019pbb.197.2014.06.14.03.08.55
        for <[email protected]>
        (version=TLSv1 cipher=RC4-SHA bits=128/128);
        Sat, 14 Jun 2014 03:08:56 -0700 (PDT)
Received-SPF: none (google.com: [email protected] does not designate permitted sender hosts) client-ip=122.201.94.179;
Authentication-Results: mx.google.com;
       spf=neutral (google.com: [email protected] does not designate permitted sender hosts) [email protected]
Received: from nobody by host.ozanimart.com with local (Exim 4.77)
   (envelope-from <[email protected]>)
   id 1Wvktt-0008LS-5m
   for [email protected]; Sat, 14 Jun 2014 20:09:29 +1000
Date: Sat, 14 Jun 2014 20:09:29 +1000
To: [email protected]
From: noreplay <[email protected]>
Subject: welcome to wallet
Message-ID: <[email protected]>
X-Priority: 3
MIME-Version: 1.0
Content-Transfer-Encoding: quoted-printable
Content-Type: text/html; charset="us-ascii"
X-AntiAbuse: This header was added to track abuse, please include it with any abuse report
X-AntiAbuse: Primary Hostname - host.ozanimart.com
X-AntiAbuse: Original Domain - varmetric.co.uk
X-AntiAbuse: Originator/Caller UID/GID - [99 99] / [47 12]
X-AntiAbuse: Sender Address Domain - host.ozanimart.com


http://www.Bitpays.com/wallet-downloads-rFinieshed.seam=
?id=3Ddf5472208ef597f4f5762r81c34a4e7886a7bab5588752dbdewe908=
e11fe605700c8592ad5302
Que en realidad va a:
http://www.steddblue.com/index.php
Domain Name: STEDDBLUE.COM

Hace una redirección a www.masted.org/download/index.php que es donde ya descarga un archivo llamado BitPay-wallet-4ae23cea-062b-4609-8232-496b85fc5177.rar desde ese servidor.

Intuyo que estos servidores han sido atacados previamente y puestos ahí el invento.

Dentro de este archivo.rar hay un archivo .jar que ejecuta java y descarga de internet los siguientes archivos:
JNativeHook_9150172923394402403.dll
temporalito4067113274008559351okey.jar
temporalito4591708588922498270Explorer.exe

OJO, no abráis el .jad que os la lia!
legendary
Activity: 1260
Merit: 1003
Lo suyo sería ir a BTC-e y indicar la transacción donde iban los BTCs robados.

Si estos no son mala gente deberían como mínimo bloquear esa cuenta de forma temporal.
Estimados, el sábado 14 fui victima de un robo de 30 bitcoins:
https://blockchain.info/address/1EqSNkLecuKpxQnnbxjbyv369YmLJEdnht

El atacante utilizó un correo electrónico emulando bitpay con un enlace de backup de monedero. Como soy cliente de bitpay no sospeché nada y descargué el archivo, un .rar que ejecutó a su vez un .jad y descargó un .exe de internet que permitió al atacante tener control del pc. Debió llevarse el wallet.dat cifrado de bitcoin-qt y de algun modo accedió al caché del navegador y pudo deducir la contraseña que suelo usar. Abrió el monedero e hizo el robo.

Además entró en mi cuenta de btc-e y se llevó otros 283 LTC atesorados desde hace casi un año.

Es importante intentar que estas cosas tengan su castigo para disuadir futuros robos y que sepan que esto es rastreable y al final, alguien puede encontrarlo.

Quien logre identificar al ladrón y que su ayuda contribuya a recuperar los 30 BTC será recompensado!

Cualquier pregunta que tengáis iré respondiendo :-)

Muchas gracias!!
¿Puedes darnos todos los detalles posibles (del remitente) de ese correo?

Incluso si puedes, di de dónde se bajó el JAD y el EXE, a ver si es posible hacer algo.

PD1: Jamás uséis Java en el ordenador, si a caso lo necesitáis, emulad un ordenador virtual. A mi se me ha colado también mucha mierda por Java.
PD2: La contraseña de Bitcoin, siempre diferente a las demás, si hace falta la apuntáis en papel.
Mi recomendación para ese tipo de cantidades ya, es necesario utilizar algún sistema de cartera desconectada.
(...)
También es viable el uso de carteras de papel, con el saldo repartido entre diferentes direcciones, de modo que cuando queramos usar cierta cantidad no tengamos que exponer el total.
Es que de 30 BTC una buena idea es tener al menos 20 en papel como ahorros a largo plazo y los 10 restantes repartidos en carteras desconectadas (la mayor parte), carteras locales y carteras en línea / nube (la menor parte). El papel por supuesto guardado con cuidado y varias copias.
legendary
Activity: 1820
Merit: 1017
Lo primero decir, Varmetric, que lamento tu pérdida, y que ojalá tengas algún éxito en la búsqueda de los criminales, aunque no va a ser sencillo puesto que Bitcoin no favorece esto precisamente.

Mi recomendación para ese tipo de cantidades ya, es necesario utilizar algún sistema de cartera desconectada. Armory y Electrum, por ejemplo, permiten realizar esto. Éste método puede utilizarse instalando el sistema operativo en un LiveUSB que sea necesario arrancar (configurado sin conexión a la red o desconectando de la red el PC donde se ejecute) para firmar el pago de cualquier transacción de dicho monedero. Si no nos gusta la idea de tener que reiniciar nuestro ordenador de uso corriente, podemos adquirir una Raspberry Pi que es muy barata y, que siempre sin conexión (o reiniciándola con una distro que contenga nuestra cartera) actúe como dispositivo de almacenamiento en frío. También es viable el uso de carteras de papel, con el saldo repartido entre diferentes direcciones, de modo que cuando queramos usar cierta cantidad no tengamos que exponer el total.

Por lo que se viene observando, los sistemas de almacenamiento en caliente entrañan riesgos importantes frente a las cambiantes estrategias de acceso a éstas y riesgos de seguridad nuevos que experimentan nuestros sistemas operativos. Mi recomendación para cantidades importantes es usar Armory o Electrum en un sistema desconectado.
sr. member
Activity: 312
Merit: 254
Bueno, también decirte como consejo, aunque ya tarde, usar two-factor-authentication en btc-e y para el escritorio usar armory, sobre todo si tienes buenas cantidades de BTC, yo tengo a armory con la contraseña que requiere 16MB y lleva aproximadamente 0,77seg realizar cada try por fuerza bruta en mi ordenador, asi que tendrian para unos cuantos milenios, tambien usar keepas con http://keepass.info/help/v2/autotype_obfuscation.html  y usar una master key con unos cuantos de cientos de miles de pases sha256 Smiley

Seré un poco paranoico, pero de momento no me paso nada, además de cualquier adjunto de correo y similares abrirlo primero en una máquina virtual aislada para que no te de sustos como este.
"Se que al final todo mi modo paranoico se ira a la mierda por el hecho de usar windows y no linux pero bueno... ya llorare más adelante"
newbie
Activity: 13
Merit: 0
¿Qué calidad tenía la contraseña? ¿Crees que pudieron haber atacado el fichero por fuerza bruta? ¿O habrá tenido que ser con un keylogger o similar?

Dicho de otro modo. Si metes en google (o en duck duck go) la contraseña ¿aparece? ¿Es una palabra que puede salir en algún diccionario especializado? ¿O era de buena calidad? (con números, mayúsculas, minúsculas y signos especiales)
sr. member
Activity: 312
Merit: 254
No hay de qué, solo seguí un poco las transacciones y googlee las direcciones, yo no tengo mucho tiempo para dedicarme a ello, pero antes de dar los datos a comisaria intenta asegurarte de que es como te he dicho "no sea que me este confundiendo, que lo hice un poco rápido"
Mucha suerte y ya nos dirás  Wink
newbie
Activity: 28
Merit: 0
Hola lopalcar!

Muchas gracias por tu investigación. Voy a abrir un ticket en btc-e porque soy buen cliente de ellos, además entraron en mi cuenta de btc-e y se llevaron los 283 LTC.

Tengo interpuesta una denuncia en comisaría y estoy a la espera de que me llamen los de delitos telemáticos y aportaré este dato adicional. Si btc-e no me da el dato, seguro que al comisario si!

Los 10 BTC mejores invertidos serán para premiar a los que me estáis ayudando a localizar a este sujeto.

Y OJO, cuidado con los correos que lo están sofisticando mucho. En mi caso al abrir el enlace descarga un rar y dentro de él hay una carpeta con un jad (ejecutable de java) y que el winrar abrió de manera automática. Aparentemente no hace nada pero se lleva los wallet, los archivos caché del navegador y puede que monitorice el pc y capture teclas o similar porque dar con la contraseña del wallet es interesante saber como lo ha hecho (y entrar en cex.io, btc-e...)

Muy divertido, si señor. Cuando tenga más info lo voy publicando.

En cuanto a mi cuenta de bitcointalk, tenía una pero hace mucho que no entraba y supongo que borraron la cuenta.

Gracias a todos!!
sr. member
Activity: 312
Merit: 254
Mira, acabo de mirar a donde fueron tus bitcoins y por lo visto las han mando a BTC-e, al menos la mitad de ellas, vi que acaban junto con otras en esta direccion: https://blockchain.info/address/16R14EH4v8A9GPXkAAP8gcMFBA8oxA8nbY que dicen aquí que es la cuenta de BTC-e https://localbitcoins.com/forums/#!/general-discussion#16r14eh4v8a9gpxkaap8gcmfba8
Las otras, se van dividiendo a otras direcciones pero me da mi que tb van a un exchange, puedes tratar de seguir y preguntar a BTC-e por esta transaccion que tiene pinta de ser la que va de tu cuenta a la del ladron 21b52da1316b42373ee156b219412d52df85da951f30f5b6f6a679143dcca954 y luego ya automaticamente van a la cartera grande de btc-e

Muy chungo lo veo pero bueno jeje quien sabe, quizá los rusos de btc-e tengan el día amable y te hagan caso (o quizá todo lo que te dije está mal xk nunca me puse a hacer estas cosas  Lips sealed )
Tu prueba a ver, pero por lo que he visto no eres el único que sus bitcoins acaban en esa cuenta
newbie
Activity: 13
Merit: 0
Vaya palo, lo siento mucho. Espero que se pueda hacer algo, aunque supongo que será muy difícil :-(

No se si he entendido bien el ataque. Hiciste clic en un enlace que venía en un correo y luego.... ¿descomprimiste el .rar, ejecutaste el .jad e hiciste clic sobre el .exe? ¿O solo hiciste clic en el enlace y todo lo demás fue automático?
legendary
Activity: 1092
Merit: 1021
Primero post en btctalk, te han robado tambien el account? Roll Eyes
newbie
Activity: 28
Merit: 0
Estimados, el sábado 14 fui victima de un robo de 30 bitcoins:
https://blockchain.info/address/1EqSNkLecuKpxQnnbxjbyv369YmLJEdnht

El atacante utilizó un correo electrónico emulando bitpay con un enlace de backup de monedero. Como soy cliente de bitpay no sospeché nada y descargué el archivo, un .rar que ejecutó a su vez un .jad y descargó un .exe de internet que permitió al atacante tener control del pc. Debió llevarse el wallet.dat cifrado de bitcoin-qt y de algun modo accedió al caché del navegador y pudo deducir la contraseña que suelo usar. Abrió el monedero e hizo el robo.

Además entró en mi cuenta de btc-e y se llevó otros 283 LTC atesorados desde hace casi un año.

Es importante intentar que estas cosas tengan su castigo para disuadir futuros robos y que sepan que esto es rastreable y al final, alguien puede encontrarlo.

Quien logre identificar al ladrón y que su ayuda contribuya a recuperar los 30 BTC será recompensado!

Cualquier pregunta que tengáis iré respondiendo :-)

Muchas gracias!!
Pages:
Jump to: