Furto di 100 mila dollari di criptovalute: la vicenda è una lezione sulla sicurezza online

[Redazione di Hardware Upg]

Link alla notizia: https://www.hwupgrade.it/news/sicure...ine_82493.html

La vittima di un furto di criptovalute condivide su Medium la propria esperienza per sensibilizzare il pubblico a non sottovalutare le buone pratiche di sicurezza online

Click sul link per visualizzare la notizia.

[LukeIlBello]

ecco perchè viene creato il GDPR con regole precise e best practices tese ad eliminare tali eventualità
per tutti coloro che temono intrusioni e voglio essere in regola, possono contattarmi in pvt poichè coi miei soci ci occupiamo proprio di questo

[MikTaeTrioR]

GDPR è una mezza fuffa....con o senza regole GDPR questo attacco sarebbe riuscito lo stesso...
è sicuro non ci possa stare tranquilli, una doppia autenticazione come gauth lo avrebbe salvato.
L'hacker doveva avere anche l'accesso alla mail del malcapitato comunque, non mi stupirei se si scoprisse che si tratta di una persona vicina alla vittima.
poraccio

[rug22]

Quote:

Originariamente inviato da MikTaeTrioR

GDPR è una mezza fuffa....con o senza regole GDPR questo attacco sarebbe riuscito lo stesso...
è sicuro non ci possa stare tranquilli, una doppia autenticazione come gauth lo avrebbe salvato.
L'hacker doveva avere anche l'accesso alla mail del malcapitato comunque, non mi stupirei se si scoprisse che si tratta di una persona vicina alla vittima.
poraccio

Clonando la sim ti aggrappi, fai finta di aver dimenticato la password della mail, ti arriva il codice per sms e ciao ciao.

C'è modo di difendersi da questo tipo di attacco?

[lucusta]

Quote:

Originariamente inviato da MikTaeTrioR

GDPR è una mezza fuffa....con o senza regole GDPR questo attacco sarebbe riuscito lo stesso...
è sicuro non ci possa stare tranquilli, una doppia autenticazione come gauth lo avrebbe salvato.
L'hacker doveva avere anche l'accesso alla mail del malcapitato comunque, non mi stupirei se si scoprisse che si tratta di una persona vicina alla vittima.
poraccio

assolutamente non para da questi attacchi, ma almeno puoi chiedere il risarcimento danni all'operatore che ha fatto un porting grossolanamente o non ha protetto la sua rete di amministrazione adeguatamente (cosa che il malcapitato di questa storia farà sicuramente, anche se con ben poche speranze di riuscita, in america).

poi, che la pratica più sicura se hai un wallet da 100.000$ sarebbe quella di avere una SIM ed un device dedicato e non usato per altre cose (quindi con un numero in nessun elenco e dato a nessuno), facendolo diventare quindi una sicurezza HW, è la cosa più semplice... ma, come ha scritto il protagonista, è solo una delle tante cose che ha trascurato...

la sicurezza è una questione di mentalità...

[HSH]

l'autenticazione a due fattori.... non copre da sti probemi?

[Axios2006]

Quote:

Sono trascorsi quattro giorni dall'incidente e sono distrutto. Non ho fame, non ho sonno e il mio stato d'animo passa dall'ansia, al rimorso, all'imbarazzo".

Quindi... un engineer manager di una societa' di custodia criptovalute non spende 100$ per una sim piu' telefonino dedicati e sta' cosi' male per 100.000 $ persi?

Per curiosita'... il suo stipendio?

E se per disgrazia gli capitava qualcosa di un pelino piu' grave? Non oso immaginare le conseguenze...

A casa i ladri ti svaligiano il materasso, in banca tra tasse ed investimenti "sicuri" il capitale si riduce, le criptovalute le rubano con un click o si svalutano in pochi minuti...

[rug22]

Quote:

Originariamente inviato da HSH

l'autenticazione a due fattori.... non copre da sti probemi?

Quote:

Originariamente inviato da SGK

Ammetto di non essere molto ferrato su queste criptovalute (e fregature a quanto pare)...ma non ho capito una cosa...se ho 100.000 euro su un conto deposito, tralasciando per un attimo le varie protezioni e token che lo governano e che possono essere scavalcate, ma per trasferire i soldi da quel conto, ammesso che riescano ad entrare in possesso delle varie password e a clonare il numero di telefono per le operazioni dispositive, ma all'atto pratico cosa possono fare?
Trasferire i soldi dal conto deposito al conto principale dove inizialmente sono transitati e basta.
Qua si sono volatilizzati 100 mila dollari così facilmente?

Qui non è chiaro il tipo di attacco, io sono

Serve sapere solo email e numero di telefono.

Clono la sim, cambio la password all'email confermando il codice che arriverà per sms alla sim clonata, a questo punto cambio la password dell'exchange e arriverà un link all'email che ho già violato.
A quel punto posso tranquillamente spostare i btc su un altro wallet.

Paradossalmente l'autenticazione a due fattori lo ha fregato, se non l'avesse avuta l'attaccante non avrebbe potuto cambiare la password della mail.

Quote:

Originariamente inviato da Axios2006

Quindi... un engineer manager di una societa' di custodia criptovalute non spende 100$ per una sim piu' telefonino dedicati e sta' cosi' male per 100.000 $ persi?

Per curiosita'... il suo stipendio?

E se per disgrazia gli capitava qualcosa di un pelino piu' grave? Non oso immaginare le conseguenze...
A casa i ladri ti svaligiano il materasso, in banca tra tasse ed investimenti "sicuri" il capitale si riduce, le criptovalute le rubano con un click o si svalutano in pochi minuti...

Se faceva trading, ed è probabile, era obbligato a lasciarle sull'exchange, poco pratico tenerle su un cold wallet.
Del resto la cosa della doppia mail è un po' un casino.

Rinnovo la domanda, c'è qualche soluzione pe risolvere?
Google authenticator dovrebbe essere ok no?

[LSan83]

Quote:

Originariamente inviato da rug22

Rinnovo la domanda, c'è qualche soluzione pe risolvere?
Google authenticator dovrebbe essere ok no?

Google Authenticator (e qualunque generatore di password temporanee hardware) hanno un problema....

Se ti muore il cellulare improvvisamente, gauth non si trasferisce con il recupero dati di backup di Android e a quel punto o hai messo da parte la password di sicurezza per ogni singolo servizio associato al tuo gauth (generata alla conferma dell'associazione) oppure sei tagliato fuori dai tuoi propri account se non hai autentificazioni a due fattori ridondanti.

E' un mese che sto cercando di rientrare in un account dopo che mi è morto durante la ricarica il cellulare Android con Gauth e non trovo la password di sblocco

Di solito come secondo metodo di entrata si lascia appunto il proprio numero di cellulare che nel caso di clonazione/portabilità della sim ti si ritorce contro.

Bisognerebbe avere almeno due generatori hardware di password OTP, senza recupero via telefono, su ogni servizio.

[Bradiper]

Mi sembra di capire che sapevano comunque chi colpire e come...e comunque mi sembra da fessi non spendere 50/100 euro per metterne al sicuro 100.000.
Bo.. Certe cose le so pure io che sono ignorante in materia, mi stavo interessando al mondo bitcoin leggendo qua e là e la seconda cosa che ho fatto è stata andare a vedere cosa sono questi portafogli hardwsr. sembra quasi una fake news

[rug22]

Quote:

Originariamente inviato da LSan83

Google Authenticator (e qualunque generatore di password temporanee hardware) hanno un problema....

Se ti muore il cellulare improvvisamente, gauth non si trasferisce con il recupero dati di backup di Android e a quel punto o hai messo da parte la password di sicurezza per ogni singolo servizio associato al tuo gauth (generata alla conferma dell'associazione) oppure sei tagliato fuori dai tuoi propri account se non hai autentificazioni a due fattori ridondanti.

E' un mese che sto cercando di rientrare in un account dopo che mi è morto durante la ricarica il cellulare Android con Gauth e non trovo la password di sblocco

Di solito come secondo metodo di entrata si lascia appunto il proprio numero di cellulare che nel caso di clonazione/portabilità della sim ti si ritorce contro.

Bisognerebbe avere almeno due generatori hardware di password OTP, senza recupero via telefono, su ogni servizio.

Che tipo di account era se posso saperlo?

Anyway, il tizio doveva avere gmail, con hotmail c'è una opzione sconosciuta ai più, opzione che non ho mai trovato su gmail.
Un codice di 25 cifre,lo inserisci e bypassi tutte cose, ovviamente te lo devi segnare prima da qualche parte.

A seguito della news ho fatto l'autenticazione con due passaggi tramite app e ovviamente impostato una mail di backup, mail che non ha associato niente(telefono,altra mail) e che non ho mai dato a nessuno.

FIn quando le app otp son sicure non dovrebbero esserci problemi.

Avere una mail dedicata solo per le banche è di una scomodità unica.

Quote:

Originariamente inviato da Bradiper

Mi sembra di capire che sapevano comunque chi colpire e come...e comunque mi sembra da fessi non spendere 50/100 euro per metterne al sicuro 100.000.
Bo.. Certe cose le so pure io che sono ignorante in materia, mi stavo interessando al mondo bitcoin leggendo qua e là e la seconda cosa che ho fatto è stata andare a vedere cosa sono questi portafogli hardwsr. sembra quasi una fake news

Molto probabile che sia un suo conoscente.
Il wallet hardware è carino, ma basta un cold wallet con electrum.
Se però hai trading, sei costretto a tenerle sull'exchange.

[LSan83]

Quote:

Originariamente inviato da rug22

Che tipo di account era se posso saperlo?

Un account per un servizio CDN. Una bella rogna, non ho più accesso alle configurazioni per i domini associati. Ero tranquillo con Gauth e mi è morto durante la ricarica uno smartphone top di gamma con meno di 6 mesi di vita. Non trovo più dove ho salvato il codice di disattivazione dell'associazione Servizio-Gauth.

Quote:

Anyway, il tizio doveva avere gmail, con hotmail c'è una opzione sconosciuta ai più, opzione che non ho mai trovato su gmail.
Un codice di 25 cifre,lo inserisci e bypassi tutte cose, ovviamente te lo devi segnare prima da qualche parte.

Non lo avrebbe protetto comunque, gli hanno sottratto il controllo della sua sim telefonica.

Quote:

A seguito della news ho fatto l'autenticazione con due passaggi tramite app e ovviamente impostato una mail di backup, mail che non ha associato niente(telefono,altra mail) e che non ho mai dato a nessuno.

FIn quando le app otp son sicure non dovrebbero esserci problemi.

Avere una mail dedicata solo per le banche è di una scomodità unica.

Non fare affidamento a app OTP su un solo tablet/smartphone. Non sai mai quando smette di funzionare lasciandoti a piedi. La mail di backup non è sicura, persino Google è stata appena beccata a conservare le nostre password in chiaro....

[rug22]

Quote:

Originariamente inviato da LSan83

Un account per un servizio CDN. Una bella rogna, non ho più accesso alle configurazioni per i domini associati. Ero tranquillo con Gauth e mi è morto durante la ricarica uno smartphone top di gamma con meno di 6 mesi di vita. Non trovo più dove ho salvato il codice di disattivazione dell'associazione Servizio-Gauth.

Fortuna che io questi codici me li salvo sempre, cifrati, ma me li salvo.

Quote:

Originariamente inviato da LSan83

Non lo avrebbe protetto comunque, gli hanno sottratto il controllo della sua sim telefonica.

Si si, ho capito perfettamente come hanno attaccato il suo account.

Però con il codice hai la possibilità di accedere alla mail anche se non conosci la password, levare la sim come metodo di verifica, cambiare la password e penso far disconnettere tutti i dispositivi collegati.

Quote:

Originariamente inviato da LSan83

Non fare affidamento a app OTP su un solo tablet/smartphone. Non sai mai quando smette di funzionare lasciandoti a piedi. La mail di backup non è sicura, persino Google è stata appena beccata a conservare le nostre password in chiaro....

Se la mail non la conosce nessuno, nessuno saprà mai che è collegata al mio account microsoft, quando dici che hai dimenticato la password non appare in chiaro l'indirizzo.

[nickname88]

Quote:

E' la dimostrazione di quanto l'innata pigrizia dell'essere umano sia spesso il motore che porta a scegliere una strada più semplice ma meno sicura. Una cosa che può accadere a tutti, nella vita di tutti i giorni: per "comodità" siamo portati a ritenere eccessivo un sistema di sicurezza ridondante, o magari a non mettere in atto misure più robuste semplicemente perché richiedono un minimo "sforzo" aggiuntivo.

La sintesi della società in cui viviamo.

[Gundam.75]

Io utilizzo un telefono solo per l'autenticazione a due passaggi. Un telefono non collegato ad internet, mail, whatsapp ecc. Ogni anno il 1 gennaio lo ricarico per non perdere il numero.

[rug22]

Quote:

Originariamente inviato da nickname88

La sintesi della società in cui viviamo.

Quote:

Originariamente inviato da Gundam.75

Io utilizzo un telefono solo per l'autenticazione a due passaggi. Un telefono non collegato ad internet, mail, whatsapp ecc. Ogni anno il 1 gennaio lo ricarico per non perdere il numero.

Posso tranquillamente dire che ci sarei cascato pure io con tutte le scarpe, non avevo la minima idea che il doppio accesso con il numero di telefono fosse il tallone di achille.

Che poi convenga avere un telefono non collegato a internet io ho i miei dubbi, cmq il numero lo devi fornire a parecchie società.

[DarkmanDestroyer]

ecco perchè col gpdr accedi alla tua banca con codice da smartphone...
poi se perdi/ti rubano lo smartphone azzi tuoi
ma tanto chi ti hackera, si e no abbiano 100€ a testa in banca >_> con tutti i soldi che ci mangiano...

[davide3112]

Leggendo tutti i post (e non solo questi) si evince una sola cosa, e cioè che non esiste un modo per essere dannatamente al sicuro. Ma questo lo si sà da un ble pezzo... in un modo o nell'altro lo sgamo esiste sempre. Anche la logica di blockchain doveva essere la panacea di tutti i mali, ma poi quanti milioni di dollari sono già stati fumati?... Anzi, proprio la registrazione distribuita s'è dimostrata essere un valido "untore" di codice malevolo.
Vuoi vedere che alla fine aveva ragione il nonno a fidarsi solo del materasso? Ah, no è vero, lo hanno fregato i topi...

[rug22]

Non vedo perchè rendere più facile la vita ai ladri.

Se vogliono riescono tranquillamente a buttarmi a terra la porta blindata, ma non per questo lascio la porta aperta.

A seconda dei frangenti è più sicura una singola password piuttosto che il doppio accesso con sms, sapendolo prendo qualche precauzione in più, non ci vedo niente di strano.

[TheQ.]

Dic il saggio: metti il tuo denalo in clicktosvalue che la Blockchain é più sicula delle banche.