Mi Cuenta de Binance fue Hackeada

[KnarcK]

Esta tarde-noche estoy en modo paranoico:

https://es.gizmodo.com/explican-como-hackear-la-verificacion-en-dos-pasos-de-u-1770346758

Parece que por aquí pueden ir los tiros, esto explicaría como pasan el 2FA.

eso creo que no se aplica a los del google authenticator... a los del móvil por SMS sí porque quedan registrados...

coinbase debería cambiar los sms si no quiere tener futuros problemas...

 

[Hipocrates]

@gencio sobre linux comentarte que si bien a los que controlan de programación... le va mas por ejemplo Debían (es una roca una vez está todo instalado) te citaré el testimonio que leí de un programador de Debian. Decía algo así como lo que te cuento más abajo. Me gusto mucho porque yo usaba Debían pero a veces me vi en la obligación de usar Ubuntu. Siempre estaba la típica "batalla" que si este es mejor que el otro... que si es muy fácil de usar tanto uno como el otro...

"Yo soy programador y contribuyo con la comunidad de Debian. Uso Debian y me parece muy seguro y excelente pero mi novia no sabe absolutamente nada de código y a encontrado en Ubuntu un sistema operativo muy sencillo de utilizar y con el que a podido hacer todo como instalar cualquier programa mediante tienda de aplicaciones (gratuíta) con algunos simples click de ratón. Intentó usar Debian varias veces pero en algún punto se atascaba puesto que a veces (aunque sean cada vez menos) se requiere realizar alguna acción mediante línea de comandos. A mi me parecen acciones enormemente sencillas pero ella no tiene ningún interés en usar/aprender código y por tanto Ubuntu le encaja a la perfección".

Ubuntu tiene unos cuantos derivados. Yo para edición de video uso Ubuntu Studio. Comentar además que para minería Xubuntu es excelente porque la practica totalidad de los recursos del equipo son para minar y no para correr el sistema operativo. Y así podría citar más ejemplos puesto que los SO GNU/Linux son realmente buenos y eficientes en lo que hacen y ya no hace falta saber código para poder usar un ordenador para labores de ofimática, navegar y muchas otras.

 

[chopper mark]

Pedazo de putada,espero q no haya sido un bocado muy fuerte.

Lo que yo hago es tenerlo todo bastante repartido,tengo un telefono q me descargue con datos el AG,y luego retire la tarjera y jamas conecto ni wiffi,ni a otro portatil,incluso llego al punto ,q cuando meto la 2FA,la borro y cada vez meto los 16 digitos.(no se si sirve de algo o no)

Nunca entro en exanges x movil,ni correo relacionado.

Tengo un correo exclusivo para tema cripto.

Tengo un pc exclusivo para tema crypto,navego para temas noticias y este foro,y creo q ni lo voy hacer mas.

Otros dos dispositivos para descargas y navegar en general.

Tengo un teclado externo ,no se si tambien aunque lo desconecte me pueden copiar las contraseña?

Y como he leido el tama wiffi,xq deduzco q si descargo mierda con un pc,y se mete en el wiffi,me podran entrar en el otro pc limpio,?cable q te crio.

TAmbien voy a mirar lo del sistema operativo obuntu,soy muy paquete espero aclararme.

Algun sistema de correo mas recomendable q el outlook?Habia estado mirando RISEUP,q os parece?

No se si se os ocurre algo mas,xo gracias de ante mano.

 

[Hipocrates]

@dhormigo me a parecido muy muy interesante el artículo. Soy cliente de banca online desde el primer año que entro en la península el banco naranja... Me he encontrado de todo tipo de emails y comunicados... Por ese motivo, aunque el artículo hable del sistema de verificación en dos pasos vía SMS con el móvil quizás se podría hacer un paralelismo y llegar hasta el 2FA. Voy a ello:

Lo que se hacía con banca electrónica por parte de hackers era pedirle a los usuarios mediante emails falsos o webs clonadas que enviaran varias posiciones de su tarjeta de claves y se entiende que obteniendo varias posiciones, o intentaban el acceso varias veces hasta que se les pida una de las posiciones que ya tienen (creo que esto solo les funcionó al inicio) o que más tarde empezaron a aplicar algoritmos matemáticos con sus programas para descifrar las claves y así obtendrían el resto de posiciones de la tarjeta de claves.

Las tarjetas de claves son creadas por sistemas informáticos en función de unos parámetros configurados que podrán ser descifrados. Entonces llegó Google y no solo creó una "tarjeta" de múltiples claves virtuales sino que sólo te muestran una específica para cada aplicación y además caduca para pocos segundos. Por todo ello y sinceramente solo imaginándolo, si es que hay alguna posibilidad de descifrar las claves del 2FA sería cruzando datos entre las claves que se van generando para descifrar el o los algoritmos mediante los cuales se crean dichas claves. Pero, creo que esto podría resultar realmente difícil porque los algoritmos de la creación de las claves de esa APP de Google pueden estar configurados para incluso cambiar de manera aleatoria y constante o ser actualizados de forma periódica por los ingenieros de Google o con ordenadores de procesamiento cuántico, IA u otros sistemas que pueda tener un gigante lider tecnológico como es Google.

Pero, depende de como funcione la app 2FA (por construcción) se podría llegar a acceder a ella y sus códigos si se tiene acceso remoto al terminal que es lo que sucede cuando hablaban en el artículo de que cambiaban todos los accesos de favoritos del navegador. Al hacer clic en uno de ellos ejecutas la acción de otorgarle privilegios de acceso a una app que monitoriza tu terminal. Si no fuese Google daría por supuesto que los hackers lo hacen así ya que si las apps de Android (y las de iOS...) tienen "barra libre" para acceder a nuestra agenda de contactos, galería de imágenes, micrófono, cámara de fotos/vídeo ¿porque no iban a poder acceder a los datos de una aplicación? Tengo mis dudas porque siendo una APP de seguridad tiene que estar blindada de varias formas. No soy experto, por eso matizo que son hipótesis combinadas con algunas prácticas de las que me fui enterando.

 

[Merlin]

Pedazo de putada,espero q no haya sido un bocado muy fuerte.

Lo que yo hago es tenerlo todo bastante repartido,tengo un telefono q me descargue con datos el AG,y luego retire la tarjera y jamas conecto ni wiffi,ni a otro portatil,incluso llego al punto ,q cuando meto la 2FA,la borro y cada vez meto los 16 digitos.(no se si sirve de algo o no)

Nunca entro en exanges x movil,ni correo relacionado.

Tengo un correo exclusivo para tema cripto.

Tengo un pc exclusivo para tema crypto,navego para temas noticias y este foro,y creo q ni lo voy hacer mas.

Otros dos dispositivos para descargas y navegar en general.

Tengo un teclado externo ,no se si tambien aunque lo desconecte me pueden copiar las contraseña?

Y como he leido el tama wiffi,xq deduzco q si descargo mierda con un pc,y se mete en el wiffi,me podran entrar en el otro pc limpio,?cable q te crio.

Entro en Exchanges por PC y por móvil en casa y en el trabajo, tampoco nos podemos volver paranoicos. Se que corro riesgos pero si tengo que hacer alguna operación, la hago. Uso un antivirus, VPN, keyscrambler y en casa siempre uso mi propio router, no me gustan los de las compañías.

A veces sólo es cuestión de suerte, de mala suerte.

 

[chopper mark]

Para que me quede claro,si el movil,esta sin SIM.no tieen la clave del wiffi,ni nunca la tenido,y borro cada vez las claves,es imposioble q accedan remotamente,y q esa informacion se hay quedado en el telefono?....tengo 6 dispositivos,x el comedor,entre pc,moviles,tablet y ostias,me voy a piyar un tumor de kg,solo falta q me haken...

 

[Merlin]

Para que me quede claro,si el movil,esta sin SIM.no tieen la clave del wiffi,ni nunca la tenido,y borro cada vez las claves,es imposioble q accedan remotamente,y q esa informacion se hay quedado en el telefono?....tengo 6 dispositivos,x el comedor,entre pc,moviles,tablet y ostias,me voy a piyar un tumor de kg,solo falta q me haken...

Es que no funciona así, ellos lo que realmente hackean es tu cuenta de google, una vez hackeada te instalan una app de su creación a través de google play, y con esa app ya tienen el control de tu móvil.

 

[Hipocrates]

@chopper mark si ya tienes los diversos equipos esta muy bien pero eso por ejemplo se podría conseguir realizando 4 particiones en el disco duro. En la primera se instala Windows (si quieres). A continuación cuando instalas GNU/Linux se crean las otras... Y para acceder a criptos, después de pulsar el botón de encender te sale una pantalla que te da a elegir si inicia un sistema operativo u otro. Entonces inicias el pc con GNU/Linux para criptos y seguridad... y para otras actividades inicias con otro sistema operativo como puede ser windows si a la persona le encanta y/o no quiere cambiar. También se podrían instalar 5 SO diferentes si se quiere... o más. Otra opción es acceder al exchange mediante un sistema operativo exclusivo aislado/instalado en una máquina virtual... Opciones hay mil. Realmente no son tan complejas como pueden parecerle a quien nunca las hubiera podido oir.

Sobre lo del wifi, si tu ya tienes un archivo determinado en un disco duro, aunque aya pasado por el wifi no va a afectar a otro equipo con su propio disco duro porque más tarde se conecte a la red de internet mediante ese mismo wifi. Esto me refiero a una configuración convencional como la que se tiene si conectas dos portátiles a un wifi sin configurar nada más que meter la clave wifi.

Lo de las particiones y/o los diversos SO instalados te asegura que aunque una parte pueda estar infectada con algún toryano u otro código malicioso... la otra no se ve afectada. Hay particularidades/diferencias entre esto último de varias particiones y varios SO.

 

[chopper mark]

Es que no funciona así, ellos lo que realmente hackean es tu cuenta de google, una vez hackeada te instalan una app de su creación a través de google play, y con esa app ya tienen el control de tu móvil.

Si pero sin sim ,y sin conexion a internet,tu no puedes entrar en google play,entonces poco o nada t podras descargar,no?

Nuevo
Si los dispositivos ya los tenia,son de cuando franco era corneta,xo de todos modos,voy a intentar mejorarlo,con el sistema operativo,xo no creo q linux,xq por poc q temga q meter comandos ya me ovy a perde,y el correo electronico tambien lo veo interesante.

Nunca he tenido problemas,xo mas vale prevenir,q luego llorar.

 

[Hipocrates]

Q

Si pero sin sim ,y sin conexion a internet,tu no puedes entrar en google play,entonces poco o nada t podras descargar,no?

Nuevo
Si los dispositivos ya los tenia,son de cuando franco era corneta,xo de todos modos,voy a intentar mejorarlo,con el sistema operativo,xo no creo q linux,xq por poc q temga q meter comandos ya me ovy a perde,y el correo electronico tambien lo veo interesante.

Nunca he tenido problemas,xo mas vale prevenir,q luego llorar.

Detalle importante el que apuntaba @Merlin . Eso sería una forma de acceder a tu correo personal suponiendo que tu Android esté configurado con tu cuenta de correo real-habitual. Y también una forma de poder hackear todos tus dispositivos vinculado a una misma cuenta de Google. Yo los ejemplos que había puesto hasta ahora eran que te te meten en cubierta un código de acción que debes clickar/aceptar para otorgar privilegios. Un par de amigos informáticos en su día me explicaron que era la práctica más rápida/habitual y en los tiempos de Nokia y Symbian me lo hicieron pasándome un archivo por bluetooth. Pero es cierto que el artículo creo que comentaba también lo de las cuentas de Google que comentaba Merlín. Yo la cuenta de Google que vinculo al móvil me la invento/creo únicamente para ese dispositivo y nunca la uso para emails ni nada (uso otra de otro proveedor que considero más seguro). Lo hago así por costumbre/inercia de otras historias de privacidad, Big data...

Sobre lo de la sim, cortar conexión wifi... si te entiendo bien a lo que te refieres comentar que daría igual quitar la sim... como si apagas el teléfono y le quitas la batería. En Binance, tal y como está configurado si han conseguido entrar a tu cuenta del exchange da igual que el equipo móvil a continuación lo apagues como que desinstales el 2FA porque ya estaría dentro.

Rizando el rizo, Kucoin sería más seguro porque aunque estuvieran dentro de tu perfil como usuario autentificado necesitarían introducir el 2FA cada vez que quieran tradear y cada vez que quieran realizar una transferencia de criptos (no como en Binance que solo lo pide al inicio de sesión) y por tanto el sistema de cortar la conexión de internet del dispositivo móvil donde esté instalado el 2FA sería efectivo. Efectivo siempre y cuando no sea posible hackear la propia aplicación 2FA sino que solo sea "monitorizada" con tu equipo encendido y con conexión a la red al estar corriendo en tu dispositivo que está hackeado en conjunto.

Si que me asaltan las dudas sobre si la generación de las claves del 2FA no lo han podido descifrar de ningún modo y por tanto si metes el 2FA

 

[Hipocrates]

@chopper mark sobre instalar un Ubuntu en un equipo con Windows hay video tutoriales muy buenos en Youtube. Se hacen tipo siguiente, siguiente, introducir nobre de user y clave, siguiente suiente, esperar la instalación y listo. Me refiero a que no hay que introducir nada de nada de código. De allí el ejemplo de la novia del desarrollador de Debian. También se pueden usar instalados en un pen usb y al arrancar el ordenador inicia cargando el sistema operativo en la RAM del ordenador y no instala nada. Esto se suele usar así para hacer pruebas de compatibilidad del hardward de tu equipo o para llevar otros mini sistemas operativos en una micro sd o usb contigo siempre...

Bueno va, no me extiendo ya más pero me intriga mucho mucho como harán exactamente para saltarse el 2FA si viendo todo lo que hay en la pantalla del móvil o consiguen violar la seguridad de super Google.

 

[chopper mark]

Te entiendo ,hago igual creo un gmail inventado q solo uso para instalar AG,y ese q creo jamás uso,y sin internet ,ni sim (datos)no hay forma de entrar en el dispositivo,y para cambiar le código de 16 dígitos en el exange te pedirían el anterior,q no podrían sacarlo ,si lo tengo únicamente en papel,binance lo gasto más bien poco,los q uso te piden para hacer cualquier retiro 2Ap,aparte de la de entrar.y otra contraseña para tradear ,q no es la de inicio.

Toquemos madera ,y no tener ningún susto.

 

[Hipocrates]

Te entiendo ,hago igual creo un gmail inventado q solo uso para instalar AG,y ese q creo jamás uso,y sin internet ,ni sim (datos)no hay forma de entrar en el dispositivo,y para cambiar le código de 16 dígitos en el exange te pedirían el anterior,q no podrían sacarlo ,si lo tengo únicamente en papel,binance lo gasto más bien poco,los q uso te piden para hacer cualquier retiro 2Ap,aparte de la de entrar.y otra contraseña para tradear ,q no es la de inicio.

Toquemos madera ,y no tener ningún susto.

Vaya, me parece un muy buen sistema. Sencillo y efectivo. Comentar que en ese caso sería mucho más seguro introducir el código 2FA corto que caduca y será diferente cada vez que lo tienes que volver a introducir que no introducir el de 16 dígitos que podría ser "copiado-leído" cuando lo tecleas desde el equipo en el que accedes y como no cambia ya lo tendrían para usar sin límite de tiempo si el pc está infectado.

Me acabas de dar una idea excelente y casi infalible siendo sencilla y barata. No me acordaba de que el 2FA de Google no depende/necesita de conexión a internet. Si me instalo el generador de claves de 2FA de Google en un móvil viejo que ya no uso, con la prudencia de que esté recién reseteado de fábrica y nunca lo uso para acceder a internet de ninguna manera no puede ser ni hackeado ni monitorizado de ninguna manera. Ahora entiendo por donde ibas.

Un móvil u ordenador con sistema operativo blockchain como estos de Sirin sería una alternativa más "sibarita" El móvil te permite guardar tus criptos en wallet en frío y llevarlas contigo a todas partes. Con los años las podremos llevar en un chip implantado en la mano (ya hay millonetis que lo llevan así).

 

[chopper mark]

Claro ,estaré loco o se me escapa algo,,lo único con el paso de unos meses,al estar sin internet de ningún tipo tienes de reinstalarlo o actualizar xq pierde la hora y no te da la clave correcta.

Esos no los he visto xo hay unos q son una pasada creo q valen unos 6 Lucas,para ministros ,o militares de alto rango,q son totalmente encriptados ,ni Sitel ni ostias ,ahí sí q estas tranquilo,xo no tengo claro q se vendan tan fácil,incluso aquí en España no sé si es legal q lo tengas si no eres un cargo potente del estado.le falta la wallet

 

[_Gonzalo_]

seguridad de Binance recomendadas, la clave 2FA, verificación por correo y SMS

Tener habilitado la verificacion por correo y SMS es casi como que les des tu mismo las claves.
Una aplicacion Android no puede acceder a los datos de otra aplicacion excepto que las dos aplicaciones se comuniquen entre si, y no creo que Google Authenticator sea tan tonta de dar las claves 2FA a otras aplicaciones. Tambien se puede si tu telefono esta roteado y le das permisos de root a una aplicacion maliciosa. O si tu Andropid es antiguo, y la propia aplicacion maliciosa es quien rotea el telefono. Rootear es obtener acceso a root y root es el superusuario que tiene permisos para todo.
Se me ocurren distintos escenarios para entrar en Binance o en cualquier otro sitio.
1 - Estabas conectado a un punto wifi que pensabas que era el tuyo, pero en realidad es otro equipo que te desconecta y suplanta tu red para que te conectes a ella. Ya desde ahi solo habria que esperar a que te conectases a Binance para robarte la sesion sin necesidad ni de correo ni contraseña ni 2FA.
2 - Alguien tiene tu clave de wifi y puede ver tus comunicaciones, por lo tanto te robaria la sesion y de nuevo no hace falta correo, contraseña ni 2FA.
3 - Una aplicacion a suplantado a la app de Binance, esta es mas dificil.
4 - Una aplicacion en tu telefono tiene permisos para leer los SMS, entonces el atacante solicitaria el codigo SMS, pero aqui ya necesitaria saber tu correo y contraseña.
Puede haber 1000 posibilidades, pero creo que lo mas facil seria que una app para Android o una aplicacion para Windows, estuviese esperando a que te conectases para robarte la session.

https://es.gizmodo.com/explican-como-hackear-la-verificacion-en-dos-pasos-de-u-1770346758

Ahi no explican como saltarse el sistema 2FA. Mas bien enseñan que tener activada la autenticacion por SMS es un error.

 

[Merlin]

Tener habilitado la verificacion por correo y SMS es casi como que les des tu mismo las claves.
Una aplicacion Android no puede acceder a los datos de otra aplicacion excepto que las dos aplicaciones se comuniquen entre si, y no creo que Google Authenticator sea tan tonta de dar las claves 2FA a otras aplicaciones. Tambien se puede si tu telefono esta roteado y le das permisos de root a una aplicacion maliciosa. O si tu Andropid es antiguo, y la propia aplicacion maliciosa es quien rotea el telefono. Rootear es obtener acceso a root y root es el superusuario que tiene permisos para todo.
Se me ocurren distintos escenarios para entrar en Binance o en cualquier otro sitio.
1 - Estabas conectado a un punto wifi que pensabas que era el tuyo, pero en realidad es otro equipo que te desconecta y suplanta tu red para que te conectes a ella. Ya desde ahi solo habria que esperar a que te conectases a Binance para robarte la sesion sin necesidad ni de correo ni contraseña ni 2FA.
2 - Alguien tiene tu clave de wifi y puede ver tus comunicaciones, por lo tanto te robaria la sesion y de nuevo no hace falta correo, contraseña ni 2FA.
3 - Una aplicacion a suplantado a la app de Binance, esta es mas dificil.
4 - Una aplicacion en tu telefono tiene permisos para leer los SMS, entonces el atacante solicitaria el codigo SMS, pero aqui ya necesitaria saber tu correo y contraseña.
Puede haber 1000 posibilidades, pero creo que lo mas facil seria que una app para Android o una aplicacion para Windows, estuviese esperando a que te conectases para robarte la session.


Ahi no explican como saltarse el sistema 2FA. Mas bien enseñan que tener activada la autenticacion por SMS es un error.

El tema es que por mas vueltas que le doy, la única explicación que le encuentro es que tenían que tener control absoluto de su móvil. El código 2FA no sólo se pide para entrar en la cuenta, también se pide para los retiros, con lo que por mucho que te hayan robado la sesión tenían acceso a esos códigos también.

 

[KnarcK]

a ver si te han cogido el movil donde sea un momento y te han robao... podría ser un amigo o incluso un familiar..

estas cosas pasan bastante... no le digas a nadie que tienes criptos.. y menos que compras y vendes por el móvil..

que pocas luces tienen algunos macho

 

[alex_coin2018]

A mi por estas cosas no me gusta usar app binance por el movil yo prefiero siempre usar el pc de casa cuando tengo que operar con alguna moneda venta o compra veo algo delicado y movil siempre tiene más riesgo de ser hackeado creo yo.
De todos modos a mi por ejemplo hace poco me dio un error que no reconocía mi IP al entrar en binance quizás sea por que llevaba casi 2 meses sin entrar a saber suerte que desde el email lo pude restablecer.

 

[gencio]

a ver si te han cogido el movil donde sea un momento y te han robao... podría ser un amigo o incluso un familiar..

estas cosas pasan bastante... no le digas a nadie que tienes criptos.. y menos que compras y vendes por el móvil..

que pocas luces tienen algunos macho

Cuando sucedió el robo, el dispositivo en cuestión te puedo asegurar que nadie cercano pudo haber accedido a mi cuenta, es curioso pues en ese momento de la hora del hack no estaba conectado a ninguna red Wi-fi y ni si quiera tenia activada la itinerancia de datos, lo que quiero dejar claro que esto no fue planeado de un día para otro y no fue por un descuido que tuve ese mismo día. Lo más probable es que tenían acceso a parte de mis datos desde hacía ya un tiempo. Binance envía un correo al propietario de la cuenta si se efectua algún retiro o se utiliza una nueva IP para acceder a Binance, en ningún momento recibí notificación alguna de que así fuera. En Outlook existe la posibilidad de recuperar tus correos eliminados antes de 30 días, en el cuál no encontré ningún correo supuesta mente eliminado no si existe una opción de eliminar un correo permanentemente pero yo no la he encontrado.
Créeme que por lo que he leído cada uno tiene diferentes formas de proteger sus datos y creemos que estamos 100% seguros de que no nos van a robar, pero en este mundo como avanza la tecnología estamos expuestos todos a dar sobre-información sin ni siquiera darse uno mismo cuenta y yo no creo que lo que me ocurrió sea un caso único. @Hipocrates mencionaba más arriba el Bigdata y como nos afecta de manera directa a nosotros, el problema está que cuando esa información que podemos ofrecer a terceros no podemos tener control alguno de que harán con ese tipo de info, seguro que más de uno de ustedes le habrán llegado publicidad de empresas relacionadas con ICOS o de algún mercado de intercambio para que os registreis ya sea en un dispositivo movil o pc. ¿Sabemos realmente a que manos puede ir a parar todo ese tipo de información? quien sabe si terceros son los realmente se benefician de ello, para luego una vez almacenada esa información, desecharla y otros puedan aprovecharse de esos datos para acceder a tu cuenta y en tal caso planificar un ataque. A fin de cuentas puede parecer conspiratorio todo esto y que solamente pueden atacar a quienes descuidan sus cuentas y no saben donde están metidos y a que están expuestos, sinceramente no crea sea el único caso a parte de los youtubers.

 

[gencio]

A colación de este último post escrito, el mensaje que quiero intentar transmitir es que aunque pensemos que lo que hacemos está bien y que no tendría que porque ocurrir nada, pero que nunca está de más contar este tipo de experiencias no para solucionar mi problema en cuestión, sino para encontrar fallas y del alguna manera intentar encontrar soluciones para sellar esas fallas para que no vuelvan a ocurrir este tipo de casos, ya os digo que por mi parte he puesto mucho desempeño para que no me vuelva a ocurrir y a día de de hoy sigo investigando acerca de como mejorar mi seguridad frente a la red. Ya os digo que desde que me decidí compartir esto con ustedes me ha servido de mucho leer la mayoría de vuestros comentarios al respecto y aprender un poco más, estoy seguro que a más de uno también le ayudará para proteger sus datos y cryptos..