Blev av med Bitcoin p.g.a. Malware - Varning

Permalänk
Medlem

Blev av med Bitcoin p.g.a. Malware - Varning

Hej! Jag skulle köpa lite bitcoin igår från coinbase o när jag ska skicka dom vidare kopierar jag mitt btc-konto, klistrar in i rutan o klickar skicka.

Pengarna kommer aldrig fram. När jag kollar send-historiken så ser jag att en annan adress matats in istället för min.

När jag kör lite virus o malware-skannar så upptäcker jag att jag har två st powershell öppna i processhanteraren som inte syns i aktivitetsfältet.

Vad som startade dessa har jag inte aning om men dom anropade mail-endpoint.com som verkar vara en farlig sida.

Så detta gjorde ont, och jag har lärt mig en läxa. Tänkte dela med mig till övriga intresserade.

Eventuella "skyll dig själv" osv. undanbedes. Tack

Rubrik förtydligad. // MOD
Permalänk
Medlem

Tråkigt. Hoppas det inte var en betydande summa pengar.

Permalänk
Medlem

Får man fråga vilken summa den handlade om?

Permalänk
Medlem

Hackers are hijacking copy and paste to steal millions of dollars in cryptocurrency
https://www.techradar.com/news/hackers-are-hijacking-copy-and...

Permalänk
Medlem

Hittade dina Antivirus det, eller var det manuellt du hittade det tillslut?

Permalänk
Medlem

Vet du hur du blev infekterad? Tankat något konstig cryptomojs?

Permalänk
Medlem

Väldigt tråkigt, beklagar. Men måste erkänna att jag fann det hela lite småfyndigt! Inte precis som att man validerar en lång textsträng man copypastat

Permalänk
Medlem
Skrivet av Ostbullen:

Väldigt tråkigt, beklagar. Men måste erkänna att jag fann det hela lite småfyndigt! Inte precis som att man validerar en lång textsträng man copypastat

Exakt det man bör göra! Har varit rekommendationen sedan dessa copy-paste-replacers dök upp (runt 2016 har jag för mig eller ännu tidigare). Samma med kontonr vid banköverföring, bör alltid dubbelkolla.

@frong misstänker TS har laddat ner en mining-klient från halvskum sida som hävdade 0% devfee. Så har det brukat gått till förut iallafall.

Permalänk
Medlem

Sofistikerad attack, svårt att upptäcka.
Vet att det finns folk som kör QubesOS (https://www.qubes-os.org/) för att minska risken för sådana attacker.
Tanken är att köra flera OS på samma gång i virtuella maskiner. Varav en dedikerad maskin kan används till endast bankärenden, isolerad för övrigt arbete. Alltså en maskin per uppgift eller typ av uppgift för att skapa isolation. Att switcha enkelt mellan olika maskiner skall vara en del av Qubes.

Permalänk
Medlem
Skrivet av cp_:

Sofistikerad attack, svårt att upptäcka.
Vet att det finns folk som kör QubesOS (https://www.qubes-os.org/) för att minska risken för sådana attacker.
Tanken är att köra flera OS på samma gång i virtuella maskiner. Varav en dedikerad maskin kan används till endast bankärenden, isolerad för övrigt arbete. Alltså en maskin per uppgift eller typ av uppgift för att skapa isolation. Att switcha enkelt mellan olika maskiner skall vara en del av Qubes.

Om jag inte missminner mig öppnar Qubes varje app som en isolerad sandbox. Finns ingen mening med att ha honeypot-os för att den du aktivt använder ska komma undan - de ska inte ha åtkomst till maskinen öht.

Oavsett så är det en bedrift i sig att bli infekterad på det här sättet. Inget som händer om du sitter bakom en brandvägg och inte laddar ner konstiga saker.

Permalänk
Hedersmedlem

Du får åtminstone glädja dig åt att ingen gammal FIAT-bank kan lägga sig i vem du skickar pengar till, eller stoppa / reversera en felaktig transaktion.

Frihet måste få kosta lite.

Permalänk
Medlem

Transaktionen går att spåra åtminstone. Kontakta Coinbase om detta så kan det svartlista mottagaradressen i framtiden. Har du tur så kanske du kan få dem tillbaks eller åtminstone hjälpa bedragarna att åka fast.

Permalänk
Medlem
Skrivet av Zeedarn:

Hittade dina Antivirus det, eller var det manuellt du hittade det tillslut?

Malwarebytes varnade om powershell.exe försökte öppna sidan.
Körde även avg och avast som inte sa nåt om powershell.

Windows egna system hade inga synpunkter. Alla mina system var säkra
Inkl. brandvägg osv.

Nu vet jag att inte windows säkerhet går att förlita sig på iaf. Jag har såklart mest migsjälv att skylla. Nån skit har ju uppenbarligen kommit in i datorn.

Jag har gjort många transaktioner i btc förr o det har aldrig hänt innan. Hade inte en enda aning om att det gick o göra ett sånt upplägg o blev ändå lite imponerad samtidigt som det var tråkigt att bli av med pengarna.

Permalänk
Medlem
Skrivet av Ostbullen:

Väldigt tråkigt, beklagar. Men måste erkänna att jag fann det hela lite småfyndigt! Inte precis som att man validerar en lång textsträng man copypastat

Bara jag som kollar allt 10 gånger om innan jag trycker "Skicka" på crypto? Så otroligt nojig, haha.

Skrivet av Aphex:

Du får åtminstone glädja dig åt att ingen gammal FIAT-bank kan lägga sig i vem du skickar pengar till, eller stoppa / reversera en felaktig transaktion.

Frihet måste få kosta lite.

Kan du visa hur jag drar tillbaka Swish-betalningar hos "gamla klassiska FIAT-banker"?

@thom.g Hade du gett en miner eller liknande högre rättigheter eller exkluderat i AV?

Permalänk
Hedersmedlem
Skrivet av frong:

Bara jag som kollar allt 10 gånger om innan jag trycker "Skicka" på crypto? Så otroligt nojig, haha.

Kan du visa hur jag drar tillbaka Swish-betalningar hos "gamla klassiska FIAT-banker"?

@thom.g Hade du gett en miner eller liknande högre rättigheter eller exkluderat i AV?

https://www.swedbank.se/privat/betala-och-overfora/reklamera-...

Permalänk
Medlem
Skrivet av frong:

Bara jag som kollar allt 10 gånger om innan jag trycker "Skicka" på crypto? Så otroligt nojig, haha.

Kan du visa hur jag drar tillbaka Swish-betalningar hos "gamla klassiska FIAT-banker"?

@thom.g Hade du gett en miner eller liknande högre rättigheter eller exkluderat i AV?

Nej har inte med mining att göra öht. Har inte haft några exkluderade säkerhetsrisker eller liknande.

Jag kommer ju att gå igenom detta supernoga framöver. Tänkte i min blåögda enfald att det var omöjligt att jag får in en sträng med bokstäver som är en rätt adress om det inte är den jag precis nyss kopierade.

Jag vet faktiskt inte vad för skit som orsakat detta. Kan jag kolla i några loggar vilket program som startade powershell vid ett klockslag?

Den enda skillnaden i installerade program som jag satt in sen jag köpte sist är ett som heter t-clock... tror jag iaf. Detta har jag rekommenderat åt andra också så jag hoppas verkligen inte det berodde på detta programmet...

Permalänk
Medlem
Skrivet av Ostbullen:

Väldigt tråkigt, beklagar. Men måste erkänna att jag fann det hela lite småfyndigt! Inte precis som att man validerar en lång textsträng man copypastat

Kör alltid första 4 och sista 4. Kräver så lite effort och ger en enormt mycket högre säkerhet.
Sen kör jag skiljd enhet helt och hållet.

Permalänk
Medlem
Skrivet av frong:

Bara jag som kollar allt 10 gånger om innan jag trycker "Skicka" på crypto? Så otroligt nojig, haha.

Nope, du är inte ensam, jag gör samma sak. Men det är kanske för att jag knappt krypto och är så oerfaren, kan tänka mig att de som gör/gjort hundratals/tusentals överföringar med kryptovalutor "slappnar av" efter ett tag - och "plötsligt händer det" fast inverterat.

Sorry TS, lider med dig. Hoppas att det inte var så stor summa iaf!

Permalänk
Medlem

Tycker synd om dig men jävlar vad fyndigt att ta över copy+paste funktionen genom malware. För mig som aldrig pysslat med crypto - hur långa strängar handlar det om som man kopierar och klistrar in? Är det 25 tecken eller 50? Måste vara fruktansvärt svårt att se att kodsträngen skiljer sig vid inklistring innan man klickar på Send.

Permalänk
Medlem
Skrivet av jompenleet:

Tycker synd om dig men jävlar vad fyndigt att ta över copy+paste funktionen genom malware. För mig som aldrig pysslat med crypto - hur långa strängar handlar det om som man kopierar och klistrar in? Är det 25 tecken eller 50? Måste vara fruktansvärt svårt att se att kodsträngen skiljer sig vid inklistring innan man klickar på Send.

Det kan vara allt från korta "human readable" adresser till långa strängar på över 100 karaktärer. Med tanke på hur kryptoadresser genereras är man dock väldigt safe om man kollar så början och slutet av adressen stämmer

Den här typen av virus/malware har tyvärr funnits i många år nu. Vet att redan när jag började med krypto för snart 10 år sedan fick jag lära mig att alltid dubbel- och trippelkolla adresser eftersom detta fanns redan då

(som redan nämnt i tråden används den här typen av malware även vid banköverföringar och liknande när man tror att man klistrar in en sak, men egentligen klistrar in något annat).

Permalänk
Medlem
Skrivet av PatrickP:

Den här typen av virus/malware har tyvärr funnits i många år nu. Vet att redan när jag började med krypto för snart 10 år sedan fick jag lära mig att alltid dubbel- och trippelkolla adresser eftersom detta fanns redan då

(som redan nämnt i tråden används den här typen av malware även vid banköverföringar och liknande när man tror att man klistrar in en sak, men egentligen klistrar in något annat).

Känns ju lite pinsamt att drabbas av nåt som varnats om i 10 år. Jag har aldrig hört om detta innan

Jag kollade adressen jag kopierade innan ja la den i sendrutan för jag inte ville ha med ett mellanslag på slutet, ifall det skulle störa ut nåt. Sen... ja ni vet resten.

EDIT: Hittade nu vad som hade orsakat mitt öde. Det var ett plugin till FL-studio som var infekterat som jag hämtat från en antagligen "dålig sida". Avast kunde hitta detta tillslut