- 2,036
- 13,215
Theo các trang tin chia sẻ một vụ hack thành công “tiền ảo” Bitcoin - BTC sẽ phải trải qua 3 bước: lấy mã kích hoạt, rửa tiền và chuyển đổi sang tiền mặt. Để hiểu thêm, hôm nay chúng tôi xin chia sẻ blog của một hacker ẩn danh.
Câu chuyện của tôi bắt đầu năm 2013. Tôi là một hacker chuyên nghiệp. Tại thời điểm đó tôi làm việc toàn thời gian cho một công ty và dành thời gian rảnh thực hiện đánh cắp thông tin ngân hàng của nạn nhân và bán lại trên thị trường chợ đen. Công việc không quá tốt, tôi chỉ kiếm được khoảng 2000$/tháng. Tôi chủ yếu bán dữ liệu để đổi lại Liberty Reserve, một hệ thống thanh toán ẩn danh được sử dụng phổ biến bởi các hacker vào những năm 2013. Sau khi nhận được Liberty Reserve, tôi sẽ giao bán trên thị trường chợ đen và nhận tiền mặt tại địa điểm nhất định. Tuy nhiên điều không may xảy ra, khi FBI đã đánh sập Liberty Reserve vào cuối tháng 05/2013 (chi tiết tại vnexpress)
May mắn thay tôi đã rút hết tiền khỏi tài khoản trước đó vài ngày. Tuy nhiên tôi cần tìm một hệ thống thanh toán khác hoàn toàn ẩn danh để tiếp tục công việc của mình. Và đó là ngày, tôi biết tới Bitcoin.
Tôi mở ví điện tử đầu tiên tại Blockchain.info và nhận thanh toán bằng Bitcoin. Vào thời điểm này giá bitcoin rơi vào khoảng 80$ – 100$/ bitcoin. Để thanh toán và đổi ra tiền mặt, tôi đăng ký một thẻ Bitcoin debit ẩn danh.
Một phần quan trong trong công việc là ăn trộm địa chỉ email của khách hàng và thực hiện gửi thư giả mạo (phishing mail) đến các địa chỉ này nhằm dụ dỗ người dung cung cấp các thông tin cá nhân. Tôi thường lấy được các địa chỉ email này từ việc tấn công các website bằng kỹ thuật SQL injection
Đến giữ năm 2013, tôi có ý tưởng mới, tại sao mình không tấn công các website liên quan đến Bitcoin ? Tôi thật may mắn và hack thành công website đầu tiên với khoảng 100 người dùng. Điều ngạc nhiên, tất cả các thông tin cá nhân như địa chỉ email, mật khẩu, tên đăng nhập đều không được mã hóa. Tôi có thể nói đây là thời điểm sung sướng nhất cho bất kỳ hacker nào khi bạn không phải phá pass.
Vậy tôi làm gì với đống dữ liệu này? Kỹ thuật gửi thư giả mạo không phải là giải pháp tốt cho Bitcoin. Do đó điều đầu tiên tôi làm kiểm tra liệu người dùng sử dụng mật khẩu địa chỉ email giống như mật khẩu của website. Cuối cùng thì tôi đã tìm được 5 email sử dụng cùng mật khẩu. Như bạn biết đấy, việc tiếp theo chính là kiểm tra hòm thư đến của nạn nhân và tôi tìm thấy welcome email từ blockchain.info cho email đầu tiên. Thật không thể tin nổi .5 BTC. Đó là số tiền trong ví của nạn nhân. Tôi cảm thấy thật hạnh phúc khi đổi ra tiền khoàng 400$, trong khi công việc cũ tôi phải làm cả tuần để có được số đó. Vụ này làm tôi nhớ lại tại thời điểm 2013, bạn chỉ cần mật khẩu và tên người dùng để đăng nhập vào blockchain.info, không email xác nhận, không GUID.
Ví bitcoin của hacker
Tôi kiểm tra hết 5 tài khoản, một vài email không có gì thú vị. Và rồi 92 BTC – Wow, 100 BTC cho ngày đầu tiên. Tôi đăng ký 1 tài khoản trên localbitcoins.com và bán được khoảng 8000 USD. Bạn không thể tin được tôi đã kiểm được số tiền mà trước đây tôi mất 4 tháng chỉ trong một ngày.
Sau thành công đầu tay, tôi tiếp tục tấn công các website khác và tìm thông tin liệu nạn nhân ó sử dụng blockchain.info, localbitcoins.com, MTGox, BIPS, sau đó là nhiều website khác.
Trong một lần tấn công website tên bitcoinbuilder.com, tôi phát hiện thông tin chi tiết MTGox API của chủ sở hữu trong cơ sở dữ liệu. Tôi không thể tin vào mắt mình, 400 BTC trong tài khoản MTGox. Tuy nhiên tôi chỉ có MTGox API và không có mật khẩu email của anh ta. Giới hạn rút tại thời điểm đó của anh ta là 100 BTC một tháng. Do không có quyền truy cập vào email của anh ta nên tôi chỉ có thể lấy được 100BTC từ MTGox và 40 BTC từ Coinbase. Đó là cách tôi kiếm được 14000$ chỉ trong một lần tấn công website.
Tuy nhiên công việc trở lên khó khăn hơn khi các website bắt đầu sử dụng cái gọi là 2-FA và blockchain.info quyết đinh dùng GUIDs thay vì chỉ tên người dùng và mật khẩu. Tôi bắt đầu có ý tưởng tại sao không phát tán Trojan.
Câu hỏi được đặt ra là làm thế nào. Tôi bắt đầu tìm các lỗ hổng trên các website liên quan quan đến bitcoin có các phần mềm được phép download và tôi cũng tìm được vài trang, ví dụ như:
Trong những người download phần mềm với mã độc có một nhân viên của một sàn giao dịch tại Nga.Và khi anh ta đang lướt web, tôi thấy 33,000 $ trong tài khoản Btc-e. Tôi biết ngay là tôi phải lấy nó. Nhưng làm sao? Tôi phát hiện anh ta dùng xác nhân 2-FA, nên tôi đợi anh ta đăng nhập vào BTC-e, chặn máy của anh ta kết nối với server của Btc-e bằng file hosts, tạo website btc-e giả với yêu cầu nhập mã 2-FA. Về phía tôi, tôi đăng nhập tài khoản của anh ấy bằng việc sử dụng cookies, sử dụng máy anh ta như socks5. Sau đó tôi đổi 33000$ ra bitcoin và thực hiện thao tác rút tiền. Website giả mạo báo phiên làm việc của anh hết thời gian yêu cầu nhập lại 2-FA, và anh ta lấy điện thoại nhập 2-FA để tôi rút tiền. Và sau 5 phút tôi đã nhận được 33000$ trong tài khoản.
*Vncoinews không ủng hộ việc sử dụng các tiền ảo để thực hiên các hành vi phạm pháp. Chúng tôi chia sẻ bài viết này với mong muốn các nhà đầu tư sẽ chú trọng đến việc bảo mật tài khoản của mình.
>> Ví tiền điện tử bị hack và mất hết, Coin Trader Việt Nam nghi ngờ do dùng Wifi công cộng
Câu chuyện của tôi bắt đầu năm 2013. Tôi là một hacker chuyên nghiệp. Tại thời điểm đó tôi làm việc toàn thời gian cho một công ty và dành thời gian rảnh thực hiện đánh cắp thông tin ngân hàng của nạn nhân và bán lại trên thị trường chợ đen. Công việc không quá tốt, tôi chỉ kiếm được khoảng 2000$/tháng. Tôi chủ yếu bán dữ liệu để đổi lại Liberty Reserve, một hệ thống thanh toán ẩn danh được sử dụng phổ biến bởi các hacker vào những năm 2013. Sau khi nhận được Liberty Reserve, tôi sẽ giao bán trên thị trường chợ đen và nhận tiền mặt tại địa điểm nhất định. Tuy nhiên điều không may xảy ra, khi FBI đã đánh sập Liberty Reserve vào cuối tháng 05/2013 (chi tiết tại vnexpress)
May mắn thay tôi đã rút hết tiền khỏi tài khoản trước đó vài ngày. Tuy nhiên tôi cần tìm một hệ thống thanh toán khác hoàn toàn ẩn danh để tiếp tục công việc của mình. Và đó là ngày, tôi biết tới Bitcoin.
Tôi mở ví điện tử đầu tiên tại Blockchain.info và nhận thanh toán bằng Bitcoin. Vào thời điểm này giá bitcoin rơi vào khoảng 80$ – 100$/ bitcoin. Để thanh toán và đổi ra tiền mặt, tôi đăng ký một thẻ Bitcoin debit ẩn danh.
Một phần quan trong trong công việc là ăn trộm địa chỉ email của khách hàng và thực hiện gửi thư giả mạo (phishing mail) đến các địa chỉ này nhằm dụ dỗ người dung cung cấp các thông tin cá nhân. Tôi thường lấy được các địa chỉ email này từ việc tấn công các website bằng kỹ thuật SQL injection
Đến giữ năm 2013, tôi có ý tưởng mới, tại sao mình không tấn công các website liên quan đến Bitcoin ? Tôi thật may mắn và hack thành công website đầu tiên với khoảng 100 người dùng. Điều ngạc nhiên, tất cả các thông tin cá nhân như địa chỉ email, mật khẩu, tên đăng nhập đều không được mã hóa. Tôi có thể nói đây là thời điểm sung sướng nhất cho bất kỳ hacker nào khi bạn không phải phá pass.
Vậy tôi làm gì với đống dữ liệu này? Kỹ thuật gửi thư giả mạo không phải là giải pháp tốt cho Bitcoin. Do đó điều đầu tiên tôi làm kiểm tra liệu người dùng sử dụng mật khẩu địa chỉ email giống như mật khẩu của website. Cuối cùng thì tôi đã tìm được 5 email sử dụng cùng mật khẩu. Như bạn biết đấy, việc tiếp theo chính là kiểm tra hòm thư đến của nạn nhân và tôi tìm thấy welcome email từ blockchain.info cho email đầu tiên. Thật không thể tin nổi .5 BTC. Đó là số tiền trong ví của nạn nhân. Tôi cảm thấy thật hạnh phúc khi đổi ra tiền khoàng 400$, trong khi công việc cũ tôi phải làm cả tuần để có được số đó. Vụ này làm tôi nhớ lại tại thời điểm 2013, bạn chỉ cần mật khẩu và tên người dùng để đăng nhập vào blockchain.info, không email xác nhận, không GUID.
Ví bitcoin của hacker
Tôi kiểm tra hết 5 tài khoản, một vài email không có gì thú vị. Và rồi 92 BTC – Wow, 100 BTC cho ngày đầu tiên. Tôi đăng ký 1 tài khoản trên localbitcoins.com và bán được khoảng 8000 USD. Bạn không thể tin được tôi đã kiểm được số tiền mà trước đây tôi mất 4 tháng chỉ trong một ngày.
Sau thành công đầu tay, tôi tiếp tục tấn công các website khác và tìm thông tin liệu nạn nhân ó sử dụng blockchain.info, localbitcoins.com, MTGox, BIPS, sau đó là nhiều website khác.
Trong một lần tấn công website tên bitcoinbuilder.com, tôi phát hiện thông tin chi tiết MTGox API của chủ sở hữu trong cơ sở dữ liệu. Tôi không thể tin vào mắt mình, 400 BTC trong tài khoản MTGox. Tuy nhiên tôi chỉ có MTGox API và không có mật khẩu email của anh ta. Giới hạn rút tại thời điểm đó của anh ta là 100 BTC một tháng. Do không có quyền truy cập vào email của anh ta nên tôi chỉ có thể lấy được 100BTC từ MTGox và 40 BTC từ Coinbase. Đó là cách tôi kiếm được 14000$ chỉ trong một lần tấn công website.
Tuy nhiên công việc trở lên khó khăn hơn khi các website bắt đầu sử dụng cái gọi là 2-FA và blockchain.info quyết đinh dùng GUIDs thay vì chỉ tên người dùng và mật khẩu. Tôi bắt đầu có ý tưởng tại sao không phát tán Trojan.
Câu hỏi được đặt ra là làm thế nào. Tôi bắt đầu tìm các lỗ hổng trên các website liên quan quan đến bitcoin có các phần mềm được phép download và tôi cũng tìm được vài trang, ví dụ như:
Trong những người download phần mềm với mã độc có một nhân viên của một sàn giao dịch tại Nga.Và khi anh ta đang lướt web, tôi thấy 33,000 $ trong tài khoản Btc-e. Tôi biết ngay là tôi phải lấy nó. Nhưng làm sao? Tôi phát hiện anh ta dùng xác nhân 2-FA, nên tôi đợi anh ta đăng nhập vào BTC-e, chặn máy của anh ta kết nối với server của Btc-e bằng file hosts, tạo website btc-e giả với yêu cầu nhập mã 2-FA. Về phía tôi, tôi đăng nhập tài khoản của anh ấy bằng việc sử dụng cookies, sử dụng máy anh ta như socks5. Sau đó tôi đổi 33000$ ra bitcoin và thực hiện thao tác rút tiền. Website giả mạo báo phiên làm việc của anh hết thời gian yêu cầu nhập lại 2-FA, và anh ta lấy điện thoại nhập 2-FA để tôi rút tiền. Và sau 5 phút tôi đã nhận được 33000$ trong tài khoản.
*Vncoinews không ủng hộ việc sử dụng các tiền ảo để thực hiên các hành vi phạm pháp. Chúng tôi chia sẻ bài viết này với mong muốn các nhà đầu tư sẽ chú trọng đến việc bảo mật tài khoản của mình.
Theo Vncoinews
TraderViet xin cảm ơn Vncoinews vì đã có 1 bài cảnh báo cộng đồng bổ ích như trên
>> Ví tiền điện tử bị hack và mất hết, Coin Trader Việt Nam nghi ngờ do dùng Wifi công cộng
Giới thiệu sách Trading hay
Thực Hành Phân tích Fibonacci
Tác giả sách là cựu trader quản lý quỹ kiêm học giả CMT. Sách đoạt giải và được xuất bản bởi Bloomberg Press. Sách khái quát từ cơ bản đến chuyên sâu về FIbonacci Trading
1-1677731353.jpg)
Chỉnh sửa lần cuối bởi người điều hành:
Bài viết liên quan
