[PZ] [KRADZIEZ DANYCH, 25.03.2024] watch your bank account

[helmut kolpak]

* W przeciagu tygodnia od 18.03 do 25.03 wiele mieszkancow poludniowo-wschodniego Santos, zauwazylo na swoich kontach bankowych dziwne prosby o logowania. W dniach 23-25.03 na masowa skale doszlo do wykradniecia srodkow z wielu kont bankowych, za ktore kupowane byly kryptowaluty na kilku roznych gieldach (w szczegolnosci KuCoin). Dodatkowo w tych dniach, wlasciciele tych kont zaczynali otrzymywac rozne SMSy marketingowe czy polaczenia telefoniczne z nieznanych zrodel, czesto zagranicznych. Poszkodowani ludzie natychmiast zglaszali te zdarzenia do odpowiednich sluzb. Znaczna czesc kont, ktore padly ofiara 'ataku', nie byly dodatkowo zabezpieczone, a o ich 'bezpieczenstwo' dbaly jedynie PIN oraz hasla. Wstepne straty oszacowano na co najmniej kilkadziesiat tysiecy dolarow, a ofiar bylo kilkaset.

Edytowane 26 Marca 2025 przez antoine yn

[Mantra.]

**Gdy do Field Office Federal Bureau of Investigation trafiła sprawa na biurko przydzielono agentów do sprawy.**

((Pytania potem))

[supersaiyanslime]

**Federal Bureau of Investigation obralo sprawe jako mocny priorytet. W krotkim odstepie czasu rozpoczelo sie sledztwo.**

**1.1 - Czy metody ataku wskazuja na wykorzystanie wczesniej wykradzionych baz danych (np. stare wycieki, phishing, malware)?**
**1.2 Czy kradzieze srodkow mialy miejsce w okreslonych godzinach (np. nocnych), co mogloby sugerowac, z jakiej strefy czasowej dzialala grupa przestepcza?**
**1.3 Czy w dniach 18-25.03 na darkweb pojawily sie oferty sprzedazy danych logowania do bankow?**
**1.4 Czy istnieje mozliwosc, ze dane logowania byly przechwycone przez keyloggery lub falszywe strony bankowe?**

**2.1 Czy gieldy, na ktorych dokonano zakupu (szczegolnie KuCoin), udostepnily dane o adresach portfeli, na ktore poszly skradzione srodki?**
**2.2 Czy kryptowaluty kupowane przez przestepcow byly natychmiast przelewane na inne portfele lub miksery (np. tornado cash)?**
**2.3 Czy istnieja przypadki, gdzie srodki wrocily na konta bankowe? Jesli tak – do kogo nalezaly?**
**2.4 Czy ktorys z portfeli uzytych do przelewu byl wczesniej oznaczony jako podejrzany w bazach AML (anti-money laundering)?**
**2.5 Czy byly proby wyplaty gotowki w bankomatach lub przelewow na tradycyjne konta?**

**3.1 Czy operatorzy telekomunikacyjni byli w stanie przesledzić SMS-y i polaczenia przychodzace do ofiar?**
**3.2 Czy banki poszkodowanych klientow mialy wczesniej zglaszane problemy z bezpieczenstwem?**
**3.3 Czy sa podejrzenia, ze niektore numery telefonow ofiar zostaly przejete metoda SIM swappingu?**
**3.4 Czy banki wdrozyly dodatkowe srodki ochrony po tym incydencie (np. blokady transakcji na gieldy kryptowalut)?**

[helmut kolpak]

37 minut temu, supersaiyanslime napisał:

**Federal Bureau of Investigation obralo sprawe jako mocny priorytet. W krotkim odstepie czasu rozpoczelo sie sledztwo.**

**1.1 - Czy metody ataku wskazuja na wykorzystanie wczesniej wykradzionych baz danych (np. stare wycieki, phishing, malware)?**
**1.2 Czy kradzieze srodkow mialy miejsce w okreslonych godzinach (np. nocnych), co mogloby sugerowac, z jakiej strefy czasowej dzialala grupa przestepcza?**
**1.3 Czy w dniach 18-25.03 na darkweb pojawily sie oferty sprzedazy danych logowania do bankow?**
**1.4 Czy istnieje mozliwosc, ze dane logowania byly przechwycone przez keyloggery lub falszywe strony bankowe?**

**2.1 Czy gieldy, na ktorych dokonano zakupu (szczegolnie KuCoin), udostepnily dane o adresach portfeli, na ktore poszly skradzione srodki?**
**2.2 Czy kryptowaluty kupowane przez przestepcow byly natychmiast przelewane na inne portfele lub miksery (np. tornado cash)?**
**2.3 Czy istnieja przypadki, gdzie srodki wrocily na konta bankowe? Jesli tak – do kogo nalezaly?**
**2.4 Czy ktorys z portfeli uzytych do przelewu byl wczesniej oznaczony jako podejrzany w bazach AML (anti-money laundering)?**
**2.5 Czy byly proby wyplaty gotowki w bankomatach lub przelewow na tradycyjne konta?**

**3.1 Czy operatorzy telekomunikacyjni byli w stanie przesledzić SMS-y i polaczenia przychodzace do ofiar?**
**3.2 Czy banki poszkodowanych klientow mialy wczesniej zglaszane problemy z bezpieczenstwem?**
**3.3 Czy sa podejrzenia, ze niektore numery telefonow ofiar zostaly przejete metoda SIM swappingu?**
**3.4 Czy banki wdrozyly dodatkowe srodki ochrony po tym incydencie (np. blokady transakcji na gieldy kryptowalut)?**

* 1.1 na pewno dane musialy byc masowo wykradane, nie wszystkie konta mogly zostac znalezione w wiekszych leakach, zwlaszcza bankowych, gdzie sa wyzsze zabezpieczenia
1.2 srodki opuszczaly konta o roznych godzinach, najczesciej nocnych wedlug Pacific Daylight Time (PDT).
1.3 na pewno na licznych forach czy marketach funkcjonujacych w srodowiskach podziemnych w USA mozna bylo natrafic na liczne oferty dot. kont bankowych i zdumpowanych baz danych.
1.4 zawsze w takich sytuacjach taka istnieje

2.1 jezeli sluzby sie z nimi kontaktowali, pewnie tak - gieldy staraja sie minimalizowac jakiekolwiek problemy relacyjne z organami scigania, w miare chetnie z nimi wspolpracuja
2.2 tak, kupowane kryptowaluty byly przesylane godzinami na kilkanascie kolejnych, roznych kont, siec wyglada jak piramida; potrafily wrocic na KuCoin i zostac z innych portfeli przekonwertowane na XMR (monero), gdzie szly dalej, ale ring signatures XMR mocno komplikuja ich dalsze namierzanie
2.3 Nie.
2.4 Nie, portfele byly swieze, rejestrowane byly za pomoca normalnych procedur KYC na gieldach na rozne osoby.
2.5 Nie.

3.1 W 90% przypadkow to po prostu numery telefonow roznych call-center ze Stanów czy Europy, co sugerowaloby, ze dane ofiar byly sprzedawane firmom marketingowym z podziemia, ktore pchaly je dalej z zyskiem
3.2 Caly proces nie wygladal na bezposredni atak na systemy bankowe, czy wykorzystania luk w ich zabezpieczeniach ze strony wewnetrznej.
3.3 Mogloby tak byc.
3.4 Na pewno, banki wzmocnily pewnie kampanie marketingowe zwiazane z dodatkowym zabezpieczaniem swoich kont (np. poprzez weryfikacje dwuetapowe)

[Leanerek]

 

1.1 **W jaki sposób doszło do logowania na konta?**

Edytowane 1 Kwietnia 2025 przez Leanerek

[helmut kolpak]

W dniu 1.04.2025 o 22:54, Leanerek napisał:

 

1.1 **W jaki sposób doszło do logowania na konta?**

* 1.1 Wszystkie konta, ktore ucierpialy w ataku nie byly zabezpieczone niczym innym niz hasłem i ewentualnie PINem.

[Axonis]

 

**1. FBI zabezpieczyło część urządzeń poszkodowanych które trafiły do sekcji zajmującej się walką z cyberprzestępczością oraz przebadali dokładnie ruch sieciowy banku. Po dokładnym sprawdzeniu komputerów co można wykryć?
1.1 Jeżeli komputery zostały zhakowane to jakiego oprogramowania użyto i jak dokładnie trafiło ono na urządzenia?
1.1.1 Jeżeli zostało pobrane przez właścicieli komputerów to z jakiego źródła? Do kogo należały/należało?
1.2 W jaki sposób hakerzy przechwycili dane? Zostały one wysłane? Uzyskali zdalny dostęp?
1.2.1 Jeżeli zostały wysłane to gdzie trafiły?
1.2.2 Jeżeli uzyskali zdalny dostęp to do kogo należy IP z którego się połączyli?
2. FBI prześledziło każdy adres IP który logował się do banku za pomocą skradzionych kont.
2.1 Do kogo należą adresy IP?
2.2 Jeżeli dochodziło do logowań z różnych lokalizacji to dlaczego? Użyto jakiegoś oprogramowania? Jeżeli tak to jakiego?
3. Podczas ataku użyto sieci prywatnej czy publicznej?
3.1 Prywatnej - do kogo należy sieć?
3.2 Publicznej - do kogo należy sieć?
4. W jaki sposób haker nabył urządzenie/urządzenia których użył do przestępstwa? Został/y kupiony/e w sklepie czy z rynku wtórnego? A może zostały skradzione?
4.1 Jeżeli w sklepie to jakim?(duży sklep, mniejszy etc)
4.2 Jeżeli z rynku wtórnego to czy użyto jakiegoś serwisu do zakupu?
4.3 Jeżeli został skradziony to czy poprzedni właściciel zgłosił kradzież?
4.4 Czy urządzenie/a te uczestniczyły już w jakiś przestępstwach?**

 

Edytowane 3 Kwietnia 2025 przez Axonis

[helmut kolpak]

2 godziny temu, Axonis napisał:

 

**1. FBI zabezpieczyło część urządzeń poszkodowanych które trafiły do sekcji zajmującej się walką z cyberprzestępczością oraz przebadali dokładnie ruch sieciowy banku. Po dokładnym sprawdzeniu komputerów co można wykryć?
1.1 Jeżeli komputery zostały zhakowane to jakiego oprogramowania użyto i jak dokładnie trafiło ono na urządzenia?
1.1.1 Jeżeli zostało pobrane przez właścicieli komputerów to z jakiego źródła? Do kogo należały/należało?
1.2 W jaki sposób hakerzy przechwycili dane? Zostały one wysłane? Uzyskali zdalny dostęp?
1.2.1 Jeżeli zostały wysłane to gdzie trafiły?
1.2.2 Jeżeli uzyskali zdalny dostęp to do kogo należy IP z którego się połączyli?
2. FBI prześledziło każdy adres IP który logował się do banku za pomocą skradzionych kont.
2.1 Do kogo należą adresy IP?
2.2 Jeżeli dochodziło do logowań z różnych lokalizacji to dlaczego? Użyto jakiegoś oprogramowania? Jeżeli tak to jakiego?
3. Podczas ataku użyto sieci prywatnej czy publicznej?
3.1 Prywatnej - do kogo należy sieć?
3.2 Publicznej - do kogo należy sieć?
4. W jaki sposób haker nabył urządzenie/urządzenia których użył do przestępstwa? Został/y kupiony/e w sklepie czy z rynku wtórnego? A może zostały skradzione?
4.1 Jeżeli w sklepie to jakim?(duży sklep, mniejszy etc)
4.2 Jeżeli z rynku wtórnego to czy użyto jakiegoś serwisu do zakupu?
4.3 Jeżeli został skradziony to czy poprzedni właściciel zgłosił kradzież?
4.4 Czy urządzenie/a te uczestniczyły już w jakiś przestępstwach?**

 

* 1. komputery/urzadzenia ofiar, ktorym wykradziono srodki z kont nie zostaly zhakowane

2.1 Adresy nalezaly do roznych urzadzen sieciowych wielu ludzi czy scrapped adresow proxy, jezeli agenci odwiedziali ich osobiscie, ci czesto nie wiedzieli o co chodzi. To sklejki scrapow i masek sieciowych, ktore atakujacy wykorzystali z danych dostepnych w sieci, maskujac nimi faktyczne narzedzia ataku.
2.2 to co 2.1
2.3 to co 2.1
3.1 to co 2.1
3.2 to co 2.1
4. Jakie urzadzenia? Na co wpadli agenci?

[Leanerek]

**4. Część osób zgodziła się na zabezpieczenie swoich urządzeń przez FBI w obawie o problemy prawne.**
**FBI przeanalizowało ruch sieciowy w części lokalizacji**

1. Czy haker łączył się wcześniej z tymi urządzeniami?
2. Są jakieś anomalie w ruchu sieciowym które mogą pomóc w znalezieniu danych między faktyczną a fałszywą trasą?

[helmut kolpak]

2 godziny temu, Leanerek napisał:

**4. Część osób zgodziła się na zabezpieczenie swoich urządzeń przez FBI w obawie o problemy prawne.**
**FBI przeanalizowało ruch sieciowy w części lokalizacji**

1. Czy haker łączył się wcześniej z tymi urządzeniami?
2. Są jakieś anomalie w ruchu sieciowym które mogą pomóc w znalezieniu danych między faktyczną a fałszywą trasą?

1. Nie
2. 

Spoiler

W jednym z urzadzen, ktorego maska sieciowa i adres fizyczny zostaly wykorzystane kilkukrotnie do logowan na kilku roznych kontach bankowych zarejestrowano dziwne pingi, ktore moga wskazywac na to, ze wykorzystane do zamaskowania dzialan urzadzenia stanowily najprawdopodobniej exit node dla calego polaczenia. Operacje trwaly na 'fake-urzadzeniach' max kilka minut, a faktyczne logowania na konta bankowe, a nie cash-outy srodkow, byly szyfrowane przez siec TOR (i dochodzilo do tego j/w adresy proxy i webproxy, nie wykryto korzystania z sieci VPN), korzystajac z dynamic route, zmieniajacego sie co kilkanascie minut, nawet na europejskie lokalizacje (miedzy middle node a exit node)

Edytowane 4 Kwietnia 2025 przez antoine yn

[Axonis]

35 minut temu, antoine yn napisał:

1. Nie
2. 

  Ukryj zawartość

W jednym z urzadzen, ktorego maska sieciowa i adres fizyczny zostaly wykorzystane kilkukrotnie do logowan na kilku roznych kontach bankowych zarejestrowano dziwne pingi, ktore moga wskazywac na to, ze wykorzystane do zamaskowania dzialan urzadzenia stanowily najprawdopodobniej exit node dla calego polaczenia. Operacje trwaly na 'fake-urzadzeniach' max kilka minut, a faktyczne logowania na konta bankowe, a nie cash-outy srodkow, byly szyfrowane przez siec TOR (i dochodzilo do tego j/w adresy proxy i webproxy, nie wykryto korzystania z sieci VPN), korzystajac z dynamic route, zmieniajacego sie co kilkanascie minut, nawet na europejskie lokalizacje (miedzy middle node a exit node)

**exit nodem był TOR czy urządzenie?**

Edytowane 4 Kwietnia 2025 przez Axonis

[helmut kolpak]

Godzinę temu, Axonis napisał:

**exit nodem był TOR czy urządzenie?**

* urzadzenie na bazie node structure sieci TOR