JAK (NIE) WPAŚĆ W RĘCE HAKERA - Moja Historia

in #polish6 years ago (edited)

image.png

Witaj Steemitowa Familio 🖐

Tydzień temu, dokładnie 7 Sierpnia moje konto zostało przejęte przez hakera. Niecały tydzień później, bo 13 Sierpnia z pomocą różnych użytkowników udało mi się je odzyskać. To zdarzenie dużo mnie nauczyło i poszerzyło pogląd na różne kwestie, w związku z czym postanowiłam podzielić się z Wami moim doświadczeniem.

W tym artykule opowiem Wam, w jaki sposób straciłam konto, co działo się z nim podczas jego przejęcia przez hakera, oraz opiszę proces odzyskiwania konta. Na końcu podzielę się z Wami moimi wnioskami, a w kolejnym poście pokażę, jak krok po kroku przejść przez proces odzyskiwania konta i podrzucę kilka ciekawych materiałów, dzięki którym zdobędziecie jasność w tym temacie i będziecie tą wiedzę mogli wykorzystać na swój, lub czyjś użytek.

Bez przedłużania, przejdźmy do tytułowego zdarzenia.

Tego pamiętnego dnia przeglądałam post jednej z użytkowniczek Steemita, która osiągnęła jedną z najwyższych możliwych reputacji na Steemit i cieszy się dużym zainteresowaniem wśród społeczności. Przeglądając komentarze, jeden rzucił mi się w oczy.

Brzmiał on następująco:

image.png

Niska reputacja przykuła moją uwagę, jednak nie podejrzewając podstępu założyłam, że oflagowana osoba zapewne nabroiła i zwracając uwagę na plagiat chce odbić się od dna. Autorka artykułu włożyła w niego wiele pracy, a mając tak wiele powiadomień na koncie mogłaby nie zauważyć tego komentarza, pomyślałam więc, że sprawdzę prawdziwość zarzutu i jeśli będzie on prawdziwy także zostawię komentarz, co w efekcie przykuje większą liczbę czytelników, a co za tym idzie i autorki.

Kliknęłam więc w link, który przekierował mnie do artykułu z rzekomym plagiatem. Czego nie zauważyłam, to to, że strona w nazwie posiadała ‘steemiz’ zamiast ‘steemit’. Reszta nie budziła zastrzeżeń. Typowy interfejs steemita – wielkie zielone logo w lewym górnym rogu, pośrodku post autora z reputacją 52 i ‘skradzione’ zdjęcie. Wyglądało to jak przewidywalny, bardzo tani plagiat. Jednak ten obraz zobaczyłam ledwie przez sekundę – nagle na środku ekranu pojawiło się okno proszące o zalogowanie się (wyglądające dokładnie tak samo, jak to, które używamy normalnie logując się na platformę). Nie raz i nie dwa miałam różne problemy z aplikacją bSteem czy Internetem w telefonie, pomyślałam więc, że straciłam połączenie internetowe, w związku z czym zostałam wylogowana.

Naturalnie więc ‘zalogowałam się’.

W tym momencie oddałam hakerowi swoje hasło…

Od tej chwili wydarzenia połączyły się szybko. Haker w pierwszej kolejności zmienił wszystkie moje klucze dostępu, następnie zrobił transfer wszelkich możliwych środków do jednego ze swoich kont oraz natychmiast zaczął wysyłać powyższej treści wiadomości do innych przypadkowych użytkowników. Sądzę, że strona ‘steemiz’, której używa/używał jest po prostu generatorem fałszywych postów, gdzie wystarczy wkleić skopiowane zdjęcie a reszta jest generowana automatycznie, ponieważ komentarze takie powiązane z ich sfałszowanymi odpowiednikami powstawały dosłownie w ciągu kilku sekund.

Autorzy postów, pod którymi pojawiły się takie komentarze oraz inni użytkownicy zaczęli oznaczać odpowiednie ‘organy władzy’, mające na celu oczyszczenie platformy ze szkodliwego spamu i w miarę możliwości ograniczenie hakera.






Wkrótce wyżej wymienieni użytkownicy przystąpili do działania i zaczęli downvote’ować i flagotwać ‘moje’ komentarze, pod każdym zostawiając ostrzeżenie o poniższej treści:

https://ipfs.busy.org/ipfs/QmWfc1mFVupxtPoK2D67LF31q9roYD2XYgwC6CroLYvBsB

Moja reputacja natychmiast spadła do -2, a w ciągu kolejnych dni aż do -5.

Ponieważ w tym czasie byłam w pracy, nic nie mogłam zrobić, więc o pomoc poprosiłam męża, który tego dnia kończył wcześniej. Po zbadaniu tematu przeszedł przez krótki proces odzyskiwania konta, w którym należało podać hasło używane w ciągu ostatnich 30 dni oraz adres email, na który zostało zarejestrowane konto, używając poniższego linku:

https://steemit.com/recover_account_step_1

Po przyjściu do domu, dla zwiększenia szans odzyskania konta tudzież przyśpieszenia procesu napisałam email do support@steemit.com.

Czekałam kilka dni, niestety poza otrzymaniem automatycznej wiadomości od supportu potwierdzającego otrzymanie maila, nie otrzymałam żadnej odpowiedzi. Haker nie przejawiał już żadnej aktywności, natomiast konto w dalszym ciągu otrzymywało flagi, w efekcie czego reputacja nadal spadała.

Idąc za radą kilku Steemian, weszłam na Steem Chat na kanał #polish, oraz kanał #account-recovery na discordzie, gdzie uzyskałam kilka bardzo cennych rad. W efekcie tego skontaktowałam się z niżej wymienionymi Witnessami:





Czas na odzyskanie konta jest ograniczony, więc Guiltyparties usunął z mojego profilu 4 flagi, aby dać mi więcej czasu na jego odzyskanie.

Potem skierował mnie do @Blocktrades, jako że moje konto zostało zarejestrowane właśnie przez giełdę blocktrades. Ponieważ jednak w momencie zakładania konta na Steemit nie posiadałam istniejącego konta na blocktrades, standardowa weryfikacja okazała się niemożliwa.

Aby wesprzeć moją prośbę, wysłałam swoje zdjęcie z kartką, na której widniał napis ‘account recovery’, mój login oraz data. Blocktrades uznał to za pomocne w uwierzytelnieniu mojej tożsamości i przesłał moje zgłoszenie do developera, który innym sposobem próbował odzyskać dostęp do mojego konta.

W ciągu godziny udało się odzyskać dostęp i zmienić the owner key. Ze względu na limit narzucony przez blockchain dot. częstości aktualizacji hasła, reszta kluczy mogła zostać zmieniona dopiero po kolejnej godzinie.

Następnie Blocktrades przesłał mi wszystkie hasła na chacie, a po tym jak je zapisałam w bezpiecznym miejscu, skasował wiadomość.

To umożliwiło mi zalogowanie się na moje konto i zmianę haseł. Moja reputacja z miejsca wynosiła 46 (wcześniej wynosiła 52, jeśli dobrze pamiętam).

W kolejnym kroku usunęłam zawartość szkodliwych komentarzy wstawionych przez hakera, edytując je, jak widać poniżej:

image.png

Dla pewności usunęłam także ‘swoje’ upvote’y na tych komentarzach.

Po unieszkodliwieniu wszystkich komentarzy powiadomiłam o tym Guiltyparties, który zaoferował pomoc w odzyskanie pierwotnej reputacji konta. Niestety z jakiegoś powodu jedna z flag nie mogła zostać usunięta – jak wyjaśnił, była to flaga uniemożliwiająca hakerowi wykonywanie transferów pieniężnych. W takiej sytuacji Guiltyparties zaproponował, że przy pierwszym poście na koncie poprosi jednego z użytkowników z rangą większą niż moja o upvote, który powinien ją podnieść.

Ostatnim krokiem w procesie odzyskiwania konta, było ‘odwołanie wcześniejszych pozwoleń dostępu do konta’ dla Busy (tzw ‘revoke permissions, nie jestem pewna jak to lepiej przetłumaczyć).

Zrobiłam to za pomocą poniższego linku:

https://v2.steemconnect.com/apps/authorized

Jak zapewnił mnie Guiltyparties, od tej pory nikt poza mną nie powinien mieć dostępu do mojego konta.

PODSUMOWANIE

Jak widzicie, cały proces odzyskiwania konta był dość długi i wymagał wiele pracy ze strony Witnessów. Mój błąd był spowodowany po części brakiem czujności i edukacji w zakresie bezpieczeństwa konta.

Za zlekceważenie tematu bezpieczeństwa i obsługi haseł zapłaciłam środkami na koncie, niższą reputacją oraz brakiem efektów z mojego ostatniego posta, nad którym bardzo ciężko pracowałam.

Mimo wszystko patrzę na to zdarzenie pozytywnie, ponieważ była to dla mnie duża lekcja techniczna i życiowa. Zyskałam większą świadomość i pogłębiłam wiedzę na temat zagrożeń, bezpieczeństwa i użytkowania kont/haseł i zyskałam większy dystans do swojej działalności na platformie. Po raz kolejny zauważyłam, jak wielką wagę mają ‘szczegóły’ oraz zdałam sobie sprawę, że jak wszędzie, oprócz osób życzliwych, które chętnie udzielą wsparcia, znajdują się też osoby, które nie licząc się z innymi chcą osiągnąć swoje niecne cele.

MOJE WNIOSKI I RADY

OGÓLNE, DOT. BEZPIECZEŃSTWA SYSTEMOWEGO:

  • zapisywanie hasla w domowej przegladarce jest bezpieczne o tyle, o ile ufacie swoim domownikom. Niezalecane jest zapisywanie hasel w przeglądarkach na obcych/publicznych komputerach, ponieważ jest możliwość, że będą one zapisane w postaci plików cache i kolejna osoba logująca się będzie posiadała tą informację.

  • aby uchronić się przed wykradnięciem hasła przez keyloggery (szkodliwe oprogramowania służące do zbierania haseł i innych poufnych danych), polecam zainstalowanie programu typu KeyScrambler, który zaszyfrowuje to, co piszemy na klawiaturze

DOT. BEZPIECZEŃSTWA NA STEEMIT

  • po pierwsze upewnijcie się, że wiecie, do czego służą odpowiednie hasła na Steemit i jak je odpowiednio używać. NIGDY nie używajcie Master Password i Owner Key do codziennego użytku. Zapiszcie je i trzymajcie w bezpiecznym miejscu, najlepiej na papierze. Logując się, używajcie odpowiedniego klucza, w zależności od swoich zamiarów: Posting key do codziennego użytku, Active Key do wykonania transferów, doładowania Steem Power etc, Master Password / Owner Key jedynie do zmiany haseł.
  • Przy logowaniu się, upewniaj się, że na pewno jesteś na stronie STEEMIT.
  • jeśli straciłeś dostęp do swojego konta, jest szansa aby je odzyskać. Pamiętaj jednak, że czas na odzyskanie konta jest ograniczony, więc go nie marnuj. Aby go przedłużyć, skontaktuj się z @guiltyparties
  • Uważaj na konta z niską reputacją. Jeśli zostały oflagowane, to nie bez powodu.
  • Bądź podejrzliwy. Jeśli jakiś link wygląda podejrzanie, nie wchodź w niego, jeśli nie musisz. Przezorny zawsze ubezpieczony.
  • Jeśli zobaczysz cos co wyglada jak dzielo hakera, zostaw komentarz phishing i oznacz @steemcleaners lub @steemflagrewrds

⚠️ Pamiętaj - to, ze nigdy nie zostałeś zhakowany, nie oznacza, że nigdy Ci się to nie przydarzy. To, że Twoje konto nie przedstawia dużej wartości materialnej także Cię nie chroni. Haker z nikim się nie liczy, i często używa ‘pionków’ jako narzędzi do osiągnięcia swoich celów.

🚷 Jak w życiu, tak i na Steemit są ludzie przyjaźni, pomocni i chętni do wspierania innych członków, tak samo są tu ludzie nie liczący się z innymi i dążący po trupach do swoich celów. Miejcie na uwadze, że oprócz tzw. ‘Planktonu’, ‘Delfinów’, ‘Orek’ czy ‘Wielorybów’ w Steemitowym oceanie grasują też ‘Rekiny’.

❓ Jeśli masz jakieś wątpliwości, pytaj. Zwróć się na #polish na Steem Chat lub bezpośrednio zaczep Wintessów posiadających wiedzę w zakresie bezpieczeństwa konta: @pjau, @patrice, @guiltyparties.

Mam nadzieję, że nikogo z Was nie spotka podobna sytuacja, w razie gdyby tak się jednak przydarzyło Wam lub któremuś z Waszych znajomych, mam nadzieję, że ten post okaże się przydatny. W kolejnym artykule treściwie opiszę techniczne aspekty odzyskiwania konta, więc zapraszam do zerknięcia.

Niech Rozwaga i Bezpieczeństwo będą z Wami!

MуƘιтcнєηLαв

*zdjęcie widoczne u góry artykułu pochodzi z pixabay

Sort:  

I am glad you got your account back. It is a terrible experience :( I have been following the pattern and somehow all the stolen money ended up here https://steemit.com/@clementin/transfers

binanceh.PNG

hi @hanen, that is right. i would like it to happen again ;)

yes, i did noticed, i think that this person in either a hacker himself, or hacker is using this hacked account as main one to collect stolen money .

I can see that he is still doing his 'job'. Do you think that is there any way of stopping him?

Czyli jednak da się dostać do konta żeby je odzyskać...? Może blockchain nie do końca zdecentralizowany?

Zdecentralizowany. W oryginalnym tekście jest kilka błędów

Niestety z jakiegoś powodu jedna z flag nie mogła zostać usunięta – jak wyjaśnił, była to flaga uniemożliwiająca hakerowi wykonywanie transferów pieniężnych.

Żadna flaga nie ma nic wspólnego z możliwością wykonywania transferów.

Pamiętaj jednak, że czas na odzyskanie konta jest ograniczony, więc go nie marnuj. Aby go przedłużyć, skontaktuj się z @guiltyparties

Kontaktowanie się z żadnym jegomościem nie przedłuży tego czasu. To jest 30 dni od czasu zmiany Private Owner Key i kropka. Owszem, kontakt z ludźmi, którzy wiedzą jak to działa pomaga szybciej i sprawniej przejść procedurę.

Stolen Accounts Recovery, to procedura, która pozwala na ustawienie nowego Owner Key pod warunkiem posiadania klucza, który był ważny nie dawniej niż 30 dni temu. Dzieje się to w sposób zdecentralizowany i wymaga spełnienia dodatkowych warunków. Udział w procesie bierze "konto odzyskiwania", który domyślnie jest kontem, które było użyte do założenia Twojego konta.

Jest tutaj bardzo istotne ograniczenie. Konto odzyskiwania może zgodzić się na ustawienie nowego klucza wtedy, gdy jest w stanie potwierdzić tożsamość osoby, która stara się konto odzyskać. W Steemit konieczne jest posiadanie kontroli nad kontem pocztowym, które pierwotnie było użyte podczas rejestracji. W przypadku Blocktrades konieczne jest bycie zarejestrowanym i zalogowanym użytkownikiem Blocktrades podczas zakładania konta. Najczęstszym przypadkiem jest tutaj konto @steem, będące pod kontrolą Steemit Inc. które zakłada konta nowym użytkownikom rejestrującym się za pomocą steemit.com. Ale może być dowolnie inne, np. @blocktrades w przypadku tych użytkowników, którzy korzystali z serwisu Blocktrades do założenia swojego konta.

Krótko pisząc Stolen Accounts Recovery to bardzo pomocna procedura, ale wiele okoliczności może sprawić, że nam nie pomoże. Morał z tego taki, że lepiej nie tracić głowy ani haseł.

Konto odzyskiwania może zgodzić się na ustawienie nowego konta wtedy, gdy jest w stanie potwierdzić tożsamość osoby, która stara się konto odzyskać.

Masz na myśli ustawienie nowych kluczy, a nie nowego partnera w odzyskiwaniu konta, prawda?

Edit: Mam jeszcze jedno pytanie - z tego co widzę master key jest niepotrzebny w tym procesie, wystarczy owner key. Z drugiej strony gdzieś już słyszałem, że Steemit oczekuje hasła głównego (czyli wg. mnie master key). Jeśli dobrze rozumiem proces to master key jest niepotrzebny, bo i tak nigdy nim się nie podpisuje transakcji, a jedynie generuje pozostałe klucze. Mam racje?

tak tak miało być "nowego klucza", już poprawiam :-)

Tak, w bebeszkach jest używany Owner Key, aczkolwiek z tego co pamiętam w procesie na stronie można podać zarówno Master Key jak i Owner Key.

Czy nikt nigdy nie rozważał dodania jakiegoś dodatkowego mechanizmu potwierdzania tożsamości (skoro i tak wszystko wydaje się być robione ręcznie)? Dostęp do konta pocztowego można też stracić, nie mówiąc o przypadkach w których atak zaczyna się właśnie od jego przejęcia. Na przykład gdybym opublikował w blockchainie klucz publiczny PGP i w przyszłości w razie czego mógłbym udowadniać, że ja to ja podpisując coś prywatnym kluczem z pary. W sumie trudno nazwać to mechanizmem, ale jak Ci się wydaje? Czy byłoby to możliwe, żeby ktoś ze Steem Inc. (moje konto zakładał użytkownik @steem) uznał to za wystarczający dowód?

Tak, coś takiego mogło by być uznane za wystarczający dowód, ale to Twój partner recovery decyduje jakie dowody są uznane za konieczne/wystarczające.
Oczywiście konto recovery można zmienić i np. umówić się że wyłącznie spotkanie w cztery oczy jest wystarczające do tej procedury.

Oczywiście konto recovery można zmienić i np. umówić się że wyłącznie spotkanie w cztery oczy jest wystarczające do tej procedury.

Tak, to wydaje się najlepszym rozwiązaniem dla osób, które fizycznie znają się już w realu. Może być w pewnym stopniu problematyczne długoterminowo (ludzie zmieniają kraje a nawet kontynenty zamieszkania, rozwodzą się, zrywają kontakty). Nie sprawdzi się dla osób, które szukają anonimowości :-).

Również ustawienie jakiegoś innego swojego konta jako konto recovery może mieć poważne wady, szczególnie w sytuacji gdy przestępca przejmie kontrolę nad komputerem użytkownika z którego oba konta są obsługiwane.

Tak sobie myślę na głos.

A może delegaci (witnessi) jako mężowie zaufania powinni wprowadzić taką usługę: "Będę Twoim recovery partnerem jeśli spełnisz takie a takie warunki"?

A może delegaci (witnessi) jako mężowie zaufania powinni wprowadzić taką usługę: "Będę Twoim recovery partnerem jeśli spełnisz takie a takie warunki"?

Wolał bym w kopalni albo w przedszkolu pracować.

PS, technicznie jestem recovery partnerem (w danej chwili) dla tych, którzy mają recovery account ustawione na null.
Ale ponieważ zazwyczaj nie mam podstaw do odzyskiwania konta no to niczego to nie zmienia. (Chyba, że faktycznie była by jasna sytuacja gdzie osoba jest publicznie znana, w #introduceyourself wrzuciła klucz publiczny PGP, itp itd.)

Wolał bym w kopalni albo w przedszkolu pracować.

Hehe :-D. Aż tak to niewdzięczne zajęcie?

Chyba, że faktycznie była by jasna sytuacja gdzie osoba jest publicznie znana, w #introduceyourself wrzuciła klucz publiczny PGP, itp itd.

Miałem na myśli właśnie takie jasne sytuacje - o warunkach ściśle określonych przez delegata. Z drugiej strony nie można chyba zakładać, że dany delegat wiąże się z tym konkretnym blockchainem na zawsze. Niektórzy mogą zechcieć odejść czy to by rozpocząć szaloną karierę przedszkolanki, czy też by stać się prawdziwym mężczyzną wdychając pył węglowy na przodku, czy z zupełnie innych powodów. Nie można też zakładać, że Steem Inc. będzie istniało zawsze.

Nie chcę już przeciągać tego tematu, bo jakoś nie przychodzi mi do głowy żaden rozsądny pomysł jak można by rozwiązać to czysto technicznie (mam też niejasne przeczucia, że to nie byłby najlepszy pomysł).

Najlepszym rozwiązaniem pozostaje - nie dać się podejść cyberprzestępcom, czyli jeszcze większa ostrożność i pilnowanie własnych haseł i kluczy. :-)


pozdrawiamdzięki za sprecyzowanie i wyjaśnienie @gtg. niestety z powodu urlopu i ograniczonych możliwości korzystania z platformy nie zdążyłam edytować artykułu, więc tym bardziej cieszę się z twojej korekty. myślę, że ten artykuł z twoimi korektami zwiększy świadomość użytkowników na temat bezpieczeństwa konta, używania haseł etc. jeszcze raz dzięki za całą pomoc.

@astromaniak bardzo dobra uwaga !

myślę, że fakt,że STeemit jest oparty na blockchainie oznacza, że system płatności jest na nim oparty a zatem zdecentralizowany, natomiast platforma sama w sobie ma swojego właściciela, developerów etc, którzy nią zarządzają, więc nie jest w 100% zdecentralizowana.

nie jestem do końca pewna jak to z tym, jest, ale może @gtg przyjdzie do nas na pomoc z odpowiedzią? :)

Nieprawda. Platforma jest w 100% zdecentralizowana.

Przyznam, że nie robiłem jeszcze odzyskiwania konta, ale muszę się tym pobawić. Z tego co wiem to partnera do odzyskiwania konta zmieniamy taką operacją, więc możesz sobie ustawić jakąkolwiek zaufaną osobę.

The recovery method relies on the ability of a recovery account to be able to verify the identity of an account holder. When wanting to recover an account the account holder shares a public key with the recovery account as a future sign of their identity. The recovery account creates the request when they are certain the account holder is who they say they are. In order to confirm the request and recover the account, the account holder must satisfy both a recently used owner authority and the new authority shared with the recovery account within 24 hours of the creation of the request. This proves possession of the account in the past and their current identity to the blockchain before recovering the account. Because the owner authority secret on the recovered account is never known by the recovery account, the recovery account can never change the owner authority of a liable account without permission of the account holder and therefore never has access to their owner, posting, or active keys, funds, and reputation on Steem.

źródło

Wygląda na to, że nie da się "dostać do konta", a proces odzyskiwania konta jest oparty o multisig. Jeśli tak rzeczywiście jest (niech ktoś, kto zna się na tym lepiej mnie poprawi), to nie widzę tu nic, co zmniejsza decentralizacje. Każdy może ustawić sobie system odzyskiwania konta taki jaki uważa za słuszny.

W jakim stopniu Steem jest zdecentralizowany to już inna bajka, zależy o jakiej decentralizacji mówimy.

Współczuję, ale bardzo się cieszę i gratuluję, że konto udało się odzyskać. Reputacja także skoczy do góry :)
Artykuł bardzo przydatny i z pewnością nie jednej osobie pomoże.

hej @nieidealna.mama dziękuję, za Twój komentarz :) apropos współczucia, nasunęło mi się takie przemyślenie - po tym doświadczeniu ja sobie współczuję tylko lekkomyślności, ponieważ poniosłam pewne straty i dodałam pracy kilku osobom. Patrząc jednak na straty materialne, są niewielkie. Cieszę się, że spotkało mnie to teraz, a nie za x czasu, gdzie żyjąc z tą ignorancją mogłabym stracić o wiele więcej. Czasem i krok w tył może na przyszłość pomóc w kolejnych krokach do przodu.

cieszę się, że artykuł przydatny, mam nadzieję, że nikt nie będzie musiał przechodzić tej drogi..ale jeśli już, to oby z happpy endem, jak ja.

miło Cię poznać, pozdrawiam :)

Wow! całe szczęście udało się odzyskać konto, cieszę się razem z Tobą.
Ja kiedyś dostałam od niby to ,,mojego banku'' wiadomość na maila że grasuje haker i że mam się zalogować (z podanego przez nich linku do bankowości internetowej) i zmienić hasła. Tknięta jakimś przeczuciem zalogowałam się, ale używając innego komputera, z innej przeglądarki internetowej, nie z linku który mi wysłali i pozmieniałam hasła. Po pół godzinie prawdziwy bank do mnie zadzwonił z powiadomieniem żeby nie klikać w linki wysłane niby to od nich, bo grasuje haker. Wyjaśniłam sytuację i poprosili mnie żebym im przyniosła wydrukowaną treść tego fałszywego maila.
Całe szczęście upiekło mi się, dzięki mojej czujności i od tamtej pory pilnuję się jeszcze bardziej, ale jak to w życiu bywa, czasami wystarczy chwilka nieuwagi...

dzięki @rita.foodchannel!

moja koleżanka z pracy pracowała w banku, a bardzo często klienci zgłaszają, że ich konto bankowe zostało zhakowane. Niestety hakerzy to już plaga naszej 'cyber epoki'. Na szczęście wiele banków ma teraz konkretne zabezpieczenia, które co prawda potrafią utrudnić codzienne użytkowanie, ale przynajmniej chronią fundusze.

Masz rację, trzeba uważać, praktycznie na każdym kroku...

cieszę się, że Ci się udało, bo nie zawsze pieniądze da się odzyskać po takim wydarzeniu...

Niestety hakerzy to już plaga naszej 'cyber epoki'.

Plaga to za mocne słowo. Od lat zwiększa się udział znaczenia komputerów i sieci w naszym życiu i przestępcy się po prostu do tego stopniowo dostosowują. Dodatkowo coraz częściej się o tym mówi (choć nadal dość często bardzo nierzetelnie) i dzięki temu z jednej strony rośnie świadomość zagrożeń a z drugiej powstaje wiele mitów i legend miejskich.

To na co chciałem zwrócić uwagę, to że ciężko nazwać hakerem(1) kogoś komu praktycznie dałaś swoje hasło. Żebyśmy się źle nie zrozumieli - w żaden sposób nie chcę Cię krytykować, każdemu to się może zdarzyć, nawet ekspertom od bezpieczeństwa się to zdarza (choć nigdy się do tego nie przyznają), bo to rzeczywiście wystarczy chwila nieuwagi. To co chcę podkreślić to to, że poziom wiedzy niezbędny do tego typu przejęć kont jest minimalny - właściwie niemal wystarczy wiedza by postawić "kopię" interfejsu steemit. Oczywiście można to zrobić lepiej i gorzej (np. z jakąś automatyzacją o której wspominałaś), ale najważniejsze jest to, że niezależnie od tego jak dobrze platforma jest zaprojektowania i zaimplementowana pod kątem bezpieczeństwa to i tak najsłabszym ogniwem jest zawsze człowiek - czyli użytkownik.

Dlatego bardzo się cieszę, że dzielisz się swoją historią (choć z tego, że Ci się przydarzyła oczywiście się nie cieszę).


(1) - dla mnie haker, to ktoś kto przełamuje zabezpieczenia bardziej aktywnie (ma ponadprzeciętną wiedzę informatyczną - np. potrafiłby dostać się do Twego konta bez Twojego hasła). Zresztą i tak idę na pewien kompromis bo historycznie, ten termin miał jeszcze inne znaczenie. Wolałbym by na takich ludzi mówić po prostu przestępcy (ewentualnie cyberprzestępcy) ale media już tak głęboko wbiły ludziom termin "hakera" do głów, że to już chyba przegrana sprawa.

hej @alicik . spóźniony komentarz, bo dopiero wróciliśmy z urlopu, ale jak to mówią, lepiej późno niż wcale :)

twój komentarz dał mi do myślenia. odnosząc się do drugiego akapitu, zgadzam się w zupełności. częściowo nazwanie tej osoby hakerem wynikało z mojej niewiedzy, częściowo z zabiegu (jakkolwiek go nazwać), aby artykuł był łatwiejszy do zrozumienia dla przeciętnego człowieka, a tytuł bardziej chwytliwy. wciąż w świadomości wielu osób haker to osoba, która włamuje się do systemów i wyrządza szkodę. o różnicy między hackerami i crackerami dowiedziałam się po napisaniu artykułu, więc przepraszam z tego miejsca wszystkich hakerów, jeśli dotknęło ich moje nazewnictwo :) natomiast nawiązując jeszcze raz do twojego artykułu i mając na względzie to,że praktycznie sama 'tej osobie' oddałam swoje dane, celowo określiłam ją w ten sposób (podkreślam nadal nie wiedząc, co dokładnie oznacza 'haker'). Mówiąc wprost, sądzę,że złodziej to ten, co kradnie, obojętnie czy w sposób inteligentny, czy przez naszą nieuwagę czy bezmyślność, jeśli wiesz o czym mówię.

dobrze napisałeś z tym najsłabszym ogniwem, zazwyczaj tak jest, dlatego warto się edukować w ważnych kwestiach, a bezpieczeństwo (zawczasu) na pewno do nich należy.

dziękuję Ci też za zrozumienie :)

co do hakera raz jeszcze, pewnie zależy, w jakim środowisku się obracamy. ja do tej pory spotkałam się z błędnym pojęciem hakera jako włamywacza i złodzieja, natomiast teraz ze świadomością będę uważać na słowa i uświadamiać innych gdy nadarzy się okazja. pamiętaj, zawsze jest nadzieja, niezależnie od okoliczności :)

pozdrawiam serdecznie.

...będę uważać na słowa...

Ja już się z tym pogodziłem, tak jak wspomniałem to już chyba przegrana sprawa. O tym skąd się wziął ten termin i co oryginalnie oznacza wie chyba naprawdę mało osób (teraz należysz do tej niewielkiej grupy - gratulacje :-] ). Nawet wśród tych mniej czy bardziej związanych z IT. Zresztą jeśli to słowo wypłynęło z pewnej subkultury i stało się powszechnie znane, to czy nadal do tej grupy należy? Zaczyna być częścią współczesnego, powszechnie używanego języka i żyje swoim życiem - tak jak ten język. Kiedyś mi się to bardzo nie podobało, ale teraz coraz częściej myślę, że to naturalna kolej rzeczy a poza tym nie jest to takie bardzo ważne.

Jeszcze zdanie (tzn. miało być jedno) co do tego najsłabszego ogniwa. To oczywiste, że są nim ludzie, ale właśnie dlatego, że są ludźmi. Nie jesteśmy maszynami, każdy z nas bywa czasami zmęczony, zamyślony czy nieostrożny - i jest to jak najbardziej normalne :-). Pewnie większość z nas codziennie chodzi po ulicach, robimy to przez całe życie ale każdemu z nas w jakiś nasz kiepski dzień może się przytrafić nieszczęście gdy w złym momencie wejdziemy na jezdnię. Oby nie. Ale takie ryzyko niestety istnieje. Ale to co możemy zrobić, to od dziecka wpajać wszystkim pewne nawyki, by nasze ciało i mózg działały w takich sytuacjach niemal automatycznie. Podobnie z siecią i ogólnie z technologią. Niestety na świecie jest za mało programistów i wszelkich specjalistów IT, a za dużo systemów i programów do napisania i utrzymania by wszelkie oprogramowanie z którego korzystamy było super-bezpieczne i praktycznie dbało o takie drobiazgi jak bezpieczeństwo za nas. Czyli to kolejny aspekt życia o który musimy zadbać sami. Co zostaje? Edukacja, edukacja, edukacja.

Dlatego też, jeszcze raz bardzo komplementuję Twój artykuł i Twoją godną pochwały postawę (szerzysz świadomość zagrożeń na swojej własnej historii - to wymaga odwagi) i mam nadzieję, że nie wzięłaś mojego wymądrzania się za czepialstwo. :-D

Pozdrawiam serdecznie.

hej hej :) nie martw się @alcik, nie wzięłam twojej pogadanki jako czepialstwo, wręcz przeciwnie, bardzo doceniam to, co napisałeś :-) trafna uwaga, co do naturalnej ewolucji języka i ważności nazewnictwa - jeśli porównamy to do oczywistych problemów życiowych, fakt, czemu się tym przejmować. A jednak mi trudno się gdzieś odnaleźć/pogodzić z ewolucją języka, prawdopodobnie naleciałość z lat szkolnych - bardzo zależy mi na poprawności języka - w końcu jeśli nie będziemy dbać o naszą polszczyznę (w skład której wchodzą również i wyrazy pochodzenia zagranicznego), to za jakiś czas sami siebie nawzajem nie zrozumiemy, i czym będzie ta nasza polska mowa, chyba gęsim gęganiem, nawiązując do Reja :-) mieszkając za granicami kraju z przykrością stwierdzam, jakie to trudne! i sądzę, że komunikacja pisemna idzie mi i tak lepiej, niż ustna.... chciałoby się rzec : wstyd! ale właśnie, do jakiego poziomu naprawdę jest to ważne? chyba zależy od sytuacji... :-)

masz rację, co do ludzkich słabości. napisałam po części, bo nieraz to my ludzie dominujemy nad maszynami, ale to już trochę inna bajka :-)

gdzieś już o tym czytałam. a jeśli dobrze pamiętam, to Steve Jobs, założyciel firmy Apple przez większość życia ubierał się w jeden i ten sam strój. podobno po to, aby uwolnić umysł od niepotrzebnych wyborów, i móc skupić się na tym, co naprawdę wymaga pracy umysłu i pokładów kreatywności :) jeśli jesteś ciekaw, oglądnij tą prezentację rozwojowca

https://www.youtube.com/watch?time_continue=41&v=P2hGQRAzFdM

automatyzacja, można by rzec to klucz o sukcesu! więc trafna uwaga. powtarzanie i powtarzanie istotnych elementów, aby ciało i umysł zapamiętały 'na dysku twardym' i automatycznie wykonywały niezbędne nam czynności, a my mogli skupić się na ważniejszych sprawach.

myślę, że największa odwaga, to przyznać się do błędu przed samym sobą :)

pozdrawiam!
https://ipfs.busy.org/ipfs/QmYBrgzUcfxbQ3kjdXrhg1mEgGKk2wu48SP8XC8SmoJDqU

ale dziwna dziura w komentarzu, łohohoho.

Ach i zapraszam do nowego etapu tematów tygodnia - zwłaszcza do tematu nr 3 :-D.

dzięki @alcik, bez Ciebie by mi to umknęło :)

doradź proszę - myślisz, że faktycznie jest sens brać w tym udział? nie chcę odgrzewać kotletów, jeśli wiesz o co mi chodzi, a sądzę, że w dwóch opublikowanych przeze mnie artykułach wyczerpałam temat (jeśli chodzi o moje doświadczenie czy bezpieczeństwo na steemit, bo żeby ogarnąć temat głębiej (o ogólnym bezpieczeństwie w sieci), musiałabym duuuużo poczytać).

chyba, że tematy tygodnia cieszą się dużą popularnością, wtedy byłby sens poruszenia tematu ponownie, z myślą dotarcia do szerszej grupy odbiorców. if that's the case, powiedziałbyś, że bardziej wskazana byłaby luźna pogawędka (w którym mogłabym nawiązać do opublikowanych już artykułów) czy konkretny materiał, podobny do poprzednich?

PS - czy deadline tematów tygodnia to koniec tygodnia czyli niedziela ? :-)

pozdrawiam, mam nadzieję, że nie zamęczyłam Cię pytaniami :)

...luźna pogawędka (...) czy konkretny materiał...

Hmmm. Jak uważasz, każda forma się sprawdzi - nie wiem w której byś się czuła lepiej :-). Ale skoro już napisałaś dwa bardzo dobre artykuły to spokojnie możesz z tego korzystać - luźna pogadanka z linkami do nich na pewno jest dobrym pomysłem.

Co do popularności tego konkursu - to trudno mi powiedzieć, wydaje mi się, że jest dość popularny, choć dość mało ludzi głosuje - ale jest to zrozumiałe bo nie każdy ma czas na przeczytanie wszystkich tekstów. Wydaje mi się, że wielu ludzi tam zagląda by szukać nowych autorów i ciekawych tekstów.

Tak. Według regulaminu czas na publikację wpisów mija w niedzielę o północy. Ale obecnie, zarządca konkursu @lukmarcus ma lekki poślizg w związku z małym przeszkadzaczem w domu, więc można na chacie próbować z nim negocjować, jeśli byś się miała nie wyrobić.

Powodzenia :-).

Dziękuję, że podzieliłaś tymi informacjami. Uważam, że mogę się tutaj bezpiecznie czuć. Jak widać kanalie są wszędzie, oby jak najmniej.

hej @tomii, myślę,że Steemit jest jak ocean, w którym pełno małych rybek, orek, delfinów i wielorybów, ale także i rekinów. Więc póki nie zakręci się jakiś wokół Ciebie, absolutnie tak...wiem co masz na myśli, ale uważaj mimo wszystko. W kolejnym artykule podzielę się kilkoma linkami ciekawymi, jeden zawiera 49 raportów dot różnego rodzaju hakerstwa. tego jest tu naprawdę mnóstwo...

pozdrawiam, miło Cię poznać.

Dzięki, więc będę czekał na kolejne artykuły. Pozdrawiam.

Z opisu zdarzenia wnioskuję, że to jakaś forma phishingu. Bardzo dobry poradnik, na pewno może być pomocny :) Tak samo działają oszuści bankowi, którzy wysyłają maile niby z banków. Oczywiście zostawiam upvote'a i daję resteem, może więcej ludzi to przeczyta.

Sam miałem kiedyś taki komentarz jak ten umnie na blogu, ale nie zareagowałem na niego. Nie klikam w takie rzeczy, tym bardziej że staram się pisać sam i nie plagiatuję innych. Radziłbym nie reagować na takie coś (nawet nie dawać głupiej flagi), bo widziałem później, że są od tego boty, które to flagują.


masz rację, często banki informują, że nie wysyłają żadnych tego typu wiadomości i ostrzegają, aby nie postępować wg ich instrukcji. w tego typu sytuacjach najgorszy jest naprawdę pośpiech, pobieżne czytanie, omijanie małych druczków... co jest zrozumiałe w biegu życia, aczkolwiek lepiej nieraz poświęcić kilka minut aby być rather safe than sorry.tak @barthheek. a jeszcze niecałe 2 tyg temu słowo phishing nie było mi znane!

bardzo chwalebna postawa. masz rację, najlepiej nie reagować na to (wg instrukcji komentarza) ale warto zgłosić podejrzany komentarz, poniewąż w ten sposób przed niebezpieczeństwem możemy uchronić innych użytkowników.

[przez zgłoszenie mam na myśli oznaczenie np Steem Cleaners, którzy się temu przyjrzą, i jeśli trzeba, oflagują, więc może się obyć bez flagowania we własnym imieniu.

Bardzo dobra przestroga dla innych. Nie obwiniaj siebie, nie jesteś niczemu winna. Na te phishingi każdy może dać się nabrać, a jest ich coraz więcej.
Ważne że happy ending :) i pozdrowienia dla sprawnych witnessów!

dziękuję @mys :) słusznie zawiniłam, więc ciężko było się nie obwiniać - musiałam ponieść konsekwencje swojej lekkomyślności. muszę przyznać, że teraz czuję się lepiej, bo już wiem co i jak i jestem back on track. ale jak mówisz, łatwo się na to nabrać, bo hakerzy nie bez powodu robią swoje sztuczki w taki sposób, żeby nie budziły podejrzeń, więc chwila nieuwagi i możemy łatwo wpaść w ich sidła.

prawda. a dobrze jest być spowrotem. z tego czy innego konta i tak i tak bym wróciła, nie nawet dla samej pasji blogowania czy zarobku, ale dla Steemitowej społeczności, która jest naprawdę wyjątkowa.

o tak - oni robią masę świetnej roboty :)

i pozdrowienia dla Ciebie również :)

Najważniejsze ze konto udało się odzyskać. Post na pewno przyda się innym, żeby było wiadomo na co uważać i jak działać w razie podobnej sytuacji.

prawda. a świadomość zawsze pomaga w podejmowaniu decyzji.

Mega pomocny artykuł. Chwila nieuwagi i podobna sytuacja może się przytrafić każdemu z nas.

prawda. hakerzy tylko czyhają na taką chwilę nieuwagi, więc przez odpowiednią edukację w tym temacie możemy uchronić się przed zagrożeniem.

Dobrze że to już za Tobą i że odzyskałaś konto :)

prawda! bardzo się cieszę z tego powodu :)

zapisywanie hasla w domowej przegladarce jest bezpieczne o tyle, o ile ufacie swoim domownikom.

Dobrze wiedzieć :) Dużo masz takich haseł zapisanych w przeglądarce?

Ja mam wszystkie :)

To się skuszę na twoje ciasteczka :)

You wish =)

hm. widzę,że nadal mam dużo do nadrobienia :D dzięki za lampkę alarmową!

Całe szczęście, że udało Ci się odzyskać konto. Naprawdę bardzo przydatny artykuł. Przeczytałem cały, i wiele mi uświadomiłeś!

dzięki, i bardzo mnie to cieszy ! :)

Super, ciesze się, że się udało - będą nowe przepisy! :)

dzięki, ja też! oj będą, będą. tej jesieni będzie u mnie trochę dziko ;-)

a ja wkrótce wpadnę do Ciebie na drzewo, tylko ponadrabiam wcześniej zaległości po urlopie ;-) trzymaj się! (tego drzewa, cobyś nie spadł w czasie drzemki) :P

Spokojnie, spokojnie - ja się słabiej na ziemi czuję - drzewo to moje naturalne siedlisko :) Miłego wypoczywania!

Dziękuję za ten artykuł, często bezmyślnie klikam w linki bez zastanowienia. Będę bardziej czujna! Cieszę się ze udało się odzyskać dostęp do konta

ja też tak miałam! dzięki temu doświadczeniu zmieniłam podejście do wielu spraw. a najlepiej uczyć się na błędach, zwłaszcza cudzych, więc mam nadzieję,że dużo osób wyniesie z tego lekcję.

dziękuję! :)

Dzięki za ten post, resteem poszedł, bo wszyscy powinni o tym przeczytać. Cieszę się, że masz swoje konto z powrotem.

Podejrzanych linków boję się jak diabli. Czasem otwieram stronę mojego banku i widzę zmieniony interfejs. Zanim się zaloguję to dzwonię do nich i pytam, czy coś zmieniali. Jeśli potwierdzą to wtedy się loguję.

dzięki, cieszę się, że mogłam się na coś przydać!

masz rację, trzeba być bardzo czujnym, internet to trochę jak dżungla, co chwile gdzieś tam z konarów zwisa boa. a przezorny ubezpieczony!

stay safe :)