Для рядовых людей криптомир дик и опасен, когда речь заходит о безопасности. Если вы когда-либо связывались с каким-нибудь криптовалютным сервисом, вы проходили через скучнейшую процедуру записывания длинных фраз и кодов в «недоступное для других место» (что бы это ни значило). Несмотря на это, приватные данные зачастую оказываются в руках злоумышленников без ведома владельцев.
Чтобы успешно пользоваться подобными сервисами, никто не требует от вас стать специалистом в области кибербезопасности, необходимо лишь соблюдать простые правила онлайн-гигиены.
Hardware-кошельки считаются самыми защищёнными, но не стоит полагать, что вероятность кражи денег с них равна нулю. Большинство утечек происходит из-за уязвимостей сопутствующих устройств и процедур, то есть не по вине механизма работы самих кошельков.
Итак, опишем десять приёмов, с помощью которых хакеры:
- Пытаются украсть ваши приватные ключи;
- Вынуждают вас отправить свои коины не по тому адресу.
1.Copy Paste: вы собираетесь совершить платёж в интернете, находите нужный биткоин-адрес и копируете его. Далее вы вставляете скопированное в поле «адресат» своего кошелька. Однако маленькая программа CryptoShuffler уже подменила скопированный адрес.
Совет: сверяйте адреса перед отправкой средств (это муторно, но ничего не поделаешь). По возможности используйте QR-код.
Совет #2: Не устанавливайте приложения, в которых не уверены на 100%. Регулярно проводите сканы системы антивирусами (Bitdefender, MalwareByte).
Совет#3: используйте официальный платный ENS (о нём ещё будет упомянуто ниже) вместо традиционного адреса.
2.Взломанные мобильные приложения: хакеры могут выкладывать подложные приложения для трейдинга на криптобиржах (таких, как Poloniex). «Торгуя» на них, вы на самом деле отправляете деньги на аккаунт хакера. В целом, ОС Android менее защищена от хакеров, чем iOS.
Совет: не устанавливайте непроверенное ПО. Пользуйтесь PIN-кодами, Touch ID, Face ID и двухфакторной аутентификацией при работе с криптовалютными приложениями.
3.Взлом Slack: ботов в Slack действительно много. Они могут выслать вам предупреждение о несуществующей проблеме с вашим кошельком. Предполагается, что вы пройдёте по определённой ссылке и введёте свои приватные ключи. Ни в коем случае не переходите по этим адресам.
Совет: не обращайте внимания на Slack-ботов. Пользуйтесь функцией пожаловаться. Используйте Metacert для защиты своего канала.
4.Аддоны в браузерах. Существуют аддоны, цель которых – упростить вам жизнь при торговле на бирже. Всё бы хорошо, но некоторые из них сканируют всю вашу активность, включая ввод с клавиатуры.
Совет: не скачивайте НИКАКИХ крипто-аддонов. Используйте Incognito Mode (при нём отключаются все надстройки). Заведите браузер специально для операций с криптовалютами. Например, Brave – браузер со встроенным кошельком, разработанный специально для этого.
5.Сайты-клоны: существует много сайтов с похожими URL и идентичным оригиналу оформлением. Всегда проверяйте адрес.
Cryptonite, Аддон Google Chrome
Совет: удостоверьтесь в том, что сайт использует https. Надстройка Cryptonite поможет вам в идентификации фишинговых ресурсов.
6.Поддельная Google-реклама/SEO: Это известная схема. Хакеры могут запустить в сеть рекламу со ссылками на веб-сайты, описанные в предыдущем пункте. Ниже приведён пример подобной проделки с самым популярным биткоин-кошельком Blockchain.info:
Совет: обращайте внимание на адреса.
7.Фейки в социальных сетях: описанные выше приёмы поджидают вас не только в поисковиках, но и в соцсетях. Не доверяйте алгоритмам рекомендаций Twitter и Facebook – в предложенном контенте могут быть такие же скамы, как и в Google Ads.
8.MobileSMS 2FA
Сервисам необходим ваш номер телефона при настройке двухфакторной аутентификации. В некоторых странах, особенно в США, хакеры настолько подкованы, что могут выведать ваши данные у операторов сотовой связи и получить доступ к аккаунту.
Совет: не используйте сервисы, требующие ваш номер телефона. Используйте программное решение для установки двухфакторной аутентификации.
9.Фишинг: вы получаете email от используемого вами сервиса (на самом деле, вам так только кажется). Форматирование, дизайн – всё одно и то же. Зачастую вы даже не оставляли им свою почту, но это сложно припомнить.
Совет: обращайте внимание на ссылки и адреса. Если на ящик пришло что-то подозрительное, не трогайте это письмо.
10. Взлом WiFi
Возможно, вы читали о недавно найденной уязвимости в протоколе WPA, используемом большинством роутеров. Кто угодно сможет считывать всю вашу активность после проведения так называемой krackattack. Это касается и публичных сетей (кафе, метро, аэропорты).
Совет: обновите ПО своего роутера. Никогда не совершайте операций с криптовалютой через общественный WiFi.
Bonus 1 : FakeENS
ENS – это альтернативный адрес вашего кошелька. Это похоже на сервисы для сокращения ссылок (например, bit.ly). Выглядит он следующим образом – address.eth. Многие ICO использовали именно его для фандрайзинга. Но об осторожности не стоит забывать и с ENS – хакеры могут выслать вам похожий, но ложный адрес (например, MaecanasICO.eth вместо MaecenasICO.eth).
Совет: проверяйте адреса ENS.
Совет: если собираетесь проводить ICO, лучше купить ENS-адрес.
Bonus 2: бесплатный сыр
Есть такая вещь, как Airdrops. Это безвозмездно начисляемые токены, например, за вашу лояльность платформе. Однако порой злоумышленники делают подобную рассылку для получения вашей приватной информации. Как и во всех остальных случаях, будьте предельно внимательны и осторожны.