btc
bch
eth

10 хакерских приёмов для кражи ваших криптонакоплений

 

Для рядовых людей криптомир дик и опасен, когда речь заходит о безопасности. Если вы когда-либо связывались с каким-нибудь криптовалютным сервисом, вы проходили через скучнейшую процедуру записывания длинных фраз и кодов в «недоступное для других место» (что бы это ни значило). Несмотря на это, приватные данные зачастую оказываются в руках злоумышленников без ведома владельцев.

Чтобы успешно пользоваться подобными сервисами, никто не требует от вас стать специалистом в области кибербезопасности, необходимо лишь соблюдать простые правила онлайн-гигиены.

Hardware-кошельки считаются самыми защищёнными, но не стоит полагать, что вероятность кражи денег с них равна нулю. Большинство утечек происходит из-за уязвимостей сопутствующих устройств и процедур, то есть не по вине механизма работы самих кошельков.

Итак, опишем десять приёмов, с помощью которых хакеры:

  1. Пытаются украсть ваши приватные ключи;
  2. Вынуждают вас отправить свои коины не по тому адресу.

 

1.Copy Paste: вы собираетесь совершить платёж в интернете, находите нужный биткоин-адрес и копируете его. Далее вы вставляете скопированное в поле «адресат» своего кошелька. Однако маленькая программа CryptoShuffler уже подменила скопированный адрес.

Совет: сверяйте адреса перед отправкой средств (это муторно, но ничего не поделаешь). По возможности используйте QR-код.

Совет #2: Не устанавливайте приложения, в которых не уверены на 100%. Регулярно проводите сканы системы антивирусами (Bitdefender, MalwareByte).

Совет#3: используйте официальный платный ENS (о нём ещё будет упомянуто ниже) вместо традиционного адреса.

2.Взломанные мобильные приложения: хакеры могут выкладывать подложные приложения для трейдинга на криптобиржах (таких, как Poloniex). «Торгуя» на них, вы на самом деле отправляете деньги на аккаунт хакера. В целом, ОС Android менее защищена от хакеров, чем iOS.

Совет: не устанавливайте непроверенное ПО. Пользуйтесь PIN-кодами, Touch ID, Face ID и двухфакторной аутентификацией при работе с криптовалютными приложениями. 

3.Взлом Slack: ботов в Slack действительно много. Они могут выслать вам предупреждение о несуществующей проблеме с вашим кошельком. Предполагается, что вы пройдёте по определённой ссылке и введёте свои приватные ключи. Ни в коем случае не переходите по этим адресам.

Совет: не обращайте внимания на Slack-ботов. Пользуйтесь функцией пожаловаться. Используйте Metacert для защиты своего канала.

4.Аддоны в браузерах. Существуют аддоны, цель которых – упростить вам жизнь при торговле на бирже. Всё бы хорошо, но некоторые из них сканируют всю вашу активность, включая ввод с клавиатуры.

Совет: не скачивайте НИКАКИХ крипто-аддонов. Используйте Incognito Mode (при нём отключаются все надстройки). Заведите браузер специально для операций с криптовалютами. Например, Brave – браузер со встроенным кошельком, разработанный специально для этого.

5.Сайты-клоны: существует много сайтов с похожими URL и идентичным оригиналу оформлением. Всегда проверяйте адрес.

 

Cryptonite, Аддон Google Chrome 

Совет: удостоверьтесь в том, что сайт использует https. Надстройка Cryptonite поможет вам в идентификации фишинговых ресурсов.

6.Поддельная Google-реклама/SEO: Это известная схема. Хакеры могут запустить в сеть рекламу со ссылками на веб-сайты, описанные в предыдущем пункте. Ниже приведён пример подобной проделки с самым популярным биткоин-кошельком Blockchain.info:

Совет: обращайте внимание на адреса. 

7.Фейки в социальных сетях: описанные выше приёмы поджидают вас не только в поисковиках, но и в соцсетях. Не доверяйте алгоритмам рекомендаций Twitter и Facebook – в предложенном контенте могут быть такие же скамы, как и в Google Ads.

8.MobileSMS 2FA

Сервисам необходим ваш номер телефона при настройке двухфакторной аутентификации. В некоторых странах, особенно в США, хакеры настолько подкованы, что могут выведать ваши данные у операторов сотовой связи и получить доступ к аккаунту.

Совет: не используйте сервисы, требующие ваш номер телефона. Используйте программное решение для установки двухфакторной аутентификации.

9.Фишинг: вы получаете email от используемого вами сервиса (на самом деле, вам так только кажется). Форматирование, дизайн – всё одно и то же. Зачастую вы даже не оставляли им свою почту, но это сложно припомнить.

 

Совет: обращайте внимание на ссылки и адреса. Если на ящик пришло что-то подозрительное, не трогайте это письмо.

10. Взлом WiFi

Возможно, вы читали о недавно найденной уязвимости в протоколе WPA, используемом большинством роутеров. Кто угодно сможет считывать всю вашу активность после проведения так называемой krackattack. Это касается и публичных сетей (кафе, метро, аэропорты).

Совет: обновите ПО своего роутера. Никогда не совершайте операций с криптовалютой через общественный WiFi.

Bonus 1 : FakeENS

ENS – это альтернативный адрес вашего кошелька. Это похоже на сервисы для сокращения ссылок (например, bit.ly). Выглядит он следующим образом – address.eth. Многие ICO использовали именно его для фандрайзинга. Но об осторожности не стоит забывать и с ENS – хакеры могут выслать вам похожий, но ложный адрес (например, MaecanasICO.eth вместо MaecenasICO.eth).

Совет: проверяйте адреса ENS.

Совет: если собираетесь проводить ICO, лучше купить ENS-адрес.

Bonus 2: бесплатный сыр

Есть такая вещь, как Airdrops. Это безвозмездно начисляемые токены, например, за вашу лояльность платформе. Однако порой злоумышленники делают подобную рассылку для получения вашей приватной информации. Как и во всех остальных случаях, будьте предельно внимательны и осторожны.

Источник

 

Источник

Похожие материалы

Комментарии

Your browser is out of date!
Install the latest version of your browser.