Для держателей и поклонников цифровых валют крипто-джунгли — тот еще хаос в плане безопасности.
Если вы когда-либо регистрировались на более менее надежном криптосервисе, вы точно проходили все утомительные шаги верификации, и сложные, длинные фразы, и коды, которые нужно помнить или хранить где-нибудь. Да, вы контролируете свои собственные активы, но вы сами отвечаете за свою собственную безопасность. И поскольку большинство людей не являются экспертами в этой области, их очень часто обкрадывают. Удивительно, что многие люди, даже профессионалы, не принимают базовых мер безопасности.
Вы подвергаетесь риску, даже с супернадежным аппаратным кошельком, который пока является золотым стандартом безопасности. Действительно, большинство проблем происходит в «точках соединения» с вашим кошельком, а не с самим кошельком.
Как хакеры атакуют и как защититься
Вот несколько трюков, которые хакеры любят использовать, чтобы украсть личные ключи (информация, необходимая для кражи ваших монеток).
1. Copy Paste: вы видите адрес, на который хотите отправить немного битка. Вы копируете/вставляете этот адрес в свой кошелек. И вот CryptoShuffler, небольшая программа, которая заменит скопированный адрес на другой, который не имеет ничего общего с оригиналом. Он будет работать с любыми типами паролей, включая копирование мастер-пароля для вашего менеджера паролей.
Совет: это тяжело, но проверяйте адрес после вставки. Или используйте QR-код, если знаете, как с ним работать.
Совет: Банально, но не устанавливайте софт или приложения, в которых не уверены. Регулярно запускайте антивирусные программы на компьютере (Bitdefender, MalwareByte) для его очистки. Лишний раз подумаешь, качать ли программу с торрента, на которую пищит антивирус, если жертвой может стать не твоя винда, а баланс кошелька.
Совет, для про: используйте официальный ENS (подробнее об этом ниже) вместо адреса. Некоторые из них стоят дешево, а некоторые нет. Но это придаст спокойствия.
2. Взломанные мобильные приложения. Хакеры могут публиковать поддельные приложения для покупки активов на криптобиржах (например, Poloniex), но вы не поторгуете, конечно… вы просто отправляете деньги на подставной хакерский счет.
Android подвержен взлому больше, чем iOS.
Советы: это очевидно (но не для всех), вам необходимо защитить свое устройство с помощью PIN-кода, Touch ID и/или FaceID, добавить 2-факторную аутентификацию на все сервисы. в любое приложение, которое у вас есть, и избежать загрузки мусора и переходов в непроверенные магазины приложений или скачивание по почте.
3. Хакнутый Slack-бот. Это просто чума. Они вышлют предупреждение о безопасности на вашем кошельке (который, конечно же, не существует), и свяжут вас с URL-адресом, где будут запрашивать ваш личный ключ.
Совет: игнорировать ботов в Slack. Пожалуйтесь на них, если они будут писать. Также используйте Metacert для защиты каналов в этом сервисе.
4. Расширения для браузера. Некоторые расширения утверждают, что они улучшат пользовательский интерфейс на сайтах для трейдинга. Только не говорят, что могут читать все, что вы там пишете. Лучше сидите с неудобным интерфейсом, но он будет более безопасными.
Совет: не загружайте расширения по криптовалютам. Лучше используйте браузер в «инкогнито» или другом режиме, где обычно расширения отключены. Или используйте отдельный чистый браузер. Вы можете присмотреться к Brave, который является блокчейн-браузером со встроенным кошельком.
5. Сайты-клоны: вы начинаете вводить URL-адрес веб-сайта и попадаете на очень похожий веб-сайт с таким же точным внешним видом и логотипом. Осторожно!
Совет: найдите сертификат https и используйте расширение Cryptonite для Chrome / Firefox, которое может определять поддельные URL-адреса.
6. Фейковая реклама в Google / других сетях: это известная техника. Вы ищете нужные сайты в Google, но хакеры размещают рекламу на сайт с похожим адресом и рекламным сообщением. То же возможно не на рекламных позициях, а через SEO-продвижение.
Совет: читайте адрес дважды и внимательно.
7. Фейковые аккаунты в соцсетях. Подписывайтесь только на проверенные учетные записи, переходите на социальные сети с официального сайта проекта. Не доверяйте никаким другим источникам, даже алгоритмам рекомендаций в Twitter или Facebook, которые могут подтолкнуть вам новые поддельные учетные записи.
8. Двухфакторная аутентификация по СМС. Это широко известный способ. Сервисы будут запрашивать номер мобильного телефона для регистрации или активации 2FA (двухфакторной аутентификации), но хакеры могут дойти до того, чтобы обманывать техподдержки мобильных операторов и получать ваши учетные данные, а оттуда получать доступ к любой учетной записи, связанной с мобильным телефоном.
Совет: спросите своего оператора, как ваш телефон защищен
Совет 2: не используйте непонятную услугу, которая требует вашего номера телефона, и никогда не устанавливайте 2FA по SMS (вместо этого используйте программное решение, например Google Authenticator).
9. Фильтрация электронной почты: Вы получаете электронное письмо от службы, которую знаете, за исключением того, что сообщение не от них. Злоумышленники будут использовать тот же формат, шаблон, дизайн. Много раз было так, что настоящий сервис даже не хранил вашу почту, но это не имеет значения, вы можете обмануться. Не нажимайте на ссылки из почты вслепую.
Совет: обратите внимание на ссылку, которую вы нажимаете. Если она выглядит странно, выходите. И никакого заполнения форм в самой почте.
10. Взлом WiFi: Возможно, вы видели новости: WPA, протокол безопасности для большинства используемых маршрутизаторов wifi был скомпрометирован. С помощью «атаки KRACK» каждый может видеть все данные, которые проходят через вашу сеть Wi-Fi. Подобные проблемы возникают и в общественных открытых сетях (например, в аэропортах).
Совет: исправьте свой маршрутизатор, проверьте наличие обновлений и никогда не трейдите в общественных сетях Wi-Fi.
ENS — Ethereum Name Service
ENS является эквивалентом электронной почты/DNS для адреса кошелька. Многие ICO использовали его вместо адреса, подверженного ошибкам. Но некоторые хакеры будут публиковать фальшивые ENS на форумах.
ENS предлагает безопасный и децентрализованный способ обращения к ресурсам как на блокчейне, так и вне ее, используя простые, удобочитаемые для человека имена. С помощью ENS вы сможете отправлять деньги на «aaabbb.eth» вместо «9288jsjpjs82790ijOOPAss…». Любой может зарегистрировать доменное имя .eth для себя, участвуя в аукционе через блокчейн.
Совет. Обязательно укажите ENS, предоставленный компанией, и дважды проверьте его.
Совет для про: если вы сами проводите ICO, получите свой ENS (включая варианты с опечатками), даже если не планируете его использовать.
Будьте внимательны к сбросу монет
AirDrop — это случайное распределение бесплатных токенов, чтобы поощрить существующих держателей токенов или привлечь больше пользователей к проекту. Вы открываете свой кошелек. Сюрприз! Бесплатные токены. Но некоторые из них предоставят токены, чтобы вы зарегистрировались на мошенническом сайте и предоставили свою личную информацию