Спам и мошенничество — две постоянные проблемы в интернет пространстве на протяжении всего его существования. И Web3 не является исключением. Как противостоять атакам фишинга на ваши криптовалютные активы, рассказываем сегодня с этой статье.
Основные принципы: диверсифицируйся и защищай
Если вам кажется, что это просто слова, то самое время задуматься: без следования этим принципам криптовалютный мир никогда не станет безопасным. Давайте начнем с защиты.
Подчеркнем несколько основных принципов безопасности:
- Если вы уделяете внимание безопасности только один раз в год, значит, вы уже под угрозой. Неважно, это попытка взлома вашей почты для спама или утечка пароля с какого-то веб-сайта (например, обменника).
- Если вы используете только удобное, но закрытое программное обеспечение, значит, вы уже под угрозой. Сообщество с открытым исходным кодом, как правило, реагирует быстрее и дружелюбнее, но главное — оно всегда активно, а не время от времени.
- Если вы не экспериментировали с расширениями, кошельками и другими официальными dApps, такими как Bitcoin Core или Polkadot JS, вероятно, вы еще не полностью осознали процесс и, вероятно, уже подверглись риску.
Конечно, все эти утверждения могут показаться страшными, но давайте рассмотрим некоторые примеры.
Пример 1: Реклама — наш враг
Допустим, вам нужно обменять небольшую сумму в ETH. Куда в этом случае пойдет большинство из нас? Правильно, мы пойдем в поисковик браузера вбивать нужный нам запрос на обмен.
Вбили в Google запрос на обмен криптовалюты и перешли по первой ссылке.
Как нетрудно догадаться, она оказалась фишинговая. Алгоритм поисковика отфильтровывал в своем результате криптопроекты, но только честные. А вот фишинговые сайты, подражающие самому крупному проекту, — нет. Да и сделан сайт-обманка был на отлично: ни багов, ни опечаток, даже SSL-сертификат стоял. И разница — всего лишь в одной букве. В общем, база ребята, хорошо отлаженная и нарисованная.
В итоге нашли нужное нам направление и перешли на сайт, который, конечно же, тоже был фейковым. Более того, похож как две капли воды на тот, на котором мы уже когда-то совершали обмен. Удивительно, но тут мы совершаем третью непростительную ошибку: не вошли в личный кабинет, так как сумма, казалось бы, небольшая, да и время было уже позднее.
И вуаля, наш эфир навсегда осел в карманах мошенников.
Как можно было этого избежать?
Вот набор простых советов:
- Адреса сайтов, которыми пользуетесь (DEX, обменники, кошельки, агрегаторы), надо запоминать и вводить вручную, а также добавлять в закладки: уже как минимум два источника для сверки будет. И лишь потом можно использовать поисковики как третий независимый источник: и желательно не Google, Yandex или Baidu, а что-то без рекламы и прочего спама.
- Везде, где можно что-то кастомизировать, это нужно обязательно сделать: обои в Gmail, авторизация в партнерке, личный кабинет в обменнике и многое другое. Особенно хорошо действуют приветственные записи и внутренние названия аккаунтов: даже CEX до этого доросли и применяют, а в децентрализованном мире обходиться без этого — грех.
- И, конечно, всегда нужно проверять сами кошельки (номера): у обменников они часто индексируются.
По отдельности эти пункты не сработают, но вместе — вполне. Фишинговая реклама до сих пор попадается в Facebook, так что этот пример будет актуален еще долго.
Пример 2: Диверсификация нужна всегда
Представим, что мы охотимся за баунти, аирдропами и подобными вещами. Что именно мы будем делать? Правильно, тестировать новые сервисы и системы. Сначала немного, потом больше, затем несколько сразу, и вот мы уже профессионально работаем с разными проектами: от нишевых до отраслевых.
Но в этот момент наш базовый кошелек становится напичкан апрувами для смартов и разными разрешениями для сервисов, а браузер — полон закладками сайтов и прочими атрибутами интенсивного цифрового взаимодействия.
В этот момент нас непременно начнут атаковать:
- Фейковые аккаунты в X (Твиттер). Даже если вы сможете найти 10 отличий, никто не застрахован от взлома официального аккаунта и фишинговых ссылок от него. Такое, как мы видим, может происходить даже с SEC или Виталиком Бутериным.
- Рассылки на электронку. Спамить будут много и хорошо, как через специальные сервисы, так и стандартные рассылочные, а еще через подписки.
- Telegram, Discord и прочие мессенджеры. С этим вообще тяжко. Особенно если вы активный участник криптокомьюнити, то спам по группам и в лс рассылается молниеносно и параллельно.
Все это мы перечислили для того, чтобы вы сделали один вывод: взломать могут кого угодно. Но от этого есть противоядие: диверсификация.
Допустим, мы получили какой-то ретродпроп на кошелек, предварительно сделав все все процедуры перечисленные выше (проверили апрувы и все остальное). Что дальше? Надо обязательно перевести всё на другой кошелек, который или вообще никак не взаимодействует с онлайном, или делает это крайне редко. Таким образом мы оставляем на своем горячем кошельке только то, что готовы потерять — и не более.
Здесь стоит привести еще ряд немаловажных советов:
- Надо всегда оставаться в курсе. Читать новостные издания — например, через агрегатор. Кажется, что совет база, но на самом деле он позволит избежать до половины ненужных атак. Каким образом? Взломали чей-то сайт, протокол, соц.сети, подменили DNS, а мы уже в курсе и не будем идти на тот ресурс в момент атаки. Благо жизнь фишинговых сайтов крайне короткая.
- Хотя бы бегло изучать что-то по безопасности:
- Xakep.ru — отличный источник свежих схем скама;
- AuditDB, Dynamic и другие специализированные ресурсы;
- закрытые форумы вроде Exploit.in.
3. Обязательно нужно подтверждать любые аирдропы через несколько ресурсов. Вспомните о взломе Galxe — хотя бы для предотвращения подобного. Стандартный набор: а) официальный сайт; б) социальные сети; в) СМИ.
Цифровая гигиена должна стать для каждого из нас такой же необходимостью, как чистить зубы по утрам или мыть руки перед едой. По-другому нельзя, и это подтверждают взломы разного масштаба, которые мы видим ежедневно
Проверяйте, а потом доверяйте только проверенным источникам, следуя тем советам, которые мы сегодня собрали для вас в этой статье.
Например, AvanChange - безопасный обменник , с которым вы можете не переживать за вашу конфиденциальность и безопасность.
