Бизнес

6 правил безопасности при работе с криптовалютой

Криптоактивы создают альтернативу традиционным валютам и привлекают внимание инвесторов. Но кроме этого на цифровые ценности все чаще обращают внимание мошенники.
Учитывая особенности криптовалют, методы их кражи имеют свою специфику, и в ряде случаев отличаются от манипуляций с обычными банковскими счетами. О том, как мошенники угрожают владельцам «цифровых активов», и какие есть способы противодействия злоумышленникам, рассказывает Дмитрий Волков, технический директор международной криптобиржи CEX.IO.
Дмитрий Волков, технический директор международной криптобиржи CEX.IO
Рынок криптовалют продолжает быть привлекательным направлением для инвесторов из разных стран, независимо от того, признает государство «цифровые активы» или нет, применяет к ним какое-то регулирование или оставляет их использование на усмотрение граждан. Но для самостоятельной защиты своих активов у пользователя должен быть высокий уровень технической грамотности. В большинстве случаев интересующиеся криптоактивами инвесторы имеют лишь общее или даже базовое представление об информационной безопасности. Именно поэтому цифровые активы все чаще вызывают интерес у мошенников, которые пользуются недостаточной подготовкой большинства владельцев виртуальных кошельков и с большим удовольствием переведут себе ваши средства.

Преступники, которые стремятся завладеть чужими деньгами, действуют примерно так же, как и в случае с банковскими счетами — они стараются завладеть информацией, позволяющей получить доступ к счету, а после этого выводят с него имеющиеся средства. Разница заключается лишь в том, что за защиту доступа к своим криптоактивам отвечает не банк или кредитная организация, а каждый пользователь лично. И от тех приемов защиты, которые вы применяете, зависит безопасность ваших цифровых кошельков.

Как участники криптовалютного рынка с 2013 года, мы в CEX.IO повидали много схем, применяемых мошенниками. Мы также делаем много усилий, образовывая наших пользователей как распознать мошенников. Самое сложное - это предотвращение социальной инженерии. Так как пользователь сам идет на поводу мошенника и действует "по своей воле". Были случаи, когда мы спасали человека, который был в одном шагу от передачи мошеннику пароля от счета. Мы бы хотели быть такими спасителями во всех ситуациях - но это ответственность пользователя защищать доступ к своему аккаунту и к своим активам. Эта защита начинается с понимания возможных векторов атаки.

Где хранятся ключи?

Криптовалюты представляют собой цифровые активы, имеющие ценность. И для каждого виртуального кошелька существует только один признак его уникальности — закрытый ключ, хранящийся у его владельца. Тот человек, который владеет этим ключем, может распоряжаться средствами, находящимися на счету. Если вы теряете ключ, то теряете и доступ к своему кошельку. Если кто-то крадет у вас ключ, то сможет провести транзакцию, опустошив ваш счет, и никто не сможет доказать, что это сделали не вы лично.

Пользователь вправе сам выбирать, где хранится его ключ к виртуальному кошельку. Он может находиться просто на компьютере, может быть записан на мобильном устройстве, например, на смартфоне, или размещаться в облаке. Также никто не мешает хранить код оффлайн, записанный на бумажке, например, под подушкой или матрасом. Для удобства работы с кошельками многие предпочитают устанавливать на свои компьютеры, ноутбуки, планшеты или смартфоны, специальные приложения «хранители ключей», а другие — предпочитают хранить ключи на онлайн-сервисах, таких как биржи обмена криптоактивами.

6 векторов атаки — 6 методов защиты

Современные мошенники применяют стандартные схемы и практически одни и те же инструменты, чтобы красть средства из виртуальных кошельков. Поэтому для противодействия им достаточно придерживаться стандартных правил:
1
Не храните данные в открытом доступе. Ведь если файл с ключем лежит просто у вас на диске или на флеш-накопителе мобильного устройства, риск утраты активов возрастает. В случае заражения вирусом или взлома вашего компьютера кошелек фактически оказывается в руках у злоумышленника. Храните ключи в зашифрованном виде, используя специализированные программы хранения ключей и паролей, или зашифруйте полностью устройство.
2
Не используйте одни и те же пароли, особенно если речь идет о крипто биржах или онлайн-кошельках. Поскольку речь идет о ценностях, лучше использовать отдельные пароли для этих сервисов, ведь иначе при взломе, скажем, вашей учетной записи на форуме или в социальной сети, злоумышленники доберутся и до ваших денег.
3
Защищайте мобильные устройства, с которых вы пользуетесь финансовыми услугами. Это касается и традиционного банкинга, и виртуальных кошельков, которые сегодня доступны и для Android и для iOS. Ваше устройство, в конечном счете, могут просто украсть. Поэтому устанавливайте защиту паролем, и не используйте разблокировку по лицу или геолокации — на многих смартфонах их можно обойти, например, показав фотографию пользователя. Именно поэтому некоторые приложения онлайн-банкинга не дают работать со счетом, если вы разблокировали смартфон своим лицом. Более того, лучше всего настроить самоуничтожение данных на телефоне после, скажем, 10 неудачных попыток разблокировки. Ваши данные, скопированные в облако, не пострадают, а злоумышленник не сможет найти пароль простым подбором.
4
Не ведитесь на «заманчивые» предложения в социальных сетях и Telegram, ведь если кошелек хорошо защищен, воры начинают активно обрабатывать жертву методами социальной инженерии. Известны случаи, когда мошенники месяцами давали советы по инвестированию, а потом, войдя в доверие, просили предоставить доступ к кошельку для проверки. В этих случаях вы сами предоставляете доступ к своим средствам. В последнее время участились случаи работы «черных инвесторов», которые в конечном счете просят перевести деньги, а потом исчезают и больше не выходят на связь. Также многие предлагают техническую поддержку и представляются сотрудниками биржи или сервиса, который должен помочь пользователю «не потерять все свои деньги». Бывают и более изощренные схемы. Например, мошенники сами заявляют, что сервис не оказывает поддержки в соцсетях и предоставляют «безопасную ссылку», которая ведет на взломанный сайт.
5
Следите за своим номером телефона, если он используется для двухфакторной аутентификации. Ведь если вы заявили о себе, как о человеке «с криптой», значит рано или поздно вас атакуют. Например, известный инвестор и организатор криптоконференций Майкл Терпин сам стал жертвой сим-своппинга (подмены сим-карты) в недавнем прошлом. Я бы рекомендовал вообще не звонить и не использовать вашу сим-карту, на которую приходят коды подтверждения. Можно обратиться к оператору, чтобы запретить восстановление сим-карты или перенос номера без физического визита в офис и предъявления удостоверения личности. Иногда можно зарегистрировать номер для кодов подтверждения в другой стране, но тут тоже нужно быть внимательным с выбором. Например, американские номера некоторых операторов чаще подвергаются атакам подмены сим-карты.
6
Проверяйте легитимность сайтов, когда работаете с виртуальными активами. Мошенники любят создавать клоны популярных бирж или онлайн-сервисов по работе с виртуальными кошельками. Например, вам могут позвонить из якобы «службы поддержки» и попросить срочно подтвердить легитимность кошелька по ссылке, которая придет в SMS. Если у вас есть антивирус, на компьютере установлен современный браузер, системы защиты должны предупредить вас об опасности, так что не игнорируйте такие оповещения.

Безопасные инвестиции в криптоактивы

Если у вас установлены основные средства защиты, самое главное — внимательно следить за своими собственными действиями. Особенно осторожно нужно относиться к сообщениям о возможности невероятного обогащения в ближайшее время, а также к уведомлениям безопасности. Очень часто мошенники имитируют рутинную проверку «подозрительной активности» и просят продиктовать код. В других случаях — они могут заманить вас в реферальную программу, в ходе которой вы привлекаете других инвесторов, а в результате деньги теряют все.

При грамотном обращении и соблюдении основных правил работы с виртуальными активами, каждый пользователь может получить достаточный уровень безопасности. Защита криптоактивов может гарантировать не меньшую, а иногда — даже большую сохранность, чем у средств в банках, так как уровень безопасности цифровых активов зависит только от вас.
Оцените наш материал
Поделитесь с друзьями
Читайте также:
Made on
Tilda