Skip to content
 

Правила криптобезопасности

10 основных правил криптобезопасности

Фото hi-tech.mail.ru

Если вам уда­лось непло­хо за­ра­бо­тать на бит­ко­ине (Bitcoin), не спе­ши­те ра­до­вать­ся. Ваши день­ги могут легко ока­зать­ся в руках ха­ке­ров. Чтобы мак­си­маль­но обез­опа­сить свое крип­то­со­сто­я­ние, сле­дуй­те этим 10 пра­ви­лам.

1. Не используйте двухфакторную аутентификацию (2FA) через СМС-сообщения. Чтобы за­ре­ги­стри­ро­вать­ся на любой циф­ро­вой плат­фор­ме, необ­хо­ди­мо вве­сти адрес своей элек­трон­ной почты. Он же ис­поль­зу­ет­ся для вос­ста­нов­ле­ния па­ро­ля учет­ной за­пи­си. Если ха­ке­ры за­вла­де­ют элек­трон­ным ящи­ком, ве­ли­ка ве­ро­ят­ность, что до­ступ к нему вос­ста­но­вить не по­лу­чит­ся. Таким об­ра­зом, любой свя­зан­ный с поч­той ак­ка­унт будет ском­про­ме­ти­ро­ван. При этом в боль­шин­стве стран очень легко ско­пи­ро­вать sim-кар­ту, по­это­му зло­умыш­лен­ни­ки могут по­лу­чить до­ступ к ва­ше­му но­ме­ру те­ле­фо­на и пе­ре­ад­ре­со­вать вы­зо­вы и СМС на новое устрой­ство. Как толь­ко ха­ке­ру это удаст­ся, он, зная один толь­ко адрес элек­трон­ной почты, смо­жет вос­поль­зо­вать­ся про­це­ду­рой вос­ста­нов­ле­ния па­ро­ля через СМС и по­лу­чить пол­ный до­ступ к ва­ше­му ак­ка­ун­ту.

2. Вместо 2FA используйте универсальную двухфакторную аутентификацию (U2F) для всех счетов. Более без­опас­ная аль­тер­на­ти­ва 2FA — это U2F, уни­вер­саль­ная двух­фак­тор­ная аутен­ти­фи­ка­ция, раз­ра­бо­тан­ная аль­ян­сом FIDO. Она сов­ме­ща­ет в себе от­кры­тость, за­щи­щен­ность, без­опас­ность и про­сто­ту ис­поль­зо­ва­ния. Устрой­ство U2F под­клю­ча­ет­ся к USB-пор­ту и при на­жа­тии на кноп­ку по­сы­ла­ет сиг­нал, под­твер­жда­ю­щий логин поль­зо­ва­те­ля. Этот стан­дарт за­щи­щен­нее обыч­ной 2FA, по­сколь­ку пред­став­ля­ет собой неза­ви­си­мое фи­зи­че­ское устрой­ство. Если хакер по­лу­чит уда­лен­ный до­ступ к устрой­ству с при­ло­же­ни­ем 2FA, он смо­жет легко вскрыть все при­вя­зан­ные учет­ные за­пи­си поль­зо­ва­те­ля. Но чтобы по­лу­чить до­ступ к сче­там с аутен­ти­фи­ка­ци­ей по стан­дар­ту U2F, ему при­дет­ся за­вла­деть самим устрой­ством. Это зна­чи­тель­но сни­жа­ет риски для поль­зо­ва­те­ля, по­сколь­ку уда­лен­но вскрыть такой ключ невоз­мож­но.

3. Заведите аппаратный кошелек и пользуйтесь им. Без­услов­но, ап­па­рат­ный ко­ше­лек — это самый без­опас­ный спо­соб хра­не­ния крип­то­ва­лю­ты. В крип­то­со­об­ще­стве даже по­яви­лась такая по­го­вор­ка: «Если ты не кон­тро­ли­ру­ешь ключи, то не кон­тро­ли­ру­ешь и крип­то­ва­лю­ту». Это очень точно от­ра­жа­ет суть риска. Ин­ве­стор, ко­то­рый хра­нит крип­то­ва­лю­ту на бирже, не кон­тро­ли­ру­ет за­кры­тые ключи от своих сче­тов — они при­над­ле­жат бирже. В слу­чае атаки ха­ке­ров он рис­ку­ет по­те­рять все свои ак­ти­вы (до­ста­точ­но вспом­нить взло­мы Mt. Gox, Coinrail, Bithumb, Bitfinex и дру­гих бирж). И пом­ни­те: не хра­ни­те сек­рет­ные ключи в Evernote или Dropbox — ис­поль­зуй­те ап­па­рат­ные ко­шель­ки. В худ­шем слу­чае за­пи­ши­те их на лист бу­ма­ги. При этом ап­па­рат­ные ко­шель­ки, такие как Ledger и Trezor, можно ис­поль­зо­вать и для U2F-аутен­ти­фи­ка­ции. Они не толь­ко за­щи­ща­ют сек­рет­ные ключи и обес­пе­чи­ва­ют двух­фак­тор­ную аутен­ти­фи­ка­цию, но в слу­чае кражи зло­умыш­лен­ник не смо­жет по­лу­чить к ним до­ступ, не зная PIN-ко­да (в от­ли­чие от тра­ди­ци­он­ных U2F-устройств вроде Yubico, ко­то­рые от­кры­ва­ют до­ступ сразу при под­клю­че­нии к ком­пью­те­ру).

4. Не выставляйте свое состояние напоказ. Очень часто можно за­ме­тить, как кто-то рас­ска­зы­ва­ет о своих успе­хах в со­ци­аль­ных сетях, а затем жа­лу­ет­ся, что его взло­ма­ли. В дан­ном слу­чае при­чи­на и след­ствие оче­вид­ны. Пример №1 Пример №2 Бра­ви­ро­вать своим крип­то­бо­гат­ством в ин­тер­не­те — все равно что на­пи­сать на лбу «У меня с собой куча денег!» и пойти гу­лять по тем­ным за­ко­ул­кам. Го­во­ря о при­бы­лях или пуб­ли­куя скрин­шо­ты ко­шель­ков, вы сти­му­ли­ру­е­те ха­ке­ров на поиск уяз­ви­мо­стей в вашем окру­же­нии. И они обя­за­тель­но най­дут их — и вос­поль­зу­ют­ся этим. Не будь­те лег­ко­мыс­лен­ны­ми.

5. Сохраняйте анонимность. Ано­ним­ность в Twitter и дру­гих со­ци­аль­ных сетях до­бав­ля­ет еще один уро­вень за­щи­ты между вами и зло­умыш­лен­ни­ка­ми. Оста­ва­ясь ано­ним­ны­ми, вы скры­ва­е­те свою лич­ность, пол, воз­раст, ра­со­вую при­над­леж­ность, на­ци­о­наль­ность, про­ис­хож­де­ние и т. д. Во мно­гих стра­нах даже при­част­ность к крип­то­рын­ку вос­при­ни­ма­ет­ся как сим­вол бо­гат­ства. В от­дель­ных слу­ча­ях это может на­не­сти вред не толь­ко ин­ве­сто­ру, но также его дру­зьям и близ­ким. Пре­ступ­ни­ки не гну­ша­ют­ся ни по­хи­ще­ни­ем людей, ни вы­мо­га­тель­ством. Можно пи­сать о при­бы­лях, оста­ва­ясь ано­ним­ным, и это сой­дет вам с рук, по­сколь­ку со­кры­тие лич­ных дан­ных силь­но услож­ня­ет ра­бо­ту ха­ке­ров.

6. Не рассказывайте о себе. Ано­ним­ны вы, или нет, ста­рай­тесь не рас­кры­вать в сети свои пер­со­наль­ные дан­ные. Очень рас­про­стра­нен­ный спо­соб вы­дать себя — опуб­ли­ко­вать фо­то­гра­фии сво­е­го дома/улицы/ав­то­мо­би­ля. Зло­умыш­лен­ни­ки будут по кру­пи­цам со­би­рать всю до­ступ­ную ин­фор­ма­цию, чтобы узнать о своей жерт­ве как можно боль­ше. Каж­дый ку­со­чек пер­со­наль­ных све­де­ний может быть ис­поль­зо­ван для по­ис­ка по­тен­ци­аль­но­го век­то­ра уяз­ви­мо­сти и до­сту­па к крип­то­ак­ти­вам. На ста­но­ви­тесь лег­кой ми­ше­нью для со­ци­аль­ной ин­же­не­рии.

7. Заведите разные почтовые адреса для разных целей. Не ис­поль­зуй­те один и тот же адрес элек­трон­ной почты для со­ци­аль­ных сетей и ре­ги­стра­ции на сай­тах крип­то­ва­лют­ных бирж. Обыч­но со­ци­аль­ные сети легче взло­мать, чем биржи. Вот пара при­ме­ров: В Twitter нет двухфакторной аутентификации аккаунта, и в учетную запись не требуется входить каждый раз. Злоумышленник может получить доступ к электронной почте, если вы, например, ненадолго отойдете от рабочего компьютера или забудете выйти из системы. Всем известно, что Facebook продает частную информацию пользователей сторонним компаниям. В нее может попасть адрес электронной почты и другая персональная информация. Раз­де­ле­ние ад­ре­сов e-mail в за­ви­си­мо­сти от уров­ня важ­но­сти по­мо­жет за­щи­тить­ся от ха­ке­ров. На­при­мер, один адрес можно ис­поль­зо­вать для Twitter, Facebook, Instagram, Snapchat, Dropbox, Evernote и др., а дру­гой — ис­клю­чи­тель­но для крип­то­ва­лют­ных бирж. Если одну из со­ци­аль­ных сетей взло­ма­ют ха­ке­ры или она решит про­дать ваши дан­ные тре­тьим лицам (что на­вер­ня­ка про­изой­дет), по­стра­да­ет толь­ко e-mail, свя­зан­ный с этими ак­ка­ун­та­ми. Для еще боль­шей без­опас­но­сти ис­поль­зуй­те от­дель­ный адрес элек­трон­ной почты для каж­дой биржи. В дан­ном слу­чае про­бле­ма будет со­сто­ять в за­по­ми­на­нии па­ро­лей для всех этих ад­ре­сов, од­на­ко па­ра­нойя ино­гда тво­рит чу­де­са. Ра­зу­ме­ет­ся, не со­зда­вай­те оди­на­ко­вый па­роль для раз­ных учет­ных за­пи­сей, иначе вы силь­но упро­ща­е­те за­да­чу ха­ке­ров.

8. Добавляйте сайты в закладки. Самый про­стой спо­соб по­те­рять крип­то­ва­лю­ту — пе­рей­ти на фи­шин­го­вый сайт. Пред­ставь­те, что вы ку­пи­ли новый но­ут­бук и ре­ши­ли про­ве­сти сдел­ку на бирже. Вы от­кры­ва­е­те бра­у­зер, вво­ди­те в стро­ке по­ис­ка «Binance» и слу­чай­но пе­ре­хо­ди­те по пер­вой ре­клам­ной ссыл­ке. Вы вхо­ди­те в учет­ную за­пись (при этом двух­фак­тор­ная аутен­ти­фи­ка­ция у вас от­клю­че­на) … и те­ря­е­те все свои день­ги не толь­ко на Binance, но и, воз­мож­но, на дру­гих бир­жах. Со­здать сайт-дуб­ли­кат и раз­ме­стить его в верх­них строч­ках по­ис­ка в Google Ads очень просто. По­доб­ное неод­но­крат­но слу­ча­лось с по­пу­ляр­ным ко­шель­ком MEW, по­это­му вни­ма­тель­но сле­ди­те за сво­и­ми дей­стви­я­ми, не пе­ре­хо­ди­те по ссыл­кам в по­ис­ке Google; вво­ди­те их са­мо­сто­я­тель­но в ад­рес­ную стро­ку или от­кры­вай­те из со­хра­нен­ных за­кла­док.

9. Пользуйтесь VPN в публичных сетях. Ра­бо­та в пуб­лич­ных сетях с неиз­вест­ной ор­га­ни­за­ци­ей по­хо­жа на секс без пре­зер­ва­ти­ва с со­вер­шен­но незна­ко­мым че­ло­ве­ком. Ис­поль­зуй­те VPN-сер­ви­сы. Они по­мо­гут из­бе­жать Wi-Fi спу­фин­га, пе­ре­хва­та неза­шиф­ро­ван­ных па­ке­тов/фай­лов cookie и дру­гих типов атак.

10. Установите антивирус и брандмауэр. Ан­ти­ви­рус за­щи­ща­ет ком­пью­тер от вре­до­нос­но­го ПО. Учи­ты­вая оби­лие все­воз­мож­но­го про­грамм­но­го обес­пе­че­ния в крип­то­про­стран­стве, хо­ро­ший ан­ти­ви­рус про­сто необ­хо­дим. Бранд­мау­эр за­щи­ща­ет ком­пью­тер от неже­ла­тель­ных вхо­дя­щих под­клю­че­ний (в том числе от зло­умыш­лен­ни­ков, стре­мя­щих­ся по­лу­чить уда­лен­ный до­ступ к опе­ра­ци­он­ной си­сте­ме). С каж­дым днем поль­зо­ва­те­ли все охот­нее рас­кры­ва­ют ин­фор­ма­цию о себе в ин­тер­не­те и осо­бен­но в со­ци­аль­ных сетях, думая, что они в без­опас­но­сти и на­хо­дят­ся за экра­ном, за­щи­ща­ю­щим их от ре­аль­ных опас­но­стей. Од­на­ко это не так. За ком­пью­те­ром мы уяз­ви­мы так же, как на обыч­ных ули­цах. Раз­ни­ца лишь в том, что в сети вы пуб­ли­ку­е­те свои мысли, фо­то­гра­фии, де­ли­тесь пе­ре­жи­ва­ни­я­ми и от­кры­ва­е­те лич­ные дан­ные не ты­ся­чам, а мил­ли­о­нам людей. Ве­ди­те себя в вир­ту­аль­ном мире так же, как в ре­аль­ном. Будь­те осто­рож­ны, не вы­став­ляй­те свои день­ги на­по­каз, хра­ни­те ключи в на­деж­ном месте. Ис­поль­зуй­те здра­вый смысл — в сети го­раз­до боль­ше вре­до­нос­но­го ПО, зло­умыш­лен­ни­ков и сле­дя­щих си­стем ис­кус­ствен­но­го ин­тел­лек­та, чем можно себе пред­ста­вить.

© Ев­ге­ния Си­до­ро­ва