Главная » Криптовалюты

Защитить переводы с кошелька криптовалюты

Содержание
  1. ТОП-5 методов кражи криптовалют в 2020 году и 10 советов как защитить свои активы
  2. Поддельные фишинговые сайты
  3. Кража API ключей
  4. Эксплойты в загруженных файлах
  5. Мошеннические платформы
  6. Поддельные приложения
  7. Как защитить себя от злоумышленников?
  8. Защита криптовалютного кошелька от взлома: 19 рекомендаций и способов для безопасного использования криптовалют
  9. Первый уровень: основные правила
  10. Второй уровень безопасности
  11. Третий уровень: максимальный уровень защиты криптокошелька
  12. Действия для профессионалов

ТОП-5 методов кражи криптовалют в 2020 году и 10 советов как защитить свои активы

Эксперты компании Hacken, которая специализируется на кибербезопасности, описали 5 самых популярных способов кражи криптовалюты в 2020 году.

В 2020 году киберпреступники покушались в основном на протоколы децентрализованных финансов (DeFi), что говорит о незрелости этого нового быстрорастущего сегмента. Тем не менее, количество криптовалют, украденных из централизованных платформ, все еще значительно выше. Например, в результате взлома Kucoin были украдены монеты на 275 миллионов долларов. Сумма денег, похищенных из DeFi-проектов составляет примерно 21% от объема взломов и краж в криптовалютной индустрии в 2020 году, говорится в последнем исследовании компании Hacken, специализирущейся на кибербезопасности.

Кроме того, хакеры атакуют не только криптоплатформы, но и самих пользователей. Каждый день в Интернете публикуются истории о том, как злоумышленники украли криптовалюту пользователя, получив доступ к его криптокошельку или аккаунту криптобиржи. Некоторые пользователи понятия не имеют, насколько высок риск взлома их учетной.

В этой статье мы рассмотрим пять основных способов кражи криптовалюты, которыми пользовались хакеры в 2020 году.

Навигация по материалу:

Поддельные фишинговые сайты

Фишинг – это инструмент социальной инженерии. Его часто используют для кражи пользовательских данных, включая мнемонические фразы, закрытые ключи и учетные данные для входа в аккаунты на криптовалютные платформы.

Как правило, злоумышленники рассылают мошеннические электронные письма, где просят пользователя ввести перейти на поддельный веб-сайт и ввести там свою конфиденциальную информацию. Кроме того, пользователей часто заманивают на вредоносный сайт. Переход по ссылке из письма заканчивается установкой вредоносного ПО.

Простейшим примером успешной фишинговой атаки стал случай MyEtherWallet в 2017 году. Киберпреступники разослали электронное письмо потенциальным пользователям MyetherWallet и объявили, что им нужно синхронизировать свой кошелек, чтобы соответствовать требованиям хард-форка Ethereum. После нажатия на ссылку пользователь переходил на фишинговый сайт, который выглядел как настоящий, но содержал дополнительный едва заметный символ в URL-адресе. Невнимательные пользователи вводили свои секретные фразы, закрытые ключи и пароли от кошельков, тем самым предоставляя эти данные злоумышленникам, а затем теряли свою криптовалюту.

Последний пример – успешная атака на пользователей кошелька Ledger. Аферисты использовали фишинговые письма, которое направляли пользователей на поддельную версию веб-сайта Ledger, с измененным символом в URL-адресе, как и в предыдущем случае с MyEtherWallet. На поддельном сайте жертвы скачивали вредоносное ПО, выдающее себя за обновление безопасности, которое выводило монеты из их кошелька Ledger. Из этого следует вывод, что даже пользователи аппаратных кошельков не защищены от фишинговых атак.

Такой же тип атак использовался против пользователей криптовалютных бирж. То есть пользователь получает письмо со ссылкой на сайт, который идентичен реальному, но со слегка измененным URL-адресом. Таким образом, злоумышленники крадут имена пользователей/пароли и при определенных условиях они могут украсть криптовалюту из биржевого кошелька. Тем не менее, пользователи могут застраховать себя даже в случае успешной атаки, так как биржи предлагают дополнительные инструменты защиты от подобных случаев.

Кража API ключей

Некоторые трейдеры используют инструменты автоматизации торговли, называемые торговыми ботами. Для использования такого программного обеспечения пользователь должен создать API ключи с определенными разрешениями, чтобы бот мог управлять его балансом.

Обычно, когда пользователь создает API ключ, биржа запрашивает следующие разрешения:

  • Просмотр. Разрешение на просмотр данные, связанных с учетной записью пользователя, таких как история торговли, история ордеров, история вывода средств, баланс, некоторые пользовательские данные и т. д.
  • Трейдинг. Разрешение на размещение и отмену ордера.
  • Вывод средств. Разрешение на вывод средств.
  • Белый список IP адресов. Позволяет выполнять операции только с указанных IP-адресов.

Для API ключей торговых ботов нужны разрешения на просмотр, торговлю, а иногда и на вывод средств.

Существуют различные способы кражи API-ключей пользователей. Например, злоумышленники часто создают вредоносных «высокоприбыльных» бесплатных торговых ботов, чтобы убедить пользователя ввести свои API ключи. Если ключ API имеет разрешение на вывод средств без ограничения по IP, то хакеры могут мгновенно вывести всю криптовалюту с баланса пользователя.

Даже без разрешения на вывод хакеры могут украсть криптовалюту пользователей, “выкачивая” средства через определенную криптовалютную торговую пару с низкой ликвидностью. Наиболее яркими примерами таких атак являются памп Viacoin и памп Syscoin, где хакеры накопили эти криптовалюты и продали их по значительно завышенной цене, используя для пампа цены средства пользователей, доступ к балансам которых был украден.

Читайте также:  Совет по инвестициям при главе

Эксплойты в загруженных файлах

Существует множество эксплойтов нулевого дня и уязвимостей одного дня для MS Word, Excel и Adobe Product, которые гарантируют, что антивирусные продукты не смогут обнаружить вредоносные программы и предоставят злоумышленникам полный доступ к устройствам жертв и их внутренней инфраструктуре.

Нулевой день — это уязвимость в программном обеспечении, аппаратном обеспечении или прошивке, который неизвестен стороне или сторонам, ответственным за разработку и поддержку продукта. Термин «нулевой день» может относиться к самой уязвимости или к атаке, которая занимает период в ноль дней между обнаружением уязвимости и первой атакой. После того, как уязвимость нулевого дня стала общеизвестной, она определяется как уязвимость n-го дня или уязвимость одного дня. После обнаружения уязвимости в программном обеспечении начинается процесс разработки вредоносного кода, который использует обнаруженную уязвимость для заражения отдельных компьютеров или компьютерных сетей. Самым известным вредоносным ПО, использующим уязвимость нулевого дня в программном обеспечении, является червь wannaCry, вирус, который вымогал биткоины для расшифровки файлов зараженного компьютера.

Тем не менее в сети есть множество других вредоносных программ, которые могут получить доступ к криптовалютным кошелькам пользователей, а также к приложениям для обмена криптовалютами, используя эксплойты нулевого, одного или n-го дня. Самым известным случаем такой атаки в последние годы стал эксплойт WhatsApp, в результате которого злоумышленники могли собирать данные с криптокошельков пользователей.

Мошеннические платформы

В связи с активным ростом рынка DeFi-мошенники постоянно запускают новые проекты, которые являются практически точными клонами существующих проектов. После того, как пользователи инвестируют в эти проекты, мошенники просто выводят средства на свои собственные кошельки.

Самым большим скамом такого рода на сегодняшний день является случай YFDEX , когда злоумышленники украли 20 млн средств пользователей через 2 дня после запуска проекта. Такие мошенничества очень распространены, потому что в большинстве случаев члены проектной команды анонимны и у них нет юридических обязательств перед пользователями. Ранее такие случаи мошенничества были связаны в основном с ICO-проектами.

Тем не менее, подобные случаи имели место и с централизованными платформами. Например, дело QuadrigACX, когда основатель централизованной биржи умер, оставив платформу без доступа к своим кошелькам и без возможности обработать вывод более $ 171 миллионов средств клиентов. В результате только 30 млн долларов утерянных средств могут быть возвращены.

Такие случаи происходят постоянно, поэтому нужно тщательно изучать платформу, прежде чем переводить туда свои деньги.

Поддельные приложения

За время существования индустрии криптовалют было создано множество поддельных приложений платформ или кошельков. После того, как вы сделаете депозит в такое приложение, вы обнаружите, что вы потеряли свою криптовалюту.

Злоумышленники также создают копии существующих приложений, добавляя вредоносный код. Также бывали случаи, когда злоумышленниками создавались “новые” поддельные приложения для платформ, у которых нет мобильных или десктопных версий. Например, дело Poloniex 2017 года, когда пользователи ввели свои учетные данные и тем самым передали их злоумышленникам. Это привело к краже средств у невнимательных пользователей.

Поскольку большинство криптокошельков имеют открытый исходный код, каждый может создать свою копию кошелька и внедрить вредоносный код. Темы о таких кошельках постоянно появляются на популярных криптовалютных форумах, например, о поддельном приложении Trust wallet . На данный момент существует более 10 копий этого кошелька, каждая из которых может содержать вредоносное ПО.

Как защитить себя от злоумышленников?

Злоумышленники используют множество методов кражи пользовательских средств и данных. Поэтому мы рекомендуем придерживаться следующих правил, чтобы защитить себя от злоумышленников:

  1. Всегда проверяйте домен, с которого вы получаете электронные письма.
  2. Установите AntiPhishing код или его аналоги, если платформы, которые вы используете, поддерживают такой функционал.
  3. Вносите средства только на биржи с хорошей репутацией. Вы можете проверить рейтинги бирж на следующих платформах: Mining-Cryptocurrency.ru, Coingecko, Cer.live, Coinmarketcap, Cryptocompare и т.д.
  4. Настройте белый список IP для логина, если платформы, которые вы используете, поддерживают такой функционал.
  5. Всегда изучайте криптокошелек, прежде чем принимать решение об установке его на свой телефон, даже если он в списке магазина приложений.
  6. Установите белый список IP адресов для API ключей.
  7. Не инвестируйте в недавно запущенные проекты, в которых нет никакой информации о команде, инвесторах и т.д. Во время DeFi-хайпа мошенники запустили десятки мошеннических проектов, чтобы украсть криптовалюту у инвесторов.
  8. Убедитесь, что вы загружаете документы и другие файлы из надежного источника.
  9. Всегда выполняйте регулярные обновления системы безопасности вашей операционной системы.
  10. Скачивайте приложения и их обновления только с официальных сайтов.

Вместе с ростом криптовалютного рынка, появляются и новые схемы кражи средств и данных пользователей. Вы должны быть очень осторожны с электронной почтой и другими уведомлениями. Используя описанные выше 10 правил, пользователи могут защитить себя от злоумышленников.

Читайте также:  Пример стандартное отклонение доходности

Дата публикации 12.01.2021
Подписывайтесь на новости криптовалютного рынка в Яндекс Мессенджер.
Поделитесь этим материалом в социальных сетях и оставьте свое мнение в комментариях ниже.

Источник

Защита криптовалютного кошелька от взлома: 19 рекомендаций и способов для безопасного использования криптовалют

Единственное, что стоит между злоумышленниками и вашей криптовалютой – установленные вами степени безопасности. Некоторые думают, что хакеру нет смысла атаковать их, но это не значит, что нужно легкомысленно относиться к защите. Зачастую злоумышленники атакуют не кого-то конкретного, а сразу массу людей. А если случится потеря денег, то никто не сможет их вам вернуть, даже сам Сатоши – так уж устроена технология блокчейн.

Аппаратные кошельки Ledger для безопасного хранения криптовалют

Поэтому не пренебрегайте профилактикой. В этой статье редакция Profinvestment.com рассмотрит 3 уровня безопасности криптокошелька. Если вы с ними справитесь, то у вас получится свести к нулю риск потери своих средств.

Первый уровень: основные правила

Это самые основные правила безопасности, о которых должен знать абсолютно каждый. Они не дают 100% гарантии, но, если ими не воспользоваться – это всё равно что выкидывать деньги на ветер. Итак, составляющие первого уровня:

    Обеспечьте сохранность сид-фразы из двенадцати слов. Сид-фраза – это основной ключ к кошельку с криптовалютой. Любой человек, завладевший ею, сможет получить свободный доступ к кошельку и всем хранящимся на счету финансам. Поэтому позаботьтесь о том, чтобы она не была записана на видном месте.

восстановление кошелька с помощью seed
Аккуратнее обращайтесь с приватными ключами. По функционалу приватный ключ похож на сид-фразу, однако дает доступ только к конкретному виду активов. Например, все монеты Ethereum контролируются закрытым ключом от Ethereum. Bitcoin и прочие криптовалюты работают с массой частных ключей, каждый из которых контролирует один адрес. И кража одного из них позволяет взломать и все остальные. Поэтому храните эти ключи в максимально безопасном месте.

приватный ключ (private key) Bitcoin

  • Придумайте сильный и необычный пароль от кошелька. Постарайтесь, чтобы он был не похож на любой другой из используемых вами паролей (от электронной почты, игр, соцсетей и т.д.). Используйте не меньше шестнадцати символов, лучше рандомных. Добавьте различные знаки препинания, а также цифры.
  • Пользуйтесь лицензионной ОС и приложениями, регулярно обновляйте их. Во-первых, это касается приложения кошелька. Своевременно обновляйте ваш софт, это очень важно в целом для безопасного пользования устройством.
  • Не переходите на подозрительные ресурсы и никогда не скачивайте файлы из сомнительных источников. Они могут содержать вирусы и шпионские программы, ворующие пароли.
  • Не хвастайтесь своими накоплениями, особенно на публике. Многие ютуб-блогеры стали жертвами взломов, потому что показывали свои сбережения в видео, при этом не особенно задумываясь о сохранности кошелька. Не стоит делать себя лакомым кусочком для злоумышленников.

    • После выполнения этих действий вы обезопасили кошелек от 50% атак.

    Второй уровень безопасности

    На этом этапе вы уже можете чувствовать себя относительно спокойно и приступить к применению более серьезных мер:

      кошельки Trezor для безопасного хранения криптовалют

    Используйте аппаратный кошелек. Ни один компьютер ни при каких обстоятельствах не будет защищен на 100%. Поэтому специалисты настоятельно советуют пользоваться каким-либо аппаратным кошельком, например, Trezor или Ledger.


    Активируйте для всех учетных записей 2FA. Двухфакторная аутентификация обычно производится через смартфон. Для авторизации по такому методу есть два требования: пароль и телефон. На смартфоне должно быть установлено приложение Google Authenticator или аналогичное ему. А вот пользоваться 2FA через SMS или e-mail не столь безопасно.

    Google Authenticator
    Пользуйтесь диспетчером для паролей. Придумывая для каждой учетной записи в интернете новый пароль, вы скоро запутаетесь и начнете повторяться. Программа, выполняющая функции менеджера паролей, позволит этого избежать. Например, KeePass:

    KeePass — программа для хранения и генерации поролей

  • Применяйте в работе брандмауэр и VPN. На вашем устройстве обязательно должен быть установлен брандмауэр. Он защищает сеть от нежелательного доступа из интернета. VPN предоставляет дополнительную конфиденциальность, шифруя сообщения и не давая третьим лицам отследить ваши действия.
  • Используйте антивирусные программы и регулярно обновляйте их. Антивирусы добавляют еще один уровень защиты. Хотя не стоит полагаться только на них.
  • Держите в безопасности 12 слов сид-фразы. Да, об этом уже говорилось, но не будет лишним напомнить, насколько это важно. Лучше всего записать сид-фразу на листке и спрятать в какой-нибудь книге или в шкафу за старыми вещами. А еще одну копию – в доме у родителей или где-то во дворе. Таким образом, даже если один листок сгорит в пожаре, у вас останется второй. Заламинируйте их, но не в магазине, а дома – это можно сделать при помощи прозрачного скотча или книжной обложки.
    • Читайте также:  Рассчитать индекс доходности инвестиций с ставкой дисконтирования

    Сделав это, вы обезопасите криптокошелек на 80%.

    Третий уровень: максимальный уровень защиты криптокошелька

    На этом уровне используются действительно серьезные меры, которые практически исключают возможность атаки злоумышленников на ваш кошелек:

    1. Обеспечьте максимальную безопасность паролей. Важные пароли уже вами изменены, теперь пришло время освежить другие и занести их в менеджер паролей. Идеальным вариантом будет пароль до 64 символов, в котором присутствует 10 цифр и 10 знаков препинания. Для того, чтобы взломать такой пароль методом подбора, теоретически потребуются миллиарды лет.
    2. Запомните части от паролей. Если вы хотите существенно увеличить уровень безопасности кошелька, то сделайте так: запомните последние 4 цифры от наиболее значимых паролей, а потом удалите эти 4 цифры из программы управления паролями. Это защитит кошелек в случае, если программа будет каким-то образом скомпрометирована. Только убедитесь, что вы действительно можете крепко запомнить их.
    3. Защитите сеть. При организации защиты устройства часто упускаются из виду настройки сетевой безопасности. Не совершайте такую ошибку: они способны хорошо помочь в сдерживании вредоносной активности.
    4. Сохраните в автономном режиме ссылку резервного копирования. Этот пункт относится уже к профессиональной защите и подходит для пользователей кошелька Exodus.io. Для начала сохраните письмо со ссылкой в каталог на флешке, затем удалите его с почты и очистите корзину. Далее зашифруйте созданную папку и придумайте как можно более сложный пароль. Такая мера усложнить жизнь хакерам, даже несмотря на то, что удаленное с почты письмо все равно остается на ее серверах.
    5. Сделайте шифрование жесткого диска. Эта процедура обезопасит вашу информацию, если они будет украдена или потеряна. Никогда не забывайте о том, что шифрование не сможет обеспечить защиту ваших данных после их расшифровки, то есть пока вы пользуетесь компьютером. Поэтому настройте блокировку компьютера после 10-15 минут простоя или при закрытии крышки от ноутбука. Согласитесь, что бессмысленно шифровать жесткий диск, если компьютер постоянно доступен для потенциальных злоумышленников.
    6. Установите в браузер расширения Metamask или PhishFort. Они выведут на экран предупреждение, если вы будете переходить на потенциально опасный сайт, находящийся в их черном списке. PhishFort – это антифишинговый криптосервис, которым пользуются известные в индустрии компании, в том числе Exodus. А Metamask – это расширение для безопасной работы с блокчейном, а также с разными с кошельками и криптобиржами.
    7. Еще раз проверьте безопасность сид-фразы. Она настолько важна, что нельзя к ней не вернуться. Положите одну копию листка в несгораемый сейф у себя дома, а вторую отнесите в банковскую ячейку. Вместо обычной бумаги используйте защитную технологию вроде Crypto Steel.

    После этих мер ваш криптокошелек гарантированно защищен от 95% атак.

    Действия для профессионалов

    Некоторые советы, предлагаемые на последнем уровне, требуют немалых технических знаний в области компьютеров и сетей. Прежде, чем применять любой из них, убедитесь, что четко понимаете, что делаете:

    1. Самое мощное управление паролями. Используйте локальную сеть для синхронизации менеджера паролей между компьютерами в доме, чтобы не пользоваться расположенными в интернете серверами.
    2. Снова о сид-фразе. Никогда не храните ее в цифровой среде, используйте данные ранее рекомендации по хранению в оффлайне.
    3. Защита сети. Сделайте локальную сеть практически неуязвимой. Подробные инструкции здесь дать сложно, поскольку параметры сильно различаются в зависимости от используемых маршрутизаторов и VPN-провайдеров. Сформируйте несколько разных SSID (Service Set IDentifier, то есть имен сети) на маршрутизаторе. Один для большей части компьютерной техники в вашем доме, второй для гостей, третий на отдельный компьютер для крипты (о нем далее). Проверьте, что ни один из них не связан с другим, и все имеют уникальные пароли (кроме, разве что, сети для гостей).
    4. Используйте дополнительные параметры подключения для VPN, к примеру, VPN через сеть TOR или DoubleVPN. Однако эта мера может существенно снизить скорость работы с интернетом.
    5. Отдельный компьютер с криптокошельком. Это компьютер, на котором не установлено ничего, кроме кошелька, и к которому не подключен интернет. Этот способ очень эффективен, но только в том случае, если предварительно вы уделили внимание всем остальным мерам.

    С помощью этих действий вы обезопасили свои криптовалютные сбережения на 99,9%. Это высочайшая степень защиты, и теперь никакой хакер не сможет прорвать такую оборону. Если вы сами не будете совершать каких-либо неразумных действий, то можете быть абсолютно спокойны за безопасность своего кошелька.

    Источник

    Оцените статью
    © 2024 Идеи для бизнеса