10 способов, которыми хакеры воруют вашу крипту

10 способов, которыми хакеры воруют вашу крипту

@zodiac6

Если вы когда-либо регистрировались на более менее надежном криптосервисе, вы точно проходили все утомительные шаги верификации, и сложные, длинные фразы, и коды, которые нужно помнить или хранить где-нибудь. Да, вы контролируете свои собственные активы, но вы сами отвечаете за свою собственную безопасность. И поскольку большинство людей не являются экспертами в этой области, их очень часто обкрадывают. Удивительно, что многие люди, даже профессионалы, не принимают базовых мер безопасности. 

Вы подвергаетесь риску, даже с супернадежным аппаратным кошельком, который пока является золотым стандартом безопасности. Действительно, большинство проблем происходит в «точках соединения» с вашим кошельком, а не с самим кошельком. 


Как хакеры атакуют и как защититься?

Вот несколько трюков, которые хакеры любят использовать, чтобы украсть личные ключи (информация, необходимая для кражи ваших монеток). 


1. Copy Paste: вы видите адрес, на который хотите отправить немного битка. Вы копируете/вставляете этот адрес в свой кошелек. И вот CryptoShuffler, небольшая программа, которая заменит скопированный адрес на другой, который не имеет ничего общего с оригиналом. Он будет работать с любыми типами паролей, включая копирование мастер-пароля для вашего менеджера паролей. 

Проверяйте адрес после вставки. Или используйте QR-код, если знаете, как с ним работать.
Не устанавливайте софт или приложения, в которых не уверены.
Регулярно запускайте антивирусные программы на компьютере для его очистки. Лишний раз подумайте, качать ли программу с торрента, на которую пищит антивирус, если жертвой может стать не твой Windows, а баланс кошелька.
Используйте официальный ENS.


2. Взломанные мобильные приложения. Хакеры могут публиковать поддельные приложения для покупки активов на криптобиржах (например, Poloniex), но вы не поторгуете, конечно… вы просто отправляете деньги на подставной хакерский счет. 

Необходимо защитить своё устройство с помощью PIN-кода, Touch ID или Face ID, избежать загрузки мусора и переходов в непроверенные магазины приложений или скачивание по почте.


3. Хакнутый Slack-бот. Это просто чума. Они вышлют предупреждение о безопасности на вашем кошельке (который, конечно же, не существует), и свяжут вас с URL-адресом, где будут запрашивать ваш личный ключ. 

Игнорировать ботов в Slack. Пожалуйтесь на них, если они будут писать. Также используйте Metacert для защиты каналов в этом сервисе. 


4. Расширения для браузера. Некоторые расширения утверждают, что они улучшат пользовательский интерфейс на сайтах для трейдинга. Только не говорят, что могут читать все, что вы там пишете. Лучше сидите с неудобным интерфейсом, но он будет более безопасными. 

Не загружайте расширения по криптовалютам. Лучше используйте браузер в «инкогнито» или другом режиме, где обычно расширения отключены. Или используйте отдельный чистый браузер. Вы можете присмотреться к Brave, который является блокчейн-браузером со встроенным кошельком. 


5. Сайты-клоны: вы начинаете вводить URL-адрес веб-сайта и попадаете на очень похожий веб-сайт с таким же точным внешним видом и логотипом.

Найдите сертификат https и используйте расширение Cryptonite для Chrome / Firefox, которое может определять поддельные URL-адреса. 


6. Фейковая реклама в Google / других сетях: это известная техника. Вы ищете нужные сайты в Google, но хакеры размещают рекламу на сайт с похожим адресом и рекламным сообщением. То же возможно не на рекламных позициях, а через SEO-продвижение. 

Читайте адрес дважды и внимательно. 


7. Фейковые аккаунты в соцсетях. Подписывайтесь только на проверенные учетные записи, переходите на социальные сети с официального сайта проекта. Не доверяйте никаким другим источникам, даже алгоритмам рекомендаций в Twitter или Facebook, которые могут подтолкнуть вам новые поддельные учетные записи. 


8. Двухфакторная аутентификация по СМС. Это широко известный способ. Сервисы будут запрашивать номер мобильного телефона для регистрации или активации 2FA (двухфакторной аутентификации), но хакеры могут дойти до того, чтобы обманывать техподдержки мобильных операторов и получать ваши учетные данные, а оттуда получать доступ к любой учетной записи, связанной с мобильным телефоном. 

Спросите своего оператора, как ваш телефон защищен. 
Не используйте непонятную услугу, которая требует вашего номера телефона, и никогда не устанавливайте 2FA по SMS (вместо этого используйте программное решение, например Google Authenticator). 


9. Фильтрация электронной почты: Вы получаете электронное письмо от службы, которую знаете, за исключением того, что сообщение не от них. Злоумышленники будут использовать тот же формат, шаблон, дизайн. Много раз было так, что настоящий сервис даже не хранил вашу почту, но это не имеет значения, вы можете обмануться. Не нажимайте на ссылки из почты вслепую. 

Обратите внимание на ссылку, которую вы нажимаете. Если она выглядит странно, выходите. И никакого заполнения форм в самой почте. 


10. Взлом Wi-Fi: Возможно, вы видели новости: WPA, протокол безопасности для большинства используемых маршрутизаторов Wi-Fi был скомпрометирован. С помощью «атаки KRACK» каждый может видеть все данные, которые проходят через вашу сеть Wi-Fi. Подобные проблемы возникают и в общественных открытых сетях (например, в аэропортах). 

Исправьте свой маршрутизатор, проверьте наличие обновлений и никогда не трейдите в общественных сетях Wi-Fi. 

Report Page