Безопасность в сети
Инструкция по безопасности, которая поможет защититься от большинства угроз.
Особенно для тех, кто использует криптовалюты, активно участвует в ICO, часто открывает MyEtherWallet.
Телефонный номер.
Не используйте один и тот же номер для бирж, кошельков, телеграм - и для обычной жизни. На нём не должны висеть viber, whatsapp и прочее.
Сюда же: не выкладывайте в профили мессенджеров свои фото на аватарку. Не вяжите их с профилями в соц.сетях (ссылками, упоминанием).
Новая почта.
Проверьте свои email адреса на факт утечки данных. Сервис показывает, где и когда ваши данные утекли в сеть в результате взлома сайтов, на которых вы были зарегистрированы.
Заведите отдельную почту для работы с криптовалютами, для участия в важных ICO - хорошо подходит https://protonmail.com (не привязывайте к ней свою старую почту для восстановления, это скомпрометирует новый адрес).
И ещё одну почту - для записи в Whitelist, участия в Airdrop и прочих дел.
Почты не должны пересекаться (первая - редкое использование, вход с защищенной системы - желательно с виртуальной).
Если вы только что работали с криптокошельком оффлайн (например, генерировали seed фразу или подписывали безопасную транзакцию), то сразу после нужно обязательно перезагрузить компьютер. И только потом подключаться к сети Интернет.
2FA.
Где только возможно используйте двухфакторную авторизацию (2FA). Но не Google Authentificator (при потере приложения вы не сможете восстановить доступ), а более удобный и безопасный аналог - https://authy.com.
Даже используя это приложение, всегда сохраняйте backup коды.
Если вам предлагают смс-коды для авторизации, откажитесь от них в пользу приложения Authy (сим-карту можно перевыпустить, а смс подменить). В настройках выключите поддержку нескольких устройств (Allow multi-device = OFF).
Не храните коды восстановления для 2FA вместе с паролями для доступа к биржам, кошелькам, сервисам.
Внимательно изучите этот материал (!), чтобы не питать иллюзий про аутентификацию (особенно SMS). И всегда завершайте сессию (выходите из аккаунта) - просто закрыть вкладку в браузере недостаточно.
Буфер обмена.
Установите защиту от keylogger'ов (зловред, который следит за тем, что вы набираете на клавиатуре, копирует ваши пароли и отправляет мошенникам).
А вот так выглядит скрытая атака, когда вирус подменяет номер кошелька в буфере обмена: https://www.bleepingcomputer.com/news/security/clipboard-hijacker-malware-monitors-23-million-bitcoin-addresses/
Самый простой способ защиты - https://www.qfxsoftware.com.
Почаще перезагружайте компьютер, очищайте буфер обмена, удаление подозрительных файлов выполняйте с помощью https://www.ccleaner.com/ccleaner (хотя бы в 7 проходов).
Пароли.
Для каждого сайта или кошелька создавайте новые и уникальные. Сложные, по 16 и более символов + фразы в разном регистре (их сложнее подобрать прямым перебором).
Не используйте "любимые" логин + пароль на нескольких сайтах.
Советы по составлению паролей и инструмент для оценки их сложности.
Не сохраняйте пароли в браузере.
Не храните их в блокнотике на рабочем столе, в программах типа Evernote, Google Docs (которые индексирует Яндекс) или в записках смартфона.
Заведите https://keepass.info и положите его в зашифрованный контейнер.
В хранилище паролей и ценные файлы подкладывайте ссылки-ловушки. Как только по ним перейдёт посторонний (зловред, вирус, мошенник) - вы получите оповещение на email.
Контейнер.
Все ценные документы, таблицы, записи, заметки, файлы храните только в зашифрованном контейнере с двойным дном (одна часть с лёгким паролем, его можно выдать под давлением, там пустышка; скрытая часть - ваши ценные документы).
Удобный вариант - https://www.veracrypt.fr/en/Home.html.
Контейнер замаскируйте под любой системный файл или повреждённый музыкальный файл (хотя бы измените расширение на .dat).
Перенос ценной информации с устройства на устройство делайте только в виде контейнера.
Сам контейнер создавайте в защищенной среде (на виртуальной машине).
Виртуальная машина.
Установите виртуальную операционную систему с помощью https://www.virtualbox.org. На неё поставьте https://linuxmint.com/download.php (простая и удобная в использовании).
Перед началом работы зашифруйте ОС и виртуальный жёсткий диск.
На этой системе держите все рабочие кошельки, через неё входите в кабинеты на биржах, обменниках, MyEtherWallet. Это безопасная среда, где следует создавать контейнеры.
Её сложнее взломать, в Linux труднее поставить зловреда, вирусы с вашего рабочего компьютера на неё не проникнут (чаще всего). В экстренной ситуации такую систему можно удалить за минуту.
Виртуальная ОС изолирована от вашего основного компьютера (и его угроз), поэтому стоит поддерживать её безопасность - не устанавливайте лишние программы, не скачивайте на неё файлы, видео, торренты.
Для ещё более безопасной работы установите Tails OS. И работайте с зашифрованными флешками.
Конфиденциальность.
Зашифруйте свой рабочий компьютер, подойдёт BitLocker или https://www.veracrypt.fr/en/Home.html. Ключи шифрования спрячьте в контейнер.
Обычный пароль к учетной записи - не защитит; нужно сделать так, чтобы ваш компьютер нельзя было открыть без вашего разрешения.
Это же касается и смартфона, если на нём есть кошельки и важные данные.
Не используйте свои реальные имя и фамилию в Интернете. Нигде. Особенно, если их можно связать с кошельками, почтой, телефоном, покупками, доставкой, такси.
Для KYC на ICO желательно иметь отдельную группу кошельков и почты - они не должны пересекаться с вашими сбережениями (для хвостов используйте миксеры и децентрализованные биржи).
Физически закройте камеру на ноутбуке и отключите в настройках.
Старайтесь не пользоваться программами, которые отображают ваш экран (удалённый доступ - тем более).
Никому не сообщайте, что вы изучаете криптовалюты и когда-либо покупали биткоин.
Антивирус.
Не полагайтесь на антивирус. Он защищает только от уже известных зловредов. А реальную угрозу представляют именно новые вирусы.
Проверьте свой роутер и wifi (измените пароли на сложные, отключите удалённый доступ из сети).
Не вставляйте в свой компьютер флешки, которые вам дают знакомые (на них легко спрятать зловреда).
Не скачивайте подозрительные pdf, xlx, zip, rar и даже картинки. Если вы сами изначально не просили их прислать - не позволяйте любопытству заразить ваш компьютер.
Когда нет сил терпеть, проверьте файл или ссылку через https://www.virustotal.com/#/home/upload.
Следите за фишингом.
Не переходите по ссылкам из писем. Даже если письмо пришло с официального email - введите адрес сайта вручную.
Если есть сомнения, настоящий ли сайт - сравните его хотя бы с 3 источниками: поиск Google, поиск https://www.startpage.com и https://coinmarketcap.com/ (должно быть совпадение 3/3).
Трижды проверяйте адреса сайтов и кошельков. Если делаете перевод, после вставки из буфера обмена, ещё раз проверьте все символы (зловред может подменить их во время копирования).
Кошельки.
Для баловства, airdrop, bounty и небольших транзакций заведите отдельный кошелек. Держите в нём мелочь.
В одном кошельке следует держать не более 25% всех средств. Это же касается отдельной взятой биржи.
Обязательно заведите аппаратный кошелек для долговременного хранения криптовалюты. Не светите его адреса, каждый раз проверяйте на экране устройства адрес для получения и отправки, вовремя делайте обновление прошивки, спрячьте в надёжном месте (seed фразу разделите на части, зашифруйте и разместите в нескольких разных точках - а не только дома).
Если есть возможность, купите Ledger Nano S (если доставки в ваш регион нет, возьмите Trezor).
Не держите на биржах большие суммы - для всех валют сделайте вывод на официальные кошельки, к которым у вас есть приватные ключи.
Инструкция про бумажные кошельки. Обязательно используйте собственную энтропию и дополнительно маскируйте итоговые ключи.
Бережно и скрытно храните приватные ключи - в зашифрованном контейнере на компьютере, на зашифрованной флешке вне дома, спрячьте коды восстановления в виде записок в старых блокнотах (оформите ключи, как некий набор текста - проявите фантазию или изучите методы простейшего шифрования https://habrahabr.ru/post/116716/).
Есть еще стеганография (кодировка в тексте, на фото), описание и код здесь.
Не пользуйтесь кошельками на чужих компьютерах или когда работаете в общественных wifi сетях (даже у знакомых или на работе).
Не загружайте приватные ключи в посторонние кошельки для получения форков или airdrop. Никогда.
Приватные ключи - это то, что не должно попадать в Интернет.
В крайнем случае: сначала выведите все валюты из кошелька в новый - после загрузки ключа никогда не возвращайтесь к старому кошельку (сам кошелек может пригодиться для новых форков, но хранить в нем криптовалюты уже нельзя).
Обязательно настройте автономные оповещения (по SMS, на email или в телеграм), если произойдёт изменение баланса ваших криптовалютных кошельков.
Чтобы сохранить свою анонимность, регистрируйтесь на временный email, а алерты устанавливайте через telegram-бот.
Подумайте, как использовать сервисы, вроде FinalMessage для отправки анонимных сообщений родным или друзьям в случае смерти.
Обмен криптовалюты.
Когда планируете делать обмен криптовалюты, всегда делайте это с кошелька, к которому у вас есть приватные ключи (что значит, что он ваш, и только вы его контролируете).
Нельзя оплачивать заявку на обмен с биржевого кошелька:
1. Вы не сможете заранее определить точную сумму у получателя. Это позволяет вами манипулировать.
2. Вы не контролируете размеры комиссий (майнерам) - ваша заявка может зависнуть в сети без подтверждений. Её нельзя ускорить или отменить.
3. Вы не видите (физически) внутренние адреса биржи. Например, Binance используется обменниками через внутренние платежи. Они идут без комиссий, но и не попадают в публичный блокчейн (хотя сами адреса выглядят очень похоже).
В итоге отправка создаёт уязвимость для вас. Правильнее сначала вывести с биржи криптовалюту на свой кошелек. И уже с него оплачивать заявку на обмен.
В любом случае, возьмите за правило записывать все данные заявок, условия, кошельки, переписку с поддержкой, и не ленитесь делать скриншоты.
Для выбора обменников используйте агрегаторы с независимыми отзывами (смотрите на негативные в первую очередь) и наибольшим числом успешных обменов.
Интернет и Wifi.
Не стоит пользоваться домашним Интернетом во время работы с криптовалютами (переводы, торговля на бирже) - он привязан к вашим паспортным данным и легко просматривается (любыми заинтересованными лицами без вашего разрешения и ведома). Это же касается и мобильного трафика, когда сим-карта оформлена на вас у сотового оператора.
Чтобы сохранить свою конфиденциальность, купите сим-карту для путешественников. Она даёт недорогой мобильный Интернет в большинстве стран, смартфон с ней всегда и везде можно превратить в мобильную точку доступа (для работы за ноутбуком в дороге или за границей), а также позволяет провести трафик без привязки к вам.
Сим-карта выпускается на номер в Великобритании со всеми вытекающими юридическими последствиями. Тарифы можно посмотреть здесь (сравните с вашим оператором).
Стоит 10 евро, без абонентской платы. Чтобы её активировать, достаточно пополнить ещё на 10 евро. Если используете нашу ссылку, при первом пополнении получите бонус +5 евро на счет.
Браузер для Интернет - https://brave.com (помните, что он режет куки - не подойдёт для банкинга, трекеров, работы с кошельками), и поисковик - https://duckduckgo.com. Оба выбраны потому, что они мешают сайтам вроде Google, Яндекс и прочим отслеживать ваши движения по сети, интересы, запросы, историю просмотров и покупок.
Поддержка на биржах.
Никогда не задавайте вопросы в официальных телеграм-каналах и группах, принадлежащих биржам.
Там часто промышляют мошенники, которые попытаются завладеть вашими данными. Нередко - успешно развести вас на перевод ETH / BTC на их кошельки под предлогом инициации смарт-контракта, API, перенастройки базы данных и прочей чепухи.
Все вопросы с биржами решайте только через создание тикетов в службе поддержки. Дальнейшую переписку тоже продолжайте через почту.
Мошенники уже умеют подменять адреса и имена реальных админов. А дальше вы уже не заметите, как вас облапошили (или создали условия для обмана).
Дополнительные материалы, которые стоит изучить:
Масштабная, постоянно обновляемая инструкция по вопросам приватности: https://privacytools.ru/ (обязательно прочитайте)
https://medium.com/mycrypto/mycryptos-security-guide-for-dummies-and-smart-people-too-ab178299c82e
https://medium.com/@encryptmymoney/продвинутый-гайд-по-хранению-криптовалюты-bdf877ebb3e6
Инкубатор.
Не думайте, что хакеры моментально используют лазейки, ключи или пароли, которые получат через зловредов или фишинг. Наоборот - они будут ждать, пока сложится благоприятный момент (крупный перевод, раздача токенов, бурный рост курса).
Поэтому глупо сейчас пренебрегать защитой, если вам нечего терять (мало криптовалют, нет сбережений). Когда вы увеличите капитал, будет поздно выстраивать защиту и латать дыры.
Все пункты лёгкие в исполнении, в Интернете есть видео-инструкции по каждому.