Как могут украсть вашу крипту(только по делу)

Как могут украсть вашу крипту(только по делу)


1. Copy Paste: вы видите адрес, на который хотите отправить немного своей криптовалюты. Вы копируете/вставляете этот адрес в свой кошелек. И вот CryptoShuffler, небольшая программа, которая заменит скопированный адрес на другой, который не имеет ничего общего с оригиналом. Он будет работать с любыми типами паролей, включая копирование мастер-пароля для вашего менеджера паролей.

Рекомендации:

  • проверяйте адрес после вставки. Или используйте QR-код, если знаете, как с ним работать;
  • не устанавливайте софт или приложения, в которых не уверены. Регулярно запускайте антивирусные программы на компьютере (Bitdefender, MalwareByte) для его очистки. Подумайте, стоит ли скачивать программу с торрента, на которую пищит антивирус, если жертвой может стать не твоя винда, а баланс кошелька;
  • Для опытных людей: используйте официальный ENS (доп инфо в самом низу) вместо адреса. Некоторые из них стоят дешево, а некоторые нет. Но это придаст спокойствия.

2. Взломанные мобильные приложения. Хакеры могут публиковать поддельные приложения для покупки активов на криптобиржах (например, Poloniex), но вы не поторгуете, конечно… вы просто отправляете деньги на подставной хакерский счет.

Android подвержен взлому больше, чем iOS.

Рекомендации:

  • защитить свое устройство с помощью PIN-кода, Touch ID и/или FaceID, добавить 2-факторную аутентификацию на все сервисы: в любое приложение, которое у вас есть, и избежать загрузки мусора и переходов в непроверенные магазины приложений или скачивание по почте.

3. Хакнутый Slack-бот. Это просто чума. Они вышлют предупреждение о безопасности на вашем кошельке (который, конечно же, не существует), и свяжут вас с URL-адресом, где будут запрашивать ваш личный ключ.

Рекомендации:

  • игнорировать ботов в Slack. Пожалуйтесь на них, если они будут писать. Также используйте Metacert для защиты каналов в этом сервисе.

4. Расширения для браузера. Некоторые расширения утверждают, что они улучшат пользовательский интерфейс на сайтах для трейдинга. Только не говорят, что могут читать все, что вы там пишете. Лучше сидите с неудобным интерфейсом, но он будет более безопасными.

Рекомендации:

  • не загружайте расширения по криптовалютам. Лучше используйте браузер в «инкогнито» или другом режиме, где обычно расширения отключены(браузер pale moon отличная вещь с некоторыми расширениями) или используйте отдельный чистый браузер. Вы можете присмотреться к Brave, который является блокчейн-браузером со встроенным кошельком.

5. Сайты-клоны: вы начинаете вводить URL-адрес веб-сайта и попадаете на очень похожий веб-сайт с таким же точным внешним видом и логотипом.

Рекомендации:

  • найдите сертификат https и используйте расширение Cryptonite для Chrome / Firefox, которое может определять поддельные URL-адреса.

6. Фейковая реклама в Google / других сетях: это известная техника. Вы ищете нужные сайты в Google, но хакеры размещают рекламу на сайт с похожим адресом и рекламным сообщением. То же возможно не на рекламных позициях, а через SEO-продвижение.

Рекомендации:

  • читайте адрес дважды и внимательно.

7. Фейковые аккаунты в соцсетях.

Рекомендации:

  • Подписывайтесь только на проверенные учетные записи, переходите на социальные сети с официального сайта проекта. Не доверяйте никаким другим источникам, даже алгоритмам рекомендаций в Twitter или Facebook, которые могут подтолкнуть вам новые поддельные учетные записи.

8. Двухфакторная аутентификация по СМС. Это широко известный способ. Сервисы будут запрашивать номер мобильного телефона для регистрации или активации 2FA (двухфакторной аутентификации), но хакеры могут дойти до того, чтобы обманывать техподдержки мобильных операторов и получать ваши учетные данные, а оттуда получать доступ к любой учетной записи, связанной с мобильным телефоном.

Рекомендации:

  • для выявления не зарегистрирован ли где-то ваш номер спросите своего оператора, как ваш телефон защищен;
  • не используйте непонятную услугу, которая требует вашего номера телефона, и никогда не устанавливайте 2FA по SMS (вместо этого используйте программное решение, например Google Authenticator).

9. Фильтрация электронной почты: Вы получаете электронное письмо от службы, которую знаете, за исключением того, что сообщение не от них. Злоумышленники будут использовать тот же формат, шаблон, дизайн. Много раз было так, что настоящий сервис даже не хранил вашу почту, но это не имеет значения, вы можете обмануться. Не нажимайте на ссылки из почты вслепую.

Рекомендации:

  • обращайте внимание на ссылку, которую вы нажимаете. Если она выглядит странно, выходите. И никакого заполнения форм в самой почте.

10. Взлом WiFi: WPA протокол безопасности для большинства используемых маршрутизаторов (роутеров) wifi был скомпрометирован. С помощью «атаки KRACK» каждый может видеть все данные, которые проходят через вашу сеть Wi-Fi. Подобные проблемы возникают и в общественных открытых сетях (например, в аэропортах).

Рекомендации:

исправьте свой маршрутизатор, проверьте наличие обновлений и никогда не трейдите в общественных сетях Wi-Fi.

Дополнительная информация по ENS — Ethereum Name Service

ENS является эквивалентом электронной почты/DNS для адреса кошелька. Многие ICO использовали его вместо адреса, подверженного ошибкам. Но некоторые хакеры будут публиковать фальшивые ENS на форумах. ENS предлагает безопасный и децентрализованный способ обращения к ресурсам как на блокчейне, так и вне ее, используя простые, удобочитаемые для человека имена. С помощью ENS вы сможете отправлять деньги на «aaabbb.eth» вместо «9288jsjpjs82790ijOOPAss…». Любой может зарегистрировать доменное имя .eth для себя, участвуя в аукционе через блокчейн.

Рекомендации:

  • обязательно укажите ENS, предоставленный компанией, и дважды проверьте его;
  • для опытных: если вы сами проводите ICO, получите свой ENS (включая варианты с опечатками), даже если не планируете его использовать.


Немного инфо. для любителей халявы:

AirDrop — это случайное распределение бесплатных токенов, чтобы поощрить существующих держателей токенов или привлечь больше пользователей к проекту. Вы открываете свой кошелек. Сюрприз! Бесплатные токены. Но некоторые из них предоставят токены, чтобы вы зарегистрировались на мошенническом сайте и предоставили свою личную информацию. На наш взгляд рекомендации тут лишние, и так понятно что необходимо делать.


Благодарим за внимание,

с уважением,

@crypto_security

Report content on this page

Report Page

Please submit your DMCA takedown request to dmca@telegram.org