Рекомендации по безопасности

Правила личной безопасности

1. Старайтесь лишний раз не болтать о своей вовлеченности в криптомир и, тем более, о персональных финансовых успехах.
2. Создайте отдельный кошелек (и храните его в виде seed–фразы, бэкапа или зашифрованного контейнера Veracrypt – см. далее) с ощутимой, но не очень большой суммой, чтобы в случае развития самого негативного сценария раскрыть пароль к нему и передать преступникам в качестве выкупа (объяснив, что это – все имеющиеся у вас средства).
3. Установите пароль на все ваши устройства (не только с кошельками, но и те, с помощью которых вы ведете переписку) и держите их заблокированными. В экстренной ситуации мы настоятельно рекомендуем:
   
   – Заблокируйте или выключите устройство, отключив биометрические сканеры (отпечатки пальцев, face id и т.п.), чтобы с помощью вашего пальца или лица  блокировку не сняли вопреки вашей воли (на IPhone это можно сделать комбинацией кнопок, а на Андроиде – только через меню или перезагрузкой)
   
   – Никому и ни при каких условиях не говорите пароль и не снимайте блокировку, даже если этого требуют сотрудники правоохранительных органов, осуществляющие процедуру вашего задержания. Вы имеете полное право не только хранить молчание, но и "забыть" свой пароль, по-крайней мере, до того времени, как явится ваш адвокат. Помните, что предоставив доступ к своей переписке, вы можете скомпрометировать ваших друзей и коллег.
4. Отправляясь на рискованное мероприятие (например, обмен крупной суммы) или просто заметив за собой слежку, обязательно сообщите доверенным лицам свое местоположение. Например, Telegram позволяет включить функцию непрерывной трансляции вашего местоположения для любого из контактов.

Выбор уcтройства работы с криптоактивами

1. Устанавливайте ПО финансовых инструментов (кошельки, приложения для трейдинга и т.д.) только на персональных устройствах, к которым не имеют доступа посторонние, включая членов семьи.
2. Устанавливайте ПО финансовых инструментов только на устройствах которые изначально были вашими (не были приобретены/подарены бывшими в употреблении).
3. Устройство всегда должно быть защищено паролем на уровне операционной системы, а диск зашифрован (шифрование на Mac, на Windows, на Android). Пароль должен быть достаточно сложным – например, состоять минимум из 8 символов, содержать в себе хотя бы одну заглавную и одну строчную букву, а также хотя бы одну цифру.
4. На устройстве категорически не рекомендуется наличие любых пиратских/нелицензионных программ, так как они или их активаторы часто имеют встроенные бэкдоры.
5. Рекомендуется иметь для работы с финансовыми инструментами отдельное устройство, которое будет по умолчанию отключено от Интернета.

Общие принципы безопасности при работе с устройствами, сайтами и сервисами

1. Всегда регулярно обновляйте устройство: операционную систему, антивирусные программы и само программное обеспечение, относящееся к финансовым инструментам. Никогда не отключайте функцию автоматической установки обновлений.
2. Любые пароли должны быть достаточно сложными – например, состоять минимум из 8 символов, содержать в себе хотя бы одну заглавную и одну строчную букву, а также хотя бы одну цифру. Используйте разные пароли для разных сайтов, кошельков и сервисов.
3. Используйте для регистрации основного адреса e-mail только те сервисы, которые обеспечивают функцию двухфакторной аутентификации (2FA), рекомендуем использовать Gmail.
4. Никогда не работайте с крипто-инструментами, подключившись к публичным/открытым беспроводным сетям.
5. Никогда не храните открыто файлы, содержащие чувствительную информацию (бэкапы, seed-фразы, пароли), даже на собственном компьютере или диске – всегда используйте зашифрованные контейнеры (рекомендуем программу VeraCrypt).
6. Никогда не набирайте на клавиатуре устройства, в котором вы не уверены, чувствительную информацию (приватные ключи, пароли, seed-фразы) чтобы не стать жертвой кейлоггеров (программ, которые считывают нажатия клавиш и без ведома пользователя отправляют эти последовательности злоумышленнику).
7. Если вы решили избавиться от своего устройства и перейти на другое, помните, что простое удаление файла (даже с последующим форматированием диска) не гарантирует защиту от последующего восстановления этого файла злоумышленниками. Для гарантированного полного удаления файлов, необходимо использовать специализированное ПО. Рекомендуем бесплатную программу Eraser.
8. Всегда используйте двухфакторную аутентификацию (2FA) в приложениях, которые таковую поддерживают (почта, кошельки, эккаунты бирж и других сервисов).
9. Если вы в качестве инструмента 2FA используете приложение Google Authentificator или аналогичные приложения, не забывайте сделать бэкап учетной записи. В случае Google это делается путем сохранения QR-кода восстановления или резервных кодов. Это необходимо для восстановления доступа к ресурсам в том случае, если вы утратили устройство или планируете перейти на новое. Помните, если вы будете помнить логин с паролем, но потеряете доступ к коду 2FA восстановить доступ вы сможете только при помощи техподдержки сайта/сервиса, в котором планируете авторизоваться.

Использование устройств с OS Android

1. Если вы используете Android – используйте только устройства от известных брендов, мы рекомендуем Samsung, оснащенный системой KNOX, не позволяющей без дополнительных "танцев с бубном" менять прошивку устройства.
2. Никогда не используйте Аndroid с так называемым "рутом" (от слова root) (если вам это ничего не говорит, а сам телефон с первой покупки был лично вашим – просто игнорируйте этот пункт).
3. Не используйте девайсы Noname из Китая, так как они иногда содержат уже предустановленные с завода вирусы и трояны.
4. Используйте только официально приобретенные антивирусные программы. Рекомендуем Dr.WEB или Avast. В случае использования операционных систем Windows 10, Mac OS, IOS – дополнительные к штатным средства антивирусной защиты не требуются.

Использование устройств с Windows

1. Используйте только официально приобретенные версии Windows.
2. Рекомендуется использовать Windows 10, в этом случае достаточно встроенных средств безопасности (Windows Defender + UAC Control + Smart Screen).
3. Если вы используете Windows 7/8 – используйте официально купленные антивирусные программы.
4. Использовать версии Vista, XP и ниже – запрещено, они полноценно не поддерживаются и не обновляются.
5. Никогда не отключайте встроенный брандмауэр и UAC (User Account Control).
6. Если у вас система Windows Professional и выше – после установки всех необходимых программ – рекомендуется запретить установку программ установщиком Windows на уровне политик безопасности.
7. Рекомендуется отключить встроенную учетную запись администратора.
   
   

Работа с кошельками и финансовыми инструментами

1. Всегда загружайте приложения только по ссылке с официального сайта криптовалюты/ICO/сервиса. Простой поиск по Google Play или в Интернете может привести вас к одноименной версии приложения злоумышленников, которое успешно маскируется ровно под то, что вы ищете.
2. По возможности используйте core/нативную версию кошелька, то есть ту, которая разрабатывается и поддерживается теми же, кто эмитирует валюту/токены.
3. Сразу после создания кошелька сделайте его бэкап. Обычно функция резервного копирования (Backup) присутствует в меню. Большинство инструментов позволяет делать бэкапы, как электронные (в виде файла), так и бумажные (например, согласно алгоритмам BIP38/BIP39/BIP44 – в виде распечатки набора слов или символов, называемого seed-фразой).
4. Сделайте и то и другое. Электронный файл бэкапа положите в зашифрованный контейнер Veracrypt (скачать, инструкция) и сохраните минимум на 2 резервных устройствах (например – флешках).

Работа с биржами и онлайн–сервисами

Важно

• Прежде чем торговать, получите хотя бы базовые знания о том, как работают инструменты (криптовалюты), которые интересуют вас, как трейдера и отдайте себе отчет, что вы становитесь на путь, полный рисков и разочарований.
• Отправляя криптовалюту с персонального кошелька на свой биржевой счет, вы должны понимать, что с этого момента теряете над ней полный контроль. Если в случае программного сбоя, атаки хакеров, санкций властей, мошеннических действий руководства биржи и сотрудников, ваши средства будут утрачены или заблокированы – никто и никогда не поможет вам восстановить к ним доступ. Всегда имейте это в виду и оповещайте об этом тех, с чьими средствами вы работаете.
• Криптовалютные биржи довольно безответственно подходят к вопросам обеспечения клиентов технической поддержкой. Будьте готовы в случае собственной ошибки или сбоя в работе системы – ждать ответа на ваш запрос неделями и даже месяцами. А можете и не дождаться вовсе.

Базовые правила безопасности

1. Внимательно смотрите на точный адрес в строке браузера по которому переходите, чтобы не стать жертвой фишинга. Старайтесь заходить только из раздела сохраненных ссылок в браузере.
   Фишеры приготовили для вас тысячи адресов, которые отличаются написанием на одну букву (например, poloniiex.com), а внешне точно повторяют оригинальный сайт. Задача – заставить вас ввести логин, пароль и код двухфакторной аутентификации.
2. Всегда используйте двухфакторную аутентификацию (2FA). Работать с биржами с отключенной 2FA – очень рискованно. Если вы не знаете, как это сделать – погуглите или обратитесь за помощью к коллегам перед началом работы.
3. Некоторые криптовалюты (XRP, XEM и другие) при отправке с вашего кошелька на биржу требуют указания идентификатора платежа (message), который позволяет идентифицировать ваш платеж на общем биржевом счету. Помните, если вы забыли указать этот код, вы скорее всего утратите доступ к отправленным средствам навсегда.