1

Криптогігіена: як захистити свої активи

Фінансові компанії та заможні люди завжди привертали увагу шахраїв і злочинців. Капіталізація ринку криптовалюти, що складає сотні мільярдів доларів США, безумовно привернула до себе увагу різних кіберзлочинців. ICO також не обійшло стороною.

 

Головним стимулом для кіберзлочинів на криптовалютному ринку є незворотність транзакцій.

 

Навіть зафіксувавши відразу нелегітимну транзакцію, власник криптовалюти не зможе звернутися до арбітра та заблокувати її як у фіатному світі (є приклади скасування транзакцій за допомогою хардфорка, блокування крадених токенів і т.п., але це суперечить концепції фінансової системи на блокчейні, що викликає палкі суперечки серед криптоанархістів). Тож як тоді взяти участь у перспективних (або не дуже) ICO і не стати жертвою кібершахраїв?

 

Для мінімізації більшості ризиків крадіжки грошей інвесторів необхідно дотримуватися нескладних правил цифровий (або кібер) гігієни. Отже, перш ніж перейти до правил, розглянемо варіанти крадіжки коштів інвесторів. Їх можна умовно поділити на два основних напрямки – технічний і соціальна інженерія («злам» людини через психологічні прийоми та неуважність). Шахрайські ICO ми не розглядаємо в рамках цих порад. Тому й правила кібергігієни розберемо з урахуванням тільки двох напрямків:

 

1. Технічно кіберзлочинці можуть отримати доступ до вашого пристрою, комп’ютера, ноутбука, смартфону, планшету, і перенаправити вас замість сайту проекту ICO на його підроблену копію. В результаті, ви перекажете криптокошти не на гаманець проекту, а на гаманець шахрая. Також при доступі до ваших пристроїв «чорні» хакери можуть дістатися до ваших криптогаманців, перехопивши приватні ключі та/або паролі, а також підмінити адреси криптогаманців одержувачів під час транзакцій. Як від цього захиститися?

 

  • Обов’язково встановлюйте оновлення операційних систем, «прошивок», всіх наявних програм. Більшість масових атак використовують вразливості (діри безпеки), що є вже відомими виробникам програмного / апаратного забезпечення, а також антивірусним компаніям, які вони закривають оновленнями.
  • Вмикайте, де можливо, двофакторну аутентифікацію для доступу до гарячих криптогаманців та / або веб-ресурсів ICO-проекту. Бажано не через смс, але у разі з смс, використовуйте контрактне підключення до оператора (дуже складно без вас відновити сім-карту). В ідеалі для другого фактору використовувати спеціалізовані програми або апаратні продукти.
  • Встановіть захисне програмне забезпечення (антивірус, мережевий екран, «пісочниці» і т.п.). Як згадано вище, більшість масових атак проводиться з використанням відомих «вірусів» і можуть бути відбиті антивірусами.
  • На своєму пристрої для роботи з криптовалютними транзакціями встановлюйте мінімальну кількість сторонніх додатків, розширень для браузера і т.п. Мінімізуйте ризик установки програмного забезпечення з вбудованими бекдорами (хакерськими закладками), а також уразливостями, які дозволять отримати віддалений несанкціонований доступ до вашого пристрою.
  • Не використовуйте публічні Wi-Fi мережі для криптовалютних транзакцій або обов’язково використовуйте VPN-з’єднання в разі роботи через них.
  • Намагайтеся завжди використовувати VPN-з’єднання, не стільки заради анонімності, скільки для шифрування з’єднань і захисту від перехоплення трафіку кіберзловмисниками.

 

2. Використовуючи соціальну інженерію, кіберзлочинці провокують вас на необдумані кроки – перейти за підробленим посиланням, на фальшивий сайт проекту, запустити у себе на пристрої шкідливий файл і т.п. Для захисту дотримуйтесь таких правил:

 

  • Перевіряйте адресу посилання, яку введено в адресний рядок, а краще не переходьте за посиланням. Натомість вводьте адресу проекту вручну (можна додати правильне посилання в закладки і відкривати сайт проекту з закладок).
  • Перевіряйте адресу криптогаманця, на який робите транзакцію.
  • Встановлюючи необхідну програму, завантажуйте установник з офіційного сайту й додатково перевіряйте контрольну суму файлу. Не встановлюйте програми, отримані поштою, через месенджери або з неофіційних сайтів.
  • Нікому не передавайте приватні ключі від криптогаманців з великими сумами, навіть на криптобіржі тримайте окремий гаманець з мінімумом необхідних коштів. Також не діліться своїми паролями від гарячих гаманців і ніколи не перевикористовуйте (повторне використання одного) паролі від важливих ресурсів.

 

Команда, яка запускає ICO, також зобов’язана опікуватися безпекою своїх інвесторів. Для цього проект повинен зробити як мінімум такі кроки:

 

  • провести незалежний аудит безпеки ІТ-інфраструктури (внутрішньої та зовнішньої) і веб-додатків;
  • провести незалежний аудит безпеки смарт-контрактів;
  • увімкнути для своїх інвесторів двофакторну авторизацію для доступу до їхньої фінансової інформації та криптогаманців;
  • відслідковувати створення фішингових ресурсів зі схожими назвами, згадуваннями про проект в інтернеті, месенджерах і, в ідеалі, даркнеті. Оперативно блокувати фішингові домени і реагувати на шахрайські згадки про свій проект;
  • відстежувати підозрілі активності всередині своєї ІТ-інфраструктури;
  • робудувати процеси кібербезпеки всередині команди проекту і пам’ятати про те, що безпечний проект завжди коштує дорожче.

 

Vitaliy Yakushev | 0

Related Posts

card__image

У 2023 році кількість фішингових атак зросла на 40%

У 2023 році було заблоковано понад 709 мільйонів фішингових атак, що на 40% більше, ніж у 2022 році, згідно щорічного аналізу Касперського. Месенджери, платформи зі Штучним Інтелектом, соцмережі та криптобіржі були одними з шляхів, які найчастіше використовували зловмисники для обману користувачів.   Щорічний аналіз загроз спаму та фішингу виявив стійку тенденцію у 2022 році: помітне […]

10Guards | 0
card__image

Атаки програм-вимагачів різко зростають через недостатній рівень комплаєнсу – Thales Group

Thales Group оприлюднила the 2024 Thales Data Threat Report, щорічний звіт про останні загрози безпеки даних і нові тенденції на основі опитування майже 3000 спеціалістів з ІТ та безпеки у 18 країнах у 37 галузях. Цьогорічний звіт показує, що 93% ІТ-фахівців вважають, що загрози зростають за обсягом або рівнем небезпеки, що значно більше порівняно з […]

10Guards | 0
card__image

Романтичні чат-боти з ШІ порушують вашу приватність

Експерти попередили користувачів романтичних чат-ботів для «відносин» на базі штучного інтелекту, що їхні дані та конфіденційність знаходяться під загрозою. Компанія Mozilla дослідила 11 різних додатків, зокрема, Replika, Chai, Romantic AI, EVA AI Chat Bot & Soulmate і CrushOn.AI. Кожен з них отримав позначку «Privacy Not Included», що робить ці чат-боти однією з найгірших категорій продуктів […]

10Guards | 0

Залишити відповідь

Ваша e-mail адреса не оприлюднюватиметься. Обов’язкові поля позначені *