Полная версия
Священный грааль трейдинга
Пароли
Всегда создавайте сложные пароли, используя различные регистры, цифры и специальные символы.
Пример надежного пароля: 2x-F?mF*RemsnZT
Утечки паролей
В случае утечки паролей хакеры начинают проверять почтовые ящики из украденной базы данных пользователей на наличие регистраций в разных сервисах, после чего перебирают пароли.
Так как большинство людей используют одинаковые пароли для всех сервисов, вероятность их компрометации стремится к 100 %.
Чтобы избежать взлома, необходимо крайне внимательно относиться к своим почтовым ящикам, паролям, устройствам и сервисам, которыми вы пользуетесь.
Общие рекомендации
1. Не используйте онлайн-сервисы для генерации паролей.
2. Не храните все свои пароли в одном месте.
3. Не храните свои пароли на электронных носителях.
4. Не храните свои пароли в облаке, мессенджерах и заметках.
5. Храните свои пароли на физических носителях в разных местах, предварительно создав несколько копий.
6. Создавайте разные пароли для каждого сервиса.
7. Для создания сложных паролей используйте слова из категорий: животные, машины, песни, цветы и тому подобное.
8. Для усиления пароля умышленно делайте орфографические ошибки в написании слов и словосочетаний.
Проверка наличия утечки
Проверить свои пароли на предмет утечки можно здесь:
1. https://haveibeenpwned.com/
2. https://password.kaspersky.com/ru/
Диверсификация почты
Диверсификация почты является залогом безопасности.
Разграничьте почту для разных потребностей, разделив ее на личную, рабочую и ненужную:
1. Отдельный почтовый аккаунт для личного пользования.
2. Отдельный почтовый аккаунт для регистрации торговых счетов.
3. Отдельный почтовый аккаунт для привязки облачных сервисов.
4. Отдельный почтовый аккаунт для регистрации на различных ненужных сервисах, вроде интернет-магазинов.
Общие рекомендации
• Регулярно очищайте почтовый ящик от спама.
• Прежде чем перейти по ссылке из письма, сравните почтовый адрес отправителя с указанным почтовым адресом на сайте сервиса.
Двухфакторная аутентификация
Для более надежной защиты используйте двухфакторную аутентификацию.
Двухфакторная аутентификация или 2FA – это дополнительный уровень безопасности помимо вашего пароля или PIN-кода.
В большинстве сервисов 2FA – это использование смс-сообщений, однако, это не самый безопасный способ, поэтому используйте дополнительно приложение "Google Authenticator".
Скачать Google Authenticator можно в магазинах приложений:
1. App Store
2. Play Market
Используйте двухфакторную аутентификацию везде, где только можно:
• Мессенджеры
• Онлайн-сервисы
• Приложения бирж
• Облачные сервисы
• Банковские приложения
Важно: обязательно создавайте резервные копии ключей, хранящихся в приложении, иначе при утере устройства вам придется обращаться в службу поддержки для восстановления доступа к аккаунтам.
Идеальный usecase – использование «чистого» (отдельного) мобильного устройства для Google Authenticator'а, которое вы не подключаете к интернету и храните в надежном месте.
FIDO U2F
FIDO U2F (Universal 2nd Factor) – дополнительный способ двухфакторной аутентификации, основанный на вызов-ответной аутентификации, позволяющий использовать U2F устройство как второй фактор для аутентификации на большом количестве онлайн-сервисов.
Иными словами, FIDO U2F – это физическое устройство, выступающее дополнительным фактором аутентификации.
Для более надежной защиты своих учетных записей вы можете использовать устройства FIDO U2F, настроив их таким образом, чтобы авторизация без них была невозможной. Даже если злоумышленник получит данные от ваших учетных записей (логин, пароль, доступ к сим-карте и к authenticator'у), он не сможет авторизоваться без физического устройства, выступающего дополнительным и обязательным способом аутентификации.
В качестве устройств FIDO U2F используются устройства YubiKey и Ledger.
YubiKey
YubiKey – это аппаратный ключ безопасности, производимый компанией Yubico, который поддерживает протокол универсальной двухфакторной аутентификации, одноразовые пароли и асимметричное шифрование. Это позволяет пользователям выполнять безопасный вход в учетные записи, при помощи вырабатываемых одноразовых паролей, или с использованием открытых и закрытых ключевых пар, генерируемых на устройстве.
Приобрести устройство можно на официальном сайте компании или у проверенных продавцов – https://www.yubico.com/.
Ledger
Ledger – это аппаратный кошелек для хранения криптовалюты. Его разработала и произвела французская компания Ledger, которая занимается гаджетами для работы с криптовалютами с 2014 года. Устройство выглядит просто, как Flash-накопитель премиум класса.
Помимо хранения криптовалюты, Ledger можно использовать в качестве устройства U2F. Для этого необходимо установить на устройство приложение "Fido".
Подробная инструкция – https://www.ledger.com/ru/fido-u2f.
Приобрести оригинальное устройство с 10 % скидкой здесь (официальный сайт Ledger) – https://shop.ledger.com?r=9b2e16001e92.
Гаджеты
Мобильные телефоны
Существуют две основные операционные системы для мобильных телефонов: iOS и Android. Главное различие между операционными системами Android и iOS заключается в том, что Android – это система с открытым исходным кодом. По этой причине устройства Android легче поддаются процедуре взлома, так как в открытом исходном коде проще обнаружить уязвимости.
В настоящий момент большинство людей используют устройства на базе android, и, с точки зрения хакеров, имеет смысл писать вредоносный код для той системы, которую не только легче взломать, но и которой пользуется большее количество потенциальных жертв. Поэтому большая часть хакерских атак нацелена на android-устройства.
Если вы хотите обезопасить себя и свои средства – наилучшим решением будет выбор продукции Apple.
Компьютеры
Аналогичная ситуация сложилась вокруг операционных систем Windows и MacOS, продукция Miscrosoft более популярна и уязвима.
Если вы храните деньги на торговых счетах, доступ к которым есть на вашем персональном компьютере – вам следует использовать MacOS.
Не забывайте про общие правила безопасности при использовании ПК: вам не следует устанавливать софт из непроверенных источников, открывать ссылки, архивы и. pdf-файлы от неизвестных отправителей. Также не стоит посещать сомнительные сайты.
Обновление программного обеспечения
Регулярно обновляйте программное обеспечение телефона, персонального компьютера и всех используемых вами приложений, так как практически каждое обновление программного обеспечение касается безопасности.
Иными словами, разработчики с каждым обновлением убирают всевозможные уязвимости в программном обеспечении, которые могут быть использованы злоумышленниками против вас.
Бесплатные версии платных программ
В сети существует масса сервисов со взломанными версиями платных программ. Такие программы называются «активаторы» и «кряки». Созданы они для обхода активаций и бесплатного использования таких программ, как «Photoshop», "Word" и тому подобное.
Многие люди используют такие программы в повседневной жизни и совсем не подозревают о том, что скрывается внутри. Следует запомнить простое правило:
“Если вы не платите за товар, значит, товаром являетесь вы”
Подобный софт создают не из-за каких-нибудь идейных побуждений или альтруистических наклонностей. Авторы такого софта, как правило, преследуют личные интересы. Нередко при установке «активатора» в систему проникает троянская программа, которая ворует ваши пароли от учетных записей и устанавливает удаленный доступ к вашему устройству.
Антивирусы никак не помогут решить эту проблему и не смогут обезопасить ваше устройство, поскольку многие передовые противовирусные программы попросту ничего не обнаруживают.
Общие рекомендации
• Пользуйтесь услугами антивирусных программ и надейтесь, что они хоть как-то вам помогут.
• Диверсифицируйте устройства на личные и рабочие.
• Регулярно обновляйте программное обеспечения на всех устройствах.
• Не скачивайте никакие исполняемые файлы и архивы с неофициальных сайтов приложений.
• Приучите себя платить за софт, иначе вы рискуете потерять свои данные, учетные записи, деньги, время и нервы.
• Регулярно создавайте резервные копии своих устройств или настройте автоматическое создание резервных копий, чтобы в случае взлома, утери, кражи или поломки устройства вы оперативно могли получить доступ к своим данным.
Облачные сервисы
Хакеры регулярно взламывают облачные сервисы знаменитых людей (iCloud, Google Disk и т. п.) в целях шантажа и вымогательства.
Во избежание утечки важных для вас данных заранее позаботьтесь о содержимом своих облачных сервисов: почистите хранилища и перенесите данные на более безопасные (физические) накопители.
Мессенджеры
Telegram, WhatsApp и ВКонтакте являются самыми популярными мессенджерами. Не стоит хранить в них важные “чувствительные” данные и свои пароли, так как в случае взлома вы рискуете потерять доступ к остальным учетным записям.
Для того чтобы обезопасить себя от взлома, следует установить "облачный пароль" и двухфакторную аутентификацию.
Общие рекомендации
• Регулярно обновляйте приложения до последних версий.
• Не храните в мессенджерах свои пароли от учетных записей.
• Установите "облачный пароль" и двухфакторную аутентификацию.
• Скачивайте приложения только из проверенных источников (App Store и Play Market).
• Не храните в мессенджерах информацию, которую могут использовать против вас.
Сим-карты
Один из самых распространенных способов взлома – перевыпуск сим-карты.
Этим способом часто пользуются злоумышленники: оформляют перевыпуск вашей сим-карты, после чего получают доступ к аккаунтам через восстановление пароля.
Чтобы исключить данный способ компрометации, необходимо сделать две вещи:
1. Установить PIN-код на сим-карту.
2. Запретить перевыпуск своей сим-карты у сотового оператора.
Публичные Wi-Fi сети
В наше время, когда беспроводные Wi-Fi сети есть практически везде: на вокзалах, в кафе, ресторанах и даже глубоко под землей в вагонах метро, далеко не все знают об угрозах информационной безопасности, которые касаются каждого пользователя, включившего Wi-Fi на своем устройстве.
Перехват трафика
Если вы подключены к публичной Wi-Fi сети, злоумышленник может легко перенаправить весь трафик между вашим устройством и роутером через свой ноутбук, тем самым он получит доступ ко всем данным, которые вы передаете или загружаете. Для этого злоумышленник будет использовать MitM-атаку (“человек посредине”) – ARP-spoofing.
Создание поддельных точек доступа
Большинство современных телефонов и ноутбуков автоматически ищут Wi-Fi сети и подключаются к ним. В первую очередь такие устройства будут искать сети со знакомыми названиями, такими как «MosMetro_Free» или «MT_FREE». Во время поиска устройства отправляют запросы на подключение к сетям.
Злоумышленник может создавать сети с идентичными названиями и паролями для того, чтобы ваше устройство автоматически подключились к его точке доступа. Пользователь, увидев открытую сеть с названием кафе, скорее всего подключится к ней, не подозревая о том, что после подключения злоумышленник сможет управлять его соединением.
Атака
Далее злоумышленник подменит протокол шифрования с "https://", который защищен и не подвержен атакам, на "http://", который поддается взлому, после чего успешно перехватит ваши пароли и сможет обманным путем заставить вас скачать на свое устройство вирус, с помощью фишинговой атаки.
Как избежать взлома?
Чтобы избежать взлома – не пользуйтесь публичными сетями, вместо них используйте мобильную сеть, либо раздавайте точки доступа со своих устройств, предварительно установив на них защиту.
Домашний Wi-Fi роутер
Не забывайте, что, находясь у себя дома вы также можете стать жертвой хакерской атаки или предметом слежки, если ваш домашний Wi-Fi роутер и система "умного дома" не защищены должным образом.
Незащищенные роутер и беспроводная сеть могут стать точкой входа для соседа, который практикует свои знания, или для настоящего злоумышленника. Постоянно обновляйте ПО на роутере, но только от доверенного разработчика.
Как настроить роутер?
Для настройки вам необходимо получить доступ к админ-панели роутера. Инструкция для получения доступа находится в договоре о предоставлении услуг, либо на наклейке, приклеенной к обратной стороне устройства.
В большинстве случаев доступ к админ-панели можно получить, используя заводские адреса и пароли:
Адрес – 192.168.0.1 или 192.168.1.1
Логин – admin или 12345.
Пароль – admin или 12345.
Общие рекомендации
• Измените стандартный IP-адрес устройства.
• Отключите WPS и удаленный доступ к роутеру.
• Регулярно обновляйте прошивку и программное обеспечение.
• Установите сложные пароли для сети Wi-Fi, админ-панели и устройств "умного дома".
• Установите в качестве механизма защиты беспроводной сети алгоритм WPA3-PSK (Wi-Fi Protected Access) и ни в коем случае не используйте механизмы WEP, WPA и WPA2.
Virtual Private Network (VPN)
Чаще всего пользователи скачивают VPN на мобильные устройства. Более надежными для использования являются платные VPN-сервисы, но даже их использование лишь снижает, а не исключает риск использования вашей информации для получения прибыли.
Главная опасность VPN – высокий риск утечки данных. Пользователи думают, что VPN лишь дает возможность пользоваться недоступными в регионе сайтами, но вместо этого рискуют потерять свои данные, которые находятся на их устройстве.
Использование VPN-сервисов равносильно тому, если бы вы отдали свой паспорт первому встречному. Помните, что ни один заблокированный сайт никогда не представит большей ценности, чем безопасность ваших персональных данных.
Если вам необходимо использовать VPN – лучшим решением будет создание собственного. Создание собственного VPN стоит не так дорого, как может показаться на первый взгляд, однако, личный сервер сведет к нулю риски потери данных.
Безопасность в сети
Не скачивайте файлы с непроверенных сайтов, не открывайте "исполняемые файлы" и архивы от неизвестных людей. Будьте бдительны и не переходите по полученным в spam-рассылках ссылкам.
Фишинговые атаки
Фишинг – это вид интернет-мошенничества, целью которого является получение доступа к конфиденциальным данным пользователей. Получение доступа к данным достигается путем проведения массовых спам-рассылок электронных писем и личных сообщений, якобы от имени популярных брендов. В таких письмах и сообщениях содержатся ссылки на сайты-подделки, внешне неотличимых от настоящих. После того, как пользователь попадает на поддельную страницу, мошенники пытаются различными психологическими приемами, играя на эмоциях пользователя, заставить его отправить свои логин и пароль, что позволяет мошенникам получить доступ к аккаунтам и счетам.
Иными словами, фишинг – это разновидность социальной инженерии, основанная на незнании пользователями основ сетевой безопасности. Многие интернет-пользователи не знают простого факта: сервисы не рассылают письма с просьбами отправить данные от своей учетной записи.
Пример spam-рассылки
На электронные адреса была произведена spam-рассылка, якобы от MetaMask'a[6]. В письмах содержалась информация о необходимости прохождения KYC[7] для разблокировки кошелька:
Ссылка из письма ввела на фейковый сайт. Внешне он никак не отличался от оригинала, однако имел другой адрес:
1. metamask.io – настоящий сайт.
2. metanask.io – фишинговый сайт.
Адрес сайта отличался всего одной буквой. Жертвы фишинговой атаки не заметили отличия и потеряли доступ к своим кошелькам, поэтому будьте крайне бдительны, когда переходите по незнакомым ссылкам.
Как избежать фишинговой атаки?
Чтобы избежать фишинговой атаки:
• Не подключайтесь к сети с помощью публичных Wi-Fi.
• Внимательно проверяйте адрес сайта в поисковой строке, сверяя каждый символ.
• Сверяйте адрес отправителя электронного письма с электронным адресом, указанным на сайте сервиса.
• Никогда и ни под каким предлогом не вводите свои данные на сайтах, на которые вы попали, перейдя по ссылке.
Криптовалютные кошельки
Кошельки внутри криптовалютной экосистемы делятся на «горячие» и «холодные». Если вы хотите надежно хранить свои средства – используйте холодные кошельки и не держите на горячих кошельках ощутимую для себя сумму, так как они могут быть взломаны.
Горячие кошельки
Горячие кошельки – это онлайн-платформы, доступ к которым обеспечивается через мобильное устройство, ноутбук или ПК. Такие кошельки называются «кастодиальными», то есть предполагают хранение криптоактивов посредниками, а значит приватные ключи для доступа к их содержимому принадлежат посредникам. Именно здесь скрывается уязвимость в системе безопасности, поскольку доверенные посредники часто оказываются ее брешью.
Холодные кошельки
Холодные кошельки – это хранилища цифровых активов, которые не подключены к интернету и чаще всего представлены аппаратными или бумажными кошельками. Можно с уверенностью утверждать, что холодные кошельки являются стандартом безопасности для криптоактивов в криптоиндустрии.
Поскольку холодные кошельки не подключаются к интернету, это делает их недосягаемыми для хакеров и обеспечивает лучшую защиту криптоактивов, так как вы владеете приватными ключами.
Владение приватными ключами предполагает полный контроль над криптоактивами. Однако, это также предполагает определенную ответственность за их безопасность.
Хранение активов в альтернативных сетях
Конвертация и хранения криптоактивов в неродных сетях (например, BTC —> WBTC и ETH —> WETH) небезопасны, так как в случае взлома протокола хакеры могут достать базовый актив, обеспечивающий «обернутый», оставив вам ничем не обеспеченные и ничего не стоящие фантики.
Имейте ввиду, что хранение активов в «неродных» сетях из-за желания сэкономить на комиссиях может лишить вас денежных средств.
Общие рекомендации
• Не храните активы в неродных сетях.
• Не храните фразу восстановления на электронных носителях.
• Храните несколько копий фразы восстановления в надежных местах (дома, на даче и т. д.).
• Не контактируйте с незнакомыми токенами и NFT, особенно на децентрализованных биржах и незнакомых вам площадках. Существует вероятность потери доступа к кошельку и к денежным средствам.
• Никому, никогда и никуда не отправляйте seed-фразы от своих холодных и горячих кошельков. Разработчики не будут отправлять вам письма с просьбой повторить seed-фразу, чтобы убедиться, что вы ее не забыли.
Виды мошенничества
Многие начинающие криптоблогеры продают свои telegram-каналы мошенникам, либо вовсе начинают всячески обманывать свою аудитории с целью заработать.
Приведу несколько общих рекомендаций:
1. Никому не переводите свои средства ни под каким предлогом.
2. Никогда и ни при каких обстоятельствах не передавайте свои средства в доверительное управление. Никто не будет зарабатывать деньги за вас.
3. Не покупайте неизвестные токены, особенно на децентрализованных биржах. Создание и выпуск собственного токена на децентрализованной бирже весьма простая задача. Токены не проходят никаких проверок и биржевых аудитов.
4. Не покупайте токены блогеров, многие из них замечены в откровенном обмане, например, чего стоит история с нашумевшем токеном $AZY – https://www.tradingview.com/x/HAutBRg9/. Схема работы: продают как можно больше токенов, после чего вытаскивают всю ликвидность из проекта, оставляя несколько человек для создания видимости жизнедеятельности проекта.
5. Не участвуйте в марафонах по заработку миллионов с нескольких долларов – это мошенничество. Подобные марафоны преследуют две основных цели:
5.1 – получить от вас деньги за участие в марафоне.
5.2 – получить от вас деньги продав вам собственный токен.
6. Не контактируйте с незнакомыми токенами и NFT, особенно на децентрализованных биржах и незнакомых вам площадках. Существует вероятность потери доступа к кошельку и к денежным средствам.
7. Не верьте скриншотам с информацией о листингах на Binance и других площадках, а также не доверяйте скриншотам с твитами известных людей, якобы призывающих к покупке какого-либо токена, так как с вероятностью в 99 % это обман с целью нажиться на вас.
8. Не участвуйте в первичных размещениях (ICO / IDO) с непроверенными каналами, так как участились случаи сбора средств без предоставления аллокации и возврата.
9. Не участвуйте в PUMP'ах и DUMP'ах низколиквидных монет, организованных различными сообществами, так как на подобных мероприятиях зарабатывают исключительно организаторы.
10. Никому, никогда и никуда не отправляйте seed-фразы от своих холодных и горячих кошельков. Разработчики не будут отправлять вам письма с просьбой повторить seed-фразу, чтобы убедиться, что вы ее не забыли.
11. Прежде чем переходить по полученным в личных сообщениях или по почте ссылкам на сайты проектов, проверяйте их с помощью coinmarketcap.com, так как злоумышленники маскируют свои фишинговые сайты под известные проекты, а при получении вашего пароля или при подключении кошелька крадут средства.
12. Для того чтобы добиться доверия читателей, некоторые мошенники нанимают актеров, которые записывают видеоролики якобы от лица администраторов, а потом продают своим же читателям фантики.
Прежде чем что-либо сделать, купить, отправить, перейти по ссылке – несколько раз подумайте и все перепроверьте. Если вы наткнулись на очевидное мошенничество – обязательно отправьте жалобу на проверку администраторам ресурса. Таким образом вы сможете помочь людям, предотвратив потерю чьих-то денежных средств.
Чек-лист
Необходимо сделать прямо сейчас
• Диверсифицировать почту и устройства.
• Установить 2FA везде, где только можно.
• Проверить свои пароли на предмет утечки.
• Создать сложные пароли для учетных записей.
• Обновить всевозможное программное обеспечение.
• Перестать пользоваться общественными Wi-Fi сетями.
• Обновить настройки безопасности домашнего роутера.
• Удалить из облачного хранилища важную информацию.
• Зарегистрировать новые торговые аккаунты на биржах[8].
• Письменно запретить перевыпуск своей SIM-карты у своего сотового оператора.
• Перестать пользоваться бесплатными VPN-сервисами и заказать собственный VPN-сервер.
• Создать резервные копии фразы восстановления от холодных кошельков на надежных (офлайн) носителях.
• Перевести всю свою криптовалюту с горячих (кастодиальных) на холодные (некастодиальные) кошельки.
Необходимо делать постоянно
• Не скачивать пиратские версии программ.
• Отключить автоматическое подключение к Wi-Fi.
• Быть осторожным при открытии файлов, ссылок и архивов.
• Пользоваться только официальными магазинами приложений.
• Контролировать доступ приложений к устройству и запретить отслеживание.
Необходимо делать регулярно