Как не попасть в "просак" в крипте и не только.
В этой статье поделюсь своим опытом профилактики и выявления разных скамных схем и способы их устранения. Статья содержит только мой личный опыт и не претендует на "истину в последней инстанции". Никаких сложных программ и навыков. Простой набор правил. Любые совпадения случайны. Все картинки взяты в интернетах или мои личные скриншоты.
Содержание:
1. Фокус внимания - ключ к вашей бдительности.
Я искренне убежден в том, что в наше время важно не только то, что ты ешь, каким воздухом ты дышишь и как часто двигаешь своим телом. Не менее важно то, какой информаций ты позволяешь попадать в свой мозг, а если проще то, что ты слышишь и видишь.
Какие то там ученые посчитали, что среднестатистический житель мегаполиса получает 10-15 тысяч сообщений за сутки. Это суммарный массив данных, который способны переработать наши глаза и уши. Эта информация так или иначе анализируется и делаются какие то выводы. Практически все это происходит автоматически, то есть процесс неосознанный.
Что я хочу этим сказать? Да то, что 99% этой информации скорее всего никогда не пригодится и является просто мусором, который находится в нашей голове и занимает там место. А умение управлять этим "трафиком" является ключевым в вопросах эффективности и безопасности, так как напрямую влияет на способности нашего мозга.
Получается входящий поток информации не остановить, но ее можно ограничить, отфильтровать и организовать. Этот процесс заметно снизит ненужную нагрузку на мозг и вероятность совершения ошибки из-за невнимательности или глупости. Да, именно по этой причине происходит большинство обманов или скамов пользователей - из-за банальной невнимательности.
а) ограничьте влияние входящих сообщений путем отключения всех видов уведомлений на своем смартфоне и ноутбуке, если от их получения не зависит ваша жизнь и здоровье или здоровье ваших близких. Я 10 лет назад выключил звук на своем телефоне и моя жизнь больше никогда не была прежней! Это не шутка. Это абсолютная правда. Не поленитесь настройте свой смартфон так, чтобы читать все входящие уведомления только тогда, когда вам действительно удобно. Ваш мозг точно вам скажет спасибо. Вы станете внимательней, у вас появится больше свободного времени. Это факт.
б) Создайте в каждом мессенджере, браузере, соцсети понятное для вас пространство, где все входящие сообщения и нужная информация сортируется и фильтруется.
Например в Телеграм я создал папки по принципу, как именно я читаю информацию и после этого все чаты и каналы добавил в архив, чтобы они не отвлекали мое внимание. Не в архиве у меня только личные переписки.
В браузере все необходимые мне сайты разложены в папки и вынесены на главную страницу, чтобы их поиск не занимал много времени.
В дискорде тоже все разложено по папкам.
Вы возможно спросите, причем здесь безопасность и скам? А при том, что в большинстве случаев мошенники пользуются именно тем, что пользователь не фильтрует информацию, не внимателен к входящим сообщениям. Если у вас будет система фильтрации то, 90% скама просто пройдет мимо вас по умолчанию.
в) настройте в своих мессенджерах, браузерах, соцсетях настройки приватности. Это значит, что необходимо ограничить возможность писать, звонить вам, отправлять письма от незнакомых номеров или других программ, с которыми вы не знакомы. Например в Телеграм я запрещаю приглашать меня в группы, звонить мне людям, которых нет в контактах. Никто не может увидеть мой номер телефона. Заходите в настройки в выставляете нужные параметры.
г) у меня несколько почтовых ящиков, один основной, для переписки или важных контактов, там нет никаких подписок и любое непонятное письмо, не открывая сразу летит в корзину. Есть одна специально для всяких подписок или для всяких сервисов, которые, чтобы протестировать надо указывать почту. В этом ящике практически никогда письма я не открываю. Отдельная почта более защищенная для крипто-бирж, обязательно с двухфакторкой и дополнительной защитой. Я рекомендую завести приватный ящик protonmail или web3 клиент от Skiff.com, чтобы защитить свои данные. Эти сервисы ничем не уступают google или amazone по безопасности.
Резюмирую сказанное. Чтобы избежать большинства схем со скамом (обманом) вас через мессенджеры и другие инструменты общения, просто необходимо упорядочить взаимодействие с ними. Никаких уведомлений, которые отвлекают вас от основного занятия. Никакого хауса в чатах и каналах - все по папкам, с понятными для вас названиями и отсортированными по вашим личным приоритетам. Берегите свой мозг. Он вам еще пригодится!
2. Мнемоника - ключ к вашим монетам.
Мнемоника или мнемонический ключ или seed-фраза или простонародий "сидка" - это 12, 16 или 24 слова из специального словаря, последовательность, которых определяет ваш адрес в крипто-кошельке. Последовательность генерируется каждый раз при создании нового адреса. Владение или знание этой фразы навсегда определяет владение теми активами, которые имеются на этом адресе.
Поэтому способ хранение этой фразы во многом определяет сохранность ваших средств. Я приведу общие правила безопасности при хранении seed-фразы, которые я когда то взял у разработчиков крипто-кошельков. Вот они.
О важности seed / закрытого ключа:
(важные знания для новичков в криптографии)
В криптовалюте вы и только вы держите свои монеты, владея секретной seed-фразой или закрытым ключом, который случайным образом генерируется кошельком и из которого выводится соответствующий публичный адрес кошелька. Невозможно переоценить, насколько важно не только сама seed-фраза, но и то, как вы с ней обращаетесь:
- Если вы потеряете свою seed-фразу, вы потеряете свои монеты, и никто в мире не сможет их вернуть.
- Если кто-то увидит вашу seed-фразу, они могут восстановить ваш кошелек и украсть ваши монеты.
- Потерять телефон или компьютер с кошельком не проблема, если у вас есть seed-фраза. С его помощью вы можете просто восстановить свой кошелек, и все средства будут возвращены.
Теперь давайте посмотрим на распространенные ошибки, которые люди совершают при обращении с seed-фразой. Основной вопрос: где хранить seed-фразу или приватный ключ? Seed-фразы должны находиться только в вашем программном кошельке (зашифрованном с помощью ПИН-кода или пароля) и на листе бумаги, запечатанном в конверте и хранящемся в безопасном месте. Seed-фразы НЕ ДОЛЖНЫ храниться:
- в текстовом файле или документе
- в файле, хранящемся на вашем компьютере
- в файле, хранящемся в облаке
- в электронном письме, которое вы отправили
- в приложении для заметок
- на скриншоте
- скопировано в буфер обмена
- в любом цифровом виде
- опубликовано в Telegram или любой другой группе
- опубликовано в приватном чате, даже не с админом (там много ЛЖЕ-админов!).
В противном случае ваше seed-фраза должно считаться скомпрометированным (= доступ к нему или наблюдение третьим лицом, что означает, что они могут присвоить ваши монеты), и вы должны создать новый кошелек (использовать новый приватный ключ, т.е. шанс безопасно хранить его с этого момента) и переместить ваши средства на новый адрес, чтобы обезопасить их. Даже если ваша seed-фраза существовала в текстовом файле, снимке экрана или приложении заметок очень короткое время и вы быстро удалили ее, оно уже должно считаться скомпрометированным, и вам следует вернуться к новой seed-фразе / адресу.
Безопасность ваших средств зависит от того, насколько надежно вы обращались со своими ключами. Даже аппаратный кошелек (самый безопасный из существующих кошельков) будет скомпрометирован, если ваши ключи хранятся небезопасно.
"Холодное" создание seed-фразы, то есть без подключения к интернет, возможно на пользовательском уровне только на аппаратных кошельках, в общем то это и есть их основное преимущество перед другими.
При копировании фразы через CNTR+C фраза попадает в буфер обмена, а это значит, что теоретически в общий доступ, так как к вашему компьютеру или смартфону довольно просто можно подключиться удаленно и скомпрометировать фразу.
3. Фишинг, как не попасть.
Инструменты для обмана пользователей крипты и не только постоянно совершенствуются. И как правило, мошенники всегда на шаг впереди от тех, кто пытается противостоять их деятельности. Поэтому надеяться нужно только на себя. И для этого не так много надо. Знание и осведомленность наше всё.
Фишинговые сайты (от слова fish - рыба) это сайты, задача, которых заставить пользователя поверить, что он попал на привычный ему сайт и сделал там привычные для него действия. Эти сайты, как правило, ничем не отличаются от оригинальных. Схема работает не только в крипте, но в любой другой сфере.
Основным уловом для мошенником, как правила, являются приватные данные пользователей: логины, пароли, мнемонические фразы, данные банковских карт и другая важная информация. С помощью нее мошенники получают доступ к средствам пользователя или к данным с помощью, которых можно совершать преступные действия, такие, как шантаж, например.
Один из способов нарваться на фишинговый сайт это набрать название сайта в поисковой строке браузера. Мошенники, как правило, вкладывают деньги для продвижения своего скам-сайта и не редко он может занимать первые строчки поиска.
Для криптовалютных проектов я использую крупные мониторинги, такие как Coinmarketcap или CoinGecko, что найти нужную ссылку по проекту. Но перед этим нужно убедится, что вы на настоящем сайте мониторинга)).
Самым распространённым способом попадания на фишинговые сайты является рассылка на почтовые ящики или личные сообщения в мессенджерах и соцсетях. Мошенники, как правило, мимикрируют под официальных представителей или специалистов по поддержки клиентов. Письма могут содержать обычную рассылку, к которой привык пользователей и неотличимый дизайн письма. Ссылка может быть спрятана в кнопке или быть почти неотличима от оригинала.
Отдельно надо сказать про личные сообщения в Телеграм или другие мессенджеры. Практически все проекты используют Телеграм для создания и управления коммьюнити, через этот мессенджер передаются новости и решаются вопросы. И, конечно же, этот мессенджер больше всего используют для скама пользователей.
а) вы задаете какой то вопрос в чат, какого то проекта, вам могут быстро ответить или не ответить сразу. Например вам что-то отвечает админ этого чата, вы видите его аватарку и имя. Через некоторое время вам в личку пишет тоже кто-то с такой же аватаркой и именем, спрашивает смогли ли вы решить вопрос в чате. Вы можете подумать, что это админ, но это не так. Скорее всего это мошенник, который поставил аватарку и имя, как админа. В Телеграме уникален только ник, который пишется через @, все остальное можно подделать. Чтобы отличить мошенника от админа надо зайти в чат и проверить, какое имя пользователя у реального админа и сравнить их.
Мошенник, как правило, предлагает "полностью" решить проблему и отправляет вам ссылку на сайт, где вы синхронизируете/исправите/получите необходимую информацию/полетите в космос, ну или еще что-то, что точно вам поможет в этот момент решить все ваши проблемы. Это будет фишинговый сайт и если вы подключите к нему свой кошелек, то мошенник получит доступ к вашим средствам.
б) вам в личку прилетает сообщение с бесплатными курсами по крипте или доступ к закрытому каналу, где публикуются торговые сигналы. Сразу Delete и бан. Даже не стоит думать.
в) вам могут предложить "поиграться" на опционах/торговых ботах/арбитражом через реальное обучение. Мошенники связываются с пользователем и сначала действительно чему то обучают, показывают торговые терминалы, торгую своими средствами, показывают профит, выводят средства. Потом предлагают закинуть небольшую сумму на аккаунт (100$) и показывают, как они торгуют средствами пользователя. Как правило, в начале все идет хорошо, профит есть и его даже можно вывести. Пользователь проникается доверием к мошенникам. Потом, скорее всего, на каком то глобальном событии (заседание ФРС типа) предлагают завести большую сумму, давят на жадность. Когда пользователь соглашается и заводит средства, мошенники начинают торговать с плечом (заемными средствами) и что-то идет не так, сделки уходят в минус, начинается развод и угрозы, пользователь становится должником. Такие схемы очень разнообразны и в них всегда присутствует индивидуальный подход. Главная задача скамера в таких схемах - войти в доверие.
Не доверяйте никому свои средства, если не готовы с ними расстаться прямо сейчас!
4. Подключение кошелька, апрувы.
С переходом на WEB3 технологии большинство фишинговых сайтов сделаны для того, чтобы пользователь подключил свой крипто-кошелек и тем самым передал контроль за средствами мошенникам.
Здесь схема скама упрощается, так как все что нужно сделать пользователю это разрешить вредоносному смарт-контракту получить доступ к средствам на кошельке. А по сути нажать одну кнопку "approve" (разрешить - с англ.).
Ссылки на такие сайты могут быть где угодно, даже в описании к NFT, которые раздают бесплатно. Так как от обмана отделяет всего лишь два действия: нажать на ссылку сайта и разрешить кошельку взаимодействовать с приложением или сайтом; то именно этим действиям нужно уделить внимание.
С первым действием вроде все понятно. Не нужно переходить на незнакомые сайты, особенно те, которые прилетают в личку от незнакомых аккаунтов. Но если вы все таки попали на казалось бы знакомый сайт, но есть какие то подозрения, что что-то не так, то надо сразу же убедиться, что вы именно там, где вы планировали быть. Любым способом убедитесь в подлинности сайта, особенно, если сразу при переходе на него у вас начинает подключаться кошелек и требует "approve".
При малейших подозрениях в ненадежности сайта или приложения проверьте его на подлинность. Не подключайте кошелек пока не сделаете этого.
Пример подключения кошелька к децентрализованной бирже. Кошелек обычно пишет какие именно разрешения он получает при подключении к сайту. Часто это не совсем понятное и приходится переводить:
Любые разрешения для кошелька можно отменить при необходимости. Я лично периодически отзываю все разрешения, так как протоколы могут подвергнуться атаки и средства пользователей, разрешившие с ними взаимодействовать могут быть под угрозой. Как это сделать смотрите ниже.
После отключения кошелька от сайта, он не сможет запрашивать у вас разрешения на какие-либо действия. Но если вы взаимодействовали с каким то смарт-контрактом на этом сайте он будет по прежнему с ним связываться по тому алгоритму, который в нем прописан.
Неосведомленность пользователей в устройстве смарт-контрактов тоже не редко ведет к получению доступа к их средствам путем взаимодействия со скамными смарт-контрактами. Чтобы проверить надежность смарт-контрактов можно проверить их на сайте https://de.fi/ этот протокол считывает ваши взаимодействия и проводит анализ их возможной вредоносности.
Контракты с большим риском (High Risk) необходимо отозвать через кнопку "revoke". На самом деле это не значит, что они обязательно вредоносные, просто в их условиях, например, может быть прописано, что они могут быть изменены создателем и вы даже об этом не узнаете.
У этого процесса есть и другая сторона. Если вы рассчитываете на дроп от какого-то проекта, который будет "насыпать" всем кто с ним взаимодействовал, то "revoke" может лишить вас его. Поэтому, если вы уверены, что контракт надежный не спешите его отзывать.
Резюмирую сказанное. Прежде чем давай какое-то разрешение своему кошельку убедитесь, что вы взаимодействуете с надежным сайтом или приложением. Периодически проверяйте все разрешения, которые вы давали сайтам и приложениям, все подозрительные отзывайте. Не реагируйте на входящие сообщения от незнакомых лиц.
5. Скамные дропы.
С развитием крипторынка все больше пользователей интернета стали узнавать о всех "прелестях" его содержимого. Сотни проектов запускает ежемесячно и отследить хотя бы их часть не представляется возможным. Многие проекты привлекают новых пользователей через раздачу своих токенов или коинов. Это обычно называют airdrop.
Довольно много хороших, твердых проектов таким образом привлекли к себе внимание и до сих пор успешно развиваются, создавая ценность своим присутствием на рынке. Этот способ привлечения пользователей стал достаточно популярным и используется довольно часто в таких экосистемах, как Ethereum, Cosmos и других.
И, конечно же, этот способ привлек внимание мошенников, которые чрез этот инструмент пытаются навариться. Есть несколько способов соскамиться на дропах, о которых я знаю.
Дроп на кошелек скамных токенов.
На кошелек пользователя приходят неизвестные токены. В кошельке они отображаются иногда вместе с их предполагаемой ценой. Пользователь видит эти токены и на радостях идет на биржу их продавать. Мошенники могут добавить ликвидность на dex с этим токеном, чтобы отображалась цена.
Вот так выглядят скамные дропы. На скрипшоте кошелек уже отличает их от нормальных и у них нет цены в $.
Если пользователь пытается продать эти токены, то возможны несколько вариантов скама. Первый: при попытки свапа (обмена) смарт-контракт запрашивает большую комиссию, например, в BNB и если пользователь не замечает этого, комиссия уходит мошенникам и при этом свап не происходит. При повторной попытки происходит тоже самое и так пока не закончатся средства на комиссию. Второй: при попытки обмена вызывается скамный смарт-контракт, который при апруве получает доступ к средствам на кошельке. При этом никакого обмена не происходит. А специальный бот выводит средства с кошелька пользователя на кошелек мошенников. Оба варианта рассчитаны на невнимательность пользователя и на его не умение читать разрешения. Схем, на самом деле больше, поэтому бдительность должна быть всегда на высоте.
Также стали популярны скамные дропы NFT.
На кошелек приходит NFT с описанием дропа какого-нибудь известного проекта. Как правило, в виде поздравления, что пользователь выиграл какой-то конкурс или попал под какие-то условия для дропа. В описании NFT указывается ссылка на сайт, куда надо пройти, чтобы "получить" дроп. При взаимодействии в таким сайтом мошенники получают доступ к кошельку пользователя и опустошают его.
Такие схемы постоянно совершенствуются. Напомню мошенники всегда на шаг впереди от тех кто с ними борется.
Берегите себя и свои ключи. Доверяйте только после проверки.
Написано специально для Телеграм-чата "Чайники в Cosmose".
Канал с гайдами.
Буду рад обратной связи в комментариях. Пишите, если есть другие схемы обмана.