Как не отдать свою крипту мошенникам? Безопасность твоих данных и денег.

10 миллиардов долларов в криптовалюте было украдено только за 2024 год. Это как ВВП Таджикистана или больше, чем у 45 стран. Легкие деньги привлекают мошенников придумывать всё новые способы обмана и взлома, но большинство из них остаются неизменными — и именно ими я хочу с вами поделиться. Часть информации взято из статьи Академии STON.fi.

Важно уметь защитить свои деньги. Ведь сколько бы ты ни заработал, деньги, которые можно легко забрать, ничего не стоят.

Почему именно крипта привлекает мошенников?

Для того чтобы лучше понять материал, давайте разберёмся — что хочет мошенник? Заработать, при этом остаться безнаказанным. Крипта идеально для этого подходит, поскольку:

1. Всё анонимно. Хоть транзакции и отслеживаются, но установить владельца кошелька, тем более при использовании различных сервисов, типа “блендеров”, практически невозможно.
2. Отсутствие регуляции. Тут нет чарджбэка (возвратного платежа в банке), нет централизованного органа, куда можно пожаловаться, и крипту заблокируют (отдельные случаи блокировок USDT или бирж не рассматриваем).
3. Нет границ. Не важно, в какой стране находится жертва и мошенник. Можно находиться от жертвы за десятки тысяч километров и за считаные минуты украсть её криптовалюту.
4. Неграмотность пользователей. Основная причина того, что мошенников так много, — это то, что мы им позволяем забрать наши деньги из-за отсутствия необходимых знаний, наплевательского отношения к цифровой безопасности и невнимательности. Даже опытные пользователи иногда не замечают подмену адреса, фишинговые сайты или вредоносные смарт-контракты.
5. Лёгкость для мошенника. Для того чтобы украсть ваши деньги, не нужно даже выходить из дома. Достаточно создать какой-либо фишинговый сайт с вредоносным смарт-контрактом, вшить троян в какую-то нужную программу — и все ваши деньги с кошельков, личные данные будут у мошенников.

Как себя защитить?

Теперь, когда мы знаем, что криптовалюту украсть можно очень легко, и при этом вора вряд ли поймают, разберёмся, как мы можем себя обезопасить.

1. Физический доступ к ПК.

Даже если у вас домашний ПК, есть не нулевая вероятность того, что кто-то может сесть за ваше место, пока вы отошли попить кофе и нажать куда-то не туда. От этого может уберечь простой пароль для пользователя или на bios. Для активных людей, кто часто меняет свое место нахождение и использует ноутбук — можно в дополнение к этому зашифровать свой накопитель. Тогда даже в случае потери ноутбука, вряд ли кто-то получит данные.

2. База. Безопасность системы и сети.

Лицензионное ПО, включенный антивирусник в реальном времени + регулярное обновление системы и драйверов. Виндовс можно использовать даже неактивированную (различные активаторы винды сразу идут далеко). Обычного Windows Defender на 11 винде более чем достаточно. Для безопасности сети используем нормальный роутер, а не китайский передатчик волн за 10$, включаем брандмауэр (Windows Defender Firewall) в системе, отключаем WPS, меняем стандартный пароль как на Wi-Fi, так и для входа в настройки роутера. Регулярно обновляем ПО роутера (да-да, роутер тоже нуждается в обновлении). Для друзей / гостей на роутере настраиваем гостевой режим.

3. Безопасность аккаунтов.

На все аккаунты ставим сложные пароли, устойчивые к брутфорсу (подбору паролей). Рекомендации использовать наборы больших и маленьких букв, цифр и символов существуют не просто так. Стараемся использовать для разных аккаунтов разные пароли. На всё, что только можно, у нас должна стоять 2FA. Важные аккаунты должны быть привязаны к SIM-карте, которая зарегистрирована на вас по контракту с оператором. Без этого очень легко через поддержку оператора получить доступ к SIM-карте, а затем и к вашим аккаунтам. Лично знаю способ восстановления водафоновских SIM-карт и случаи, когда таким образом получали чужой номер. Пароли, а тем более сид-фразы основных кошельков, хранить в виде слов, записанных на листе бумаги (записанных ручкой!). К паролям или сидкам в добавок можно придумать шифр, который знаете только вы, чтобы, даже получив ваш блокнот, злоумышленник не смог им воспользоваться.

4. Фейк токены/NFT

Часто на кошельки приходят различные токены. Не взаимодействуем с ними. Если попробуешь свапнуть их в кошельке или на DEX-е, и там окажется смарт-контракт, который при подписании транзакции разрешает апрув на взаимодействие с твоими остальными токенами — подпишешь и отдашь все деньги. То же самое с NFT. Если пришла NFT-шка, где пишется, что ты получил аирдроп и нужно забрать его на каком-то сайте — скам. Не трогать! Чтобы не мешали — можно просто скрыть. Текущие апрувы на управление токенами удобно отменять в Rabby Wallet или на сайте. Если тебе пришел какой-то токен, который не должен был приходить, но выглядит он полностью как настоящий, проверь смарт его контракт. Дле этого можно перейти на Etherscan, Tonscan и прочие блокчейн-эксплореры, там уже найди свой кошелек, транзакцию с подозрительным токеном и посмотри: от куда и кому ещё были отправлены эти токены, проверь смарт контракт токена. Мало держателей, нет ликвидности на известных DEX — 100% скам.

5. Поддельные сайты / фишинг.

Можно встретить поддельные сайты, максимально похожие на оригинал. Например, сайт, похожий на какую-то биржу, где нужно авторизоваться. Пример: вместо https://www.binance.com/ — оригинального домена Binance — будет использоваться https://www.binanc.com/. Или сайт криптопроекта, где нужно подключить кошелёк. Залогинились / подключили кошелёк — потеряли деньги. Часто фишинговые ссылки могут приходить на почту, в комментариях к постам, в телеграм-чатах или Discord-серверах проектов. Предлог перейти по ссылке может быть разным — например, аирдроп, клейм чего-либо, получение редкой роли и прочее. Всегда сверяйте домены в строке браузера. Спросите у ChatGPT / Grok, настоящая ли ссылка (они часто ругаются на новые сайты, но могут помочь определить, связана ли ссылка с оф. ресурсом). Используйте Rabby Wallet — он предупреждает, если сайт небезопасен. Дополнительно можно установить антифишинговый код. Даже реклама от Google, Telegram или любая другая может содержать вредоносные ссылки. Всегда проверяй, куда заходишь. Из реальных примеров — недавно был фейковый сайт Paradex, который отображался в топе запросов Google. Подключили кошелёк — потеряли деньги. Года 4 назад на информатике мне говорили, что HTTPS — значит сайт нормальный. Ложь! Смотри на сам домен, а не на замочек. Также, переходя по QR-коду, смотри на адрес сайта, куда он тебя перенаправил. Нигде не вводи свою сид-фразу, кроме интерфейса кошелька.

6. Фейковые админы/профили/чаты.

Очень часто, если кто-то написал вопрос в общий чат, налетает толпа доброжелателей, готовых помочь в ЛС со всеми твоими проблемами. Профиль может быть максимально похож на профиль какого-либо из админов или модераторов чата/канала. Например, в нике могут использовать место I (большая латинская i) маленькую l. Пример: Daniil Ivonov и DaniiI lvanov — практически одно и то же, правда? А символы разные. Если присмотреться, то разницу можно заметить, зная, что один из ников — фейк, но в интерфейсе мессенджера или соцсети вы разницу не увидите. На таких сразу кидаем жалобу. Общаемся только через официальные чаты или тикеты на Discord-серверах. Внимательно сверяем ники. Просят перейти по ссылке? Возвращаемся к пункту 5. Проверяем оригинальность чата. Часто создаются не только фейковые профили, но и целые чаты/каналы с накрученными подписчиками, куда приглашают людей. Проверяем их связь с официальными ресурсами проекта. Не устанавливаем никакое ПО, которое просит установить “админ”. В 99,9% случаев админы первыми не пишут, тем более рядовым пользователям.

7. Спешка.

Отдельно хочу выделить спешку. Ведь в моменты спешки человек не может нормально проанализировать все риски. Спешка — инструмент мошенников для обмана. Если каким-то образом вас заставили торопиться, именно в этот момент стоит остановиться, ничего не делать и просто подумать: “А что если… Почему мне говорят торопиться?” Создавая дефицит, например, сминтить какую-то редкую/дорогую НФТ, которую вот-вот разберут, или закончится время клейма, вас заставляют откинуть здравый смысл на второй план.

8. Аппаратный кошелек.

Для хранения больших сумм в долгосрочной перспективе лучше всего использовать аппаратный кошелек, например, Ledger, Tangem, Trezor или SafePal. Они хранят данные о вашем кошельке на физических устройствах, которые не подключены к интернету, что защищает их от фишинга, троянов и других вирусов. Приватные ключи остаются внутри устройства, обеспечивая высокий уровень безопасности. Но тут также лучше отдельно хранить сид фразу в безопасном месте. Например записанную ручкой на листе бумаги + использовать шифр (переставить местами слова и заменить какое-то слово на неправильное, а настоящее запомнить), чтобы только вы его знали.

9. Социальный инженеринг.

Мошенники могут втиратся к вам в доверие чтобы потом использовать его для похищения данных. Даже если вы знакомы с человеком уже некоторое время, а тем более с новыми “знакомыми”, которые кажутся очень доброжелательными не теряйте бдительность. Не выдавайте никакую личную информацию о себе, она может быть использована для того, чтобы позже вы сделали какое-то необдуманое действие, которое поможет украсть ваши деньги. Даже если вам пишет какой-то близкий знакомый или родственник, его страница может быть взломана или фейковой. Мошенник может играть на вашем страхе, говоря, что у него уже есть доступ к всем вашим данным или же на жадности, заставляя вас сделать какое-то действие, чтобы быстро заработать. Не ведитесь. Остановитесь, подумайте что сейчас происходит, и кем может быть ваш собеседник.

10. Используйте песочницу.

Песочница (sandbox) — облегчённая среда для ПК, предназначенная для безопасного изолированного запуска приложений. Если скачиваете какой-нибудь файл, в котором не уверены на 100 процентов, не запускайте его сразу на основной системе,а откройте и проверьте в изолированной среде. Даже самый обычный PDF-файл с сомнительного сайта может доставить проблемы — уже не говоря о .exe файлах. После установки/скачивания файл можно проверить с помощью VirusTotal (не загружайте туда файлы, содержащие личные данные, пароли, сид-фразы и т.д. — всё, что туда загружается, хранится на их серверах).

Ещё некоторые способы мошенничества в крипте описаны в статьи от Ston Academy. С ними вы можете ознакомится здесь.

Я рад, если ты дочитал эту статью до конца! Ведь в таком случае я не зря проводил ресерч и пыхтел два дня над её созданием, а ты теперь лучше защищён от взлома или кражи данных.

У меня есть телеграм канал по крипте, в котором я публикую разные промо, дропы, тестнеты и многое другое, на чём мы с подписчиками зарабатываем. Жду тебя в моём ТГ! Ссылка: https://t.me/+BGfISG0-NDBlZWQy

Отправляй эту статью другу, если желаешь ему добра и безопасности ;)