Количество пользователей криптовалют растёт, а вместе с тем растёт и число злоумышленников. Методы их работы становятся всё более изощренными с каждым годом, причем активность растет независимо от фаз рынка.

Безопасность — довольно широкая тема и это не ультимативный гайд по ней, а скорее - стартовый чеклист, который многие найдут полезным. Устройство некоторых упомянутых инструментов выходят за рамки этой статьи, однако для любознательных будут ссылки.

Ничто не является безопасным на 100%. Просто потому, что в любой цепочке ваших действий, предпринятых для безопасности, есть слабое звено - вы. Потому данный гайд призван значительно снизить, а не исключить риски потери ваших криптоактивов в результате случайной или целевой атаки.

Основные уязвимости

1. Использование пиратского контента

Один из фундаментальных пунктов, который может подорвать все остальные меры безопасности. Пиратский контент может включать в себя вредоносное ПО.

Речь об операционных системах, ПО, играх, фильмах и т.д. скачанных через торрент и других небезопасных источников.

Лучше заплатить и не переживать за безопасность в будущем - так дешевле.

Кстати, вредоносное ПО - это не всегда история про мгновенную кражу. Злоумышленники крадут логи/куки, хранят сид-фразы кошельков и мониторят баланс. Нет смысла красть у вас 30$, если высока вероятность увеличения баланса при пополнении/хорошем аирдропе.

Устранение:

• С чистого устройства создать новые кошельки и переместить все свои активы туда. Отключите синхронизацию данных приложений-кошельков в iCloud/Google.
• Сменить все пароли на почтовых и биржевых аккаунтах, включить 2FA + СМС.
• Используйте хотя бы встроенный антивирус и регулярно обновляйте его. Осторожно с переносными носителями информации и тщательно следите за своими устройствами, чтобы ими пользовались только вы - так вы снизите риск заражения. Обращайте внимание на расширение и тип файла.

2. Смешивание крипты, работы и отдыха

Разделяя крипту, работу, отдых вы значительно повышаете свою продуктивность и внимательность.

Кроме того, имея отдельное устройство для работы с криптой вы снижаете риски его заражения вами или членами вашей семьи.

В браузере для работы с криптой не используйте никаких левых расширений, так как они могут подменять адреса для отправки/получения криптовалюты, а также делать переадресацию на фишинговые сайты.

Если вы используете Google Chrome на вашем личном ПК и в настройках указано, что он управляется вашей организацией - велика вероятность, что ваш браузер заражен. Антивирус вряд ли поможет. Дополнительными признаками заражения являются всплывающие окна и реклама:

Устранение:

• Создайте отдельные аккаунты для чтения чатов/каналов в том числе. Перенесите всё, что связано с криптой на отдельный аккаунт/ы. На нём не должно быть компрометирующих данных: имя, фото, номер, никнейм.
• В идеале иметь второй ПК для работы с финансами, но мы остановимся на базовом решении – отдельный аккаунт/профиль/браузер с выключенными автосохранением данных и рекламой(нередко вредоносной). Для отключения рекламы можно использовать AdBlock.
• Используйте хороший зарубежный сервис VPN/прокси, поисковик, который не отслеживает историю - это полезно и приятно. А если отказаться от Google вы не можете, всегда проверяйте адрес сайта рядом с которым стоит пометка реклама. Для посещения постоянных сайтов создавайте закладки.

• Всегда проверяйте адрес для приёма/отправки средств через CTRL+F.
• Не используйтепубличные сети Wi-Fi. Злоумышленник может перехватить данные вашего браузера или подменить страницу биржи, где вы введете, например, email, пароль, а затем и 3 кода – все эти данные он перехватит и введёт на настоящей странице авторизации биржи.
• Не оставляйте устройство без присмотра, не используйте разблокировку по отпечатку/лицу или Bluetooth. Помните, что безопасность и удобство зачастую на разных полюсах. Соответственно, разблокировка вашего кошелька на телефоне должна быть только по паролю.

3. Безопасность в мессенджерах и реальной жизни

Не стоит делиться скриншотами баланса. Если увидеть на вашем скриншоте 900,4582 ETH, скорее всего этот кошелек можно найти по холдерам в эксплорере блокчейна. Высока вероятность, что ни у кого больше нет такой суммы в данный момент. А если и есть, можно нехитрым методом поиска в групповом чате или СИ уточнить, какие ещё валюты вы храните и сколько.

Устранение:

• Не публикуйте точное значение баланса. То же самое касается и NFT – не показывайте #ID NFT или саму картинку – это может позволить однозначно определить адрес вашего кошелька, а значит и баланс.
• Не сообщайте адреса своих кошельков, даже старых, потому что вы могли проколоться. Потенциальными злоумышленниками могут оказаться дальние родственники или просто завистливые незнакомцы/знакомые.
• Не стоит распространяться о своих успешных/неудачных кейсах в крипте, так как это повышает риск целевой атаки на вас посредством шантажа/давления/взлома.
• Отключите автозагрузку медиа в мессенджерах, включите автоматические удаление кэша через 3-7 дней.
• НИКОГДА не открывайте ссылки в личных сообщениях в Discord, Telegram, других соц.сетях/мессенджерах/почтовых сервисах ****через которые вы занимаетесь криптой.
• Осторожнее с файлами, в том числе от знакомых людей, так как они могут стать жертвой злоумышленника или втираться к вам в доверие. Стоит открывать файлы только в облаке, по ссылке. Проверяйте адрес ссылки, ведь можно скопировать любой сайт. И помните, что заливая файл на облачное хранилище, вы соглашаетесь с тем, что файлы больше не принадлежат вам.

4. Понимание устройства DeFi

Отключение расширения-кошелька от сайта не означает, что вы "в домике", ведь аппрувы то остались!

Устранение:

• Тестируйте новое бесплатно или на небольшие суммы: при работе с новыми инструментами есть риск безвозвратно потерять свою криптовалюту. Лучше всего знакомиться с новыми инструментами на тестнетах/в тестовой сети, либо, если это невозможно, совершать транзакции на небольшие суммы, чтобы убедиться, что вы действуете верно и понимаете, как работает новый инструмент.
• Отозвать бесконечные аппрувы на сайтах, как бы вы им не доверяли. Для эфира есть Etherscan - официальный инструмент. Для остальных EVM блокчейнов аппрувы можно отзывать вручную, взаимодействуя со смартконтрактом на странице эксплорера, либо, используя на свой страх и риск Revoke.Cash и DeBank
• Не храните “обёрнутые/wrapped” монеты: в чем проблема таких монет? Если взломают мост и украдут все средства, то ваши обернутые монеты превратятся в фантики, потому что их обеспечение в виде заблокированных в мосте монет исчезнет, также есть риск депега. Обёрнутой монета становится тогда, когда вы перегоняете её по мосту с родного блокчейна на другой. Когда это происходит, монеты блокируются мостом на родном блокчейне. А на том блокчейне, куда вы ее переводили, вам выдается аналогичное количество "обернутых" монет, которые являются токенами.

5. Хранение паролей и сид-фразы на устройстве с интернетом

Так где же тогда хранить свои пароли и ключи? Есть 3 варианта, но прежде, чем мы к ним перейдем, досконально изучите устройство их работы:

1. Специализированный софт - менеджеры паролей с открытым исходным кодом KeePass и Bitwarden
2. Криптоконтейнеры - это такой скрытый раздел на вашем диске/флешке, для доступа к которому нужно открыть заранее заданный файл и ввести пароль. Подробнее об этом, возможно, поговорим чуть позже, а пока - видео. Если вы плохо понимаете, как это работает - не используйте данный метод.
3. Аппаратный менеджер паролей, например, от Trezor.

Дополнительные советы и инструменты:

• 1 сервис/сайт = 1 уникальный пароль. Чтобы элементарно защитить себя от подбора пароля в будущем при очередной утечке данных сервиса/по вашей вине. Можете воспользоваться генератором паролей и не забывайте регулярно обновлять пароли на ключевых сайтах и сервисах.
• Можете использовать VirusTotal для проверки любых ссылок или файлов на вшитые вирусы.
• На ваши кошельки будут активно засылаться скам-токены/NFT. Не стоит заходить к ним на сайт или пытаться их продать. Это может привести к полной потере средств. Сегодня большинство проектов просят вручную получить свою награду, то есть зайти на сайт и заклеймить. Проверяйте, совпадает ли адрес контракта токена/NFT, указанный в официальных источника с тем, что вы пытаетесь заклеймить.
• Свой старый телефон можно использовать как хранилище паролей, кодов аутентификации Google и приёмник смс. Никто не должен знать ваш номер и про существование этого телефона. Не забываем заряжать и делать резервные копии.
• Никому не передавайте сид-фразу, храните её в разных местах, иметь резервные копии, обучить доверенные лица

Используйте только почтовые сервисы от Google/ProtonMail. Можно создать до 4-5 Gmail на один номер. Не используйте для этого виртуальные номера.

Почта, которую вы используете для паролей нигде не должна палиться, содержать в себе ваше имя/никнейм и использоваться для общения с кем-то.

Рекомендации:

• отдельные почта+номер+аккаунты для социальной жизни
• отдельные почта+номер+аккаунты для криптовалютных активностей
• отдельные почта+номер+аккаунты для абуза и других сомнительных активностей

Чек-лист по безопасности на централизованных биржах

Разберём шаги, которые можно применить на популярных биржах:

• Установить уникальный сложный пароль и регулярно обновлять его: если при авторизации на бирже используете смс - отключите возможность восстановления вашей сим-карты по доверенности. Тогда злоумышленники не смогут использовать поддельную доверенность для восстановления доступа к вашим аккаунтам. Никогда не используйте для авторизации лишь смс.
• Установить двухфакторную аутентификацию(2FA)
• Установить антифишинговый код для почтовой рассылки: нужен для того, чтобы вам не подкинули вредоносную ссылку в почте. Теперь каждое письмо от биржи будет сопровождаться вашим кодовым словом в шапке.
• Использовать белый список адресов: после включения вывод с биржи будет доступен только на указанные адреса, в указанных сетях. Вывод на новые адреса в списке будет заблокирован на 24 часа.
• Не храните все средства на бирже: ваша крипта вам не принадлежит, пока не поступит на кастодиальный кошелек. в лучшем случае вы потеряете время, а в худшем - всё. Случиться может что угодно: скам или взлом биржи, технические неполадки биржи/блокчейна, недостаток фактической ликвидности криптовалюты и как следствие - задержки с выводом. А ещё ваши деньги могут быть заморожены службой безопасности(нередко случается с теми, кто использует миксеры и другие изощрённые способы ввода/вывода)

Популярные мошеннические схемы и способы борьбы.

Скам через NFT и/или токены

Скам-NFT. На ваш кошелек прилетает неизвестный токен, чаще всего — якобы дроп известного вам проекта с левой ссылкой на сайт в описании. Переходите -> подключаете кошелек-> подписываете транзакцию-> ваш кошелёк дрейнят (опустошают).

Скам минт. Подключаете кошелек, чтобы что-то сминтить, подписываете транзакцию, и всё содержимое кошелька уходит скамеру.

Отсюда первые правила: всегда минтим с бёрнер-кошельков (кошель, где нет ничего ценного) и всегда читаем, что подписываем (как правило, в описании транзы всё расписано).

1. Банальный развод на сид-фразу. Никогда и нигде не вводим свою сид-фразу! Только в кошельке, если на 100% уверены, что он не фейковый. Не забываем о том, что под видом Phantom, TrustWallet и любого другого кошельке вам могут подсунуть левый экстеншен. Введя сид-фразу в фейковом приложении или на фейковом сайте, вы сразу же потеряете всё содержимое кошелька.
2. Вредоносное ПО. Зависит от того, какое именно. Как минимум, доступ к вашему браузеру даёт скамеру почти безграничные возможности, и любая ваша финансовая активность может обернуться потерями.
3. Взломы. Ни в коем случае не храните сид-фразы и приватные ключи онлайн. Даже самое надёжное облачное хранилище может быть взломано. Хранение в заметках телефона, облаке Google и где угодно ещё — прямой путь к проблемам.

Хищение телеграм аккаунтов

Telegram остаётся одним из самых популярных мессенджеров для обмана пользователей, особенно, криптовалют и кражи их учетных записей. Постоянно появляются новые схемы, к примеру, вот одна из них:

1️⃣ Сначала жертвам поступает множество запросов на получение кода авторизации.

2️⃣ Вслед за этим с фейкового аккаунта Telegram Security Messenger присылает сообщение с предложением перейти по вредоносной ссылке якобы для «повышения безопасности» аккаунта.

Если вам поступают запросы на вход, которые вы не делали — просто игнорируйте их.

Советы по безопасности телеграм аккаунта.

1️⃣ 2FA

Установите двухфакторную защиту зашифрованным паролем. Это единственный способ восстановить аккаунт, если сим карта была подделана..

Настройки —> Конфиденциальность —> Облачный пароль

2️⃣Скройте номер телефона

Ваш номер можно использовать против вас.

Настройки —> Конфиденциальность —> Кто видит мой номер —> Никто

Кто может найти меня по номеру —> Мои контакты

3️⃣Следите за активными сессиями

Телеграмм показывает с каких устройств выполнялся вход в аккаунт. Проверьте сессии и включите очистку данных.

Настройки —> Устройства —> Автоматически завершать сеансы —> 1 месяц

4️⃣Запрещаем звонки от мошенников

Настройки —> Конфиденциальность —> Звонки —> Кто может звонить —> Мои контакты

Также в разделе звонки, в пункте peer-to-peer включаем Никогда, чтобы избежать перехвата IP адреса.

5️⃣Защита от мошенников в сообщениях

Настройки —> Конфиденциальность —> Группы и Каналы —> Кто может приглашать —> Мои контакты

Голосовые сообщения —> Кто может отправлять —> Мои контакты

Также в разделе Конфиденциальность настраивается информация отображающаяся в нашем профиле.

6️⃣ Автоудаление сообщений (не обязательно)

Вы уверены, что информация, которую вы отправляли кому-то год назад, ещё пригодится? Ведь любые данные могут быть использовать мошенниками.

Настройки —> Конфиденциальность —> Автоудаление сообщений

Заметки из АМА-сессии “Безопасность в криптовалютном мире» с SUNSCRYPT

Безопасность — это про нас, про... Про наши привычки, про наши действия. Не существуют самые безопасные машины, потому что безопасность, она в характере вождения. Можно там убиться на любой машине, и можно спокойно 20 лет ездить на «Жигули». Всё зависит от того, как ты водишь.

Лидеры среди аппаратных кошельков по мнению нашего гостя Владимира Абовяна:

• ledger
• Tangem
• Keystone
• SafePAL

Какой кошелек выбрать новичку?

Здесь зависит на самом деле какие цели, да. Если мы формируем какой-то долгосрочный портфель, то тут вопрос мультивалютности в первую очередь встает. Здесь лучше подойдет Tangem.

На мой взгляд, даже взломать Ledger, надавить на него – это очень крайний, крайне маловероятный сценарий. А, например, сделать то же самое с двумя производителями, где один производитель – это крупнейшая биржа. Это вообще фантастика фантастики.

Есть ли с точки зрения безопасности  разница на чем работать: MAC или ПС?

Сломать можно и Linux, и Windows, и Mac, вообще всё. Почему вирусов больше на Windows? Потому что Windows просто это самая популярная операционная система и всё. То есть если бы самая популярная была бы Mac, то на Mac были бы вирусы. Здесь очень-очень такой есть золотой, скажем так, совет, который я всем даю.

Если на вашей машине установлено какое-то пиратское ПО, то это невероятно увеличивает шанс взлома и заражение. Все вирусы, все клиперы, все дрейнеры и т.д. распространяется через пиратское ПО. То есть если у вас есть пиратское ПО, то тут уже все.

Я уже пришёл к тому, что если вы в крипте, у вас должна быть машина, ну, можно сказать, криптовая, где установлены только браузер, криптовые все плагины, расширение и так далее. Это всё у вас установлено, и всё, больше никаких историй у вас нет.

Если у тебя есть привычка устанавливать пиратское ПО, ты потеряешь свои деньги, точно.

Безопасно ли хранить активы на бирже?

У нас вообще есть такое понятие, что мы на CEX (биржи) не заводим больше той суммы, которая нам необходима для той или иной операции. В иных случаях мы просто CEX не используем.

Про пароли.

Очень важно устанавливать сложные пароли. Здесь у меня есть такой небольшой лайфхак, на который я использую, к которому я перешёл. Запоминать сложный пароль, чтобы вы понимали, сложный пароль – это символов 14. Это маленький большой регистр, это спецсимволы. Вот такой пароль запомнить, но это очень сложно. Поэтому у меня такой подход, не знаю, всем ли он подойдет, но у меня подход такой. Мы можем вместо такого пароля использовать слова. То есть пароль, которая будет состоять из пяти слов английских с разделителями. Это уже пароль, который будет очень сложно взломать, чем бессмысленнее у нас фраза, чем бессмысленная ассоциация, тем она лучше будет запоминаться, и мы это визуализируем. Если у вас будут простые пароли, это тоже снижает вашу безопасность. Сразу научите себя к сложным паролем.

Менеджер паролей достаточно безопасный способ хранения других паролей. Если пароль сложный, если у вас там двухфакторка еще какая-то включена, то да, это будет очень тяжелая сложная атака.

Через апруф могут украсть только апруфнутый актив?
Все верно, да. То есть вы даете апруф конкретному активу.

Полезные сервисы от Владимира:

• Браузер – https://duckduckgo.com/
• Анонимная почта – https://duckduckgo.com/email/
• Проверьте насколько сложный у вас пароль – https://www.hivesystems.com/blog/are-your-passwords-in-the-green?utm_source=header
• Приложение KnockKnock (антивирус на macOS) - https://objective-see.org/products/knockknock.html