Кріптогігіена: як захистити свої активи

Фінансові компанії та заможні люди завжди привертали шахраїв і злочинців. Капіталізація ринку криптовалюта, складова сотні мільярдів доларів США, само собою прикувала до себе увагу всілякого роду кіберзлочинців. Не оминув стороною інтерес і до проведення ICO.

Головним стимулом кіберзлочинів на криптовалютному ринку є незворотність транзакцій.

Навіть зафіксувавши відразу нелегітимну транзакцію, власник криптовалюта не зможе звернутися до арбітра і її заблокувати як в фіатном світі (є приклади скасування транзакцій за допомогою хардфорка, блокування крадених токенов і т.п., але це суперечить концепції фінансової системи на блокчейні і викликає палкі суперечки серед криптоанархістів).

Як же все-таки взяти участь в перспективних (або не дуже) ICO і не стати жертвою кібершахраїв?

Для мінімізації більшості ризиків крадіжки грошей інвесторів необхідно дотримуватися нескладних правил цифрової (або кібер) гігієни. Отже, перш ніж перейти до правил, розглянемо варіанти крадіжки коштів інвесторів. Їх можна умовно поділити на два основних напрямки - технічне і соціальна інженерія ("злам" людини, використовуючи психологічні підходи і неуважність).

Шахрайські ICO ми не розглядаємо в рамках цих рад. Тому і правила кібергігієни розберемо з урахуванням тільки двох напрямків:

1. Технічно кіберзлочинці можуть отримати доступ до вашого пристрою, комп'ютеру, ноутбуку, смартфону, планшету, і перенаправляти вас замість сайту проекту ICO на його підроблену копію. В результаті, ви переведете кріпторесурси не на гаманець проекту, а на гаманець шахрая. Також при доступі до ваших пристроїв «чорні» хакери можуть дістатися до ваших криптогаманців, перехопивши приватні ключі і / або паролі, а також підмінити адреси криптогаманців одержувачів під час транзакцій.

Як же від цього захиститися?

  • Обов'язково встановлюйте оновлення операційних систем, «прошивок», всіх наявних програм. Більшість масових атак шкідників використовують уже відомі виробникам програмного / апаратного забезпечення і антивірусним компаніям уразливості (діри безпеки), які закриваються оновленнями.
  • Включайте, де можливо, двофакторну аутентифікацію для доступу до гарячих криптогаманці і/або веб-ресурсів ICO-проекту. Бажано не по смс, але якщо і смс, то використовуйте контрактне підключення до оператора (дуже складно без вас відновити сім-карту). В ідеалі для другого фактора використовувати спеціалізовані програми або апаратні продукти.
  • Встановіть захисне програмне забезпечення (антивірус, мережевий екран, «пісочниці» і т.п.). Як згадано вище, більшість масових атак проводиться з використанням відомих «вірусів» і можуть бути відбиті антивірусами.
  • На пристрої для роботи з кріптовалютними транзакціями встановлюйте мінімальну кількість сторонніх додатків, розширень для браузера і т.п. Знижуєте ймовірність установки програмного забезпечення з вбудованими бекдор (хакерськими закладками), а також уразливими, які дозволять отримати віддалений несанкціонований доступ до вашого пристрою.
  • Не використовуйте публічні Wi-Fi мережі для криптовалютних транзакцій або обов'язково використовуйте VPN-з'єднання в разі роботи через них.
  • Намагайтеся завжди використовувати VPN-з'єднання, більше не для анонімності, а для шифрування з'єднань і захисту від перехоплення трафіку кіберзлочинцями.

2. Використовуючи соціальну інженерію, кіберзлодії провокують вас на необдумані кроки - перейти за підробленою посиланням, на фальшивий сайт проекту, запустити у себе на пристрої шкідливий файл і т.п. Для захисту дотримуйтесь таких правил:

  • Перевіряйте адресу посилання, яка введена в адресному рядку, а краще не переходите по посиланню, а вводите адресу проекту вручну (можна додати правильне посилання в закладки і відкривати сайт проекту з закладок).
  • Перевіряйте адресу кріптогаманця, на який робите транзакцію.
  • Встановлюючи необхідну програму, завантажуйте установник з офіційного сайту і перевіряйте ще контрольну суму файлу. Не встановлюйте програми, отримані поштою, через месенджери або з неофіційних сайтів.
  • Нікому не передавайте приватні ключі від кріптогаманців з великими сумами, навіть на кріптобіржі тримайте окремий гаманець з мінімумом необхідних коштів. Також не діліться своїми паролями від гарячих гаманців і ніколи не використовуйте повторне один і той самий пароль для важливих ресурсів.

Команда, яка запускає ICO, також зобов'язана турбуватися безпекою своїх інвесторів. Для цього проект повинен зробити мінімально необхідні кроки:

  • провести незалежний аудит безпеки ІТ-інфраструктури (внутрішньої і зовнішньої) і веб-додатків;
  • провести незалежний аудит безпеки смарт-контрактів;
  • включити для своїх інвесторів двофакторну, щоб отримати доступ до їх фінансової інформації та кріптогаманцями;
  • відслідковувати створення фішингових ресурсів зі схожими назвами, згадки про проект в інтернеті, месенджерах і, в ідеалі, даркнета. Оперативно блокувати фішингові домени і реагувати на шахрайські згадки свого проекту;
  • відслідковувати підозрілі активності всередині своєї ІТ-інфраструктури;
  • вибудувати процеси кібербезпеки всередині команди проекту і пам'ятати про те, що безпечний проект завжди коштує дорожче.
     

Ми зібрали для вас всі важливі кіберправіла в корисною пам'ятці-чекліст: