Zachowanie bezpieczeństwa w świecie kryptowalut

Waluty cyfrowe nie są już jak dawniej aktywami niszowymi. Z każdym dniem kryptowaluty zaczyna stosować coraz więcej osób z wszystkich grup wiekowych i środowisk. Jedni szukają bezpiecznego utrzymania wartości, innych zaś kusi ogromny potencjał zwrotu, jaki mogą zaoferować jedynie bardzo zmienne instrumenty. Niezależnie od motywacji i w ich skutku kryptowaluty są na dobrej drodze do tego, by stać się głównymi instrumentami inwestycyjnymi. Wraz ze wzrostem popularności rośnie jednak ryzyko oszustw, ponieważ cyberprzestępcy zwracają uwagę na tych nowych, mających mniejszą wiedzę techniczną posiadaczy kryptowalut.

Dzisiejsi złodzieje monet są niezwykle dobrzy w tym, co robią i potrafią korzystać z bogatego repertuaru skomplikowanych taktyk, aby skłonić swoje ofiary do rozstania z ciężko zarobioną cyfrową gotówką. Mając to na uwadze, postanowiliśmy zebrać krótkie podsumowanie niektórych z ich ulubionych przekrętów wraz z poradami pozwalającymi nie stać się ich kolejną ofiarą.

Phishing

Hakerzy kryptowalutowi próbują różnych metod wyłudzania danych osobowych w celu uzyskania dostępu do portfela i kradzieży wszystkich znajdujących się w nim monet. Zdecydowanie najczęstszą metodą, jaką stosują, jest jednak ordynarny phishing przy użyciu poczty elektronicznej lub mediów społecznościowych.

Jeśli więc kiedykolwiek otrzymasz pocztą elektroniczną lub w komunikatorze wiadomość od kogoś, kto twierdzi, że jest Twoim dostawcą kryptowalut, nigdy nie postępuj zgodnie z instrukcjami tej osoby ani nie klikaj żadnych linków, dopóki z należytą starannością nie sprawdzisz zarówno autora, jak i jego treści.

• Sprawdź nazwę domeny. Cyberprzestępcy mają tendencję do kupowania nazw domen, które wyglądają bardzo podobnie do tych właściwych, z tym że często mają dziwne zakończenia, takie jak „.biz”, „.to” lub „.help”. Dlatego też tak ważne jest, aby porównać domenę z każdej wiadomości e-mail z tą z oficjalnej witryny.
• Nigdy nie rób tego, o co proszą. Przestępcy często próbują nakłaniać do podejmowania pochopnych decyzji, zaszczepiając obawy. Ich komunikacja będzie często zawierać zwroty takie jak: „Wykryliśmy podejrzane działania na Twoim koncie, kliknij tutaj, aby anulować transakcję”. Oprzyj się pokusie połknięcia przynęty i, zamiast tego, zaloguj się na swoje osobiste konto w witrynie internetowej dostawcy i tam sprawdź historię swoich transakcji. Możesz też zadzwonić na firmową linię obsługi klienta lub skontaktować się z firmą przez kanały mediów społecznościowych.
• Sprawdź, czy adres witryny ma przedrostek HTTPS. Nie ufaj adresom URL, które nie zaczynają się od HTTPS. To ostanie „S” stanowi o bezpieczeństwie. Jeśli nie ma go w adresie, ktoś może przechwycić Twoje prywatne informacje. Oszuści stają się niestety coraz bardziej wyrafinowani i wielu z nich kupuje teraz certyfikaty SSL, aby zapewnić przedrostek HTTPS adresom swoich fałszywych witryn internetowych. W związku z tym, jeśli masz nawet cień wątpliwości, najlepszym sposobem działania jest natychmiastowe opuszczenie witryny.

Atak na duplikat karty SIM (SIM swap)

Większość zwykłych ludzi prawdopodobnie nigdy nie słyszała o tego typu hakowaniu, ale niektóre z największych kryptowalutowych łupów zostały skradzione za pomocą tej prostej sztuczki. Być może najbardziej spektakularna ze wszystkich jest historia inwestora, który stracił tokeny warte 23,8 miliona dolarów i teraz pozywa AT&T o dziesięciokrotnie większą kwotę. Atak na duplikat karty SIM polega zasadniczo na tym, że złodziej przekonuje operatora komórkowego do przeniesienia Twojego numeru telefonu na posiadaną przez złoczyńcę kartę SIM. Po uzyskaniu dostępu do Twoich wiadomości te skądinąd bardzo bezpieczne procedury uwierzytelniania dwuskładnikowego całkowicie tracą wartość.

Jak jednak można uchronić się przed takimi atakami? Na szczęście dostępnych jest kilka rozwiązań:

• Sprzętowe narzędzia uwierzytelniania

Nie ma znaczenia, czy chcesz chronić jeden BTC otrzymany na Gwiazdkę, czy kryptowaluty warte dziesiątki tysięcy, przejście na zabezpieczenia sprzętowe jest zawsze mądrym posunięciem. Choć świetnie jest używać czegoś takiego jak YubiKey, niektóre inne rozwiązania oparte na oprogramowaniu oferują dobry kompromis. Narzędzia takie jak na przykład Google Authenticator i Authy mogą zmienić Twoje urządzenie mobilne w siłę, z którą należy się liczyć.

• Google Voice

Niestety, niektóre usługi nie będą obsługiwać sprzętowego uwierzytelniania 2FA, zamiast tego wolą tkwić w przeszłości z gorszymi protokołami opartymi na usłudze SMS. W takich przypadkach można rozważyć utworzenie numeru telefonu Google Voice (którego nie można przenieść na kartę SIM) i używać go do uzyskiwania drugiego składnika uwierzytelniania. Umożliwi to zachowanie bezpieczeństwa bez ograniczania potencjalnej puli usług.

• Drugi adres e-mail

Gdy oszustom w końcu uda się zdobyć Twoją kartę SIM, jest to dopiero pierwsza przeszkoda. Zwykle muszą jej użyć po to, aby uzyskać dostęp do Twojego konta e-mail. Dlatego właśnie dobrym pomysłem jest posiadanie innego adresu e-mail, używanego tylko do danych o dużej wartości, takich jak dane dotyczące giełdy kryptowalutowej. Nie używaj tego adresu e-mail do niczego innego i zachowuj go w tajemnicy. Warto także wesprzeć ten adres jakąś formą sprzętowego uwierzytelniania 2FA, najlepiej obywającą się bez wiadomości SMS!

Kryptograficzny ransomware

Specjalizująca się w cyberbezpieczeństwie firma Kaspersky szacuje, że w latach 2015–2016 liczba użytkowników Internetu, którzy zetknęli się z taką czy inną formą żądania okupu przy użyciu szyfrującego oprogramowania ransomware wzrosła z ponad 1,9 mln do 2,3 mln. Do najbardziej narażonych krajów należały Stany Zjednoczone, Niemcy i Włochy. Jak widać, szyfrujące oprogramowanie ransomware staje się poważnym problemem, a ludzie muszą sami podejmować działania, aby się przed nim chronić.

Podobnie jak w przypadku phishingu, do użytkowników wysyłane są pliki lub linki w komunikatorach lub innych sieciach komunikacyjnych. Do dostarczania kryptograficznego oprogramowania ransomware używane są zazwyczaj następujące formaty plików: dokumenty Microsoft Word, dokumenty Microsoft XSL, dokumenty XML i foldery „.zip”. Najważniejszym środkiem ostrożności, jaki można podjąć, jest rzecz jasna stosowanie się do powyższych wskazówek dotyczących obrony przed phishingiem. Oprócz tego należy jednak używać zaufanego rozwiązania antywirusowego, ostrzegającego przed podejrzanymi plikami próbującymi zainfekować komputer. Innym mądrym pomysłem jest tworzenie kopii zapasowych wszystkich ważnych plików na dysku zewnętrznym, dzięki czemu nie będzie grozić Ci bezradność, jeśli padniesz ofiarą tych cyberporywaczy.

Klucze na wynos

Ponura rzeczywistość jest taka, że bez względu na to, jak dobrze coś zabezpieczysz, zawsze znajdzie się jakiś potępieniec, który spróbuje znaleźć lukę, aby wzbogacić się Twoim kosztem. Jedyne, co można zrobić, to podjąć możliwie najwięcej środków ostrożności i mieć nadzieję, że kanciarze skupią swoje wysiłki na łatwiejszych ofiarach. Chociaż sprzętowe księgi główne i portfele papierowe są najmniej podatne na ataki hakerów, to jednak wiążą się z nimi ich własne zestawy zagrożeń i niedogodności.

Doskonałą równowagę między bezpieczeństwem a dostępnością zapewnia nowoczesna, dobrze chroniona platforma wymiany, taka jak StormGain. Dzięki niezwykle bezpiecznej technologii „zimnego przechowywania” możesz mieć pewność, że hakerzy nie będą położyć brudnych łapsk na Twoich pieniądzach, jeśli nie dasz im kluczy do drzwi wejściowych. Dlatego tak ważne jest stosowanie się do podanych wyżej rad: nie publikuj nigdzie żadnych danych osobowych, zdecyduj się na bezpieczniejszą, dwuskładnikową metodę uwierzytelniania i najlepiej używaj oddzielnego adresu e-mail do obsługi swojego konta kryptowalutowego.