Последнее обновление страницы: 23 марта 2023 г.

Безопасность Ethereum и предотвращение мошенничества

С ростом интереса к криптовалютам важно изучить передовой опыт их использования. Криптовалюта может быть веселой и захватывающей, но есть и серьезные риски. Если вы немного поработаете над собой, то сможете свести риски к минимуму.

Веб-безопасность 101

Используйте надежные пароли

Более 80 % взломов учетных записей происходит из-за ненадежных или украденных паролей(opens in a new tab)↗. Длинная комбинация знаков, цифр и символов лучше всего защищает ваши учетные записи.

Распространенная ошибка, которую совершают люди, заключается в использовании комбинации двух-трех распространенных слов, связанных друг с другом. Подобные пароли ненадежны, потому что они подвержены простой технике взлома, известной как перебор по словарю(opens in a new tab)↗.

Пример ненадежного пароля: CuteFluffyKittens!

Пример надежного пароля: ymv\*azu.EAC8eyp8umf

Еще одна распространенная ошибка — использование паролей, которые можно легко угадать или узнать с помощью социальной инженерии(opens in a new tab)↗. Включение в ваш пароль девичьей фамилии вашей матери, имен ваших детей или домашних животных и дат рождения небезопасно и увеличивает риск взлома вашего пароля.

Создание правильных паролей

• Создавайте пароли такой максимальной длины, разрешенной вашим генератором паролей или формой, которую вы заполняете
• Используйте комбинацию прописных и строчных букв, цифр и символов
• Не используйте в пароле личные данные, такие как фамилии
• Избегайте популярных слов, приведенных в словарях

Подробнее о создании надежных паролей(opens in a new tab)↗

Всегда используйте уникальные пароли

Надежный пароль не обеспечивает должной защиты, если он раскрывается при утечке данных. СайтHave I was Pwned(opens in a new tab)↗ позволяет проверить, затронуты ли ваши учетные записи какими-либо утечками, данные о которых имеются в его базе данных. Если да, вам следует немедленно изменить раскрытые пароли. Использование уникальных паролей для каждой учетной записи снижает риск того, что хакеры получат доступ ко всем вашим учетным записям, если один из ваших паролей будет скомпрометирован.

Используйте менеджер паролей

Используя менеджер паролей, вы сможете избавиться от хлопот с созданием надежных и уникальных паролей и их запоминанием! Мы настоятельно рекомендуем использовать один из них, и большинство из них бесплатны!

Запоминание надежных уникальных паролей для каждой учетной записи — не лучшее решение. Менеджер паролей предлагает безопасное зашифрованное хранилище для всех ваших паролей, к которым вы можете получить доступ с помощью одного, но надежного мастер-пароля. Он также предлагает надежные пароли при регистрации в новом сервисе, поэтому вам не нужно будет придумывать их самостоятельно. Многие менеджеры паролей также сообщат вам, если ваши данные будут скомпрометированы, что даст вам возможность изменить пароли до вредоносных атак.

(opens in a new tab)↗

Попробуйте менеджер паролей:

• Bitwarden(opens in a new tab)↗
• KeePass(opens in a new tab)↗
• LastPass(opens in a new tab)↗
• 1Password(opens in a new tab)↗

Используйте двухфакторную аутентификацию

Чтобы доказать, что это действительно вы, существуют различные уникальные доказательства, которые можно использовать для аутентификации. Они известны как факторы, и вот три основных:

• Что-то, что вы знаете (например, пароль или секретный вопрос)
• Что-то, чем вы являетесь (например, отпечаток пальца, скан радужной оболочки или лица)
• Что-то, что у вас есть (ключ безопасности или приложение для аутентификации на вашем телефоне)

Использование двухфакторной аутентификации (2FA) обеспечивает дополнительный фактор безопасности для ваших онлайн-аккаунтов, так что для доступа к аккаунту недостаточно знать только пароль (что-то, что вы знаете). Чаще всего второй фактор представляет собой рандомизированный 6-значный код, известный как одноразовый временный пароль (TOTP), к которому вы можете получить доступ через приложение для аутентификации, такое как Google Authenticator или Authy. Они работают как фактор «что-то, что у вас есть», потому что начальное число, генерирующее временный код, хранится на вашем устройстве.

Примечание: использование двухфакторной аутентификации на основе вашейSIM-карты(opens in a new tab)↗ ненадежно, так как она может быть взломана. Это небезопасно. Для максимальной безопасности используйте приложение вроде Google Authenticator(opens in a new tab)↗ или Authy(opens in a new tab)↗.

Ключи безопасности

Тем, кто хочет продвинуться еще дальше в 2FA, стоит подумать об использовании ключа безопасности. Ключи безопасности — это физические аппаратные устройства аутентификации, которые работают так же, как и приложения для аутентификации. Использование ключа безопасности — наиболее надежный вариант использования 2FA. Многие из этих ключей используют стандарт FIDO Universal 2nd Factor (U2F). Подробнее о FIDO U2F(opens in a new tab)↗.

Видео о 2FA:

Удалите расширения браузера

Расширения браузера, такие как расширения Chrome или дополнения для Firefox, могут расширить функциональность браузера и сделать использование удобнее, но они сопряжены с рисками. По умолчанию большинство расширений браузера запрашивают доступ к «чтению и изменению данных сайта», что позволяет им делать с вашими данными практически все, что угодно. Расширения Chrome всегда автоматически обновляются, поэтому ранее безопасное расширение позже может обновиться, чтобы внести в код вредоносные изменения. Большинство расширений браузера не пытаются украсть ваши данные, но вы должны знать, что они могут это сделать.

Будьте в безопасности:

• Устанавливайте расширения браузера только из надежных источников
• Удаляйте неиспользуемые расширения браузера
• Устанавливайте расширения Chrome локально, чтобы не допускать автоматическое обновление (дополнительно)

Подробнее о рисках, связанных с браузерными расширениями(opens in a new tab)↗

Крипто-безопасность 101

Повысьте уровень своих знаний

Одной из главных причин, по которым люди попадаются на мошенничество, в целом является недостаточное понимание того, как работает система. К примеру, вы не знаете того факта, что сеть Ethereum децентрализована и никому не принадлежит, поэтому вам легко стать жертвой мошенника, который выдает себя за агента обслуживания клиентов и обещает вернуть вам потерянные ETH взамен на ваши личные ключи. Узнайте об устройстве системы Ethereum, это вам обязательно пригодится и поможет избежать неприятных ситуаций.

Что такое Ethereum?

Что такое эфир?

Безопасность кошелька

Не раздавайте свои закрытые ключи

Никогда и ни по какой причине не делитесь своими закрытыми ключами!

Закрытый ключ вашего кошелька действует как пароль к вашему кошельку Ethereum. Ключ — единственное, что мешает кому-то, кто знает адрес вашего кошелька, слить с вашего счета все его активы!

Что такое кошелек Ethereum?

Не делайте скриншоты своих кодовых фраз и закрытых ключей

Делая снимки экрана с кодовыми фразами или закрытыми ключами, вы рискуете синхронизировать их с облаком и потенциально сделать их доступными для хакеров. Получение закрытых ключей из облака — распространенный способ атаки хакеров.

Используйте аппаратный кошелек

Аппаратный кошелек обеспечивает хранение закрытых ключей в режиме оффлайн. Они считаются наиболее безопасным вариантом кошелька для хранения ваших приватных ключей.

Хранение закрытых ключей в режиме оффлайн значительно снижает риск взлома, даже если хакер получит контроль над вашим компьютером.

Попробуйте аппаратный кошелек:

• Ledger(opens in a new tab)↗
• Trezor(opens in a new tab)↗

Дважды проверяйте транзакции перед отправкой

Случайная отправка криптовалюты на ошибочный адрес является распространенной ошибкой. Транзакция, отправленная в Ethereum, необратима. Если вы не знаете владельца адреса и не сможете убедить его отправить вам ваши средства обратно, то вернуть их не удастся.

Прежде чем отправлять транзакцию, убедитесь, что адрес, на который вы отправляете, точно совпадает с адресом желаемого получателя. Также рекомендуется при взаимодействии с умным контрактом читать сообщение транзакции перед подписанием.

Установите лимиты расходов по умному контракту

При взаимодействии с умными контрактами не допускайте неограниченных лимитов на расходы. Неограниченные расходы могут привести к тому, что умный контракт опустошит ваш кошелек. Вместо этого установите лимиты расходов на сумму, необходимую только для транзакции.

Многие кошельки Ethereum предлагают защитные лимиты для предотвращения опустошения аккаунтов.

Распространенные виды мошенничества

Мошенник всегда ищет способ украсть ваши деньги. Невозможно полностью пресечь мошенническую деятельность, однако мы можем укрепить свою безопасность, если будем знать их методы. Существует великое множество способов обмануть вас, но они по своей сути все похожи. Главное, помните:

• Будьте скептичны!
• Никто не собирается давать вам ETH бесплатно или продавать со скидкой
• Никому, кроме мошенников, не нужен доступ к вашим закрытым ключам или личной информации!

Мошенничество с бесплатной раздачей средств

Одним из наиболее распространенных мошенничеств является обман с бесплатной криптовалютой. Злоумышленник может придумать разные способы этой схемы, но суть заключается в том, что если вы отправите ETH на указанный адрес, то получите их обратно, но уже в два раза больше. По этой причине такая схема известна как «2 за 1».

Мошенники, работающие по этой схеме, обычно давят на вас тем, что это предложение ограничено, а так же прикрываются благими целями, например помощью малоимущим.

Взлом социальных сетей

Хорошим примером будет событие, произошедшее в июле 2020 года, когда были взломаны аккаунты в Twitter у известных людей и организаций. Хакеры в постах разместили информацию о раздаче биткоинов со взломанных аккаунтов. Хотя взлом быстро обнаружили и устранили, хакерам все же удалось украсть 11 биткоинов (около 500 000 долларов США по курсу на сентябрь 2021).

(opens in a new tab)↗

Раздача от знаменитости

Раздача от знаменитостей — еще одна распространенная форма мошенничества с раздачами. Мошенники берут записанное видеоинтервью или выступление на конференции со знаменитостью и транслируют его в прямом эфире на YouTube, создавая впечатление, что знаменитость дает видеоинтервью в прямом эфире, поддерживая раздачу криптовалюты.

Чаще всего в этой афере используется Виталик Бутерин, но не только: иногда используются и другие известные люди, взаимодействующие с криптовалютами (например, Илон Маск или Чарльз Хоскинсон). Используя видео с известным человеком, мошенники придают ощущение того, что прямой эфир настоящий (выглядит подозрительно, но здесь же Виталик, так что все должно быть в порядке!).

Бесплатные раздачи — это всегда мошенничество. Если вы отправите свои средства на такие счета, то потеряете их навсегда.

(opens in a new tab)↗

Мошенническая служба поддержи

Криптовалюта — это относительно молодая и непонятная дня некоторых технология. Распространенной аферой, использующей это непонимание, является мошенничество с поддержкой, когда мошенники выдают себя за сотрудников службы поддержки популярных кошельков, бирж или блокчейнов.

Большая часть дискуссий об Ethereum происходит в Discord. Мошенники службы поддержки обычно находят свою цель, ища вопросы к поддержке в общедоступных каналах Discord, а затем отправляют спрашивающему личное сообщение с предложением помочь. Завоевывая доверие, мошенники, выдающие себя за службы поддержки, пытаются обманом заставить вас раскрыть ваши закрытые ключи или отправить средства на их кошельки.

(opens in a new tab)↗

Как правило, персонал никогда не будет общаться с вами по частным, неофициальным каналам. Несколько простых вещей, о которых следует помнить при работе с поддержкой:

• Никогда не делитесь своими закрытыми ключами, кодовыми фразами и паролями.
• Никогда не предоставляйте никому удаленный доступ к вашему компьютеру.
• Никогда не общайтесь вне официальных каналов организации.

Будьте осторожны: хотя мошенничество под видом поддержки обычно происходит в Discord, оно также может быть в любых чатах приложений, где обсуждаются криптовалюты, а так же по электронной почте.

Фишинг

Фишинг является очень распространенным способом кражи данных, который мошенники будут использовать, чтобы украсть ваши средства.

Некоторые фишинговые письма требуют от пользователей перейти по ссылке, которая направит их на имитацию сайта, где далее их попросят ввести ключевую фразу, сбросить свой пароль или отправить средства. Другие могут попросить вас установить вредоносное ПО, чтобы заразить ваш компьютер и предоставить мошенникам доступ к файлам вашего компьютера.

Если вы получили письмо от неизвестного отправителя, помните:

• Никогда не открывайте ссылки и вложения с адресов электронной почты, которые вы не узнаете.
• Никогда не разглашайте личную информацию или пароли кому-либо.
• Удаляйте сообщения от неизвестных отправителей.

Подробнее о предотвращении фишинговых атак(opens in a new tab)↗

Мошенничество под видом криптоброкера

Мошеннические криптовалютные брокеры утверждают, что являются специализированными брокерами по криптовалюте, которые предлагают взять ваши деньги и инвестировать их от вашего имени. Это предложение обычно сопровождается обещаниями нереальной прибыли. Получив ваши средства, мошенники могут ввести вас в заблуждение, попросив вас отправить больше средств, чтобы не упустить дополнительную прибыль от инвестиций, или могут полностью исчезнуть.

Такие «брокеры» находят свои цели, используя поддельные учетные записи на YouTube, чтобы выкладывать правдоподобные обсуждения услуг брокера. Эти обсуждения часто имеют высокий рейтинг, который должен сдеалать их правдоподобнее, но все голоса исходят от учетных записей ботов.

Не доверяйте незнакомцам из Интернета инвестировать от вашего имени. Вы потеряете свою криптовалюту.

(opens in a new tab)↗

Мошенничество с пулом для майнинга криптовалюты

Мошенничество с пулом для майнинга используется теми, кто связываются с вами и утверждают, что вы можете получить большую прибыль, присоединившись к пулу для майнинга Ethereum. Мошенник будет утверждать это и оставаться с вами на связи столько времени, сколько потребуется. По сути, он попытается убедить вас в том, что когда вы присоединитесь к пулу для майнинга Ethereum, ваша криптовалюта будет использоваться для создания ETH и вам будут выплачиваться дивиденды в ETH. В конечном итоге вы заметите, что ваша криптовалюта приносит вам маленькую прибыль. Это сделано для того, чтобы заставить вас инвестировать больше. В конечном итоге все ваши средства будут отправлены на неизвестный адрес, а мошенник либо исчезнет, ​​либо продолжит оставаться на связи, как в последнем примере.

Главный вывод: будьте осторожны с людьми, которые связываются с вами в социальных сетях и просят вас присоединиться к пулу для майнинга. Как только вы потеряете свою криптовалюту, они исчезнут.

Следует помнить:

• Будьте осторожны при общении с теми, кто обращается к вам с предложением заработать на вашей криптовалюте.
• Изучите информацию о стекинге, пулах ликвидности или других способах инвестирования вашей криптовалюты.
• Если такие схемы и бывают безобидными, то крайне редко. Если бы это было так, то о них бы говорили все и вы бы уже о них знали.

Жертва потеряла 200 тысяч долларов из-за мошенничества с пулом для майнинга(opens in a new tab)↗

Мошенничество с токенами Eth2

Поскольку слияние произойдет в 2022 году, мошенники воспользовались путаницей вокруг термина Eth2, чтобы заставить пользователей обменять свой ETH на токен ETH2. Ни ETH2, ни каких-либо других новых токенов при слиянии введено не буедт. ETH, которыми вы владеете сегодня, останутся теми же ETH после слияния, и нет необходимости совершать какие-либо обмены ваших ETH для слияния.

Мошенники могут появиться в образе «службы поддержки», говоря вам, что если вы внесете свой ETH, то получите обратно ETH2. Не существует официальной службы поддержки Ethereum, и нет никаких новых токенов. Никогда и никому не сообщайте кодовую фразу своего кошелька.

Примечание: существуют производные токены/тикеры, которые могут представлять ETH в стекинге (например, rETH от Rocket Pool, stETH от Lido, ETH2 от Coinbase), но это не нечто, куда вам нужно «мигрировать».

Мошенничество с раздачей (Airdrop)

Мошенничество с раздачей подразумевает, что мошеннический проект сбрасывает актив (NFT, токен) в ваш кошелек и направляет вас на мошеннический сайт, где вы якобы сможете получить этот актив. При попытке предъявления претензий вам будет предложено войти в систему с помощью кошелька Ethereum и «одобрить» транзакцию. Эта операция компрометирует ваш аккаунт, отправляя мошеннику ваши открытые и закрытые ключи. В альтернативной форме этого мошенничества от вас могут требовать подтвердить транзакцию, которая отправляет средства на счет мошенника.

Подробнее о мошенничестве c раздачами(opens in a new tab)↗

Дополнительные ресурсы

Веб-безопасность

• Не стоит использовать тестовые сообщения для двухфакторной аутентификации, и вот почему(opens in a new tab)↗ The Verge
• До 3 миллионов устройств заражено вредоносными дополнениями для Chrome и Edge(opens in a new tab)↗ Ден Гудин
• Как создать надежный пароль, который вы не забудете(opens in a new tab)↗ AVG
• Что такое ключ безопасности?(opens in a new tab)↗ Coinbase

Безопасность криптовалюты

• Защита себя и свои средства(opens in a new tab)↗ MyCrypto
• 4 способа оставаться в безопасности в криптовалюте(opens in a new tab)↗ CoinDesk
• Руководство по безопасности: для чайников и продвинутых(opens in a new tab)↗ MyCrypto
• Безопасность криптовалют: пароли и аутентификация(opens in a new tab)↗ Андреас М. Антонопулос

Обучение борьбе с мошенничеством

• Обеспечение своей безопасности: распространенные мошенничества(opens in a new tab)↗ MyCrypto
• Как избежать мошенничества(opens in a new tab)↗ Bitcoin.org