Останнє оновлення сторінки: 18 березня 2023 р.

Безпека Ethereum і запобігання шахрайству

Зі зростанням інтересу до криптовалют важливо вивчати передовий досвід їх використання. Взаємодія з криптовалютою може бути цікавою та захопливою, але існують і серйозні ризики. Доклавши небагато попередніх зусиль, ви зможете запобігти цим ризикам.

Веббезпека 101

Використовуйте надійні паролі

Понад 80 % випадків атак відбувається через ненадійні або викрадені паролі. Довга комбінація знаків, цифр і символів найкраще захистить ваші облікові записи.

Типовою помилкою серед користувачів є використання комбінації з двох-трьох поширених, пов’язаних між собою слів. Такі паролі ненадійні, оскільки піддаються простій техніці зламу під назвою перебір за словником.

Приклад ненадійного пароля: МиліПухнастіКошенята!

Приклад надійного пароля: ymv\*azu.EAC8eyp8umf

Ще одна типова помилка — використання паролів, які можна легко вгадати або дізнатися за допомогою соціальної інженерії. Використовувати дівоче прізвище матері, імена дітей або домашніх тварин, дати народження в паролі небезпечно, адже це підвищує ризик зламу.

Поради щодо створення паролів

• Створюйте паролі якнайдовшими, наскільки дозволяє генератор або форма, яку ви заповнюєте.
• Використовуйте комбінацію великих і малих літер, цифр і символів.
• Не використовуйте персональні дані, як-от прізвища.
• Уникайте поширених слів, які є в словнику.

Докладніше про створення надійних паролів

Використовуйте унікальні паролі всюди

Надійний пароль не забезпечує достатнього захисту, якщо стає відомим за витоку даних. Сайт Have I Been Pwned дає змогу перевірити, чи зачепили ваші облікові записи витоки даних, про які є відомості в базі. Якщо зачепили, вам слід негайно замінити розкриті паролі. Використання унікальних паролів для кожного облікового запису знижує ризик того, що хакери отримають доступ до всіх ваших облікових записів, якщо буде скомпрометовано пароль одного з них.

Використовуйте менеджер паролів

Завдяки менеджеру паролів ви зможете з легкістю створювати надійні унікальні паролі без необхідності їх запам’ятовування. Ми настійно рекомендуємо використовувати такий менеджер. Більшість із них є безкоштовними!

Запам’ятовування надійних унікальних паролів для кожного облікового запису — не найкраще рішення. Менеджер паролів пропонує безпечне зашифроване сховище для всіх ваших паролів, до яких можна отримати доступ за допомогою одного надійного головного пароля. Він також пропонує надійні паролі під час реєстрації в новому сервісі, тому вам не доведеться створювати їх самостійно. Багато менеджерів паролів також повідомлять, якщо ваші паролі зачепили витоки даних, що дасть вам змогу замінити їх до потенційної атаки.

Спробуйте такі менеджери паролів:

• Bitwarden
• KeePass
• LastPass
• 1Password

Використовуйте двофакторну автентифікацію

Щоб підтвердити, що це дійсно ви, існують різні унікальні способи доказу, які можна використовувати для автентифікації. Вони відомі як фактори. Ось три основні з них:

• щось, що ви знаєте (пароль або запитання системи безпеки);
• щось, що вас ідентифікує (відбиток пальця, сканування райдужної оболонки ока або обличчя);
• щось, чим ви володієте (ключ безпеки або програма автентифікації на телефоні).

Використання двофакторної автентифікації (2FA) забезпечує додатковий фактор безпеки для ваших облікових записів в Інтернеті, тож лише пароля (щось, що ви знаєте) буде недостатньо для доступу до облікового запису. Найчастіше другий фактор — це рандомізований 6-значний код, відомий як одноразовий тимчасовий пароль (TOTP), до якого можна отримати доступ через програму автентифікації, як-от Google Authenticator або Authy. Вони працюють як фактор «щось, чим ви володієте», оскільки початкове число, яке генерує тимчасовий код, зберігається на вашому пристрої.

Примітка. Використовувати двофакторну автентифікацію на основі SMS-повідомлень небезпечно, оскільки SIM-карту можуть зламати. Для кращої безпеки використовуйте програми на кшталт Google Authenticator  або Authy.

Ключі безпеки

Тим, кому потрібен надійніший захист, слід спробувати використання ключа безпеки. Ключі безпеки — це фізичні апаратні пристрої автентифікації, що працюють так, як і програми для автентифікації. Використання ключа безпеки є найбезпечнішим варіантом двофакторної автентифікації. Більшість із цих ключів використовують стандарт FIDO Universal 2nd Factor (U2F). Докладніше про FIDO U2F.

Відео про двофакторну автентифікацію:

Видаліть розширення браузера

Розширення, як-от у Chrome або Firefox, можуть забезпечувати додаткові функції та робити використання браузера зручнішим, але вони супроводжуються ризиками. За замовчуванням більшість розширень запитують доступ до «читання та зміни даних сайту», що дає їм змогу їм робити з вашими даними майже все завгодно. Розширення Chrome завжди оновлюються автоматично, тому початково безпечне розширення може пізніше оновитися й отримати в коді шкідливі зміни. Більшість розширень браузера не намагаються викрасти ваші дані, але ви повинні знати, що вони можуть це зробити.

Правила безпеки:

• Встановлюйте розширення для браузера лише з надійних джерел.
• Видаляйте розширення браузера, якими не користуєтеся.
• Встановлюйте розширення Chrome локально, щоб зупинити автоматичне оновлення (додатково).

Докладніше про ризики, пов’язані з розширеннями браузера

Криптобезпека 101

Підвищуйте рівень своїх знань

Однією з найпоширеніших причин, чому люди стають жертвами шахрайства, пов’язаного з криптовалютою, є брак знань. Наприклад, якщо ви не знаєте, що мережа Ethereum децентралізована та нікому не належить, ви можете легко стати жертвою зловмисника, який видає себе за працівника служби обслуговування клієнтів і обіцяє повернути ваші втрачені ETH в обмін на приватні ключі. Ознайомлення з принципом роботи Ethereum обов’язково стане в пригоді.

Що таке Ethereum?

Що таке ether?

Безпека гаманця

Не повідомляйте свої приватні ключі

Ніколи та з жодної причини не діліться своїми приватними ключами!

Приватний ключ до гаманця — це як пароль до гаманця Ethereum. Це єдина річ, що може завадити комусь, хто знає адресу вашого гаманця, викрасти всі активи з вашого рахунку.

Що таке гаманець Ethereum?

Не робіть знімки екрана з вашими кодовими фразами або приватними ключами

Роблячи знімок екрана з кодовими фразами або приватними ключами, ви ризикуєте синхронізувати їх із хмарою та потенційно зробити доступними для хакерів. Отримання приватних ключів із хмари — поширений спосіб атаки для хакерів.

Використовуйте апаратний гаманець

Апаратний гаманець забезпечує сховище для приватних ключів у режимі офлайн. Він вважається найбезпечнішим варіантом гаманця для зберігання приватних ключів.

Зберігання приватних ключів у режимі офлайн значно знижує ризик зламу, навіть якщо хакер отримає контроль над вашим комп’ютером.

Спробуйте такі апаратні гаманці:

• Ledger
• Trezor

Двічі перевіряйте транзакції перед надсиланням

Випадкове надсилання криптовалюти на неправильну адресу гаманця є поширеною помилкою. Транзакції в Ethereum скасувати не можна. Якщо ви не знаєте власника адреси та не можете переконати його надіслати ваші кошти назад, у вас не буде можливості повернути втрачене.

Перед надсиланням транзакції завжди переконуйтеся, що адреса, на яку надсилаєте, точно відповідає потрібній адресі одержувача. Під час взаємодії з розумним контрактом також рекомендується прочитати повідомлення про транзакцію, перш ніж підписувати.

Установіть обмеження на витрати в розумних контрактах

Під час взаємодії з розумними контрактами не допускайте необмежених витрат. Через необмежені витрати розумні контракти можуть спустошити ваш гаманець. Натомість встановіть обмеження на суму, необхідну для транзакції.

Більшість гаманців Ethereum пропонують захисні обмеження, щоб запобігти спустошенню рахунків.

Поширені види шахрайства

Шахраї завжди шукають способи викрасти ваші гроші. Неможливо повністю зупинити шахраїв, але ми можемо зробити їхні дії менш ефективними, якщо знатимемо їхні методи. Існує багато видів шахрайств, але переважно зловмисники дотримуються однакових алгоритмів. У будь-якому разі запам’ятайте три речі:

• Завжди будьте скептиком.
• Ніхто не збирається давати вам ETH безкоштовно або зі знижкою.
• Нікому не потрібен доступ до ваших приватних ключів або особистої інформації.

Шахрайство, пов’язане з розіграшами

Одним із найпоширеніших видів криптовалютних шахрайств є обман, пов’язаний із розіграшами. Зловмисник може вигадати різні варіанти цієї схеми, але загальна умова така: вам пропонують надіслати ETH на вказану адресу гаманця, за що обіцяють повернути вдвічі більше ETH. Тому цю схему називають також «2 за 1».

Шахраї зазвичай тиснуть на вас тим, що пропозиція розіграшу обмежена в часі, щоб стимулювати прийняття неправильних рішень і створити відчуття хибної терміновості.

Злами соціальних мереж

Показовий приклад такого шахрайства стався в липні 2020 року, коли було зламано облікові записи відомих людей і організацій у Twitter. Хакер одночасно розмістив інформацію про розіграш біткоїнів на зламаних облікових записах. Хоч оманливі твіти були швидко помічені та видалені, зловмисникам усе одно вдалося заробити 11 біткойнів (500 000 доларів станом на вересень 2021 року).

Розіграші від знаменитостей

Розіграші від знаменитостей — ще одна поширена форма шахрайств, пов’язаних із розіграшами. Шахраї беруть записане відеоінтерв’ю або виступ на конференції зі знаменитістю й транслюють його на YouTube, створюючи враження, що відома людина говорить у прямому ефірі та рекламує розіграш криптовалюти.

Найчастіше в цій схемі використовуються відео з Віталіком Бутеріним, але також із багатьма іншими відомими людьми, пов’язаними з криптовалютою, як-от Ілон Маск або Чарльз Госкінсон. Поява відомої людини надає прямій трансляції шахраїв відчуття справжності (виглядає підозріло, але говорить Віталік, отже, усе гаразд!).

Розіграші — це завжди шахрайство. Якщо ви надішлете кошти на вказані рахунки, то втратите їх.

Шахрайство, пов’язане зі службою підтримки

Криптовалюта — відносно молода та невідома для багатьох технологія. Типовою схемою, заснованою на цьому незнанні, є шахрайство з підтримкою, коли зловмисники видають себе за працівників служби підтримки популярних гаманців, бірж або блокчейнів.

Значна частина обговорень Ethereum ведеться в Discord. Шахраї зі «служби підтримки» зазвичай знаходять свою жертву, шукаючи питання щодо обслуговування в загальнодоступних каналах на Discord, а потім надсилають цій особі особисте повідомлення з пропозицією допомогти. Завоювавши довіру, вони намагатимуться обманом змусити вас розкрити приватні ключі або надіслати кошти на їхні гаманці.

Як правило, персонал ніколи не спілкуватиметься з вами за допомогою приватних неофіційних каналів. Кілька простих речей, які слід мати на увазі, спілкуючись зі службою підтримки:

• Ніколи не видавайте приватні ключі, кодові фрази та паролі.
• Не надавайте нікому віддалений доступ до вашого комп’ютера.
• Ніколи не спілкуйтеся за межами встановлених організацією каналів.

Будьте обережні! Хоча шахрайство, пов’язане зі службою підтримки, зазвичай відбувається в Discord, такі схеми також можуть бути поширені в будь-яких програмах для спілкування, де обговорюється криптовалюта, включно з електронною поштою.

Фішингові схеми

Фішингові схеми — ще один типовий спосіб, який використовують шахраї під час спроби викрасти кошти з вашого гаманця.

У деяких фішингових листах користувачам пропонується перейти за посиланнями, які спрямують їх на підроблені сайти, де далі потрібно буде ввести кодову фразу, скинути пароль або надіслати ETH. Інші можуть просити встановити шкідливе програмне забезпечення, щоб інфікувати ваш комп’ютер вірусом і надати шахраям доступ до ваших файлів.

Отримавши лист від невідомого відправника, дотримуйтеся таких правил:

• Ніколи не переходьте за посиланнями та не відкривайте вкладення в листах, надісланих із незнайомої адреси електронної пошти.
• Нікому не розголошуйте свою особисту інформацію або паролі.
• Видаляйте листи від невідомих відправників.

Докладніше про те, як уникнути фішингових атак

Шахрайство під виглядом криптоброкера

Шахраї, які видають себе криптоброкерами, стверджують, що вони — професійні криптовалютні брокери та можуть вигідно інвестувати ваші кошти від вашого імені. Ця пропозиція зазвичай супроводжується обіцянками нереалістичного прибутку. Щойно шахрай отримає ваші гроші, він повністю зникне або може й далі спілкуватися з вами та просити надіслати більше коштів, щоб ви не пропустили додатковий прибуток від інвестицій.

Ці фальшиві брокери знаходять своїх жертв за допомогою підроблених облікових записів на YouTube, починаючи, на перший погляд, звичайну розмову про послуги брокерства. Ці розмови часто мають велику підтримку серед інших користувачів, що може посилювати відчуття справжності, але всі ці «користувачі» насправді боти.

Не довіряйте незнайомцям в Інтернеті інвестувати від вашого імені. Ви втратите свою криптовалюту.

Шахрайство, пов’язане з пулом для майнингу

За схем, пов’язаних із пулами для майнингу, з вами без запрошення зв’язуються сторонні особи та стверджують, що ви можете отримати великі прибутки, приєднавшись до пулу для майнингу Ethereum. Шахрай не припинятиме повторювати це та підтримувати з вами зв’язок. По суті, шахрай намагатиметься переконати вас у тому, що, коли ви приєднаєтеся до пулу для майнингу Ethereum, вашу криптовалюту буде використано для створення ETH і вам виплачуватимуться дивіденди у вигляді ETH. Насправді ж ви помітите, що ваша криптовалюта приносить невеликий прибуток. Це для того, щоб змусити вас інвестувати більше. Зрештою, ви надішлете всі свої кошти на невідому адресу, і шахрай або зникне, або продовжить залишатися на зв’язку, як у випадку вище.

Підсумок: будьте обережні з людьми, які зв’язуються з вами в соціальних мережах і просять приєднатися до пулу для майнингу. Ви ризикуєте втратити свою криптовалюту назавжди.

Деякі правила, про які потрібно пам’ятати:

• Будьте обережними з тими, хто звертається до вас із пропозицією заробити на вашій криптовалюті.
• Вивчіть інформацію про стейкінг, пули ліквідності й інші способи інвестування криптовалюти.
• Якщо такі пропозиції й бувають справжніми, то дуже рідко. Якби вони були поширеними, про них би говорили всі й ви б теж про них чули.

Жертва втратила 200 тисяч доларів через шахрайську схему, пов’язану з пулом для майнингу

Шахрайство, пов’язане з токенами Eth2

Оскільки у 2022 році відбудеться об’єднання, шахраї користуються плутаниною навколо терміна «Eth2» і намагаються змусити користувачів обміняти ETH на токен «ETH2». Жодних «ETH2» або будь-яких інших нових токенів не буде представлено після об’єднання. Токени ETH, якими ви володієте сьогодні, залишаться такими самими ETH після об’єднання. Вам не потрібно обмінювати ETH через об’єднання.

Шахраї можуть видавати себе за працівників служби підтримки, повідомляючи вам, що якщо ви внесете токен ETH, то отримаєте назад «ETH2». Офіційної служби підтримки Ethereum, як і нового токена, не існує. Нікому не повідомляйте кодову фразу свого гаманця.

Примітка. Існують похідні токени / тікери, які можуть позначати частку ETH у стейкінгу (як-от rETH від Rocket Pool, stETH від Lido, ETH2 від Coinbase), але на них не потрібно «переходити».

Шахрайство з роздачею

Шахрайство з роздачею передбачає, що зловмисний проєкт надсилає актив (NFT, токен) у ваш гаманець і спрямовує вас на шахрайський сайт, на якому можна його отримати. За спроби отримати актив вам буде запропоновано ввійти в систему за допомогою гаманця Ethereum і «схвалити» транзакцію. Ця транзакція скомпрометує ваш обліковий запис, надсилаючи шахраєві ваші відкриті й приватні ключі. Альтернативною формою цієї схеми може бути підтвердження транзакції, яка надсилає кошти на рахунок шахрая.

Докладніше про шахрайства з роздачею

Додаткові ресурси

Веббезпека

• Ось чому вам не слід використовувати повідомлення для двофакторної автентифікації — The Verge
• До 3 мільйонів пристроїв заражено вірусами від розширень Chrome і Edge — Ден Ґудін
• Як створити надійний пароль, який ви не забудете — AVG
• Що таке ключ безпеки? — Coinbase

Криптобезпека

• Захистіть себе та свої кошти — MyCrypto
• 4 способи захистити себе в криптовалюті — CoinDesk
• Посібник із безпеки для чайників і просунутих — MyCrypto
• Криптобезпека: паролі й автентифікація — Андреас М. Антонопулос

Навчання боротьбі з шахрайством

• Залишайтеся в безпеці: поширені шахрайства — MyCrypto
• Уникнення шахрайств — Bitcoin.org