Безпека Ethereum і запобігання шахрайству
Зі зростанням інтересу до криптовалют важливо вивчати передовий досвід їх використання. Взаємодія з криптовалютою може бути цікавою та захопливою, але існують і серйозні ризики. Доклавши небагато попередніх зусиль, ви зможете запобігти цим ризикам.
Веббезпека 101
Використовуйте надійні паролі
Понад 80 % випадків атак відбувається через ненадійні або викрадені паролі. Довга комбінація знаків, цифр і символів найкраще захистить ваші облікові записи.
Типовою помилкою серед користувачів є використання комбінації з двох-трьох поширених, пов’язаних між собою слів. Такі паролі ненадійні, оскільки піддаються простій техніці зламу під назвою перебір за словником.
1Приклад ненадійного пароля: МиліПухнастіКошенята!23Приклад надійного пароля: ymv\*azu.EAC8eyp8umf
Ще одна типова помилка — використання паролів, які можна легко вгадати або дізнатися за допомогою соціальної інженерії. Використовувати дівоче прізвище матері, імена дітей або домашніх тварин, дати народження в паролі небезпечно, адже це підвищує ризик зламу.
Поради щодо створення паролів
- Створюйте паролі якнайдовшими, наскільки дозволяє генератор або форма, яку ви заповнюєте.
- Використовуйте комбінацію великих і малих літер, цифр і символів.
- Не використовуйте персональні дані, як-от прізвища.
- Уникайте поширених слів, які є в словнику.
Докладніше про створення надійних паролів
Використовуйте унікальні паролі всюди
Надійний пароль не забезпечує достатнього захисту, якщо стає відомим за витоку даних. Сайт Have I Been Pwned дає змогу перевірити, чи зачепили ваші облікові записи витоки даних, про які є відомості в базі. Якщо зачепили, вам слід негайно замінити розкриті паролі. Використання унікальних паролів для кожного облікового запису знижує ризик того, що хакери отримають доступ до всіх ваших облікових записів, якщо буде скомпрометовано пароль одного з них.
Використовуйте менеджер паролів
Запам’ятовування надійних унікальних паролів для кожного облікового запису — не найкраще рішення. Менеджер паролів пропонує безпечне зашифроване сховище для всіх ваших паролів, до яких можна отримати доступ за допомогою одного надійного головного пароля. Він також пропонує надійні паролі під час реєстрації в новому сервісі, тому вам не доведеться створювати їх самостійно. Багато менеджерів паролів також повідомлять, якщо ваші паролі зачепили витоки даних, що дасть вам змогу замінити їх до потенційної атаки.
Спробуйте такі менеджери паролів:
Використовуйте двофакторну автентифікацію
Щоб підтвердити, що це дійсно ви, існують різні унікальні способи доказу, які можна використовувати для автентифікації. Вони відомі як фактори. Ось три основні з них:
- щось, що ви знаєте (пароль або запитання системи безпеки);
- щось, що вас ідентифікує (відбиток пальця, сканування райдужної оболонки ока або обличчя);
- щось, чим ви володієте (ключ безпеки або програма автентифікації на телефоні).
Використання двофакторної автентифікації (2FA) забезпечує додатковий фактор безпеки для ваших облікових записів в Інтернеті, тож лише пароля (щось, що ви знаєте) буде недостатньо для доступу до облікового запису. Найчастіше другий фактор — це рандомізований 6-значний код, відомий як одноразовий тимчасовий пароль (TOTP), до якого можна отримати доступ через програму автентифікації, як-от Google Authenticator або Authy. Вони працюють як фактор «щось, чим ви володієте», оскільки початкове число, яке генерує тимчасовий код, зберігається на вашому пристрої.
Примітка. Використовувати двофакторну автентифікацію на основі
SMS-повідомлень небезпечно,оскільки SIM-карту можуть зламати. Для кращої безпеки використовуйте програми на кшталт
Google Authenticatorабо Authy.
Ключі безпеки
Тим, кому потрібен надійніший захист, слід спробувати використання ключа безпеки. Ключі безпеки — це фізичні апаратні пристрої автентифікації, що працюють так, як і програми для автентифікації. Використання ключа безпеки є найбезпечнішим варіантом двофакторної автентифікації. Більшість із цих ключів використовують стандарт FIDO Universal 2nd Factor (U2F). Докладніше про FIDO U2F.
Відео про двофакторну автентифікацію:
Видаліть розширення браузера
Розширення, як-от у Chrome або Firefox, можуть забезпечувати додаткові функції та робити використання браузера зручнішим, але вони супроводжуються ризиками. За замовчуванням більшість розширень запитують доступ до «читання та зміни даних сайту», що дає їм змогу їм робити з вашими даними майже все завгодно. Розширення Chrome завжди оновлюються автоматично, тому початково безпечне розширення може пізніше оновитися й отримати в коді шкідливі зміни. Більшість розширень браузера не намагаються викрасти ваші дані, але ви повинні знати, що вони можуть це зробити.
Правила безпеки:
- Встановлюйте розширення для браузера лише з надійних джерел.
- Видаляйте розширення браузера, якими не користуєтеся.
- Встановлюйте розширення Chrome локально, щоб зупинити автоматичне оновлення (додатково).
Докладніше про ризики, пов’язані з розширеннями браузера
Криптобезпека 101
Підвищуйте рівень своїх знань
Однією з найпоширеніших причин, чому люди стають жертвами шахрайства, пов’язаного з криптовалютою, є брак знань. Наприклад, якщо ви не знаєте, що мережа Ethereum децентралізована та нікому не належить, ви можете легко стати жертвою зловмисника, який видає себе за працівника служби обслуговування клієнтів і обіцяє повернути ваші втрачені ETH в обмін на приватні ключі. Ознайомлення з принципом роботи Ethereum обов’язково стане в пригоді.
Безпека гаманця
Не повідомляйте свої приватні ключі
Ніколи та з жодної причини не діліться своїми приватними ключами!
Приватний ключ до гаманця — це як пароль до гаманця Ethereum. Це єдина річ, що може завадити комусь, хто знає адресу вашого гаманця, викрасти всі активи з вашого рахунку.
Не робіть знімки екрана з вашими кодовими фразами або приватними ключами
Роблячи знімок екрана з кодовими фразами або приватними ключами, ви ризикуєте синхронізувати їх із хмарою та потенційно зробити доступними для хакерів. Отримання приватних ключів із хмари — поширений спосіб атаки для хакерів.
Використовуйте апаратний гаманець
Апаратний гаманець забезпечує сховище для приватних ключів у режимі офлайн. Такі гаманці вважаються найбільш безпечними для зберігання приватних ключів: ваш приватний ключ ніколи не потрапляє в інтернет і залишається повністю локальним на пристрої.
Зберігання приватних ключів у режимі офлайн значно знижує ризик зламу, навіть якщо хакер отримає контроль над вашим комп’ютером.
Спробуйте такі апаратні гаманці:
Двічі перевіряйте транзакції перед надсиланням
Випадкове надсилання криптовалюти на неправильну адресу гаманця є поширеною помилкою. Транзакції в Ethereum скасувати не можна. Якщо ви не знаєте власника адреси та не можете переконати його надіслати ваші кошти назад, у вас не буде можливості повернути втрачене.
Перед надсиланням транзакції завжди переконуйтеся, що адреса, на яку надсилаєте, точно відповідає потрібній адресі одержувача. Під час взаємодії з розумним контрактом також рекомендується прочитати повідомлення про транзакцію, перш ніж підписувати.
Установіть обмеження на витрати в розумних контрактах
Під час взаємодії з розумними контрактами не допускайте необмежених витрат. Через необмежені витрати розумні контракти можуть спустошити ваш гаманець. Натомість встановіть обмеження на суму, необхідну для транзакції.
Більшість гаманців Ethereum пропонують захисні обмеження, щоб запобігти спустошенню рахунків.
Як анулювати доступ смарт-контракту до ваших криптовалютних ресурсів
Поширені види шахрайства
Шахраї завжди шукають способи вкрасти ваші гроші. Неможливо повністю зупинити шахраїв, але ми можемо зробити їхні дії менш ефективними, якщо знатимемо їхні методи. Існує багато видів шахрайств, але переважно зловмисники дотримуються однакових алгоритмів. У будь-якому разі запам’ятайте три речі:
- Завжди будьте скептиком.
- Ніхто не збирається давати вам ETH безкоштовно або зі знижкою.
- Нікому не потрібен доступ до ваших приватних ключів або особистої інформації.
Шахрайство, пов’язане з розіграшами
Одним із найпоширеніших видів криптовалютних шахрайств є шахрайство з обіцянкою подарунку. Зловмисник може вигадати різні варіанти цієї схеми, але загальна умова така: вам пропонують надіслати ETH на вказану адресу гаманця, за що обіцяють повернути вдвічі більше ETH. Тому цю схему називають також «2 за 1».
Шахраї зазвичай тиснуть на вас тим, що пропозиція подарунку обмежена в часі, щоб стимулювати ухвалення неправильних рішень і створити хибне відчуття терміновості.
Злами соціальних мереж
Показовий приклад такого шахрайства стався в липні 2020 року, коли було зламано облікові записи відомих людей і організацій у Twitter. Хакер одночасно розмістив у зламаних облікових записах інформацію про роздачу біткоїнів. Хоч оманливі твіти були швидко помічені та видалені, зловмисникам усе одно вдалося заробити 11 біткоїнів (500 000 доларів США станом на вересень 2021 року).
Розіграші від знаменитостей
Подарунки від знаменитостей — іще одна поширена форма шахрайств з обіцянкою подарунку. Шахраї беруть записане відеоінтерв’ю або виступ на конференції зі знаменитістю й транслюють його на YouTube, створюючи враження, що відома людина говорить у прямому ефірі та рекламує роздачу криптовалюти.
Найчастіше в цій схемі використовуються відео з Віталіком Бутеріним, але є також ролики з багатьма іншими відомими людьми, пов’язаними з криптовалютою, як-от Ілон Маск або Чарльз Госкінсон. Поява відомої людини надає прямій трансляції шахраїв відчуття справжності (виглядає підозріло, але говорить Віталік, отже, усе гаразд!).
Такі роздачі й подарунки — це завжди шахрайство. Якщо ви надішлете кошти на вказані рахунки, то втратите їх.
Шахрайство, пов’язане зі службою підтримки
Криптовалюта — відносно молода та незрозуміла для багатьох технологія. Типовою схемою, заснованою на цьому, є шахрайство, пов’язане зі службою підтримки, коли зловмисники видають себе за працівників служби підтримки популярних гаманців, бірж або блокчейнів.
Значна частина обговорень Ethereum ведеться в Discord. Шахраї зі «служби підтримки» зазвичай знаходять свою жертву, шукаючи питання щодо обслуговування в загальнодоступних каналах на Discord, а потім надсилають цій особі особисте повідомлення з пропозицією допомогти. Завоювавши довіру, вони намагатимуться обманом змусити вас розкрити приватні ключі або надіслати кошти на їхні гаманці.
Зазвичай персонал ніколи не спілкуватиметься з вами за допомогою приватних неофіційних каналів. Кілька простих речей, які слід мати на увазі, спілкуючись зі службою підтримки:
- Ніколи не видавайте приватні ключі, кодові фрази та паролі.
- Не надавайте нікому віддалений доступ до вашого комп’ютера.
- Ніколи не спілкуйтеся за межами встановлених організацією каналів.
Шахрайство, пов’язане з токенами Eth2
Напередодні The Merge, шахраї скористалися плутаниною щодо терміну Eth2, щоб спробувати змусити користувачів віддати ETH за токени ETH2. ETH2 не існує, і під час The Merge не було введено жодних інших справжніх токенів. ЕТН, якими ви володіли до злиття, зараз ті самі ЕТН. Щоб перейти від доказу роботи до доказу володіння, не потрібно виконувати жодних дій зі своїм обліковим записом ETH.
Шахраї можуть представитися як «служба підтримки» і сказати, що, якщо ви внесете ETH, ви отримаєте назад ETH2. Офіційної служби підтримки Ethereum, як і нового токена, не існує. Нікому не повідомляйте кодову фразу свого гаманця.
Примітка. Існують похідні токени / тікери, які можуть позначати частку ETH у стейкінгу (як-от rETH від Rocket Pool, stETH від Lido, ETH2 від Coinbase), але на них не потрібно «переходити».
Фішингові схеми
Фішингові схеми — ще один типовий спосіб, який використовують шахраї, щоб спобувати викрасти кошти з вашого гаманця.
У деяких фішингових листах користувачам пропонують перейти за посиланнями, які спрямовують їх на підроблені сайти, де далі потрібно буде ввести кодову фразу, скинути пароль або надіслати ETH. Інші можуть просити встановити шкідливе програмне забезпечення, щоб інфікувати ваш комп’ютер вірусом і надати шахраям доступ до ваших файлів.
Отримавши лист від невідомого відправника, дотримуйтеся таких правил:
- Ніколи не переходьте за посиланнями та не відкривайте вкладення в листах, надісланих із незнайомої адреси електронної пошти.
- Нікому не розголошуйте свою особисту інформацію або паролі.
- Видаляйте листи від невідомих відправників.
Докладніше про те, як уникнути фішингових атак
Шахрайство під виглядом криптоброкера
Шахраї, які видають себе за криптоброкерів, стверджують, що вони професійні криптовалютні брокери та можуть вигідно інвестувати ваші кошти від вашого імені. Ця пропозиція зазвичай супроводжується обіцянками нереалістичного прибутку. Щойно шахрай отримає ваші гроші, він повністю зникне або може й далі спілкуватися з вами та просити надіслати більше коштів, щоб не втратити додатковий прибуток від інвестицій.
Ці фальшиві брокери знаходять своїх жертв за допомогою підроблених облікових записів на YouTube, починаючи, на перший погляд, звичайну розмову про брокерські послуги. Ці розмови часто мають велику підтримку серед інших користувачів, що може посилювати відчуття справжності, але всі ці «користувачі» насправді боти.
Не довіряйте незнайомцям в інтернеті інвестувати від вашого імені. Ви втратите свою криптовалюту.
Шахрайство, пов’язане з пулом для майнінгу
Станом на вересень 2022 року майнінг на Ethereum уже неможливий. Однак шахрайство з майнінг-пулами все ще існує. Шахрайство з пулом для майнінгу полягає в тому, що люди самі зв’язуються з вами та стверджують, що ви можете отримати великі прибутки, приєднавшись до пулу для майнінгу Ethereum. Шахрай не припинятиме повторювати це та підтримувати з вами зв’язок. По суті, шахрай намагатиметься переконати вас у тому, що, коли ви приєднаєтеся до пулу для майнингу Ethereum, вашу криптовалюту буде використано для створення ETH і вам виплачуватимуться дивіденди у вигляді ETH. Ви насправді помітите, що ваша криптовалюта приносить невеликий прибуток. Це робиться для того, щоб змусити вас інвестувати більше. Врешті-решт усі ваші кошти буде надіслано на невідому адресу, а шахрай або зникне, або в деяких випадках буде надалі виходити на зв'язок, як це сталося в одному з нещодавніх випадків.
Підсумок: будьте обережні з людьми, які зв’язуються з вами в соціальних мережах і просять приєднатися до пулу для майнінгу. Ви ризикуєте втратити свою криптовалюту назавжди.
Деякі правила, про які потрібно пам’ятати:
- Будьте обережними з тими, хто звертається до вас із пропозицією заробити на вашій криптовалюті.
- Вивчіть інформацію про стейкінг, пули ліквідності й інші способи інвестування криптовалюти.
- Якщо такі пропозиції й бувають справжніми, то дуже рідко. Якби вони були поширеними, про них би говорили всі й ви б теж про них чули.
Жертва втратила 200 тисяч доларів через шахрайську схему, пов’язану з пулом для майнингу
Шахрайство з роздачею
Шахрайство з роздачею передбачає, що зловмисний проєкт надсилає актив (NFT, токен) у ваш гаманець і спрямовує вас на шахрайський сайт, на якому потрібно його отримати. За спроби отримати актив вам буде запропоновано ввійти в систему за допомогою гаманця Ethereum і «схвалити» транзакцію. Ця транзакція скомпрометує ваш обліковий запис, надсилаючи шахраєві ваші відкриті й приватні ключі. Альтернативною формою цієї схеми може бути підтвердження транзакції, яка надсилає кошти на рахунок шахрая.
Докладніше про шахрайства з роздачею
Додаткові ресурси
Веббезпека
- Ось чому вам не слід використовувати повідомлення для двофакторної автентифікації — The Verge
- До 3 мільйонів пристроїв заражено вірусами від розширень Chrome і Edge — Ден Ґудін
- Як створити надійний пароль, який ви не забудете — AVG
- Що таке ключ безпеки? — Coinbase
Криптобезпека
- Захистіть себе та свої кошти — MyCrypto
- 4 способи захистити себе в криптовалюті — CoinDesk
- Посібник із безпеки для чайників і просунутих — MyCrypto
- Криптобезпека: паролі й автентифікація — Андреас М. Антонопулос
Навчання боротьбі з шахрайством
- Посібник: як розпізнати шахрайські токени
- Залишайтеся в безпеці: поширені шахрайства — MyCrypto
- Уникнення шахрайства — Bitcoin.org
- Твіттер-тема про поширені фішингові електронні листи та повідомлення щодо криптовалюти — Тейлор Монахан