Биткоин

Как защитить биткоины от хакеров: методы взлома и средства защиты

Биткоин привлекает людей децентрализованной структурой и высоким уровнем безопасности. Однако его безопасность касается только блокчейна криптовалюты и ее сети, тогда как уровень защиты биткоин-кошельков целиком и полностью зависит от их владельцев. Хакерам известна эта уязвимость, и они довольно часто ею пользуются, чтобы красть биткоины у обычных пользователей. Ниже мы обозначим основные уловки злоумышленников и подскажем, как от них защититься.

 

# 1. Copy / Paste, или взлом буфера обмена

 

Описание. Биткоин-адрес — это идентификатор, содержащий около 33 алфавитно-цифровых символов. Его сложно заполнить и долго переписывать, поэтому пользователи часто используют функции «Копировать» и «Вставить», чтобы ввести адрес в нужное поле во время перевода средств. Хакеры могут использовать троян CryptoShuffler, меняющий биткоин-адрес в буфере обмена на адрес кошелька хакера, в результате чего вы переведете деньги не на счет друга или продавца, а на счет хакера.

 

Как защититься:

 

  • Всегда проверяйте биткоин-адрес или используйте QR-коды.
  • По возможности используйте официальный ENS (эквивалент DNS / электронной почты для адреса криптовалютного кошелька) вместо тех, которые вы не можете проверить (подтвердить подлинность).
  • Не используйте непроверенный софт и регулярно проверяйте систему на наличие вирусов и шпионских программ, например, с помощью Bitdefender или MalwareByte.

 

# 2. Поддельные мобильные приложения

 

Описание. Хакеры могут выложить в Google Play и App Store поддельные приложения, маскирующиеся под известные криптовалютные сервисы: кошельки, биржи, обменники и т.п. С их помощью легко получить идентификационные данные пользователей или просто украсть деньги. Самый известный пример — фальшивые приложения биржи Poloniex.

 

Как защититься:

 

  • Перед установкой проверьте поставщика услуг (рядом с названием).
  • Проверьте, есть ли мобильное приложение у соответствующего сервиса.
  • Заведите отдельный биткоин-адрес для мобильных кошельков и используйте его лишь для небольших сумм. Большие суммы храните на аппаратном или десктопном кошельке.

 

# 3. Хакерские Slack-боты

 

Описание. Боты, работающие в мессенджере Slack (или любом другом), создают фальшивые оповещения о соблюдении безопасности на вашем кошельке и связывают его с поддельным URL-адресом. Если перейти по ссылке, вас просят ввести закрытый ключ, чтобы, например, поменять пароль к кошельку или подтвердить, что вы настоящий владелец биткоин-адреса.

 

Как защититься:

 

  • Игнорируйте подобные запросы.
  • Используйте Metacert для отслеживания Slack-ботов.

 

# 4. Вредоносные расширения браузера

 

Описание. Их можно «подцепить» на сторонних сайтах или установить в качестве довеска к крякнутой программе или компьютерной игре. Такие расширения могут отслеживать активность в сети, перехватывать трафик и записывать то, что пользователь вводит на клавиатуре.

 

Как защититься:

 

  • Используйте «Конфиденциальный режим» для работы с крипто-сервисами.
  • Скачивайте расширения из проверенных источников, например из интернет-магазина Chrome или Microsoft Store.

 

# 5. Клоны известных сайтов

 

Описание. Сайты криптовалютных сервисов со схожим URL-адресом и полностью клонированным внешним видом. Используются для выманивания денег и ключей пользователей.

 

Как защититься:

 

  • Проверяйте сертификат https (обычно слева от URL).
  • Установите расширение для браузера под названием Cryptonite chrome extension, которое отображает поддельные URL-адреса.

 

# 6. Фейковые объявления в Google

 

Описание. Злоумышленники часто используют рекламные объявления в Google или других поисковиках для продвижения программ, расширений и сайтов с вредоносным кодом.

 

Как защититься:

 

  • Не используйте закрытый ключ вне биткоин-кошелька.
  • Проверяйте адреса сервисов, например, с помощью социальных сетей.
  • Не скачивайте ничего из неофициальных источников.

 

# 7. Аутентификация по СМС

 

Описание. Хакеры могут перехватить SMS или обманным путем выманить у телефонных операторов учетные данные пользователей и таким образом обойти двухфакторную аутентификацию (2FA) криптовалютной биржи или кошелька.

 

Как защититься:

 

  • При включении 2FA используйте аутентификацию через программу на ПК или мобильном устройстве вместо SMS-подтверждения.
  • Уточните у оператора, каким образом защищены ваши данные и что нужно для восстановления сим-карты. Если все слишком просто, поменяйте оператора.

 

# 8. Подделка электронной почты

 

Описание. Вы получаете письмо, где вас просят перейти на некий сайт и совершить какое-то действие, например подтвердить или поменять закрытый ключ. Само собой, как только вы введете закрытый ключ, он будет записан и отправлен хакерам.

 

Как защититься:

 

  • Проверяйте адреса электронной почты и URL-ссылок.
  • Заведите отдельный имейл, который будет использоваться для регистрации биткоин-адреса и не используйте его больше нигде.

 

 # 9. Взломанный Wi-Fi

 

Описание. Недавно стало известно, что хакерам удалось взломать протокол безопасности WPA, который используется большинством маршрутизаторов Wi-Fi. Это означает, что злоумышленники могут перехватывать трафик беспроводных сетей, если он не имеет дополнительной защиты (кроме WPA).

 

Как защититься:

 

  • Проверьте свой роутер: какая защита, как давно обновлялся.
  • Не подключайтесь к криптокошельку с помощью сетей в аэропортах, ресторанах, магазинах, на автобусных остановках и т.д.
  • Используйте VPN для дополнительной защиты.

 

# 10. Фейковые аккаунты в соцсетях

 

Описание. Использование поддельных аккаунтов, которые маскируются под известные криптовалютные сервисы или краудфандинговые кампании стартапов в виде ICO, STO или ETO, чтобы выманить деньги или ключи пользователей.

 

Как защититься:

 

  • Социальные сети подтверждают подлинность известных людей и брендов с помощью синих флажков.