Защита криптокошелька: как обезопасить криптовалюту от кражи
Криптовалютные платежи становятся все более привычным явлением в жизни. Их используют для оплаты товаров и услуг, а также для многих других целей. А поскольку цифровые активы популярны — криптокошельки в России все больше страдают от хакеров, желающих похитить чужие средства.
Если есть средства взлома — должны быть и средства защиты. Поэтому каждый владелец цифровых активов заинтересован в том, чтобы по максимуму защититься от хакеров. Тем более что на сегодня уже существуют проверенные, надежные способы, о которых и будет рассказано ниже.
Как работает криптовалютный кошелек?
Криптовалютный кошелек — это хранилище открытых и закрытых ключей, с помощью которых владелец получает доступ к своим цифровым активам. Классифицировать криптокошельки можно по нескольким признакам:
- по управлению — централизованные (управляются банком), децентрализованные (находятся в распоряжении пользователя);
- по месту хранения ключа — кастодиальные (ключ находится у банка) и некастодиальные (пользователь сам хранит ключ), горячие и холодные криптокошельки (наличие или отсутствие постоянного подключения к сети);
- по месту хранения — настольные (на жестком диске), мобильные (на смартфоне), онлайн (хранятся удаленно на сервере).
В безопасности криптовалюта находится ровно до тех пор, пока открытые и закрытые ключи от кошелька известны исключительно его владельцу. Эти ключи выглядят как длинные цепочки символов — цифр и букв и используются для шифрования во время операций. Если сравнивать с привычными средствами платежа, то открытый ключ — это номер банковской карты, номер телефона или логин для аккаунта; закрытый ключ — это пин-код или пароль, без которого невозможна авторизация.
Если злоумышленник получит доступ к ключам, то можно считать, что кошелек уже пуст. Так как он не выпущен банком, у него нет системы страхования, поэтому пользователю нужно самому позаботиться о безопасности.
Конечно, сегодняшние криптовалютные кошельки уже не столь уязвимы, как в эпоху появления криптовалюты, однако не дремлют и злоумышленники, придумывая новые способы взлома.
Если сейчас вы находитесь в процессе выбора подходящего криптокошелька для себя, советуем прочитать вам нашу статью «Обзор криптовалютного кошелька Trust Wallet».
Тактики взлома криптовалютного кошелька
Чтобы надежно защититься от кражи, необходимо перед тем, как завести криптокошелек, узнать побольше о том, как действуют злоумышленники.
Фишинг (fishing)
Наиболее распространенный способ похитить чужие средства — заманить человека на фишинговый сайт. По виду такой сайт может быть очень похож на официальный, например, копировать биржу криптовалют, куда часто заходит пользователь. Не обратив внимания на различие адреса в строке (особенно если различие незначительное), пользователь вводит данные для авторизации.
Конечно, после этого доступ к аккаунту жертва не получает. Зато мошенники, создавшие фишинговый сайт, похищают данные для авторизации — вот почему так важно не переходить по подозрительным и сомнительным ссылкам.
Помните, что ссылки на фишинговые сайты обычно распространяют через социальные сети и мессенджеры от имени официальных аккаунтов.
Программы-вымогатели (троянские программы, трояны)
Такая программа после запуска сканирует папки, чтобы найти в них данные, связанные с криптовалютными кошельками. Помимо этого, трояны способны шифровать данные и блокировать устройство с требованием выкупа для злоумышленника. Современные версии программ-вымогателей могут не проявлять себя, а просто забирать часть мощности устройства для майнинга.
Чтобы вирус начал работать, пользователь должен сам запустить троян, поэтому их часто маскируют под полезные приложения, игры, видеофайлы и так далее. Чтобы не потерять свои финансовые активы и личные данные, стоит установить хорошее антивирусное приложение. Следует также иметь отдельную резервную копию ценной информации — и, разумеется, не открывать подозрительные вложения в письмах.
Кейлоггеры (клавиатурные шпионы)
Так называются приложения, единственная функция которых — запомнить последовательность нажатий, совершаемых пользователем. Чаще всего кейлоггеры распространяют вместе с другими продуктами, вот почему так важно загружать продукты только из проверенных источников.
Общественные Wi-Fi-сети
При использовании беспроводного интернета, безопасность которого нельзя проверить, пользователь подвергает свои конфиденциальные данные большому риску. Современные хакеры могут легко похитить информацию, одновременно подключившись к той же Wi-Fi-сети.
Перехват смс, дублирование сим-карты
Изначально подтверждение с помощью смс-кода или звонка выглядело как способ защититься от взлома. Однако сейчас злоумышленники могут перехватить смс, продублировать сим-карту и получить доступ к информации. Чтобы избежать этого, разумнее пользоваться другими защитными методами, а не задействовать собственную сим-карту для авторизации. Также рекомендуем надежно защищать доступ к вашему личному кабинету мобильного оператора.
Взлом криптокошельков для смартфонов
Как показывает практика, владельцы «андроидов» чаще становятся жертвами, чем те, кто пользуется айфонами, хотя и вторые не полностью защищены от подделок. Злоумышленники создают и загружают в магазин приложение, которое дизайном и названием имитирует официальный кошелек, и при его запуске получают доступ к данным.
Браузерные расширения и плагины
Скачивая непроверенные дополнения, владельцы запросто могут вместо полезного инструмента получить вредоносное приложение от хакеров. Как и в других случаях, оно не предоставит доступ к кошельку, а похитит данные пользователя и передаст их злоумышленникам.
Как защитить криптовалютный кошелек от взлома?
Зная, как правильно защитить свои активы от злоумышленников, вы можете свести риски взлома практически к нулю. Существует несколько вариантов защиты.
Не держать все деньги в одном кошельке
Этот вариант предполагает, что даже если часть средств похитят, владелец не потеряет их целиком — однако фактически это не совсем метод защиты, а скорее – диверсификации рисков.. Пользователь просто признает, что не может быть уверен в безопасности своих активов, и старается заранее уменьшить потери.
Использовать отдельное устройство
Если хранить криптовалюту на отдельном компьютере или, например, на USB-флешке без подключения к Сети, то большую часть времени такой аппаратный криптокошелек будет недоступен для злоумышленников. Хотя в какой-то момент пользователь все равно будет совершать операции — и именно тогда подвергнется риску. Также придется полностью ограничить устройство, то есть не использовать компьютер для веб-серфинга, а накопитель — для хранения других данных.
Иметь резервную копию
Поскольку ни одна защита не может быть стопроцентной, пользователь может также создать несколько копий криптокошелька и хранить их отдельно друг от друга. Периодически имеющиеся в наличии копии нужно обновлять.
Использовать сложный пароль
Многие пользователи по привычке используют один и тот же пароль для разных целей. В таком случае хакерам легко, взломав аккаунт от почты или от онлайн-игры, получить доступ и к криптокошельку. Избежать этого можно, используя для него отдельный пароль. В идеале он должен представлять собой случайный набор из десяти и более символов: букв, цифр, знаков препинания, тогда подобрать его будет практически невозможно. Упорядочивать пароли и обновлять их, не держа все в голове помогают программы-диспетчеры.
Также любой современный криптокошелек типа Бинанс или другой похожий на него для генерации приватных ключей обычно использует сид-фразу.
Двухфакторная аутентификация через специальный сервис
Такой метод надежнее, чем подтверждение через смс или электронную почту, поскольку защита от постороннего доступа предусмотрена изначально. Генерируемый код не нужно пересылать, что снижает риск взлома. Для этого часто используется приложение Google Authenticator. После подключения двухфактторной аутентификации вам будут предоставлены резервные ключи. Они могут пригодиться в случае, если у вас нет доступа к устройству с установленным приложением.
Мультиподпись
Способ работает по аналогии с подтверждением документа несколькими подписями или визами. Мультиподпись подразумевает, что операция должна быть подтверждена с нескольких разных аккаунтов.
Надежное хранение устройств
Используя для криптокошелька и для его резервной копии отдельное устройство, разумнее всего хранить его дома. Наибольшую защиту обеспечит сейф — домашний или банковский. Устройства, имеющие ключевое значение, не рекомендуется носить с собой без крайней необходимости.
Не оставлять данные кошелька на своем сайте
Зачастую владельцы бизнеса оставляют адрес криптокошелька на сайте для приема платежей, однако это сильно повышает уровень риска. Избежать этого можно, подключив надежный и удобный криптопроцессинг. Это сервис, специально предназначенный для быстрой и безопасной обработки платежей.
Что делать, если ваш криптокошелек взломали?
Если существует вероятность того, что кошелек был взломан или что к нему получили доступ посторонние, необходимо срочно предпринять несколько шагов:
- Если не утрачен доступ к криптокошельку — перевести накопленные активы в другой кошелек или конвертировать в фиатную валюту.
- Начать работать с нового устройства. Уже через него поменять пароли, в том числе от почты и других сервисов.
- Если есть такая функция, то выйти из кошелька со всех устройств, на которых был доступ.
- Написать в техподдержку онлайн-кошелька. Приложить все данные о транзакциях, совершенных хакерами.
- Полностью сбросить настройки смартфона или компьютера, к которому получили доступ. Больше не задействовать устройство для доступа: некоторые троянские программы сохраняются и на отформатированном носителе.
Перечисленные действия повысят вероятность сохранить накопленные активы хотя бы частично. Если средства были переведены с вашего кошелька, из-за специфики технологии блокчейн вернуть их возможности уже не будет.
Как принимать криптовалюту?
Забота о безопасности криптокошелька — задача, которую владелец решает самостоятельно. Злоумышленники придумывают все новые способы взлома, не отставая от прогресса. Один из самых действенных способов защитить свои цифровые активы для предпринимателей — подключить криптопроцессинг для обработки совершаемых платежей, а не оставлять данные кошелька на сайте.