З кожним роком криптовалютні біржі та децентралізовані додатки стають все більш популярними, залучаючи сотні тисяч нових користувачів, які бажають інвестувати у цифрові активи. Проте, разом з цим зростає і кількість кіберзлочинів, спрямованих на викрадення криптовалюти. Захист акаунтів користувачів стає критично важливою задачею, і одним із найбільш ефективних методів є використання двофакторної автентифікації (2FA).
Однак, традиційні методи 2FA, такі як SMS-коди та підтвердження через електронну пошту, мають свої вразливості. У цій статті ми розглянемо використання фізичних ключів безпеки як найбільш надійного варіанту підтвердження дій на прикладі таких криптовалютних бірж: Binance, OKX, WhiteBit. Розповімо про протоколи безпеки, який інтегрували собі ці компанії, щоб ми змогли використовувати фізичні ключі. Розглянемо шлях вразливості від вашого децентралізованого додатка на телефоні чи комп’ютера, до Google аккаунту чи Apple ID.
Але спочатку розповімо про останню велику Bitcoin конференцію в Нешвілл США, яка пройшла з 25-27 липня 2024 року. А точніше, про виступ представників двох схожих і в той самий час дуже різних продуктів – CASA та LEDGER.
Першими виступав представник компанії CASA. Casa.io – це додаток для криптовалют, який дозволяє вам самостійно керувати своїми цифровими активами. Аналог гарячого гаманця, який має велику безпекову надійність. Так ось, основною новиною презентації було інтегрування можливості підпису транзакцій ключами безпеки Yubikey! «Всі можливості гарячих гаманців тепер захищені фізичним підписом вашого Ключа Безпеки» – казав представник компанії, демонструючи відео як проходить підтвердження, транслюючи картинку де ключ був відображений посередині між холодним та гарячим зберіганням.
Назвавши його “Cool Wallet”, сміючись, що такий спосіб поєднання можна назвати “прохолодний”.
Ledger презентував новий криптогаманець Ledger Flex з сенсорним захищеним екраном, який дає можливість повністю бачити ваші транзакції, відображає ваші NFT як при роботі, так і в режимі очікування. А в кінці презентації зазначили: «Ми добре знаємо вашу любов до бірж, як любите ви їх використовувати, як дорожите своїми акаунтами, тому ми подбали про вас. Нова функція Security key в Ledger»!
Насамперед цю функцію додали на всі Ledger, останні ж пристрої Stax та Flex мають NFC (як і більшість ключі безпеки Yubico), тому використання їх з мобільними пристроями чи комп’ютерами з цією технологією є зручнішим ніж через кабель.
Тож, роблячи висновок можемо зазначити що використання ключів безпеки стає буденністю, тому давайте детальніше розгорнемо цю тему.
Швидко пригадаємо, що таке двофакторна автентифікація?
Двофакторна автентифікація (2FA) — це метод захисту, який вимагає від користувача два види підтвердження його особи для входу в акаунт або виконання важливих дій (до прикладу, виведення коштів). Найчастіше це поєднання “чогось, що ви знаєте” (пароль) і “чогось, що ви маєте” (фізичний ключ або мобільний пристрій).
Численні випадки крадіжок криптовалюти підтверджують вразливість використання простих методів автентифікації. Наприклад, багато користувачів стикалися з ситуацією, коли їх кошти зникали з акаунтів на біржах. Під час розслідування від підтримки біржі з’ясувалося, що з акаунту було підтверджено виведення коштів через 2FA, коди якого надсилалися на електронну пошту або телефон. Відповідь та вердикт від працівників: вразливість була на боці користувача. Це вказує на те, що зловмисники змогли перехопити ці коди та здійснити крадіжку. Ще більш загадковими є крадіжки з підтвердженням від passkey з ваших пристроїв apple чи google, чи інших додатків автентифікаторів.
Як відбувається злам?
1. SIM-крадіжка (SIM-swapping): зловмисники можуть переконати мобільного оператора перевипустити SIM-карту, що дозволить їм отримувати всі SMS з кодами 2FA.
2. Фішингові атаки: користувачів можуть обманом змусити розкрити свої коди підтвердження через підроблені сайти або електронні листи.
3. Злом електронної пошти: якщо електронна пошта користувача зламана, зловмисники можуть отримати доступ до кодів підтвердження, що надсилаються туди.
4. Злом вашого Google чи Apple ID: це може відбутись через ту ж саму електронну пошту, або через вірусні програми в вашому комп’ютері чи смартфоні.
Фізичні ключі безпеки як надійний метод 2FA
Фізичні ключі безпеки, такі як YubiKey, становлять собою більш безпечний варіант 2FA. Вони працюють за протоколами U2F (Universal 2nd Factor) або FIDO2, які забезпечують високий рівень захисту. Найбільш значною різницею між ними є те, що перший був створений для того, щоб дозволити усій автентифікації стати безпарольною. Натомість FIDO U2F призначений служити як другий фактор для паролів. Ці протоколи інтегровані в популярні програми, додатки та навіть цілі системи на кшталт Microsoft, Google та Apple.
Основні переваги від використання фізичних ключів безпеки:
1. Захист від фішингу: фізичні ключі безпеки автентифікують користувача безпосередньо з вебсайтом, що унеможливлює перехоплення коду фішинговими сайтами.
2. Захист від зломів: на відміну від кодів, що надсилаються на електронну пошту або телефон, фізичний ключ неможливо перехопити дистанційно. Кожен ключ індивідуальний та містить окремий код, це перешкоджає відкриттю вашого акаунту іншим ключем. Плюс, на ключ встановлюється PIN code, який захистить власника на випадок крадіжки (після втрати треба швидко відв’язати старий ключ через запасний, на випадок підбору пін-коду).
3. Зручність: Фізичний ключ достатньо підключити до USB-порту або використати NFC, щоб підтвердити свою особу. Малий розмір дає змогу непримітно носити з собою. А у випадку ключів фірми Yubico, це ще ударостійкість та захист від пилу і води IP68.
Використання фізичних ключів на прикладі деяких популярних в Україні криптовалютних бірж:
Binance
Binance активно рекомендує використання фізичних ключів безпеки. Ось що вони пишуть про це у Блозі та Академії:
«Сайт Binance, як на комп’ютері/ноутбуці, так і на мобільному пристрої, тепер підтримує стандарт відкритої аутентифікації FIDO2. Це означає, що пристрої 2FA, що підтримують даний стандарт, такі як YubiKey, Trezor і інші, можуть використовуватися в якості ключів безпеки для акаунтів Binance. До тих пір, поки у вас є ключі безпеки на вашому пристрої, ви можете користуватися цією функцією.»
Як і в більшості випадків, ці налаштування знаходяться в розділі Безпека.
Детальне відео підключення ключів безпеки до акаунту на Binance
WhiteBit, також підтримує фізичні ключі безпеки як додатковий фактор автентифікації. Користувачі можуть налаштувати ключ через розділ безпеки в налаштуваннях акаунту:
1) Увійдіть у ваш обліковий запис WhiteBIT і перейдіть у розділ “Налаштування облікового запису” та “Безпека”;
2) Виберіть секцію “Двофакторна аутентифікація”, натиснувши на кнопку “Редагувати”;
3) Натисніть на “Керування ключами доступу“, а потім “Продовжити”;
4) Зареєструйте ключ доступу, вибравши один із способів для автентифікації;
5) Підтвердіть ключ доступу за допомогою обраного вами способу.
Відеоогляд
OKX, одна з провідних криптовалютних бірж світу, підтримує фізичні ключі безпеки, що значно підвищує безпеку її користувачів.
Як і у більшості випадків, всі налаштування проходять в розділі Безпека Акаунту.
Рекомендації щодо використання фізичних ключів безпеки
Для максимального захисту рекомендується використовувати фізичні ключі безпеки як єдиний метод автентифікації при вході та виведенні криптовалюти. Це можливо налаштувати в розширених налаштуваннях Безпеки, нижче приклад з біржі Binance, де ми вмикаємо Використання ключів для важливих сценаріїв, таких як зняття коштів, вхід на нових пристроях та інше.
Окрім того, бажано мати мінімум два ключі: один використовувати постійно, а інший зберігати в безпечному місці на випадок, якщо з першим щось станеться.
Фізичні ключі безпеки пропонують найвищий рівень захисту для ваших акаунтів на криптовалютних біржах, значно знижуючи ризики зломів та крадіжок. Використання таких ключів у поєднанні з іншими заходами безпеки на кшталт білий список адрес (ви заздалегідь вносите адреси на які можете виводити кошти), парольні додаткові фрази під час виводу та інше, дозволяють вам надійно захистити ваші цифрові активи та уникнути небажаних втрат.
Додатковий захист ваших децентралізованих додатків та гарячих гаманців через захист системних облікових записів по типу Google Account чи Apple ID.
Якщо у більшості випадків додавання фізичних ключів безпеки інтегровано в розділ безпеки централізованих бірж, то у випадку децентралізованих додатків по типу Trust Wallet, Uniswap, 1inch, PancakeSwap та інших, такий варіант захисту поки не використовується, але як ви мали можливість прочитати про CASA, додатки почали брати це до уваги. Розглянемо варіант без ключів: ви реєструєтесь підв’язуючи електронну пошту, чи просто вигадуєте логін та пароль, або взагалі, під’єднуєте свої холодні чи гарячі гаманці не маючи ніяких акаунтів використовуючи їх як швидкий обмін. У такому випадку весь захист залежить від захисту вашої операційної системи та захищеності облікового запису.
Додатки можуть використовувати підтвердження входу через Паролі Passkey, наприклад, в iCloud (FaceID), чи підключення через Google Account та перевіркою пошти, у такому випадку ви стаєте заручником безпеки вашого акаунту. Злом останнього може призвести до допуску шахраїв на вашу пошту, до сховища паролів. З вашого ID злочинники можуть заходити в додатки та підтверджувати дії там, де вистачає лише вашого девайса чи пошти. На цей випадок, вам знов знадобляться фізичні ключі безпеки, їх можна додати як двофакторну автентифікацію, наприклад в Google Аccount (зробивши єдиним способом входу), та обов’язковим автентифікатором при відкритті Apple ID на іншому пристрої. Таким чином ви закриєте можливості вкрасти ваші кошти через злом акаунтів.
Приклад додавання фізичних ключів безпеки:
Тож, основні поради з цієї теми:
1.Використовуйте фізичні ключі на Криптовалютних біржах. Робіть такі ключі єдиним фактором для входу на акаунт та підтвердження транзакцій.
2. Зберігайте запасний ключ. Завжди треба мати мінімум два ключі, один використовувати, а інший зберігати у безпечному місці на випадок втрати або пошкодження першого ключа, якщо ви робите ключ єдиним фактором входу.
3. Регулярно оновлюйте налаштування безпеки. Перевіряйте налаштування безпеки на біржах та вмикайте всі доступні функції захисту. Перевіряйте в налаштуваннях які пристрої мають доступ до ваших програм та додатків.
4. Захистіть ключами безпеки свої основні акаунти, по типу Apple ID та Google. Використовуйте фізичні ключі безпеки у зв’язці з криптовалютними додатками по типу CASA та інших, для безпечних транзакцій та зберігання криптовалют, звісно з тими програмами, які вже інтегрували ці протоколи для можливості їх додавання.
Продовжуючи тему скаму, в цій статті ми розглянемо найпоширеніший вид шахрайства – фішинг. Можливо, ви вже мали нагоду познайомитися з фішингом в Інтернеті =), проте в цій статті ми хочемо детальніше розповісти про його специфіку саме в крипто-світі.
Дані користувачів, таких як ми з вами, є ласим шматочком для шахраїв та хакерів. Саме тому необхідно бути уважним до того, на якій платформі та кому ви надаєте персональну та приватну інформацію. Найпопулярнішим способом крадіжки персональних даних є фішинг.
Фішинг – це вид інтернет-шахрайства, завдяки якому зловмисники отримують доступ до конфіденційних даних користувача – логіну та паролю. Фішинг часто використовується для крадіжок особистих даних та різних видів шахрайства.
У контексті індустрії криптовалют, фішингові шахрайства спрямовані на інформацію, що стосується онлайн-гаманців. Зокрема, шахраї цікавляться приватними ключами криптогаманців. Ці ключі є необхідними для доступу до коштів користувача. Наприклад, людині надходить лист від біржі або гаманця, яким вона користується, з проханням надати приватний ключ або логін та пароль. Варто зазначити, що працівники бірж ніколи не питатимуть у своїх клієнтів логін чи пароль, як і працівники банків не питатимуть пін-код/CVV картки клієнта.
При отриманні листа на електронну пошту звертайте увагу на те, чи є граматичні або орфографічні помилки у тексті та власне на саму адресу пошти з якої надіслали лист. Якщо у вас з’являються сумніви чи насторога стосовно цього листа – зв’яжіться зі службою підтримки біржі, щоб підтвердити справжність отриманого листа.
Часто фішинг приймає форму контекстних реклам у соціальних мережах. Зловмисники налаштовують таргетинг рекламу на певних користувачів, які цікавляться цифровими активами, та перенаправляють їх на підроблені фішингові ресурси – шахрайські копії справжніх бірж чи сайтів гаманців. Після переходу на фейковий ресурс користувачеві пропонується надати доступ до свого гаманця. Коли хакери отримають доступ, вони можуть викрасти криптовалюту, що зберігається на вашому гаманці.
Ще один з видів фішингу – це зламування DNS-серверів. В цьому кейсі відбувається перенаправлення користувачів на сайт-клон з офіційного вебсайту біржі чи гаманця. Проте цей спосіб є доволі складним і затратним, а тому не є досить розповсюдженим.
Отже, для того, щоб не стати жертвою фішингових скамерів, треба перевіряти сайти, на які ви переходите та яким ви надаєте свої особисті дані. Пам’ятайте, що будь-який лист або повідомлення з посиланнями на сайти від нового контакту слід ретельно перевіряти аби не стати жертвою шахраїв. Основне правило – не натискайте БЕЗДУМНО на жодні посилання!
Світ криптовалют ще дуже молодий і на кожному кроці ви можете стати жертвами шахраїв (скамерів). Кожен криптовалютчик точно мінімум один раз стикався зі скамом. Саме тому поставтеся до прочитання цієї статті дуже відповідально.
Для того, щоб ви не втратили свої активи, необхідно розуміти, що шахраї найчастіше використовують довіру та неуважність нових користувачів, щоб їх скаманутиСкаманути - (від англ. scam) – обманути, кинути на гроші. Ми розуміємо, що перший скам може демотивувати вас продовжувати свій розвиток в криптосфері, тому підготували унікальну статтю про скам та його види.
Скам (від англ. scam – шахрайство, афера, обман) — це вид шахрайства, який передбачає заволодіння віртуальними активами шляхом обману людей, які прагнуть інвестувати або придбати криптовалюти. Оскільки більшість криптоактивів і супутніх послуг не регулюються фінансовими установами та державними організаціями, малоймовірно, що ви зможете повернути гроші, що були втрачені внаслідок шахрайства. До найпоширеніших різновидів скаму належать:
- Фішинг/спуфінг: є найпопулярнішою формою скаму. Електронні листи та повідомлення в соціальних мережах підробляються, щоб зробити вигляд, ніби вони надіслані з законного та надійного джерела. Інколи це «джерело» — наприклад, постачальник кредитних карток, банк або шахрай, що видає себе за вашого знайомого — вимагає оплати за щось у криптовалюті. Більш детально цей вид скаму та як не стати жертвою шахраїв ми розглянемо в окремій статті.
- Схеми Понці: тип інвестиційного шахрайства, коли жертв обманом заманюють інвестувати в вигаданий проект (який не існує взагалі) або «схему швидкого збагачення». По суті, це фінансова піраміда або МММ. В цій схемі обіцяють надприбутки, які, зазвичай, покриваються першопрохідцям за кошти нових користувачів. Наприкінці проект закривається і всі активні вкладники втрачають усі кошти.
- Фейкові біржі: шахраї надсилають електронні листи або повідомлення в соціальних мережах, обіцяють доступ до віртуальних грошей, що зберігаються на біржі. Єдиним нюансом є те, що користувачу зазвичай доводиться спочатку сплатити невелику комісію або депозит. Насправді цієї біржі ніколи не існувало, а ваші гроші втрачені назавжди.
- Підроблені програми: кіберзлочинці підробляють офіційні криптовалютні програми та завантажують їх у магазини додатків (Chrome Web Store / App Store / тощо). Після встановлення такої програми шахрай може вкрасти особисті та фінансові дані або розмістити на пристрої шкідливе програмне забезпечення. Інші ж програми можуть обманом змусити користувачів оплатити послуги, що не існують або спробувати отримати доступ до криптовалютного гаманця.
- Pump & Dump, або памп і дамп (з англ. — «накачати та скинути»): схема маніпулятивного підвищення курсу криптовалют з подальшим їх сильним обвалом. Часто шахраї заохочують інвесторів купувати активи в маловідомих криптовалютних проектах на основі фейкової інформації. Ціна зростає – шахрай продає власні активи – отримує прибуток. Жертви залишаються з криптовалютою, ціна якої значно впала та навряд чи виросте.
- Фейкові пресрелізи: шахраї іноді вводять в оману навіть журналістів або лідерів думок, щоб вони висвітлили неправдиву інформацію. Були прецеденти, коли авторитетні сайти новин писали про відомі компанії, які збираються використовувати чи придбати певні криптовалюти. Фальшиві пресрелізи були частиною схем «пампів та дампів», покликаних підвищити вартість криптовалютних активів, які шахраї збираються продати після того, як ціна виросте.
- Фейкові схвалення знаменитостей: шахраї викрадають облікові записи знаменитостей у соціальних мережах або створюють фальшиві, заохочуючи підписників інвестувати в шахрайські схеми, подібні до наведених вище.
Перед тим як почати заробляти та інвестувати у криптовалюти, треба навчитися зберігати свої гроші в безпеці у світі криптовалют. Детальніше про те, як ви можете вберегти та захистити себе від скаму за посиланням.