Принципы криптовалютной безопасности

Каждый день мы в той или иной степени публикуем в Интернете персональную информацию, которую собирают:

• сайты;
• поисковые системы;
• социальные сети;
• почтовые сервисы и т.д.

Полученные сведения используются различными сервисами для анализа поведения в сети, покупательской активности, настроек рекламных кампаний и т.д.

Задача криптоинвестора — максимально защитить свои персональные данные.

Безопасность и конфиденциальность

По умолчанию считается, что интернет-страницы безопасны и обеспечивают конфиденциальность сведений, введенных пользователем. Но на деле это может быть не так.

Важно различать термины "конфиденциальность" и "безопасность".

Конфиденциальность — неразглашение частной информации, нераспространение её широкому кругу лиц. Вы сами регламентируете возможности доступа — это личный уровень ответственности.

Безопасность — необходимость защитить собранные данные и не допустить их распространения. Обеспечивать безопасность должны организации, которые собирают сведения.

Что нужно защищать и от кого

Желающих воспользоваться личными данными достаточно — от хакеров до рекламщиков. Первые стремятся завладеть паролями и номерами карт с целью финансовой наживы, цель вторых — проанализировать активность пользователя и направить ему релевантную для него рекламу, мотивируя на покупку.

Особенного внимания требуют:

• пароли и идентификаторы;
• метаданные: темы писем и сообщений, местоположение, тип устройства и др.;
• финансовые сведения;
• записи медицинского характера: карты, диагнозы, обследования и т.д.;
• переписка по электронной почте и в мессенджерах.

Разглашение подобной персональной информации может иметь непредсказуемые последствия. Например, получение страховой компанией тех или иных данных может стать поводом для повышения стоимости полиса.

Что делать для защиты

Технологии в Интернете развиваются и предлагают пользователю упростить работу:

• пароли сохраняются в браузерах;
• поисковики запоминают частые запросы;
• соцсети формируют умные ленты новостей по интересам.

Это удобно и даже выглядит безопасным, но это обманчиво. Чем больше информации остается в сети, тем больше вероятность попадания ее в руки злоумышленников. Для профессионала взломать профиль — рядовое действие.

Чтобы максимально защитить себя, воспользуйтесь следующими советами:

• Не используйте торренты. Если у вас уже установлен Торрент, и вы им пользовались, переустановите операционную систему полностью.
• Не пользуйтесь программой Team Viewer и её аналогами. С её помощью третьи лица могут получить полное управление вашим компьютером через Интернет. Удалите её с рабочего компьютера.

• НИКОГДА не скачивайте сомнительные файлы на рабочий компьютер, особенно если кто-то навязчиво предлагает их через различные мессенджеры.
• Удалите ненужные расширения браузеров. Если в вашем Google Chrome установлены расширения, которыми вы не пользуетесь, — удалите их. Оcтавьте только те, в безопасности которых вы не сомневаетесь. При этом у вас могут быть нужные вам расширения, которые вызывают сомнения Для них используйте отдельный Google Chrome Profile.

• Придумывайте сложные пароли. Не используйте в них информацию, которую могут узнать третьи лица: даты рождения, номера телефонов, серии документов, адреса и др. Добавляйте в пароли нестандартные комбинации букв, символов, строчные и прописные знаки, используйте цифры.

• Включите двухфакторную аутентификацию — это подтверждение личности в 2 этапа. Например, для входа потребуется и введение пароля, и получение кода по смс. Дополнительную защиту обеспечивают приложения Google Authenticator и Authy — они генерируют одноразовые пароли, которые также нужно будет ввести для входа.
• Используйте шифрование. Всё, что отправляете в сети, должно быть зашифровано — это необходимо для предотвращения просмотра введенной информации. Протоколы защиты HTTPS также призваны препятствовать передаче сведений в текстовом читаемом виде. Если наименование сайта начинается на "http", сайт не безопасен. Используйте программные продукты с шифрованием — например, из мессенджеров это Telegram.
• Блокируйте трекеры сайтов, рекламу. Это не позволит посещаемым площадкам отследить активность и предотвратит сбор информации.
• Регулярно чистите историю браузера и cookies.
• Внимательно изучайте системные оповещения, когда разрешаете доступ тому или иному ресурсу к компьютеру и подключенным устройствам (камере, микрофону).
• Скачивайте информацию только с проверенных источников.
• Диверсифицируйте средства по биржам и кошелькам. Никогда не храните все яйца в одной корзине. Если депозит уже существенно большой, заведите еще один аппаратный кошелёк.

Seed-фраза

Особенностью Биткойна и большинства других криптовалют является необратимость транзакций. Это является большим преимуществом, но и увеличивает степень вашей личной ответственности — в случае ошибки деньги будет не вернуть.

Для надежного хранения валюты используйте аппаратные или мультивалютные кошельки. Подробнее про них здесь.

Когда вы впервые создаете криптовалютный кошелек, вам случайным образом генерируется Mnemonic phrase, так же её называют Seed phrase.

Сид-фраза — это набор из 12, 18 или 24 слов в определенном порядке, используя их можно "открыть" ваш криптовалютный кошелёк на ЛЮБОМ (совместимом) устройстве.

Никогда и ни при каких условиях никому не сообщайте сид-фразу. От своих основных кошельков храните сид-фразы исключительно оффлайн. Но не записывайте их карандашом на салфетке — бывали случаи, когда со временем текст стирался и доступ к криптовалюте был утрачен.

Записывайте сид-фразы в отдельный блокнот и храните его исключительно в надежном месте к которому нет доступа у третьих лиц.

Сид-фраза в большинстве случаев хранится в самом кошельке — так, например, это сделано в Metamask. Она доступна каждому с вашего устройства при введение верного пароля: вы и сами всегда можете посмотреть ее, если по какой-то причине утратили к ней доступ.

Но в случае потери сид-фразы или при малейшем опасении в ее компрометации (попадания к третьим лицам) немедленно смените кошелек на новый.

Что еще можно сделать

Для программ постоянно совершенствуются протоколы безопасности — регулярно делайте обновления, чтобы не возникало ошибок.

При посещении общественных мест старайтесь не использовать точки массового доступа к сети Wi-Fi. Они часто не предполагают протоколов шифрования, поэтому вредоносные программы легко могут попасть на ваши устройства. Часто хакеры проводят атаки именно через общественный Wi-Fi.

Перед установкой того или иного приложения или программы обращайте внимание на отзывы о продукте.

Не пренебрегайте простыми способами защиты — так вы минимизируете риск потери денег.

Социальная инженерия

По статистике, подавляющая часть краж и взломов происходят не по причине того, что наши гаджеты недостаточно защищены. На самом деле не так много "профессионалов", которые способны проникнуть к вам в компьютер без вашего содействия.

Большинство краж происходит под воздействием социальной инженерии. При этом потерпевший:

• Сам отправляет средства злоумышленникам.
• Сам передает доступ к своим средствам.
• Сам скачивает на свой компьютер вредоносное ПО.
• Сам подписывает сомнительные смарт-контракты, которые воруют его средства.

Одним словом САМ, попадая под влияние злоумышленников, становится соучастником кражи собственных средств. В криптовалютном сообществе все это называют "скам", а тех, кто этим промышляют — "скамеры".

Скамеры играют на желаниях потерпевшего легко и быстро обогатиться. Они могут:

• предлагать поучаствовать в различных IDO, ICO, Airdrop'ах и пирамидах;
• обещать попадание в Whitelist;
• предлагать получить бесплатные NFT и т.д.

Скамеры представляются как официальные представители того или иного проекта, создают ложные аккаунты (в Discord, Telegram или Twitter и т.п.) с названиями, схожими с названиями каналов проекта. Затем наполняют эти каналы фейковыми подписчиками и участниками сообщества, создавая тем самым видимость того, что это настоящий официальный канал по связям с общественностью данного проекта.

Под этим соусом скамеры делают предложения, от которых сложно отказаться. Чтобы уменьшить вероятность попадания в такие фейковые каналы, рекомендуется запретить в настройках Telegram добавление вас в группы (гайд как это сделать).

Относитесь критически к заманчивым предложениям, которые приходят к вам в личку. Объемы украденных скамерами средств колоссальны и вернуть украденное практически невозможно.

Если в России злоумышленник украдёт средства потерпевшего, например, с биржи Binance, то в случае поимки вора (что почти невероятно) потерпевший может требовать взыскать только те средства, которые лично вводил на биржу в рублях (!). Для взыскания остальных средств у потерпевшего не будет законных оснований.

Как можно обезопасить себя от скамеров:

• Используйте избранное браузеров и сохраняйте все необходимые ссылки официальных сайтов, таких как Metamask, Polkadot, Coinlist и так далее. Так вы обезопасите себя от фишинговых ссылок, которые только выглядят как настоящие, но на самом деле являются копией оригинала и направлены на то, чтобы украсть ваши данные или средства.
• Если у вас нет сохраненной ссылки, а та, по которой вам предлагают пройти, выглядит как оригинал, попробуйте вбить ее вручную. В ней могут оказаться символы не латинского алфавита — тем самым она может являться фишинговой. Во всех таких случаях имеет значение, как именно вам попала эта ссылка и что от вас хотят в данной ситуации. Если что-то вызывает подозрение, остановитесь и поразмыслите, восстановите все события до того, как вы попали в эту ситуацию. Если хотя бы что-то вызывает подозрения — удалите ссылку и заблокируйте отправителя.

• Используйте только официальные источники информации, группы и каналы. Если сомневаетесь в достоверности, сделайте скриншот и пришлите в общую группу. Вам помогут разобраться или дадут верную ссылку. Только не делайте репосты с сомнительным содержанием и не копируйте сомнительные ссылки в общий чат! Это очень важно, так вы можете навредить другим участникам сообщества, которые привыкли доверять без лишних раздумий тому материалу, который попадает в чат.
• Не доверяйте никому и ничему, советуйтесь с более опытными участниками сообщества. Совершайте только те действия, в которых вы действительно уверены.
• Не отвечайте в личные сообщения, которые вам приходят и удаляйтесь изо всех групп, куда вас добавляют без вашего согласия — крупные надежные проекты таким не занимаются.

Пароли

Никогда не используйте повторяющиеся пароли для разных ресурсов. Это звучит утопично, но у вас должны быть разные пароли для разных "типов" приложений и отдельные пароли для почт Gmail, на которых завязана вся ваша безопасность, т.к. восстановление паролей происходит как правило через почту.

Все крупные ресурсы (Facebook, Gmail, Twitter и т.д.) не хранят ваши пароли в оригинальном виде, а шифруют. В случае взлома их баз данных (что происходит крайне редко) злоумышленники не получат ваши пароли. Но не все сайты и приложения имеют высокую степень защиты и не все они шифруют пароли своих пользователей. По этой причине использование одного единственного пароля везде недопустимо!

Как можно поступить:

• На всех сайтах и приложениях, на которых вы не храните ничего ценного, допустимо использовать один нехитрый пароль. В случае взлома таких ресурсов вы не рискуете потерять что-то ценное.
• Для основной и самой важной почты используйте надежный пароль, содержащий маленькие, большие буквы и знаки - @#$%^&*)(. Его нужно будет железно запомнить или записать и закопать на заднем дворе. Если вы способны запомнить несколько таких паролей — это отлично, но только лучше используйте их в самых важных для вас случаях и никогда и нигде более.

Инфопотоки и техника безопасности

В крипте очень важно "быть в теме" и "быть в тренде". Необходимо иметь представление как о глобальных, так и о точечных событиях. При этом необходимо получать эту информацию как можно раньше, а не в числе последних. Это также важно и с точки зрения снижения рисков. Но потоки информации порой просто зашкаливают — самостоятельно все это переваривать крайне сложно.

• Постарайтесь найти себе единомышленников, которым доверяете. Так вы сможете заходить в проекты пулами, понижать риски и повышать шансы на попадания в вайтлисты. Создайте команду — это существенно повысит ваш личный КПД.
• Отнеситесь ответственно к выбору того контента, который вы смотрите: будь то блогеры c Youtube или группы Telegram. Учитесь у них и перенимайте навыки, но все это только для того, чтобы научиться думать своей головой.
• Не доверяйте рекламе, где вам предлагают невероятные проценты за стейкинг — это пирамиды, которые создаются в огромных количествах каждый день и с такой же периодичностью скамятся. Такие проекты часто ассоциируют себя с DEFI, но это чистой воды СКАМ.
• Не стоит торопиться использовать такие инструменты как фьючерсы и маржинальную торговлю. Без опыта и знаний это скорее всего закончится лудоманией, особенно если вам свойственен азарт. Сами и не заметите, как окажетесь в состояние Тильта (сильное желание отыграться), а уже в следующий момент от депозита не останется и следа. Эти инструменты подобны скальпелю хирурга — одно неверное движение, один не поставленный стоп лимит, и нужно будет начинать с нуля.

Подведем итоги

У вас впереди увлекательное путешествие по миру криптоинвестиций, полное приключений. Необязательно, что все пройдет гладко и без потрясений. Уверены, что будут и взлеты, и падения. Но постарайтесь избегать фатальных ошибок, совершайте действия с холодной головой и регулярно возвращайтесь к вопросу своей безопасности.

Во всех этих потоках информации и новостях о том, как кто-то разбогател, сделал кучу иксов, получил Airdrop и т.д. можно легко потерять голову. Не позволяйте этому случиться и держите нос по ветру.

Да прибудет с вами трезвость и ясность!

Полезные ссылки

• Браузер Brave - альтернатива Google Chrome - https://brave.com/
• Приложение для хранения паролей 1Password - https://1password.com/ru/

• Удобный сервис для хранения паролей Cryptomator - https://cryptomator.org/downloads/ почему именно он:

✔️Программа написана на открытом исходном коде, что говорит о ее безопасности

✔️ Зашифрованные файлы можно хранить в удобном для вас месте, а все что вам нужно это только знать название вашего файла и пароль к нему

✔️Есть функция блокировки, при которой ваши данные превращаются в абракадабру, которую никто не сможет прочитать, не зная вашего пароля от файла

• VPN-сервисы: подборка VPN сервисов.
• Расширенный гайд по криптобезопасности от MyCrypto.