Как хакеры могут умыкнуть вашу криптовалюту и какие есть способы защиты

С появлением криптовалют у нас отпала необходимость поиска банка или финансовой компании для хранения собственных накоплений и средств. Больше не надо выбирать и сравнивать платежные системы для денежных переводов в любую страну, испытывать страх потери средств вместе с лопнувшим банком, если страна погрузится в пучину экономического кризиса.

С другой стороны, большой силой приходит большая ответственность. Владелец цифровых активов теперь самостоятельно отвечает за их безопасность. Доступ к криптовалюте может быть потерян навсегда вместе с ключами и секретной фразой от кошелька.

Сейчас люди редко случайно выбрасывают носители с ключами, как это было еще пять лет тому назад. Гораздо чаще владельцы криптовалют страдают от действий хакеров, за 10 лет укравших порядка $13,6 млрд у компаний и частных лиц.

Какие способы наиболее популярны у злоумышленников и как оградить себя от риска потерь?

Социальная инженерия и фишинг занимают первое место по числу краж криптовалют

В большинстве случаев хакерам нет необходимости атаковать сложными вирусами компьютеры, мобильные телефоны или другие устройства, где владельцы хранят Биткоин или альткоины. Доверчивые инвесторы нередко сами отдают в руки злоумышленников seed-фразу требуемую для восстановления доступа к кошельку.

Одна лишь seed-фраза позволяет злоумышленникам быстро и без проблем получить доступ к депозиту, вставив эти слова в любой кошелек.

Самый популярный способ получения доступа к секретной фразе – различные обещания дополнительной выгоды. Хакеры используют один и тот же шаблон атаки, рассылая письма на e-mail или личные сообщения в мессенджеры и соцсети с предложением перечислить небольшую сумму в криптовалюте на указанный кошелек. Взамен они обещают в разы увеличить эту сумму.

Такая схема работает и по сей день, несмотря на ее многочисленные разоблачения в прессе. Люди «покупаются» на уловку из-за правдоподобности сообщения, наличии в письме их персональных данных или объявления аирдропа от известного лица.

Хакеры часто упоминают в своих письмах реальные события: грядущее обновление блокчейна, знаменательную дату для команды разработчиков и т.д.

Например, гражданам Германии рассылали сообщения, якобы от Илона Маска, с предложением купить Tesla за биткоины с огромной скидкой. Событие было приурочено к открытию немецкой Гигафабрики.

Письмо содержало требование предоплаты в BTC прямо сейчас. Tesla и раньше продавала машины на условиях предоплаты, правда без скидок. В сообщении почти все было правдой, кроме аирдропа и участия в нем Маска.

Хакеры могут прислать сообщение c реального аккаунта знаменитости, предварительно его взломав. Самая масштабная такая атака была проведена на Twitter в середине июля 2020 года, когда был взломан даже аккаунт Дональда Трампа. Получившие вредоносные письма пользователи успели отправить хакерам $118 000, купившись на обещание удвоить их средства.

Иногда случается, что хакеры на этом не останавливаются. Они связываются с ним еще раз, запрашивая seed-фразу кошелька, прикрываясь каким-нибудь правдоподобным объяснением: необходимостью верификации, подключением к смарт-контракту и т.д.

Среди криптопользователей до сих пор много новичков и эта просьба часто не вызывает у них сомнений. В результате владелец кошелька неожиданно оказывается с нулевым балансом.

Как избегать таких атак?

Нужно лишь следовать двум простым правилам

• На рынке криптовалют нет аидропов, где от участника требуют предварительных платежей
• Seed-фраза аварийно восстанавливает доступ к депозиту и точка, помимо этого ее нельзя вводить куда-либо по чьему-либо требованию

Фишинг – самый распространенный и изощренный метод выманивания seed-фраз и паролей

В широком понимании фишинг – это любые методы получения личной информации и персональных данных. Хакеры совершенствуются в этом направлении до такой степени, что владельцу криптовалюты сложно не попасть на их «удочку».

Наиболее распространенный вектор атаки это заманивание собственника кошелька на поддельные сайты, полностью повторяющие вид и опции реальных криптопроектов. Подделка иногда неразличима, поэтому рассмотрим способы попадания на эти страницы:

• Похожий адрес

Хакеры открывают сайты с созвучными именами, где буквы переставлены местами, либо одна из них заменена символом, например, вместо латинской буквы используется кириллица.

• Вредоносные ссылки

Они, как правило, приходят в письмах или личных сообщениях, побуждая получателя перейти по указанному адресу. Например, в сообщении указывается про взлом аккаунта кошелька биржи, требующий немедленной реакции трейдера.

• Захваты DNS-адресов

В этом случае пользователю сложнее всего распознать атаку. Сообщения приходят прямо в кошелек и поэтому не вызывают недоверия.

• Google-реклама или магазины приложений

Хакеры пользуются рекламой для продвижения фишинговых сайтов на первые строчки поисковых запросов, а также размещают вредоносные кошельки в Google Play. Иногда доходит до того, что в магазин приложений попадают несуществующие у реальных разработчиков мобильные приложения.

• Фишинговые сообщения от лица бирж криптовалют

Хакеры часто либо получают доступ к инструментам службы поддержки криптовалютной биржи, либо создают похожие адреса, чтобы обманом заставить пользователя передать конфиденциальную информацию.

Как защититься от фишинга?

Стоит признать, что изощренность фишинговых атак оставляет мало шансов владельцу кошелька на защиту. Конечно, он должен внимательно проверять адреса посещаемых сайтов. Однако самым действенным методом защиты должно быть напоминание, что нельзя вводить seed-фразу по чьему-либо требованию.

Самый большой урон наносит захват DNS-адресов, где злоумышленникам удается убедить пользователя программы в необходимости ввода seed-фразы после (якобы) взлома или обновления кошелька.

При всей убедительности сообщений в срочности апгрейда кошелька, постарайтесь подтвердить факт взлома через официальный сайт разработчика программы. Воспринимайте все ссылки как вредоносные и скачивайте обновления только с официальных источников.

Криптовалюту можно однозначно потерять при скачивании вредоносного приложения из Google Play. Запуск любого нового кошелька потребует от владельца seed-фразы — это стандартная процедура. В момент ввода фразы, она станет доступна хакеру.

Защититься от фишинговых программ, размещенных в Google Play можно только отказавшись от поиска приложений и их скачивания напрямую из магазина приложений. Воспользуйтесь ссылками на мобильные кошельки, размещенными на официальном сайте разработчиков или сайте GitHub.

Фишинговые сообщения от лица бирж — один из методов сложной и действенной атаки хакеров, если им удалось взломать площадку. Клиент получает письмо от реальной Службы Поддержки или с похожего по написанию адреса.

Простая атака будет содержать предупреждение о взломе и просьбу выслать пароль. Более профессиональные злоумышленники постараются отправить клиента на фишинговую страницу, где он сам выдаст свой пароль при вводе его в фальшивом поле доступа к аккаунту.

Избежать такого развития событий поможет только дополнительная защита биржевого счета. Как минимум у трейдера должна быть включена двухфакторная аутентификация, как максимум ­– географическая привязка или привязка к устройству с которого производится торговля.

Исключительные меры безопасности при хардфорках и миграциях токенов

Рынок криптовалют находится в стадии развития, требующего от разработчиков обновления кода блокчейна и смарт-контрактов. Если оно необратимо, то владельцам цифровых валют приходится мигрировать в новую цепочку или протокол, проводя обмен «старых» монет на новые версии.

В этом случае обязательно потребуется ввод seed-фразы. Этим моментом пользуются хакеры, буквально наводняя интернет вредоносными ссылками от лица разработчиков, которые проводят хардфорк. Сложность процесса миграции иногда толкает владельцев криптовалют в руки злоумышленников. В этом случае потеря депозита гарантирована, ведь требование ввести seed-фразу не вызывает подозрений.

Как защититься от потери криптовалюты при миграции токенов и хардфорке?

Если владелец альткоинов испытывает технические сложности и не понимает процесс перехода на новый смарт-контракт или цепочку, он может доверить этот процесс бирже. Найдите на сайте разработчика список криптовалютных бирж, поддерживающих хардфорк и разместите на них свой депозит.

Биржа концентрирует все цифровые активы на одном кошельке из которого она самостоятельно проведет обновление монет. Клиенту останется только скачать новую версию кошелька с сайта разработчика и потом вывести на него цифровые активы с биржевого счета.

Утечки баз данных бирж криптовалют и кошельков-кастодианов

Многие инвесторы размещают свои цифровые активы на биржах или пользуются услугами операторов, которые берут хранение секретных ключей и seed-фраз на себя (кастодианов). Подобная форма хранения депозита допускает риск однозначной потери криптовалюты в случае технического сбоя или атаки хакеров.

В этом случае владелец не может защититься, но компания часто компенсирует и возмещает эти потери. Далеко не все атаки хакеров приводят к потере депозита, который биржи и кошельки-кастодианы стараются надежно защитить, чего не скажешь про персональные данные клиентов.

Утечки опасны тем, что пользователь часто использует одни и те же или простые пароли во многих сервисах. Зная об этом, хакеры «пробивают» по полученному e-mail адресу и телефону базу данных всех бирж и без взлома аккаунта, выводят средства.

Как защитить аккаунт на бирже или кастодиальном сервисе?

Сложность пароля — это зона ответственности клиента. Сервис не будет возмещать депозит, выведенный с использованием настоящего пароля.

Защитить депозит помогут разные пароли на площадках, содержащие буквы, цифры и символы и состоящие не менее чем из восьми знаков.

Настройка двухфакторной защиты и любые дополнительные настройки антифрода, следует обязательно включать. Например, географическое положение пользователя или привязка к определенным устройствам сохранит средства от несанкционированного вывода, даже при утечке пароля.

Компьютерные вирусы

С появлением и ростом курса криптовалют, разработчики компьютерных вирусов получили надежный и относительно безопасный, источник обогащения. Злоумышленники пользуются тем, что регулирование цифровых валют в законодательстве многих стран в серой зоне, а атаку на личный кошелек не будут расследовать также тщательно, как взлом банковского счета.

В результате большинство вирусов ориентированно на заражение компьютеров с целью поиска программ и биржевых приложений, связанных с цифровыми валютами. Часть вирусов имеет сложный состав в виде программ скрытого майнинга и различных вредоносов, которые не заметит обычный антивирус.

Чем опасно заражение компьютера для владельца криптовалют?

• Деградацией процессора из-за скрытого майнинга
• Подменой адреса кошелька-получателя
• Удаленным управлением компьютером, в результате которого могут пропасть файлы с записями паролей
• Сканированием буфера обмена с целью выуживания паролей биржевых аккаунтов и электронной почты

Как защититься от компьютерного вируса?

Владельцу криптовалют подойдут стандартные рекомендации по защите от компьютерных вирусов: отказ от скачивания пиратских программ, проверка сайтов на фишинг, фильтрация писем в почте, осторожное отношение к различным предложениям перехода по ссылкам и т.д.

Также потребуется дополнительная защита от программ скрытого майнинга, чтобы вычислить нестандартные процессы на компьютере. Подобные решения уже предлагает компания Microsoft и ряд IT-фирм, широко известных в сфере кибербезопасности.

Идеальным вариантом защиты от любых атак на сегодняшний день служит хранение криптовалюты на «холодном» или аппаратном кошельке. Это устройство, напоминающее флэшку, снабжено собственным чипом безопасности и всегда находится в режиме оффлайн. Все онлайн-операции ведутся в специальном приложении, защищающим депозит от внешних атак.

SIM-свопинг

Утечки баз данных различных криптовалютных бирж дают хакерам доступ к телефонным номерам и балансам клиентов. Злоумышленники могут попытаться использовать SIM-свопинг, чтобы получить доступ к биржевому счету жертвы.

Хакерам достаточно уговорить оператора мобильной связи на перевыпуск SIM-карты с тем же номером. В этом случае они смогут получать SMS-коды, сбрасывать и устанавливать собственные пароли, заходить в кошельки-кастодианы, заблокировать владельцу возможность вывода депозита.

Как защититься от SIM-свопинга?

Владельцу счета не следует привязывать дополнительную верификацию к номеру мобильного телефона. Оставьте возможность получения подтверждения всех переводов криптовалюты по электронной почте.

Другой вариант – ввести пин-код для финансовых операций. Тогда злоумышленник не сможет вывести средства. Номер мобильного — не единственный вариант двухфакторной аутентификации, привяжите разрешение на вход к типу своего смартфона.

Выводы

На сегодняшний день аппаратные кошельки — это самое надежное устройство для защиты криптовалюты от хакерских атак. Размещение депозита на биржах криптовалют или хранящих у себя секретные ключи сервисах, несет потенциальный риск потери средств. Снизить его помогут многофакторная верификация, дополнительные пин-коды, привязка к конкретным видам устройств.

Неосмотрительность владельца криптовалюты – основная причина потерь. Нельзя доверять полученным сообщениям о взломе, обещаниям приумножить переведенные цифровые валюты, различным ссылкам в письмах.Постоянно и своевременно обновляйте программы и приложения, чтобы не стать жертвой «внутренней» атаки на кошельки.