Предупрежден - значит вооружен: четыре правила безопасности владельца криптовалют

Криптовалютное сообщество растет экспоненциально — количество пользователей криптоактивов уже превышает 100 млн. Согласно прогнозам, в течение 2021 года по крайней мере еще 14 млн пользователей придут на рынок. Однако не только новички, но и опытные владельцы криптовалют могут стать легкой мишенью для киберпреступников и мошенников, если они не соблюдают основные правила сетевой безопасности.

По данным аналитической компании CipherTrace, криптовалютные преступники украли $1.9 млрд в 2020 году, а годом ранее - $4.5 млрд. Чаще всего пользователи криптовалют становились жертвами мошенников и пирамид, а также теряли свои криптоактивы во время взломов проектов децентрализованных финансов (DeFi).

В 2019 году криптовалютная пирамида PlusToken принесла мошенникам $2.9 млрд, а в 2020 году аналогичная схема WoToken, обогатила преступников на $1.1 млрд. Хотя количество крупных мошенничеств значительно снизилось, на них по-прежнему приходится 73% общей суммы ущерба от криптовалютных преступлений в прошлом году. Также наблюдался рост числа изощренных фишинговых атак: поддельных электронных писем, используемых для распространения вредоносных программ или вынуждающих пользователей криптовалют раскрыть конфиденциальную информацию.

Мошенники становятся все искуснее и работают над новыми способами кражи криптовалют. Как защитить себя от подобных атак, не стать жертвой мошенников и сохранить свои криптовалюты?

1. Признаки распространенных способов мошенничества с криптовалютами

Есть три основных типа мошенничества, с которыми рано или поздно столкнется каждый участник криптовалютной индустрии. Важно научиться их распознавать, чтобы не потерять активы.

Фальшивые раздачи криптовалют

Чаще всего такие «бесплатные» раздачи криптовалют рекламируются в социальных сетях. В сообщении содержится призыв перевести криптовалюту на определенный адрес с обещанием, что отправитель получит взамен в несколько раз больше. Этот вид мошенничества реализуется со времен бума ICO в 2017 году и по-прежнему популярен у преступников. Такие мошеннические кампании легко идентифицировать, если знать, на что обращать внимание.

• Сообщение публикуются якобы от лица известной личности. Мошенники создают поддельный аккаунт, название, описание профиля и фото которого максимально похожи или идентичны профилю знаменитости. В марте прошлого года на YouTube появился фейковый ролик от имени гендиректора Ripple Брэда Гарлингхауса. Злоумышленники призывали пользователей внести от 2 000 до 500 000 XRP для участия в раздаче токенов. Аккаунт был очевидно фальшивым, но видео набрало более 85 000 просмотров.

Прошлым летом в Twitter произошел массовый взлом около 130 аккаунтов ряда крупных бирж и основателей криптовалютных проектов. Мошенники публиковали и пересылали сообщения о раздаче 5000 BTC. Были взломаны аккаунты Apple, Uber, Ripple, Binance, Илона Маска, Барака Обамы, Билла Гейтса, Ким Кардашьян и других популярных личностей. 

В первые часы атаки доверчивые владельцы криптоактивов перевели на адрес мошенников более 10 BTC в более чем 300 транзакциях. Поэтому всегда стоит быть настороже – даже если информация о раздаче криптовалют опубликована в верифицированном социальной сетью аккаунте.

Мошенничество с раздачей ETH с использованием поддельного профиля Илона Маска в Твиттере.

Главный совет: лучший способ распознать мошенничество - это поискать незаметные изменения в имени автора сообщения. На приведенном выше примере мошенник создал учетную запись в Твиттере @elonmmusk, тогда как оригинальное имя пользователя - @elonmusk. Дополнительную букву «m» легко не заметить с первого взгляда. Кроме того, рядом с именем верифицированного пользователя в большинстве социальных сетей обычно стоит галочка, подтверждающая личность владельца аккаунта.

Пример верифицированного аккаунта в социальной сети «ВКонтакте»

Криптовалютные пирамиды с торговыми ботами

Пирамиды с торговыми ботами - еще один классический пример криптовалютного мошенничества. К ним относятся платформы, которые обещают ежемесячную/ежедневную/ежечасную чрезвычайно высокую доходность. Эти сайты работают по схеме пирамиды: внесенные новыми пользователями деньги выплачиваются тем, кто инвестировал ранее. Как только создатели платформы собирают достаточно денег, они исчезают и закрывают веб-сайт.

Один из самых известных примеров такого мошенничества - Bitconnect. Создатели платформы обещали инвесторам 40% прибыли каждый месяц, а также дополнительные проценты для людей, вложивших более крупные суммы. Платформа работала более двух лет, а ее собственный токен даже вошел в ТОП-10 криптовалют по рыночной капитализации, прежде чем регуляторы закрыли схему. По оценкам экспертов, основатели Bitconnect украли более $250 млн.

Создатели Bitconnect обещали инвесторам гигантские и нереалистичные прибыли.

Основные признаки криптовалютной пирамиды:

• Операторы схемы всегда обещают чрезвычайно высокую доходность – несколько процентов еженедельно, сотни процентов годовых.

• Отсутствие реальной информации о команде проекта. Если на платформе есть страница о создателях проекта, необходимо проверить наличие ссылок на Linkedin, Twitter, Facebook, адресов электронной почты. Если ссылок нет или информация в социальных сетях неполная, стоит поискать более подробные данные в интернете.

• На сайте нет документации, объясняющей, как работают торговые боты и за счет чего достигается высокая доходность.

• Наличие орфографических и стилистических ошибок также указывает на то, что сайт создавался в спешке и им могут управлять мошенники.

Фишинговые письма

Распознать фишинговые атаки становится все труднее, поскольку злоумышленники уделяют все больше внимания созданию кажущихся настоящими писем от реальных компаний. Обычно мошенники призывают переходить по ссылкам, которые мгновенно заражают устройство вредоносным ПО, предоставляя злоумышленнику полный доступ к хранящейся на нем информации.

Часто ссылки в фишинговых письмах ведут на поддельные сайты, максимально напоминающие оригинальный сайт реальной компании. На сайте пользователю могут предложить «сбросить пароль», чтобы завладеть его учетными данными, отправить деньги или ввести сид-фразу.

В конце прошлого года житель Москвы потерял 6 BTC и 70 ETH из-за того, что зашел на фишинговый сайт, копирующий криптовалютный кошелек blockchain.com. Пользователи кошельков Ledger потеряли более 1 150 000 XRP после утечки клиентских данных и фишинговых атак.

Скриншот письма, который получили пользователи кошельков Ledger после утечки базы данных в 2020 году. В письме пользователям предлагается «установить обновленную версию ПО» - перейти на фишинговый сайт для загрузки вредоносной программы.

При получении подозрительного электронного письма, в котором вас просят раскрыть конфиденциальную информацию, отправить платеж или перейти по ссылкам, важно помнить три основных правила:

• Всегда проверяйте адрес электронной почты отправителя.

• Никогда не переходите по ссылкам в письме от неизвестного отправителя.

• Никогда никому не сообщайте свою личную информацию, пароли или сид-фразу.

Главный совет: если у вас есть сомнения относительно полученного электронного письма, перейдите на официальный сайт компании и обратитесь в службу поддержки. Кроме того, следите за новостями криптовалютных фирм, услугами которых пользуетесь. Если компания сообщила об утечке персональных данных, будьте готовы к тому, что мошенники могут начать фишинговую атаку.

2. Не храните данные для доступа к криптовалютам в цифровом виде

Одна из самых больших ошибок, которую совершают как новички, так и опытные пользователи криптовалют – хранение паролей к кошельку, сид-фразы или резервных кодов на цифровом устройстве, подключенном к интернету. Это может быть хранимый на ноутбуке скриншот данных, содержащая конфиденциальную информацию фотография на смартфоне, хранение паролей в отправленном самому себе электронном письме, заметка с сид-фразой на телефоне и т.п.

Если злоумышленник получит доступ к устройству, он сможет воспользоваться конфиденциальными данными для кражи криптовалют. Лучший способ безопасного хранения связанной с криптовалютами информации — записать ее на бумаге вдали от людей и камер, а если хочется увековечить ее — выгравировать на металлической пластине.

Есть различные сервисы, предоставляющие решение по безопасному хранению конфиденциальной информации:

• Cryptotag – позволяет самостоятельно выгравировать пароль/сид-фразу на пластине, которая помещается в металлический бокс. Доставка по всему миру, можно оплатить в BTC.

• Coldbit - металлическая пластина для самостоятельной гравировки сид-фразы к кошельку. По желанию клиента компания удаляет персональные данные из системы после отправки заказа. Доставка FedEx, можно платить в BTC.

• Cryptosteel и Simbit - устройства для офлайн-хранения сид-фраз, паролей и другой конфиденциальной информации. В комплекте идут выгравированные буквы, из которых пользователь набирает нужный пароль или код и вставляет его в устройство. Доставка по всему миру.

3. Активируйте двухфакторную аутентификацию

При создании новой учетной записи на криптовалютной платформе важно включить двухфакторную аутентификацию (2FA), если эта опция доступна. 2FA подразумевает, что для доступа к аккаунту необходимо подтвердить вход с двух разных устройств.

Двухфакторная аутентификация может включать получение SMS или кода по электронной почте. Однако подавляющее большинство криптовалютных платформ просят пользователя загрузить мобильное приложение, которое криптографически связывается с аккаунтом на площадке и генерирует случайный шестизначный пароль, меняющийся каждые 30-40 секунд. Основные приложения двухфакторной аутентификации, широко совместимые с криптовалютными платформами:

• Google Authenticator
• Authy

Для активации 2FA через приложение необходимо его скачать, а затем перейти к настройкам аккаунта на криптовалютной платформе. Обычно активация 2FA находится на вкладке Конфиденциальность или подобной. Включите двухфакторную аутентификацию, найдите вариант настройки с помощью QR-кода и выберите его.

Затем перейдите в мобильное приложение 2FA, найдите значок «+» и кнопку «Сканировать QR-код». При нажатии на нее откроется камера смартфона. Наведите ее на QR-код на экране компьютера, и аккаунт автоматически добавится в ваше приложение 2FA, после чего будет сгенерирован пароль для входа.

Скриншот мобильного приложения Google Authenticator.

При первичной настройке 2FA необходимо ввести в аккаунте пароль, который отображен в мобильном приложении. После этого активация двухфакторной аутентификации будет завершена. Во время каждого входа в аккаунт необходимо будет вводить пароль для входа и пароль двухфакторной аутентификации.

4. Используйте разные пароли для каждой платформы

Утечка персональных данных клиентов криптовалютных платформ – достаточно частая ситуация. Многие пользователи используют один и тот же адрес электронной почты и пароль для всех своих учетных записей, даже тех, где не подключена двухфакторная аутентификация. В этом случае, если хотя бы с одной платформы будут украдены персональные данные пользователя, злоумышленники могут разом получить доступ ко всем его аккаунтам.

Использование разных паролей для аккаунтов на криптовалютных площадках важно для уменьшения ущерба от возможной утечки данных. Если у пользователя много учетных записей, можно воспользоваться бесплатными расширениями и приложениями для управления паролями.

На таких сервисах можно хранить и создавать безопасные пароли для большого числа платформ – достаточно придумать и запомнить один пароль для доступа к приложению. Большинство менеджеров паролей автоматически заполняют любые предварительно сохраненные данные для входа в систему, когда вы заходите на платформу, и предлагают добавить любые новые данные для входа в хранилище при их создании. Крупнейшие службы управления паролями:

• Lastpass
• 1Password
• Dashlane

Всегда помните о том, что в криптовалютной индустрии немало мошенников и киберпреступников, стремящихся завладеть чужими криптоактивами. Будьте осторожны, следуйте простым правилам и не забывайте проявлять должную осмотрительность перед тем, как вкладывать свои деньги в малоизвестный проект, даже если он кажется крайне перспективным.