Как безопасно купить крипту и как хакеры могут её увести?

[Midltown 0]

 Как хакеры могут украсть вашу криптовалюту и как этого избежать, как безопасно купить криптовлюту. На эти и многие другие вопросы ответил Алексей Маланов, антивирусный эксперт «Лаборатории Касперского».

- Какие главные проблемы безопасности криптовалюты в 2018 году?

- Те же, что и в прошлые годы. Пользователь может скомпрометировать свой криптокошелек или аккаунт на стороннем сервисе. Сам сторонний сервис (биржа, веб-кошелек и т.п.) может быть атакован и может потерять средства пользователей. В реализации криптовалюты могут вскрыться особенности, приводящие к потере средств или к обесцениванию валюты.

- Как безопасно купить криптовалюту?

- Здесь мы, со своей стороны, можем посоветовать придерживаться простых правил безопасности. Прежде всего, стоит скептически отнестись ко всем крайне заманчивым предложениям в сети. Ведь злоумышленники не дремлют. Только во втором квартале наша система «Антифишинг» 58 000 раз предотвратила попытки пользователей перейти на фишинговые сайты, имитирующие популярные криптовалютные кошельки и биржи.

- Какие опасности могут подстерегать обладателя любой криптовалюты?

- Воровство кошелька вредоносным кодом. Фишинговые сайты и компрометация логина-пароля для доступа к криптовалютным сервисам. Неудачные инвестиции в мошеннический или переоцененный проект. В частности, один из «любимых» сегодня приемов у злоумышленников — «бесплатные» раздачи криптомонет. Мошенники эксплуатируют имена новых, популярных ICO-проектов для сбора средств потенциальных инвесторов. Созданные ими фишинговые сайты порой появляются даже раньше, чем официальные сайты проектов.

На этом фоне на данный момент самой популярной у мошенников криптовалютой, например, является Ethereum (ETH). По нашим довольно приблизительным подсчетам, за второй квартал этого года злоумышленникам, использующим тему ICO, удалось получить $2 329 317 (по курсу на конец июля 2018 г).

- Как хакеры могут украсть вашу криптовалюту? Как можно этого избежать?

- Право распоряжаться криптовалютой дает секретный ключ, который находится в файле-кошельке. Если ваш секретный ключ знает кто-то, кроме вас, то деньги уже не ваши, а общие. Злоумышленник может перевести их на свой кошелек. Если средства хранятся на бирже, то хакеры могут украсть деньги у биржи.

Так, например, недавно мы обнаружили вредоносную операцию известной группировки Lazarus - атака получила название AppleJeus, и её целью стала криптовалютная биржа в Азии. При этом примечательно, что атакующие использовали две версии зловреда: для Windows и для macOS.

В первую очередь владельцу криптовалюты необходима качественная антивирусная защита (на компьютере и на телефоне/планшете). Аппаратный криптокошелек дает дополнительную защиту, однако не является гарантией безопасности. Если говорить про сервисы, то нужно включить двухфакторную аутентификацию доступа к сервису. Мы также не рекомендуем держать средства на стороннем сервисе, чтобы его взлом не смог затронуть пользователя.

- Как защититься от криптовалютного фишинга?

- Пользоваться менеджером паролей. Такой менеджер сам убедится, что посещаемый адрес действительно тот самый (а не отличается, например, одной буквой), сам проверит, что сертификат сайта выдан этому сайту (нет никакого человека посередине), и только после этого подставит логин-пароль в поля ввода. При этом пароль будет сильным и уникальным, ведь его не нужно держать в голове.

При регистрации на новых сервисах или при участии в ICO рекомендуем пользоваться качественным защитным решением с актуальными базами фишинговых сайтов в составе.

- Как защитить свой криптокошелёк?

- Об этом лучше позаботиться заранее. Мобильные ОС (iOS, Android) имеют архитектуру безопасности, сильно затрудняющую доступ одних приложений к данным других. Кроме того, у Apple строгие правила размещения приложений в AppStore, что сильно снижает риск установить вредоносное приложение.

Либо использовать аппаратный кошелек – способы украсть секретный ключ с аппаратного кошелька (или обмануть хозяина) есть, но они довольно экзотичные, поэтому это наиболее надежный способ хранения криптовалюты на сегодняшний день.

- О каких самых крупных кражах криптовалюты в истории вы знаете?

- Смотря по курсу на какую дату считать. Если на момент кражи, то взлом японской биржи Coincheck и кража криптовалюты XEM на сумму более $500 млн остается крупнейшим. Но до 2014 года злоумышленники вывели порядка 650000 биткойнов с японской биржи Mt.Gox и по сегодняшнему курсу это, конечно, гораздо больше.

Mt.Gox взломали в 2011, украли 80000 биткойнов (порядка $60000 по тому курсу), потом вновь - в 2014 и украли 850000 биткойнов ($473 млн). Однако позже 200000 нашлось.

В 2015 взломали Bitstamp ($5 млн), потом LocalBitcoins, в 2016 - BitFinex (120000 биткойнов, $72 млн). В 2017 ломали Yapizon, Bithumb и Youbit (переименованная из Yapizon). Биржа майнинговых мощностей NiceHash была взломана в декабре 2017 на 4700 биткойнов ($64 млн). И наконец в 2018 Coincheck взломали на $530 млн в форме валюты XEM.

- Насколько безопасна технология блокчейн?

- Здесь есть несколько моментов:

1. Публичные блокчейны (криптовалюты) подвержены «Атаке 51%». В мае была осуществлена одна из самых крупных краж таким образом на сумму порядка $18 млн. Есть и другие потенциальные проблемы публичных блокчейнов, но они менее значимы.

2. Приватные блокчейны (не криптовалюты, их пытаются применять правительства и компании во всевозможных областях) в общем-то не дают каких-то уникальных преимуществ по сравнению с централизованными подходами. Новых специфичных рисков тоже не привносят – однако как и всегда, остается возможность несанкционированного доступа.

3. Отдельная тема – смарт-контракты. Это минипрограммы по управлению цифровыми активами. К сожалению, технология сравнительно молодая и еще достаточно сырая.

В целом при принятии решения, использовать или не использовать блокчейн в вашем проекте, мы рекомендуем исходить из целей. Нужно иметь четкий ответ, почему именно блокчейн, а не централизованные традиционные технологии; какова модель угроз, и действительно ли блокчейн адресует эти угрозы.

- Какие советы владельцам криптовалюты Вы бы дали?

1. Всегда проверяйте адрес веб-кошелька, не переходите по ссылкам, завлекающим в интернет-банк или в веб-кошелек.

2. Перепроверяйте перед отправкой адрес получателя (хотя бы первые и последние символы), отправляемую сумму и величину комиссии.

3. Запишите мнемоническую фразу, при помощи которой можно восстановить криптокошелек в случае, если вы его потеряете или забудете пароль.

4. При криптоинвестировании сохраняйте трезвую голову и принимайте взвешенные решения, не поддавайтесь панике, не спешите.

5. Не инвестируйте больше, чем вы готовы потерять. Диверсифицируйте свои инвестиции.

6. Используйте аппаратные кошельки криптовалют.

7. Используйте качественную антивирусную защиту.