Как обеспечить безопасность аккаунта на криптобирже?

С развитием технологий и началом пандемии во многих странах наблюдается резкий рост активности мошенников в Интернете. Криптовалютную сферу это также не обходит стороной — например, по данным компании SonicWall, которая специализируется на обеспечение безопасностей данных пользователй в Интернете, в 2020 году количество взломов криптосчетов по всему миру выросло на 28% по сравнению с 2019.

При этом чаще всего мошенники пользуются одними и теми же методами — ярким примером служит недавний кейс с токенами Flux, который стал успешным благодаря невнимательности и доверчивости владельцев криптовалют.

В статье про Flux мы рассказывали вам о том, как защитить свой криптосчёт от взлома, а сегодня представляем 10 советов по обеспечению безопасности на криптовалютной бирже.

Помните: хотя создатели бирж со своей стороны стараются обеспечивать безопасность активов пользователей, целостность ваших средств — это, в первую очередь, ваша забота. Не думайте, что мошенники покушаются только на счета с крупными суммами — если у вас есть хоть какие-то активы и они плохо защищены, ушлые люди не преминут их украсть.

#1 Создайте отдельную почту для регистрации на криптобирже

Мошенники часто получают доступ к криптовалютным счетам через почту, которой люди пользуются для всего подряд. По количеству спама, который приходит на почтовые адреса Яндекса, Google и Mail Ru независимо от сложности почтового адреса человека, очевидно, что на их безопасность полагаться не стоит.

Современные хакеры способны встроить вредоносный код или фишинговую ссылку даже в письмо, присланное напрямую с сервера какого-нибудь Интернет-магазина, так что для регистрации на бирже лучше использовать абсолютно обособленный адрес, который больше ни к чему не привязан.

Идеальный вариант: создать почтовый ящик на платном сервисе с повышенной защитой данных. Стоимость подписки у таких сервисов зависит от количества включённых в неё услуг. Одними из самых популярных являются:

• ProtonMail — электронная почта и VPN-сервис. Стоимость — от бесплатного варианта до €288 в год;
• MailFence — электронная почта. Стоимость — от бесплатного до €300 в год;
• CounterMail — электронная почта. Стоимость — от $29 за полгода до $79 за 14 месяцев.
• Tutanota — электронная почта и защищённое соединение. Стоимость — от €12 в год и без верхнего предела.

На их сайты напрямую из РФ попасть нельзя — придётся воспользоваться обходным путём через VPN. Сервисы в списке — всего лишь примеры, на самом деле таких существует множество и вы можете подобрать подходящий самостоятельно.

После создания почты обязательно:

• Привяжите её к номеру телефона. Идеальный вариант: к симке, вставленной в телефон, у которого нет выхода в Интернет;
• Включите двухфакторную аутентификацию (2ФА) — Google Authenticator, FreeOTP, Plesk и другие аналоги;
• Удаляйте письма, приходящие с непроверенных и неизвестных вам адресов (даже если они помечены как важные или подтвержденные);
• Никому не отправляйте свои персональные данные через почту;
• Для каждой биржи пользуйтесь отдельной почтой.

#2 Заходите на сайт биржи и авторизуйтесь вручную

Не переходите на сайт биржи по ссылка из писем, через поисковые сервисы и баннеры на сторонних ресурсах. Запомните адрес вашей биржи и вводите его в строку вручную каждый раз. Обязательно проверяйте, чтобы SSL-сертификат в адресе сайта содержал https — это значит, что сайт поддерживает шифрование данных.

Есть только две ситуации, когда вы можете перейти на сайт бирже по сторонней ссылке:

• Когда вы регистрируетесь от аффилейта — например, у Покерофф есть проверенная ссылка на Binance. Аффилейты берут на себя ответственность за безопасность предоставляемой ими ссылки;
• Когда вам нужно подтвердить электронную почту при регистрации. Прежде, чем переходить по этой ссылке, убедитесь, что она прислана с верного адреса биржи — найти почту обычно можно на сайте криптобиржи в разделе с контактами.

Для каждой авторизации на бирже также стоит вводить данные вручную — хотя сервисы для автозаполнения (менеджеры паролей) и хранят ваши данные в зашифрованном виде, лучше не полагаться на них в этом плане. Одним из самых безопасных вариантов для авторизации у современных бирж также является вход по QR-коду — в таком случае вам не нужно вводить никаких данных, просто сканируете код через приложение биржи на мобильном устройстве.

#3 Придумайте сильный пароль и храните его на бумаге

Сильный и сложный пароль должен включать в себя прописные и строчные буквы, знаки препинания и цифры и быть достаточно длинным (не менее 8 элементов). Не включайте в него осмысленные слова или фразы — чем более бессмысленным и бессвязным будет пароль, тем выше вероятность, что его не удастся взломать.

Не используйте один пароль для нескольких сервисов, а тем более бирж и кошельков — всегда придерживайтесь правила: 1 сервис — 1 уникальный пароль.

Записывайте пароль вручную на бумажный носитель и ни в коем случае не храните в электронном виде на устройстве — современные вирусы легко и незаметно извлекают данные из любых текстовых файлов.

Не отправляйте свой пароль никому и никогда: ни близким, ни друзьям, ни даже сами себе через мессенджеры, сообщения и соцсети!

#4 Сделайте активными все методы защиты от биржи

Предлагаемые методы зависят от самой биржи — например, на Binance они разделены на два типа.

Основные методы защиты аккаунта:

• Ключ безопасности — физический ключ, без подключения которого к устройству невозможно авторизоваться на сайте;
• 2ФА через приложение;
• Подтверждение по номеру телефона;
• Подтверждение по email.

Каждый метод используется как для авторизации, так и для подтверждения сделок на бирже.

Расширенные методы защиты аккаунта:

• Белый список для вывода средств — отдельный перечень, в который нужно вносить проверенные адреса вручную. При его включении вывод на адреса вне этого списка невозможен;
• Антифишинговый код — набор символов, который биржа будет вшивать в каждое своё письмо, чтобы вы знали, что это письмо от неё.
• Управление устройствами — возможность дистанционно отменить авторизацию на любом устройстве.

#5 Полностью верифицируйте аккаунт

Верификации на бирже нужна не только для того, чтобы увеличивать лимиты транзакций и снижать комиссии. Подтверждая вашу личность, вы получаете возможность вместе с биржей контролировать подозрительные операции — если вдруг с вашего счета будет инициирован подозрительный вывод, биржа сможет сверить данные транзакции с теми, что вы подтвердили в аккаунте, заморозить её в случае несостыковок и / или запросить дополнительные документы для подтверждения вашего участия в этом действии.

Для верификации биржи запрашивают приблизительно одинаковый список документов:

• Паспорт или иной документ, подтверждающий личность;
• Селфи / онлайн-подтверждение лица (проверка по лицу);
• Документ, подтверждающий адрес проживания / регистрации (коммунальный счет, письмо от властей, банковская выписка и так далее).

Некоторые биржи для полной верификации запрашивают банковские реквизиты и информацию об источнике доходов.

#6 Не заходите на биржу через публичные сети 

Уровень безопасности любых WiFi и проводных открытых сетей — в кафе, аэропортах, клубах, даже казино — вызывает сомнения: чаще всего они никак не защищены — владельцы даже не ставят на них антивирусную программу.. Кроме того, они никак не контролируются с вашей стороны — к ним может подключиться кто угодно и попробовать получить доступ к вашим данным. Если вам всё же нужно экстренно подключиться к такой сети, пользуйтесь шифрующими данные VPN или прокси на своём устройстве — они не дадут посторонним получить доступ к вашему устройству.

#7 Ведите переписки и сделки по бирже только через платформу биржи

Если во время P2P-торговли, покупки / продажи криптовалюты, акций или иных активов вторая сторона предлагает вам:

• Перейти на сторонний сервис — для обсуждения деталей сделки, проведения платежа или по любым другим вопросам;
• Сделать перевод / прислать для транзакции иные данные от тех, что уже верифицированы на платформе;

а также выполнить любые другие отличные от закрепленных на бирже и в стартовых условиях сделки действия — делайте скрины, отказывайтесь и сообщайте как можно быстрее в службу поддержки.

Эти правила касаются и службы поддержки биржи: её представители никогда не переводят пользователей в мессенджеры или на сторонние  ресурсы для решения проблем, поэтому столкнувшись с подобным вам нужно сообщить в реальную службу поддержки по адресам в контактах биржи.

#8 Скачивайте только официальные приложения бирж

У большинства бирж есть мобильные и / или десктопные приложения, которые можно скачать напрямую с сайта или через Google Play, App Store и другие официальные магазины. При этом мошенники часто создают копии таких программ в мобильных магазинах, которые выглядят очень похожими на реальные приложения бирж, но при вводе в них любой информации для авторизации вы не получаете доступ к своим активам, а теряете их.

Чтобы не попасть в такую ситуацию, пользуйтесь ссылками и QR-кодами для скачивания приложений с официального сайта — даже при переброске оттуда в магазин, вас перенесёт на страницу реального приложения биржи.

Вы всегда можете проверить разработчика или продавца через магазин и сообщить, если обнаружите мошенников или подозрительные программы.

#9 Используйте для хранения активов холодный кошелёк

Насколько надёжной не была бы ваша биржа, крупные активы лучше хранить на кошельке с максимальным уровнем надёжности — холодном криптовалютном кошельке, который не подключен к Интернету, представляет собой физическое устройство и не может быть взломан дистанционно. Их также называют аппаратными.

Самыми популярными аппаратными кошельками на начало 2021 года являются Ledger Nano X и Trezor T. 

Ledger Nano X подключается, через Type C и встроенный Bluetooth, совместим с Windows, MacOS, Linux, Chrome OS, Android и iOS. Он позволяет получать и отправлять более 1,1К криптовалют и токенов, однако, само приложение поддерживает только часть из них — для остальных нужно устанавливать сторонние приложения. Цена устройства варьируется от ₽12К (~$162) до ₽16К (~$217) в зависимости от магазина. 

Trezor T подключается только через Type C, совместим со всеми системами, кроме iOS. Позволяет получать и отправлять более 1К криптовалют и токенов, при этом в самом приложении из них поддерживается порядка 50 вариантов. Цена устройства варьируется от ₽14К (~$190) до ₽17К (~$230) в зависимости от магазина. 

Покупайте аппаратные кошельки только у официальных дистрибьюторов или в официальных магазинах производителей. При покупке с рук вы рискуете стать владельцем перепрошитого устройства от мошенника.

#10 Не переходите по рекламным баннерам

Биржи следят за безопасностью на своих сайтах — именно поэтому на них есть специальные информационные разделы с баннерами, нажав на которые вы можете перейти на проверенную страницу с информацией. Однако, мы рекомендуем вам этого не делать — мошенники могут взломать ваш браузер и при помощи скрипта сделать редирект с баннера на стороннюю ссылку. Лучше ищите информацию в разделах сайта биржи через меню.