Как защитить свой криптовалютный кошелек ?

[Titanporevu 24]

Самое важное правило — иметь надежную антивирусную программу, которая сможет в режиме реального времени противостоять сложным вирусам. Также необходимо проводить резервное копирование данных. Например, хранить все важные файлы в облаке, на USB-накопителе или внешнем жестком диске. После записи нужно не забывать отсоединить устройство от компьютера, иначе оно также может быть заражено.

[maksimka42342 29]

На данный момент существует много защит для кошелька , двухфакторная аутентификация также есть универсальная двухфакторная аутентификация , а самый мощный это аппаратный кошелек там точно не украдут криптовалюту .

[Paolo Inn 48]

Да, пк без интернета вариант. Но как правило мошенники в основном не технари а скамеры, ибо это легче. Тут как правило все работают по твум-трем схемам. Можно почитать в сети о соц инженерии и будете защищены.

[bogdan_gwz8kgsfc 43]

О, я в этом шарю 😉 
1. Кошелёк в идеале не должен быть установлен на компьютер, так как стиллеры не спят, и вполне могут украсть wallet.dat, либо просто все данные с клавиатуры передавать на сервак, где злоумышленник поковыряется в логах, и найдёт пароль.
2. Установлен кошелёк должен на внешний носитель, это либо аппаратный кошелёк, типа Ledger , либо на флешку защищённую, закриптовать её, и тогда даже товарищ майон не узнает о содержимом.
3. Двухфакторная аутентификация, если возможно. Сколько за неё уже говорили, и всё о старом - без неё банально в наше время никуда.
4. Не давайте возможности сопоставить разные адреса биткоина с вами. Включите HD, пусть кошельки всегда меняются.
5. Сам кошелёк не должен быть популярным, те же стиллеры давно умеют красть данные Electrum`а или Exodus`а, поэтому, какой- нибудь Wasaby будет в самый раз.

[LonerI 49]

Я пользуюсь 2FA аутентификацией, подтверждением по смс и email, думаю, это достаточно надежные способы. Несколько раз я ловил стиллеры, когда скачивал программы связанные с криптовалютой (стиллеры были вшиты в них), но ни один из моих кошельков так и не взломали, хотя мне несколько раз приходили смс с кодом для входа в кошелёк (видимо в этот момент злоумышленники пытались войти в мой аккаунт)

[Cerber777 26]

Для на самом деле надежного хранения крипты подойдут холодные кошельки например Ledger но они стоят около 100$

[Temnaaluna7 123]

Ну конечно безопаснее использовать отдельное устройство для таких кашельков ,подключить 2факторку.А главное никогда не хранить пароли,секретные фразы,ключи на том же устройстве где установлен кашелёк.

[DaniilSK223 75]

Самой хорошей и самой простой защитой является seed фраза на 24 слова. Сохранил, а лучше всего запомнил и можешь не переживать за безопасность своих сбережений.

[stromboni 76]

Получается только холодное хранение? И только брать оттуда по чучуть переводя часть средств для нужд. Читаешь эту статью, и просто офигеваешь насколько же продвинуты хакеры, и даже смс авторизация может быть опасна оказывается!

[misterdarsi2802 67]

On 12.10.2019 at 15:13, Alex077 said:

В этой теме предлагаю обсуждать методы защиты криптовалютных кошельков, добавлять свои комментарии и обсуждения с новостями в этой области. 

                    Как защитить свой криптовалютный кошелек?

Биткоин и другие криптовалюты традиционно привлекают повышенное внимание мошенников самого разного калибра, которые не только используют их в своей противоправной деятельности, но и активно похищают не только с бирж, но и у рядовых пользователей.

Прибегая к помощи продвинутых технологий, хакеры находят все новые способы отъема средств, однако основные и проверенные временем методы остаются все те же, поскольку каждый день в криптовалютное пространство заходят новые люди, которые часто не располагают адекватным уровнем знаний и осведомленности для противодействиям таким атакам.

Ниже перечислены основные уловки и трюки хакеров, зная о которых пользователи могут как минимум обезопасить свои монеты.

Социальная инженерия и фишинг

Под социальной инженерией понимается совокупность обменных приемов, заставляющих пользователей выполнять на сайтах или в приложениях действия, которые могут нанести им ущерб. Одним из таких весьма популярных методов является фишинг – создание сайтов-клонов известных ресурсов, которые вынуждают пользователей раскрывать свои персональные данные, включая пароли, телефонные номера, реквизиты банковских карт, а в последние годы и приватные ключи от криптовалютных кошельков.

Ссылки на фишинговые сайты могут распространяться разными способами – это и рекламные объявления в соцсетях, и электронные письма, копирующие внешний вид рассылок от официальных проектов. Все это делается с единственной целью — заставить невнимательного пользователя перейти на фейковый сайт и ввести там персональные данные.

По данным Chainalysis, в криптовалютном пространстве фишинг оставался наиболее прибыльным мошенническим методом на протяжении 2017 и 2018 годов. Однако, если в 2017 году на его долю приходилось более 88% всех мошеннических схем, то в 2018 году этот метод стал менее эффективным, и его показатель успешности снизился уже до 38,7%.

Тем не менее опасность стать жертвой фишинговой атаки сохраняется. Среди последних таких инцидентов можно выделить атаки на популярный кошелек Electrum в декабре 2018 и в апреле 2019 гг. Нередко при этом атаки велись и на альткоин-кошельки.

Кроме того, за последнее время жертвами фишинговых атак становились биржи Bitfinex и Binance, аппаратный кошелек Trezor, платформа для покупки и продажи биткоинов LocalBitcoins, а также пользователи социальных сетей, например, Facebook. В последнем случае злоумышленники копируют страницы популярных криптовалютных сообществ, после чего используют фотографии участников реальных сообществ, отмечая их в посте как победителей программы лояльности к платформе.

О том, какое значение борьбе с фишингом придают ведущие представители индустрии, сполна говорит и тот факт, что в апреле этого года Binance Labs, венчурное подразделение криптовалютной биржи Binance, осуществило инвестиции в PhishFort. Эта компания специализируется на решениях по защите от фишинговых атак и ориентируется на бизнесы, находящиеся в высокой группе риска, такие как биткоин-биржи, ICO-проекты и платформы по выпуску токенов.

Рекомендации по защите от фишинговых атак весьма просты: повышение общей компьютерной грамотности, собственная внимательность (ручной ввод URL и проверка использования протокола https), а также используемое по умолчанию недоверие к объявлениям, предлагающим бесплатную раздачу криптовалют.

Троянские вирусы

Эти многочисленные вирусы представляют собой разновидность вредоносных программ, проникающих в компьютер под видом легального программного обеспечения. В данную категорию входят программы, осуществляющие различные неподтвержденные пользователем действия: сбор информации о банковских картах, нарушение работоспособности компьютера, использование ресурсов компьютера в целях майнинга, использование IP для нелегальной торговли и т. п.

Но изобретательность хакеров на месте не стоит. Так, в 2018 году была обнаружена новая версия печально известного трояна Win32.Rakhni. Этот вирус известен еще с 2013 года, но если поначалу он фокусировался исключительно на шифровании устройств и требовании выкупа за разблокировку, то новая версия пошла намного дальше. Для начала она проверяет наличие папок, связанных с биткоин-кошельками, и если таковые обнаружены, шифрует компьютер и требует выкуп. Однако, если таких папок найдено не было, Win32.Rakhni устанавливает вредонос, похищающий вычислительные мощности компьютера с целью скрытого майнинга криптовалют, а также пытается распространиться на другие устройства в сети.

При этом, как видно на изображении выше, более 95% всех случаев заражения компьютеров этим трояном приходилось на Россию, второе и третье места достались Казахстану и Украине.

Согласно данным Kaspersky Labs, Win32.Rakhni чаще всего распространяется через электронные письма, в которых пользователям предлагается открыть прикрепленный pdf-файл, однако вместо ожидаемого содержимого запускается программа-вредонос.

Как и в случае с фишинговыми атаками для предотвращения заражения устройств необходимо соблюдать базовую компьютерную гигиену и быть крайне внимательным к открываемым вложениям.

Клавиатурные шпионы (keyloggers)

Вредоносные программы зачастую состоят из нескольких компонентов, каждый из них выполняет собственную задачу. По сути их можно сравнить с швейцарскими армейскими ножами – при их помощи хакеры могут выполнять множество различных действий на атакованной системе.

Один из популярных компонентов при атаках – это так называемые клавиатурные шпионы (кейлоггеры). Они представляют собой узкоспециализированный инструмент, записывающий все нажатия клавиш на устройствах. С его помощью злоумышленники могут незаметно завладеть всей конфиденциальной информацией пользователя, включая пароли и ключи от криптовалютных кошельков.

Чаще всего кейлоггеры проникают в системы с составе комплексного вредоносного софта, но иногда они могут быть встроены во вполне легальное программное обеспечение.

Производители антивирусных решений, как правило, добавляют известные кейлоггеры в свои базы, и метод защиты от них мало чем отличается от метода защиты от любого другого вредоносного софта. Проблема состоит в том, что кейлоггеров существует огромное количество, и уследить за всеми физически очень сложно. По этой причине клавиатурные шпионы с первой попытки часто не определяются антивирусами.

Тем не менее обычная компьютерная гигиена и использование специального софта могут стать хорошей помощью в борьбе с этим видом атак.

Публичные сети Wi-Fi

Кража средств через общедоступные сети Wi-Fi всегда была и остается одним из наиболее популярных инструментов злоумышленников. Большинство Wi-Fi-роутеров используют протокол WPA (Wi-Fi Protected Access), который не только шифрует всю информацию в беспроводной сети, но и обеспечивает доступ к ней только авторизованным пользователям.

Однако хакеры нашли лазейку и здесь: запуская несложную команду KRACK, они заставляют устройство жертвы переподключиться к собственной сети Wi-Fi, после чего получают возможность отслеживать и контролировать всю проходящую через нее информацию, включая ключи от криптовалютных кошельков.

Защититься от такой атаки помогают регулярные обновления прошивок роутера, а также собственная внимательность: никогда не следует осуществлять транзакции, находясь в публичных местах, вроде вокзалов, аэропортов, гостиниц или – что происходит весьма часто среди представителей биткоин-сообщества – на блокчейн-конференциях.

Slack-боты

Существует достаточно большое число ботов для Slack, которые хакеры успешно берут на вооружение. Как правило, такие боты отправляют пользователю уведомление о наличии проблем с его кошельком. Конечная цель – заставить пользователя нажать на уведомление и ввести приватный ключ.

Наиболее масштабной успешной хакерской атакой, в ходе которой были задействованы боты для Slack, стал инцидент с проектом Enigma в августе 2017 года. Тогда проект был вынужден приостановить пресейл токенов ECAT после того, как неизвестные злоумышленники взломали сайт проекта и, указав ложный ETH-адрес, лишили его более $400 000.

Кроме того, представители Enigma подтвердили, что также был скомпрометирован Slack-чат проекта:

Рекомендации: игнорировать подобные сообщения, слать жалобы на распространяющие их боты, установить защиту на Slack-канал (например, security-боты Metacert или Webroot).

Аутентификация по SMS и SIM Swapping

Аутентификация по SMS по-прежнему остается весьма распространенным методом верификации различных операций, в том числе и криптовалютных транзакций. Однако еще в сентябре 2017 года специализирующаяся на кибербезопасности компания Positive Technologies продемонстрировала, как легко можно перехватить SMS с паролем, пересылаемое по протоколу Signaling System 7 (SS7).

Демонстрация была проведена на примере аккаунта на платформе Coinbase, который был привязан к почте на Gmail. На первый взгляд могло показаться, что речь идет об уязвимости на стороне Coinbase, однако в действительности задействованный Positive Technologies инструмент собственной разработки использовал слабые места в самой сотовой сети. Перенаправив текстовые сообщения на собственный номер, исследователи смогли сбросить и установить новый пароль на почте, после чего получили полный доступ к кошельку.

В данном случае эксперимент был поставлен в исследовательских целях, и фактической кражи монет не произошло, однако его результаты показали, что такой метод вполне может быть использован и настоящими преступниками.

В специальном материале  специалисты Hacken также перечислили основные варианты перехвата SMS :

• Прослушка. Перехват SMS правоохранителями вследствие превышения служебных полномочий или нецелевого использования материалов негласных следственных действий.
• Дублирование (клонирование) SIM-карты через оператора сотовой связи с использованием персональных данных клиента и дальнейшее использование клонированной SIM-карты в противоправной деятельности.
• Ложная базовая станция для перехвата и расшифровки всех входящих сообщений абонента и дальнейшее использование перехваченных данных в противоправной деятельности.
• Взлом “Персонального кабинета” абонента на сайте или приложении сотового оператора и переадресация всех сообщений на адрес злоумышленника, а также дальнейшее использование полученных данных в противоправной деятельности.

В этом списке также интересен второй пункт — клонирование (подмена) SIM-карты. Этот метод известен как SIM Swapping, и уже известен первый громкий случай, когда он был использован для кражи криптовалюты на $14 млн.

Речь идет о случае, произошедшем в 2018 году, когда в США были арестованы два хакера, сумевших убедить оператора мобильной связи передать им контроль над номером, где была двухфакторная аутентификация к аккаунту администратора проекта Crowd Machine.

Рекомендация: отказ от верификации через SMS в пользу специальных программ для двухфакторной аутентификации (2FA), например, Google Authenticator.

Мобильные приложения

Жертвами хакеров чаще всего становятся владельцы устройств на Android, вместо 2FA использующие только логин и пароль. Происходит это в том числе и потому, что процесс добавления приложений в Google Play Store менее строгий, чем у App Store. Злоумышленники пользуются этим, размещая собственные приложения, которые имитируют известные кошельки и биржи, и выманивают у невнимательных пользователей конфиденциальные данные.

Одна из громких историй с фейковыми приложениями была связана с биржей Poloniex. В ноябре 2017 года эксперты компании ESET обнаружили в Google Play программу, которая выдавала себя за официальное мобильное приложение этой американской биржи. Суть мошенничества заключалась в том, что скачавшие программу пользователи вводили туда логин и пароль. Это позволяло создателям вируса самостоятельно менять настройки, выполнять транзакции, а также получить доступ к почте пользователей.

Несмотря на то, что на тот момент у Poloniex не было официальных мобильных приложений (они были выпущены только в июле 2018), два варианта фейковых приложений установили более 5 тысяч человек. После предупреждения ESET они были удалены из Google Play.

Также в Google Play находились фальшивые приложения MetaMask и Trezor Mobile Wallet.

Пользователи устройств на iOS чаще становятся жертвами злоумышленников, распространяющих приложения со встроенной функцией скрытого майнинга. После обнаружения этой проблемы компания Apple была вынуждена ужесточить правила принятия приложений в App Store. При этом ущерб от таких приложений достаточно невелик — они только снижают производительность компьютера, не уводя при этом средства.

Рекомендации: не устанавливайте приложения, в которых нет крайней необходимости. Не забывайте о двухфакторной аутентификации, а также проверяйте ссылки на приложения на официальных сайтах проектов и платформы, чтобы убедиться в их подлинности.

Расширения, плагины и аддоны для браузеров

Существует немало браузерных расширений и плагинов, призванных сделать взаимодействие с криптовалютными кошельками более простым и комфортным. Однако написаны они, как правило, на JavaScript, что делает их уязвимыми к хакерским атакам. Речь может идти как о перехвате пользовательских данных и дальнейшем доступе к кошелькам, так и об установке программ для скрытого майнинга.

При этом, как отметили в Check Point Software Technologies Ltd, именно скрытые криптомайнеры остаются доминирующей угрозой для организаций по всему миру. Так, в 2018 году криптомайнеры стабильно занимали первые четыре строчки рейтингов самых активных угроз и атаковали 37% организаций по всему миру. В 2019 году, несмотря на снижение стоимости всех криптовалют, 20% компаний продолжают подвергаться атакам криптомайнеров каждую неделю.

Противостоять этой угрозе можно несколькими способами: установить отдельный браузер или даже отдельный компьютер для трейдинга, использовать режим инкогнито, регулярно обновлять антивирусные базы и не скачивать никаких сомнительных расширений или плагинов.

*************

Несмотря на то, что основная часть хакерских атак приходится на биржи и компании, индивидуальных пользователей они также не обходят вниманием. Согласно результатам прошлогоднего исследования компании Foley & Lardner, 71% крупных трейдеров и инвесторов назвали наиболее высоким риском именно кражу криптовалют, 31% при этом назвал деятельность хакеров угрозой всей криптовалютной индустрии.

Хакеры, как правило, идут на шаг впереди всей индустрии, поэтому помимо специальных защитных программ не менее важным аспектом борьбы со злоумышленниками остается собственная компьютерная грамотность пользователей и отслеживание последних трендов и событий в области кибербезопасности.

сколько всего понапридумывали хакеры, я даже и не в курсе всех тем! Еще неплохой вариант защиты от угона крипты - пользоваться оффлайн кошельком. А также переходить на официальные сайты бирж и т.п. через сайты крупных агрегаторов - например коинмаркеткап и другие. Либо сохранять в закладки, но не в коем случае не входить через запрос в поисковике)

 

[roma.uzvarik18 30]

Нужно подключить двухфакторную аутентификацию , устанавливать сложные пароли и иметь хороший антивирус на пк. 

[denis4324234 108]

Действительно полезная информация , но я не храню криптовалюту на кошельках там нету хороших процентных начислений в отличие от биржи ёбит . А так кто богат криптой должен держать ради безопасности на кошельках . 

[Stranikk 112]

Не переводить очень крупные суммы разом. Поскольку блокчейн - это открытая сеть. И каждый любой другой пользователь может отследить вашу транзакцию по кошельку. Соотвественно, крупные суммы могут заинтересовать мошенников. Не знаю как, но могут и дальше вычислять ваш ip и способы удаленного подключения к вашему пк или телефону.  Таких ситуаций масса.

[stitch83 95]

У меня в 2017 с полоникса взломали и вывели около 0.01 битка они у меня в ETC хранились, да тогда только начинал свой путь в криптомире, потом уже и двухфакторку поставил.

[NeuRo 38]

Лучшим средством защиты кошелька от мошеников и скамеров послужит аппаратный кошелек, с виду как флешка, удобен, но стоит денег.

[Cryptozver 33]

4 hours ago, Olimon1 said:

Храни свой кошелёк на твёрдонакопителе, вот самая лучшая защита от взломов хакеров и всяких скам бирж или ботов! Если у тебя нет такой возможности, то ставь двухфакторную аунтефикацию и привязку по ip

Нужно еще чтоб при этом был статический ip с динамическим не поможет.

[mdv 37587]

21 hours ago, Zezari said:

Холодные кошельки тоже не на 100% безопасны. Есть многочисленные вирусы, считывающие данные о ключах и отправляющие их третьим лицам. Лучшая зашита считается контролировать какие вы открываете сайты и что скачиваете.

Информация не верная. Ничего считать с холодных кошельков просто не возможно, если вы сам же не засветите приватные данные для третьих лиц.)

19 hours ago, DaniilSK223 said:

Самой хорошей и самой простой защитой является seed фраза на 24 слова. Сохранил, а лучше всего запомнил и можешь не переживать за безопасность своих сбережений.

Сидфраза не является способом защиты. Сидфраза - всего лишь генератор, грубо говоря, пар ключей.)

3 minutes ago, Cryptozver said:

Нужно еще чтоб при этом был статический ip с динамическим не поможет.

В плане безопасности разницы нет никакой между статическими и динамическими айпи. Статический к тому же злую шутку сыграть с вами может.)

[ExCITE 91]

44 minutes ago, dmitriimedn said:

Самый  надежный кошель=системный. Возьмите самый простой системник поставьте на него люмикс и антивирь и установите системные кошельки на те монеты которые хотите хранить. Комп после перевода средств отключите от инета переводы на кошельки делайте по домашней сети. Самое надежной хранилище.

Ну раз на то пошло, то самый безопасные кошельки это аппаратный кошелек, который вообще не возможно никак взломать (если вы полные дурак, и не потеряете флешку),  но многим людям с головой хватает веб кошелька, главное вирусы не словить и иметь 2фа.

[zelenskiy1488 129]

если у тебя много монет криптовалюты, то естественно  будет лучше настроить хороший пароль для своего крипто кошелька, полностью себя обезопасить от воровства, ну или же и в правду купить холодный кошелек, тогда это будет полная и мощнейшая защита твоих денег 

[1neformal1 83]

Ну тут надо быть очень аккуратным, так как заскамить можно очень легко.1 Использовать безопасное интернет соеденение,2 Использовать проверенный кошелек.

[456545 27]

Вот про Slack-боты слышу впервые .. Полезная информация , спасибо .Я помимо антивирусной программы делаю настройки в Межсетевом экране . Закрываю все возможные порты которые мне не требуются и закрывают доступ для проникновений атак при уязвимости .Проверяю сторонними программами изначально что можно у меня закрыть , ну а после уже копаюсь в настройках в ручную . Это еще один способ обезопасить себя . Об остальном , выше все уже сказано ,мне добавить нечего .

 

 

 

[vldtslnk 0]

34 minutes ago, veterok90 said:

Для меня не имеющего серьёзных знаний в этой области служит: чистая ОС только для кошелька и бирж,антивирус, пароль стараюсь сделать по сложнее, 2fa ну и отсутствие паранои. 

Вы правы, главное не переборщить с тем, что вы боитесь , что ваш кошелёк или же профиль сломают. Для того что бы это не случилось, нужно сделать очень надёжный пароль, записать его себе в блокнот, и поставить 2фа, и тогда и нервничать по этому поводу не придётся .

[usol88 37]

Существует несколько главных факторов безопасности кошелька:

• Сам кошелёк. Конечно заполучить ваши данные могут любые люди, если вы зарегистрируетесь на левом кошельке или на фишинговом сайте. Здесь допускается меньше всего ошибок, думаю все могут смотреть на адресную строку и изучать кошелёк, прежде чем положить на него деньги. 
• Сложность пароля. Советую создавать пароль от 10 символов и более, в пароль стоит включать цифры (0-9), символы различного регистра (Aa-Zz), специальные символы (!#@%^* и т.д.)
• Двухфакторная авторизация. Для увеличения вашей безопасности советую пользоваться такими сервисами как Google Authenticator и прочими.

[Screwbaddy 16]

Проще использовать Binance и подобные ему по безопасности биржи. Бинанс при входе в аккаунт запрашивает смс с почты и смс, которое придет на телефон. Не думаю, что можно взломать аккаунт бинанса..

[rulezzz1305 1197]

Ну вообще способов множество. Главное я считаю это держать криптовалюту в надежных кошельках, проверенных годами. Есть специальные девайсы для хранения крипты, нечно похожее на флеш накопитель. Кто чем пользуется))