Как защитить свои криптоактивы от фишинга?

Криптовалютный рынок с самого начала своего существования был переполнен различного рода мошенническими схемами и с годами ситуация только усугубляется. Сегодня мы говорим о фишинге — распространенном способе кражи средств доверчивых крипто-энтузиастов: что это такое, как вычислить и какие меры защиты существуют.

Суть фишинга и его опасность в криптомире.

Фишинговая атака — это вид мошенничества, где злоумышленник маскируется под доверенный источник, например банк, биржу или популярный сайт, чтобы выманить у пользователя конфиденциальную информацию. Основная цель фишинга в криптовалютной сфере — завладеть доступом к вашим активам. 

Больше всего “фишеры” хотят узнать вашу seed-фразу, приватные ключи, логины и пароли от криптокошельков и бирж, а иногда и банковские данные, если они вдруг связаны с криптооперациями.

Всемирная паутина давно стала основной площадкой для таких атак. Мошенники создают фишинговые сайты и прочие копии проверенных ресурсов: кошельков типа MetaMask, бирж, сервисов для проверки эйрдропов, отличающихся лишь одной-двумя буквами в адресе; пользователь, введя свои данные на таком сайте или сервисе, моментально передает их в руки злоумышленников. 

Фишинг является серьезной угрозой для юзеров, потому что транзакции в блокчейне необратимы, украденные средства вернуть почти невозможно, а жертвой может стать даже опытный инвестор.

Почему криптокошельки – главная мишень?

Кража криптоактивов особенно привлекательна для мошенников из-за особенностей технологии: в отличие от традиционных банковских счетов, доступ к криптокошельку обеспечивается исключительно конфиденциальной информацией — приватным ключом или seed-фразой. Тот, кто владеет ими, получает полный контроль над средствами, а централизованного органа, который бы мог заблокировать транзакцию или вернуть деньги в случае обнаружения кражи — попросту не существует.

На данный момент фишинг — это самый распространенный вид атаки в криптовалютной нише из-за относительной простоты исполнения и высокой потенциальной отдачи для злоумышленника. Пользователи, особенно новички, могут не обладать достаточной бдительностью, а распознавать подделки становится все сложнее: фишинговые сайты выглядят безупречно, а сообщения в соцсетях и фишинговые письма имитируют официальный стиль компаний. 

Поэтому, если вы поторопились, отвлеклись или просто не проверили тот или иной ресурс — высока вероятность расстаться с деньгами.

Какие виды фишинговых атак существуют?

Первый и самый главный вид фишинга — поддельные сайты. Злоумышленники регистрируют домены, похожие на адреса известных бирж, кошельков или сервисов, подменяя всего одну букву в названии — это действительно сложно заметить невооруженным взглядом. Если пользователь вводит свои данные — они сразу попадают к мошенникам. 

Второй по популярности метод — фишинговая рассылка сообщений. Человеку приходит письмо на электронный адрес или сообщение в мессенджере/соцсети, маскирующееся под официальное уведомление от биржи, кошелька или банковского сервиса. Обычно такое оповещение содержит тревожный призыв, например: «Ваш аккаунт под угрозой!» и ссылку на поддельный сайт для «подтверждения данных» или «восстановления доступа».

До сих пор популярны фейковые аккаунты в соцсетях и фейковая поддержка: мошенники создают клоны аккаунтов известных проектов и персонажей в Twitter, Telegram или Discord. Под постами или в личных сообщениях они предлагают «помощь» или «раздачу», содержащую ссылку на фишинговый ресурс. Такие сообщения — почти всегда скам.

Часто встречаются и поддельные версии популярных кошельков, иногда даже попадающие в официальные магазины приложений, а всевозможные вредоносные браузерные расширения опасны не меньше, чем сами фишинговые сайты — они перехватывают вводимые данные или подменяют адреса кошельков при копировании.

Также существуют так называемые “пылевые” атаки или “dusting”: злоумышленники отправляют на кошельки жертв небольшие суммы токенов или NFT. В описании токена/NFT содержится ссылка на фишинговый сайт, замаскированная под предложение бесплатного эйрдропа или важную информацию. Конечно же, любопытство ведет человека на вредоносный ресурс.

Основные меры защиты от фишинга.

Защита от фишинговых атак строится на сочетании технологий и осознанного поведения — ниже расписали основные правила безопасности при пользовании различными ресурсами.

Первое и самое главное правило — никогда и никому не раскрывайте seed-фразу и приватные ключи. Ни один легитимный сервис никогда не запросит у вас эту информацию — ее должны знать только вы. Саму запись ключей храните офлайн, на физическом носителе вроде металлической пластины или защищенной от огня и влаги бумаге, никогда не вводите на сайтах и не храните в облаке или на устройстве в текстовом файле.

Всегда вручную набирайте адреса важных сайтов (кошельков, бирж) в браузере или используйте сохраненные закладки. Никогда не переходите по ссылкам из писем, сообщений в соцсетях, мессенджерах или комментариев, даже если они выглядят безобидно. 

Внимательно проверяйте каждый символ в адресной строке перед вводом данных. Использовать поисковики для поиска криптоплатформ рискованно — мошенники покупают рекламу, чтобы их фишинговые сайты показывались первыми.

Используйте аппаратные кошельки наподобие Ledger или Trezor для основных средств — такие устройства хранят приватные ключи офлайн. Даже если вы подключите его к зараженному компьютеру и введете seed-фразу на фишинговом сайте, средства останутся в безопасности, ведь для подтверждения транзакции потребуется физическое нажатие кнопки на самом устройстве. Такое «холодное» хранение – золотой стандарт безопасности для значительных сумм.

Включите двухфакторную аутентификацию везде, где возможно, но не используйте SMS: атаки SIM-свопинга делают SMS ненадежными. Применяйте приложения-аутентификаторы или, что еще лучше, физические FIDO2-ключи безопасности. Последние обеспечивают максимальную защиту от фишинговых атак, так как подтверждают вход только на правильном домене.

Поведенческие правила и цифровая гигиена: на что обратить внимание.

Будьте крайне подозрительны к любым предложениям помощи, «супер-доходным» инвестициям, сообщениям о выигрышах или необходимости «срочно что-то проверить». Не взаимодействуйте с подозрительными аккаунтами, даже если они похожи на настоящие — всегда проверяйте их через официальные ссылки на сайтах проектов.

Не забывайте также проверять сайты и приложения: перед вводом данных или подключением кошелька убедитесь в подлинности ресурса. Сверяйте адрес, ищите SSL-сертификат, проверяйте дизайн на наличие несоответствий. Загружайте приложения кошельков только с официальных сайтов или магазинов приложений.

Разделяйте капитал на разные кошельки: лучше иметь основной аппаратный кошелек для хранения большей части капитала и отдельный «расходный» кошелек с небольшим балансом для взаимодействия с новыми или непроверенными сервисами — это минимизирует потери в непредвиденных ситуациях.

Установите защитные расширения: используйте браузерные решения, специализирующиеся на защите от фишинговых атак в криптосфере, например Scamsniffer, PocketUniverse, Rabby Wallet: они могут предупреждать о подозрительных сайтах, показывать риск при подписании транзакций и проверять адреса получателей.

Что делать, если вы стали жертвой фишинга.

Если вы подозреваете, что все-таки ввели данные на фишинговом сайте или потеряли средства, то:

1) Если кошелек уже скомпрометирован и раскрыта seed-фраза или приватный ключ, немедленно создайте новый кошелек с новой seed-фразой и переведите туда все оставшиеся средства — старый кошелек теперь небезопасен.

2) Если возможно — заблокируйте доступ через смену паролей. Если атака затронула аккаунт на централизованной бирже, немедленно свяжитесь со службой поддержки, сообщите о взломе и запросите заморозку аккаунта.

3) Сообщите о мошенничестве, подав заявление в правоохранительные органы: в некоторых странах крипто-мошенничество преследуется по закону.

4) Сообщите о фишинговом сайте/аккаунте в браузеры, поисковые системы, платформы и социальные сети, а также в специализированные сервисы наподобие Chainabuse.

5) Проведите аудит безопасности: проверьте свои устройства на вирусы и вредоносное ПО, удалите подозрительные расширения. Смените пароли на всех важных сервисах, особенно если использовали одинаковый пароль, убедитесь, что двухфакторная аутентификация включена и настроена правильно.

Что делать, чтобы не “попасться на удочку”?

Безопасность ваших средств в криптосфере требует постоянного внимания — мошенничество не стоит на месте, а методы злоумышленников становятся только изощреннее.

Всегда следите за новостями о новых видах фишинга и уязвимостях, читайте официальные блоги проектов, которым доверяете, используйте только проверенные СМИ. Предупрежден — значит вооружен.

Постоянно повышайте вашу грамотность и умение пользоваться теми или иными сервисами и приложениями, разберитесь, как правильно работать с кошельками, что такое подпись транзакций, как использовать блокчейн-эксплореры (Etherscan, BscScan) и т.д. Чем лучше вы изучите технологию, тем сложнее вас обмануть.

Если вы нашли фишинговый сайт или аккаунт — незамедлительно сообщите о нем, это поможет защитить других пользователей. 

Удачи!