Kai skaitmeniniai korsarai plaukioja interneto vandenyse

Kriptovaliutų pasaulis primena laukinius vakarus – daug galimybių, bet ir pavojų nestinga. Tik vietoj arkliavagių čia veikia sofistikuoti kibernetiniai nusikaltėliai, kurie sugeba ištuštinti jūsų skaitmeninę piniginę greičiau nei spėsite pasakyti „blockchain”. Ir nors terminas „piratai” gali skambėti romantiškai, realybė yra gerokai niūresnė.

Per pastaruosius kelerius metus kriptovaliutų vagystės tapo tikra industrija. 2023 metais iš įvairių platformų ir privačių piniginių buvo pavogta daugiau nei 1,7 milijardo dolerių vertės skaitmeninių aktų. Tai ne kokie nors paaugliai su kompiuteriais rūsiuose – dažnai kalbame apie organizuotas grupes, kartais net valstybių remiamas, kurios naudoja pažangiausias technologijas ir socialinės inžinerijos metodus.

Problema ta, kad daugelis kriptovaliutų entuziastų vis dar mano, jog jų nedidelė investicija niekam neįdomi. Tai didžiulė klaida. Šiuolaikiniai kibernetiniai nusikaltėliai veikia masiniais metodais – jiems nesvarbu, ar pavogsite 500, ar 50 000 dolerių. Automatizuoti įrankiai leidžia pulti tūkstančius taikinių vienu metu.

Kaip jie tai daro: populiariausi apiplėšimo būdai

Phishing atakos išlieka numeris vienas tarp kriptovaliutų vagių ginklų arsenalo. Gaunate elektroninį laišką, kuris atrodo kaip pranešimas iš jūsų naudojamos biržos ar piniginės. Dizainas tobulas, logotipas tikras, net URL adresas beveik identiškas. Paspaudžiate nuorodą, įvedate savo prisijungimo duomenis ir… viskas. Per kelias minutes jūsų sąskaita ištuštinama.

Kas įdomu – šie sukčiai nebėra primityvūs. Jie stebi socialinę žiniasklaidą, žino, kokiomis platformomis naudojatės, net gali žinoti, kada paskutinį kartą atlikote sandorį. Vienas mano pažįstamas prarado beveik 15 000 eurų vertės Ethereum, nes gavo „skubų” pranešimą apie įtartiną veiklą savo paskyroje. Baimė ir skuba – geriausi sukčių sąjungininkai.

Kenkėjiškos programos ir keyloggeriai – kitas populiarus metodas. Parsisiunčiate, atrodytų, nekaltą programą ar net kriptovaliutų piniginę iš nepatikimo šaltinio, o kartu gaunate ir „bonusą” – programą, kuri seka kiekvieną jūsų klavišo paspaudimą. Taip vagiami slaptažodžiai, seed frazės ir kita kritinė informacija.

SIM swap atakos tapo ypač populiarios pastaraisiais metais. Nusikaltėliai, naudodami socialinę inžineriją, įtikina jūsų mobiliojo ryšio operatorių, kad jie esate jūs ir prašo perkelti numerį į naują SIM kortelę. Gavę kontrolę virš jūsų telefono numerio, jie gali apeiti dviejų faktorių autentifikaciją ir pasiekti jūsų sąskaitas.

Kodėl tradicinė apsauga nebeveikia

Daugelis žmonių vis dar tiki, kad stiprus slaptažodis ir dviejų faktorių autentifikacija per SMS yra pakankama apsauga. Buvo laikas, kai taip ir buvo, bet ne dabar. Kriptovaliutų pasaulis vystosi greičiau nei saugumo standartai, o nusikaltėliai visada yra žingsnį priekyje.

Problema su centralizuotomis biržomis – jūs iš tikrųjų nevaldote savo kriptovaliutų. Tai kaip laikyti pinigus banke, tik bankas neturi valstybės garantijų ir kartais veikiamas žmonių, kurių kompetencija kelia klausimų. Mt. Gox, QuadrigaCX, FTX – šie pavadinimai tapo sinonimais masiniams kriptovaliutų praradimams.

Net jei pati platforma saugi, žmogiškasis faktorius lieka silpniausia grandis. Darbuotojas, kurį galima papirkti ar apgauti, vienas netinkamai sukonfigūruotas serveris, viena nepataisyta saugumo spraga – ir milijonai dingsta per kelias valandas.

Šaltųjų piniginių filosofija

Jei rimtai žiūrite į kriptovaliutų saugumą, kelias veda prie šaltųjų piniginių (cold wallets). Tai fiziniai įrenginiai, kurie laiko jūsų privačius raktus visiškai atskirai nuo interneto. Ledger, Trezor, ColdCard – tai ne tik įrankiai, bet ir ramybės garantija.

Šaltoji piniginė veikia paprastai: jūsų privatūs raktai niekada nepalieka įrenginio. Net kai pasirašote sandorį, viskas vyksta įrenginyje, o į išorę išeina tik pasirašyta transakcija. Net jei jūsų kompiuteris užkrėstas visais įmanomais virusais, jie negali pasiekti jūsų raktų.

Tačiau ir čia yra niuansų. Pirkite šaltas pinigines tik iš oficialių gamintojų svetainių ar patikimų perpardavėjų. Yra buvę atvejų, kai žmonės pirko „naują” piniginę iš Amazon ar eBay, o ji jau buvo kompromituota – nusikaltėliai iš anksto žinojo seed frazę. Taip pat niekada nefotografuokite ir nesaugokite savo seed frazės skaitmenine forma. Tai turėtų būti užrašyta popieriuje ar net iškaltas metale ir laikoma saugioje vietoje.

Daugiasluoksnė gynybos strategija

Vienas saugumo sprendimas niekada nebus pakankamas. Reikia mąstyti sluoksniais, kaip svogūnas. Kiekvienas sluoksnis apsunkina užpuoliko darbą, o kartu suteikia jums daugiau laiko pastebėti ir reaguoti į grėsmę.

Pirmas sluoksnis – stiprūs, unikalūs slaptažodžiai kiekvienai platformai. Naudokite slaptažodžių valdymo programas kaip Bitwarden ar 1Password. Taip, tai dar viena programa, kurią reikia apsaugoti, bet geriau turėti vieną gerai apsaugotą tašką nei dešimtis silpnų.

Antras sluoksnis – hardware-based dviejų faktorių autentifikacija. Pamirškit SMS kodus. Įsigykite YubiKey ar panašų įrenginį. Jis kainuoja apie 50 eurų, bet gali išsaugoti tūkstančius. Kai prisijungiate prie platformos, be slaptažodžio reikia fiziškai paliesti šį įrenginį. Net jei kažkas pavogė jūsų slaptažodį, be fizinio įrenginio jie niekur nepateks.

Trečias sluoksnis – atskiras, švarus įrenginys kritinėms operacijoms. Senasis laptopas ar pigus Chromebook, kuris naudojamas tik kriptovaliutų sandoriams. Jokių atsisiuntimų, jokių įtartinų svetainių, jokių socialinių tinklų. Tai gali atrodyti paranojiškai, bet kai kalbame apie didelius pinigus, paranoja tampa apdairia atsargumu.

Socialinė inžinerija: kai problema sėdi priešais ekraną

Galite turėti geriausią techninę apsaugą pasaulyje, bet jei jus gali apgauti, viskas veltui. Socialinė inžinerija – tai menas manipuliuoti žmonėmis, kad jie patys atiduotų savo duomenis ar prieigą.

Klasikinis scenarijus: gaunate skambutį iš „palaikymo tarnybos”. Skambinantysis žino jūsų vardą, el. paštą, galbūt net kai kurias detales apie jūsų sąskaitą. Jie sukuria skubos ir baimės atmosferą – „jūsų sąskaita užšaldyta”, „įtartina veikla”, „turite patvirtinti tapatybę dabar”. Ir štai jau sakote informaciją, kurios niekada neturėtumėte dalintis.

Aukso taisyklė: nė viena teisėta platforma niekada neprašys jūsų seed frazės, privataus rakto ar viso slaptažodžio. Niekada. Jei kas nors prašo – tai 100% sukčiavimas, nesvarbu, kaip įtikinami jie atrodytų.

Būkite atsargūs ir socialiniuose tinkluose. Nesigirkite savo kriptovaliutų turtu, nedalinkitės detalėmis apie savo investicijas. Tai ne tik gero skonio klausimas – tai saugumo klausimas. Kuo daugiau informacijos apie jus viešai prieinama, tuo lengviau sukurti įtikinamą phishing ataką ar net fizinę grėsmę.

Kas daryti, kai viskas jau nutiko

Pastebėjote įtartiną transakciją. Širdis krūtinėje daužosi, rankos dreba. Pirmas impulsas – panika. Bet būtent dabar reikia išlaikyti šaltą galvą ir veikti greitai bei metodiškai.

Pirma – nedelsiant pakeiskite visus slaptažodžius ir atšaukite visas aktyvias sesijas visose platformose, kuriose turite kriptovaliutų. Jei įmanoma, perkelkite likusius aktus į naują, saugią piniginę. Kiekviena minutė svarbi.

Antra – dokumentuokite viską. Darykite ekrano kopijas, išsaugokite transakcijų ID, užrašykite visą chronologiją. Net jei šansai atgauti pinigus maži, ši informacija gali būti naudinga teisėsaugai ar bent padėti kitiems išvengti panašios dalios.

Trečia – praneškite platformoms ir teisėsaugai. Taip, daugelis kriptovaliutų vagysčių lieka neišspręstos, bet kartais pavyksta. Ypač jei nusikaltėliai bando išgryninti pinigus per centralizuotas biržas, kur galioja KYC (Know Your Customer) reikalavimai. Yra buvę atvejų, kai pavogti aktai buvo užšaldyti ir grąžinti teisėtiems savininkams.

Ketvirta – mokykitės iš klaidos. Kaip nutiko? Ką galėjote padaryti kitaip? Kriptovaliutų saugumo mokymosi kreivė gali būti brangi, bet kiekviena pamoka turėtų padaryti jus stipresniu.

Kai apsauga tampa gyvenimo būdu

Kriptovaliutų saugumas nėra vienkartinis veiksmas – tai nuolatinė praktika, beveik kasdienė rutina. Gali atrodyti varginantis būti nuolat budriems, bet kai tai tampa įpročiu, nebeatrodo tokia sunki našta.

Reguliariai atnaujinkite programinę įrangą – ir savo įrenginių operacines sistemas, ir kriptovaliutų pinigines. Dauguma atnaujinimų apima saugumo pataisymus. Taip, kartais po atnaujinimo kažkas veikia ne taip, kaip įpratote, bet tai maža kaina už apsaugą nuo žinomų pažeidžiamumų.

Diversifikuokite saugojimo būdus. Nelaikykite visų kiaušinių vienoje krepšelyje – nei vienoje biržoje, nei vienoje piniginėje. Galbūt 70% ilgalaikėms investicijoms šaltoje piniginėje, 20% patikimoje biržoje aktyviam prekybavimui, 10% karštoje piniginėje kasdieniam naudojimui. Jei viena dalis nukentėja, nepralaimate visko.

Sukurkite „paveldo planą”. Kas nutiks su jūsų kriptovaliutomis, jei jums kas nors atsitiktų? Jei tik jūs žinote seed frazę ir ji užrašyta vienintelėje vietoje, jūsų artimieji gali niekada nepasiekti tų lėšų. Yra sudėtingų sprendimų, kaip multisig piniginės ar pasitikėjimo paslaugos, bet net paprastas planas geriau nei jokio.

Ir paskutinis, bet ne mažiau svarbus dalykas – pasitikėkite savo instinktais. Jei kažkas atrodo per gerai, kad būtų tiesa – greičiausiai taip ir yra. Jei jaučiate, kad kažkas ne taip – sustokite ir patikrinkite dar kartą. Geriau praleisti galimybę nei prarasti viską.

Kriptovaliutų pasaulis vis dar yra kaip laukiniai vakarai, tačiau tai nereiškia, kad turite tapti lengva auka. Su tinkamomis žiniomis, įrankiais ir nuostatomis galite mėgautis šios technologijos teikiamomis galimybėmis, neprarasdami savo skaitmeninio turto šiuolaikiniams piratams. Saugumas prasideda nuo jūsų pačių sprendimų – kiekvieno paspaudimo, kiekvienos nuorodos, kiekvieno pasitikėjimo momento. Būkite protingesni už užpuolikus, ir jūsų kriptovaliutos liks ten, kur joms ir vieta – jūsų kontrolėje.