phishing

Często słyszymy, że technologia blockchain, jak i oparte na niej kryptowaluty teoretycznie są bezpieczne, co gwarantować ma właśnie zaawansowana kryptografia, która nie pozwala na złamanie zabezpieczeń i „shackowanie” takiego systemu. Nie trzeba być jednak uważnym obserwatorem świata walut cyfrowych, aby niejednokrotnie usłyszeć o kradzieżach kryptowalut z giełd, tokenach znikających z portfeli, czy kryptowalutowych transakcjach, w których transferowana suma nigdy nie trafiła do odbiorców. Czy to oznacza, że sieć blockchain wcale nie jest bezpieczna i da się ją złamać? Nie do końca. Kryptowaluty są bezpieczniejsze niż większość współczesnych systemów bankowych, ale tylko i wyłącznie wtedy, gdy korzystamy z nich w odpowiedni i świadomy sposób.

 

Artykuł ma za zadanie przybliżyć podstawowe zasady bezpiecznego przechowywania i użytkowania walut cyfrowych. Jeżeli dopiero rozpoczynasz swoją przygodę z kryptowalutami – ten tekst jest właśnie dla Ciebie. Jeżeli posiadasz już od jakiegoś czasu konkretne tokeny, które trzymasz na cyfrowych walletach lub giełdach, to być może nie dowiesz się niczego nowego, lecz zamiast tego usystematyzujesz i pogłębisz swoją dotychczasową wiedzę.

 

Zanim rozpoczniemy

Temat bezpieczeństwa rozpocznę od prostej konstatacji – im mniej wygodnie, tym bardziej bezpiecznie. Tę znaną zasadę można zastosować oczywiście nie tylko do kryptowalut, warto jednak pamiętać, że istnieją takie sposoby przechowywania cyfrowych tokenów, jak np. tzw. cold storage (portfel z kluczami prywatnymi na naszym komputerze bez jakiegokolwiek dostępu do Internetu), czy portfel znajdujący się na pendrive z zainstalowaną dystrybucją Linuxa o nazwie Tails. Są to jednak metody wymagające zarówno doświadczenia, jak i cierpliwości, dlatego też nie będę opisywał ich w niniejszym artykule.

Chciałbym także rozwiać wątpliwość, którą nakreśliłem we wstępie. Kradzieże z giełd, wyczyszczone portfele, zaginione tokeny i tysiące podobnych problemów to nie kwestia błędów w kryptograficznych zabezpieczeniach walut cyfrowych, lecz w ogromnej większości przypadków skutki zwykłego błędu ludzkiego.

 

Zaczynamy!

Zaczniemy oczywiście od podstaw. Chyba każdy słyszał o tym, że nie należy trzymać swoich środków na giełdach kryptowalut. Jak jednak pokazuje smutna statystyka, wciąż niewiele osób stosuje się do tej zasady, czasem z niewiedzy, a głównie z powodu lenistwa i zgubnego poczucia, że „nic złego się nie stanie”. Dlaczego nie powinniśmy trzymać kryptowalut na giełdzie? Wyjaśnienie jest proste:

1. Nie mamy dostępu do kluczy prywatnych kryptowalut zdeponowanych na giełdach – „umawiamy” się z administratorami giełdy na to, że posiadamy konkretną wartość tokenów, ale to oni są ich realnymi właścicielami. Co za tym idzie, gdy giełda z jakiegokolwiek powodu przestanie działać – najprawdopodobniej zostaniesz z niczym (bądź już Ci się to przytrafiło, jeśli np. byłeś aktywnym klientem polskiej giełdy Bitcurex).
2. Giełdy – z racji potężnych depozytów – bardzo często padają ofiarami ataków, w których hackowane są ich nieodpowiednio zabezpieczone portfele. Wystarczy wspomnieć ostatni atak na giełdę Coincheck z końca stycznia, podczas którego wykradziono ponad 500 mln tokenów XEM (NEM) z portfeli online o niskim poziomie zabezpieczeń.

Osobiście trzymam się zasady, wg której nie przechowuję jakichkolwiek środków (kryptowalut/walut fiducjarnych) na giełdzie dłużej niż 7 dni. Co więcej, jeśli już to robię, to tylko dlatego, że mój depozyt czeka na realizację zlecenia Limit po określonej przeze mnie cenie.

 

Giełdy to samo zło?

Z powyższego akapitu można wywnioskować, że giełdy są złe i niebezpieczne. To oczywiście wniosek błędny, gdyż rzetelne i sprawdzone giełdy kryptowalut są w zasadzie niezbędne do obracania walutami cyfrowymi. Warto jednak pamiętać, że giełdy nie pełnią roli portfeli kryptowalutowych, mimo że wygodniej jest na nich trzymać swoje środki. A, jak wiemy z początku artykułu, im większa wygoda, tym mniejsze bezpieczeństwo.

Korzystając z giełd kryptowalut, należy trzymać się pewnych podstawowych zasad tak, aby nie stać się ofiarą kradzieży jeszcze przed zdeponowaniem na nich środków.

Przygotuj się na to, że cyberprzestępcy będą chcieli za wszelką cenę zdobyć Twoje dane do logowania na giełdę. Najlepiej w taki sposób, w którym to Ty sam je podajesz. W tym miejscu muszę wspomnieć o oszustwie, jakim jest phishing. Jest to próba wyłudzenia poufnych informacji (np. danych do logowania) poprzez podszywanie się pod prawdziwą stronę, w naszym przypadku giełdy. Oszuści klonują oryginalną witrynę, chcąc zebrać dane nieświadomych użytkowników, którzy zostawią na fałszywej stronie swoje prawdziwe dane do logowania. Popularnym rodzajem phishingu jest też wysyłanie maili podszywających się pod obsługę giełdy, z linkiem odsyłającym do fałszywej strony logowania. Schemat jest ten sam, a wina zawsze po naszej stronie – żadna giełda nie poczuje się odpowiedzialna za to, że sami podaliśmy cyberprzestępcom nasze poufne dane.

 

✕

Autentyczny przykład niezwykle przebiegłej próby ataku phishingowego opartego o dokładny klon głównej strony giełdy binance.com. Czy widzisz, co nie zgadza się w adresie strony?

 

Aby nie dać się oszukać:

1. Korzystaj z podwójnej (dwuetapowej) autoryzacji (tzw. 2FA) za pomocą aplikacji Google Authenticator. Korzystanie z niej jest niezwykle proste, a jednocześnie praktycznie uniemożliwia niepożądane zalogowanie się na nasze konto. Pamiętaj, aby zapisać w bezpiecznym miejscu klucz do odzyskania dostępu przy pierwszej konfiguracji 2FA – z pewnością przyda się przy zmianie, czy po zgubieniu telefonu. Jeśli giełda, z której korzystasz nie udostępnia możliwości włączenia dwuetapowej autoryzacji, to być może czas pomyśleć nad jej zmianą. Takich giełd jest na szczęście coraz mniej, choć wciąż się zdarzają. Unikaj ich jak ognia – jeśli ktoś nie dba o Twoje bezpieczeństwo, dlaczego miałbyś powierzać mu swoje środki?
2. Strony giełd i portfeli zapisuj zawsze w Ulubionych/Zakładkach na swojej przeglądarce. Wpisuj pełne adresy stron i staraj się nie szukać tego typu witryn za pomocą wyszukiwarek, gdyż bardzo często w ich wynikach pojawiają się fałszywe strony. Jeśli wchodzisz na stronę z wyszukiwarki, sprawdź dokładnie pasek adresu – czy nazwa i domena się zgadzają i czy strona ma odpowiedni certyfikat bezpieczeństwa. Nigdy nie wchodź na giełdę przez skomplikowane linki z przekierowaniami i z reklam Google AdWords – w nich bardzo często czają się phishingowi oszuści.
3. Nigdy nie klikaj w linki zawarte w mailach od giełd. Jedynym wyjątkiem jest moment zakładania konta, jednak nawet wtedy żadna giełda nie przekieruje Cię (a przynajmniej nie powinna) od razu do strony logowania, a jedynie do komunikatu o tym, że rejestracja została potwierdzona.
4. Przy kopiowaniu adresów portfeli podczas robienia transferów zawsze dokładnie sprawdzaj czy wklejony ciąg cyfr zgadza się z tym, który został skopiowany. Istnieją proste w działaniu i trudne do wykrycia przez oprogramowania antywirusowe trojany, które potrafią podmieniać adresy portfeli przy przelewach konkretnych kryptowalut. Brzmi jak paranoja? Być może, ale niestety przypadki takich kradzieży (głównie najpopularniejszych kryptowalut) są faktem.

 

Co ważne, powyższe zasady bezpieczeństwa (od 2 pkt.), należy bezwzględnie stosować również w przypadku korzystania z kryptowalutowych walletów online.

 

 

Przygotuj swój komputer na przyjęcie kryptowalut

Jeżeli podjąłeś słuszną decyzję i nie chcesz trzymać swoich kryptowalut na giełdach, oznacza to, że czeka Cię utworzenie portfela online, zainstalowanie softwareowego lub zakup portfela sprzętowego. Jak zapewne wiesz, nie ma jednego, czy nawet dwóch portfeli do wszystkich kryptowalut (jeśli ta superpodstawowa informacja Cię uraziła, po prostu ją zignoruj, gdyż pewne rzeczy po prostu dla ścisłości trzeba napisać), co więcej, niektóre projekty wciąż nie posiadają własnych oficjalnych dedykowanych walletów. Zanim jednak zaczniesz przechowywać swoje środki na rozmaitych portfelach, powinieneś wiedzieć, że należy do tego przygotować swój komputer (o przygotowaniu swojego smartfona na przyjęcie kryptowalut, napiszę innym razem).

1. Wariant optymistyczny – masz wolny komputer/laptop, który będziesz mógł wykorzystywać wyłącznie do przetrzymywania i obrotu kryptowalutami oraz operacji bankowych. Specyfikacja sprzętu tak naprawdę nie ma dużego znaczenia (ważne, aby procesor był 64-bitowy, co od kilku lat jest standardem), możesz użyć starszego urządzenia po sformatowaniu systemu (Windows) / przywróceniu do ustawień fabrycznych (Mac OS). Specjaliści twierdzą, że do tego typu zastosowań najlepszy będzie Linux w odpowiedniej dystrybucji, ale jeśli czytasz ten artykuł, to raczej nie będzie to rozwiązanie dla Ciebie (swoją drogą, ja też kompletnie tego nie ogarniam…)
2. Wariant realistyczny – będziesz korzystać ze sprzętu codziennego użytku. Jeśli chcesz zachować bezpieczeństwo:
   1. Korzystaj z programu antywirusowego (poza np. zaporą Windows Defender)
   2. Nie używaj nielegalnego oprogramowania, zapomnij o korzystaniu z torrentów, przestań odwiedzać pirackie serwisy streamingowe
   3. Korzystaj z bezpiecznej przeglądarki internetowej, takiej jak np. Brave
   4. Jeśli nie możesz pozwolić sobie na osobny komputer do obrotu kryptowalutami, spróbuj przynajmniej wykorzystywać jedną z przeglądarek wyłącznie do tego celu (np. wspomniany wcześniej Brave)
   5. Nigdy nie trzymaj plików z kluczami prywatnymi, seedami na dysku komputera, ani tym bardziej na internetowej chmurze. Po ich wygenerowaniu, natychmiast przegraj je na zewnętrzny nośnik, np. pendrive, uprzednio zmieniając nazwę pliku (np. z „metamask seed words” na „moje słówka do eterów”) na cokolwiek, co nie pozwoli odpowiednio zaprogramowanym wirusom ich odnaleźć.

 

Czas na szczere podsumowanie

Będę z Tobą szczery – nie stosując się do powyższych zasad, masz całkiem sporą szansę na to, że nigdy nie padniesz ofiarą kradzieży. Jednak stosując się przynajmniej do większości z tych wytycznych, będziesz mieć pewność, że Twoje środki są bezpieczne. Wybór oczywiście należy do Ciebie.

To, co tutaj opisałem to tylko początek – w kolejnych artykułach zajmę się rodzajami portfeli, a także superskomplikowanymi i bardzo mało wygodnymi sposobami na maksymalne zabezpieczenie swoich środków w długim terminie.

 

Korzystając z okazji, chciałbym zaprosić Cię do regularnego oglądania ‘O kryptowalutach’, który jest chyba jedynym polskojęzycznym programem satyryczno-edukacyjnym o... kryptowalutach.

Widzimy się co środę o godzinie 18:00 na naszym kanale YouTube!