Уважаемые пользователи Голос!
Сайт доступен в режиме «чтение» до сентября 2020 года. Операции с токенами Golos, Cyber можно проводить, используя альтернативные клиенты или через эксплорер Cyberway. Подробности здесь: https://golos.io/@goloscore/operacii-s-tokenami-golos-cyber-1594822432061
С уважением, команда “Голос”
GOLOS
RU
EN
UA
mir
7 лет назад

Как безопасно хранить и использовать криптовалюты. Ч. 1: Фишинг, Фишинговая инфекция и Антифишинг || КриптоПрактика от @mir + Психология || ПСК

Привет, мир! =)

Продолжаю тему #криптопрактика (cryptopraktica).

Сегодня, в 1 Части, я начну делиться правилами, которые я использую уже более двух лет для безопасного пользования кошельками и биржами криптовалют. Данная серия статей предназначена, как короткие инструкции для новичков в мире криптовалют. Однако, возможно, мои советы помогут и бывалым криптоэнтузиастам.

Итак, начнем! 

В мире, когда замки сейфа стали достаточно надежными, не обязательно пытаться сломать замок или сейф. Достаточно подобрать ключ или выманить его у владельца. (с) @mir

Как безопасно хранить и использовать криптовалюты. Ч. 1: Фишинг и Антифишинг



Для начала - немного про фишинг....

- Представляешь, мне вчера пришло письмо, где администрация криптобиржи меня уведомляла о взломе моего аккаунта! Но они сразу мне подсказали, что делать - срочно ввойти в аккаунт и поменять пароли.
- И что?
- Ну, я ввела все пароли на бирже... но, наверное, не успела. Сперва какая-то там ошибка была. Вчера проверила баланс аккаунта. Все деньги вывели. Ворюги!
- А в том письме, которое администрация присылала, ссылка была?
- Ну, да, чтоб я пароли срочно поменяла....
- .....

Приведенный выше фрагмент разговора - был придуман мною, но именно так фишинг обычно и происходит. Метод фишинга используется мошенниками не только в сфере криптовалют. Намного раньше, фишинг начал использоваться мошенниками для получения доступа к банковским картам и для захвата личных аккаунтов в социальных сетях или платежных системах.


Немного статистики про масштабы фишинга

Согласно отчетам по спаму и фишингу от Лаборатории Касперского, которые публикуются на сайте https://securelist.ru/ в мире в 2016 году на компьютерах пользователей продуктов «Лаборатории Касперского» было зафиксировано 154 957 897 случаев-попыток перехода на фишинговые сайты. Это на 6  562 451 попыток больше, чем в 2015 году. 

В прошлом же 2017 году в мире на компьютерах пользователей продуктов «Лаборатории  Касперского» было зафиксировано 246 231 645 случаев-попыток перехода на фишинговые сайты. Это на 91 273  748 больше, чем в 2016 году.  

И это - лишь вершина айсберга, ведь приведенная мною статистика - информация среди пользователей продуктов упомянутой Лаборатории Касперского. А это - лишь часть общемировой информации. Ее я привел с целью увидеть динамику.

С появлением бирж и онлайн криптокошельков, а также большого количества ICO, появилось огромное количество желающих нажиться на невнимательных пользователях. И, как я указал в цитате выше, не обязательно взламывать криптовалютную биржу или кошелек. Можно просто выманить приватные ключи у потенциальной жертвы.

Из данных сайта известной всем нам биржи @kuna по состоянию на июль 2017 года стало известно, что более 100 сообществ Slack были использованы фишиговыми злоумышленниками. В зону риска попали десятки тысяч ETH и ETC пользователей.

До 7 июля было похищено 682 000 долларов США из-за  вредоносных фишинговых сообщений, отправленных через Slack, а также из  вредоносных личных сообщений, отправленных пользователям в Reddit. Некоторые фальшивые сообщения отправляются, якобы, от лица соучредителя Ethereum Виталика Бутерина в Slack и Reddit. Мошенничество с фишингом, ориентированное на пользователей  Ethereum, впервые обнаружилось в 2016 году, а недавнее увеличение числа  атак связано с резким ростом курса валюты. В июне 2015 года цена на Ethereum была очень низкой, но к  маю 2016-го она выросла более чем на 2300% – до $200, прежде чем  достигнуть максимума $400 в конце июня. 


Что такое фишинг?

Во все времена существовали профессиональные обманщики и аферисты. Потому-что желание обмануть и получить за это награду находится в самом человеке. С появлением новых технологий, совершенствуются и различные способы мошенничества. Как говорил знаменитый Остап Бендер, не обязательно никого убивать, ведь есть 400 сравнительно честных способов отъема денег у населения... 

Теперь же способов отъема денег у населения стало значительно больше. Рассмотрим один из таких видов мошенничества только для того, чтоб понять как с ним бороться. 

Фишинг - вид интернет-мошенничества, цель которого получение доступа к конфиденциальным данным пользователя (логинам и паролям). На самом деле, фишинг является подвидом мошенничества с использованием социальной инженерии, при котором персональные данные "выуживают" у пользователей с помощью смс, почтовых рассылок или в сообщениях в Телеграме, Slack, Вк, Facebook  (новый вид фишинга особенно стал процветать во время "бума" ICO) под каким-то предлогом. Именно потому и называется это мошенничество фишингом (от англ. phishing - «рыбная ловля, выуживание»):


Обычно отправитель такого фишингового письма или смс выступает якобы от имени известной компании и сервиса. В случае с криптовалютами - отправитель называет себя представителем или службой поддержки криптобиржи, криптовалютного кошелька или проекта, проводящего ICO (продажи токенов).

Во время фишинга жертва сама отдает свои персональные данные злоумышленникам. Это не только самый простой способ завледеть деньгами или информацией жертвы, но как оказалось, самый действенный. Пользователь (жертва) думает, что переходит на заявленный сайт, однако фактически его перенаправляют на подставной (дублирующий) сайт. 

Виды фишинга

Фишинг может быть разделен на два типа - в зависимости от того, на кого идет атака (в зависимости от объекта фишинга). Если атака происходит посредством спамовой рассылки многим лицам, то это массовый фишинг. Если же объектом фишинга выступает конкретное лицо или организация, то это - индивидуальный фишинг (целевой фишинг).

Обычно хакеры, используя приемы психологического манипулирования пытаются оказать давление на эмоции и потребности пользователей для более адресного применения фишинговых атак и повышения их эффективности. Как я уже писал, фишинг бывает, как массовым (когда рассылку одинаковых писем забрасывают в "море" большого количества людей), так и индивидуальный (когда на определенную жертву поступает "заказ"). Примером последней разновидности фишинга является случай, когда необходимо получить данные аккаунтов определенного лица - журналиста, политика, предпринимателя или другой известной личности. Пару лет назад один журналист даже "заказал" взлом своего собственного почтового аккаунта - с целью проведения небольшого расследования. Об этой истории можно прочесть в статье "Как я заказал взлом своего e-mail пяти разным хакерам, и что из этого вышло".

Как же защититься от фишинга?

Несколько правил Антифишинга или как не попасться на удочку?

Мы теперь понимаем, как происходит фишинг, а значит - мы теперь можем защитить себя от того, чтоб "попасться на крючок" мошенников.

Ниже я приведу основные правила, которые использую для защиты от фишинга.

Моя Инструкция против фишинга:

1. Будь внимательным! Соблюдай спокойствие!

Пожалуй, это - самое главное и важное правило. Именно из-за своей невнимательности люди становятся жертвами мошенников и аферистов. Невнимательностью жертв пользовались карманники во все времена. Не является исключением и нынешний цифровой век. Только теперь не нужно лезть в карман человека. Для мошенников и воров все стало намного проще - совершать кражи и аферы можно теперь дистанционно.

Также важно соблюдать Шалом (мир и спокойствие). Только соблюдая спокойствие можно быть внимательным и не стать жертвой фишинга. Именно для того, чтоб вывести жертву из состояния спокойствия, мошенники и используют методы социального инжиниринга и манипуляций. И именно поэтому в фишинговых письмах часто мы встречаем "выигрышь денег", "выигрышь токенов", "бесплатная раздача", "акция, скидка", "угроза потери средств на кошельке", "взлом биржи". Таким образом аферисты пытаются "ускорить" потенциальную жертву, играя на таких чувствах, как страх потери, жадность, а иногда и жалость. На самом деле, именно потому у фишинга есть и позитивная сторона - аферисты воспитывают в нас мир и спокойствие. И внимательность.

2. Не переходить по подозрительным ссылкам

Не переходить по ссылкам, присланным в подозрительных или непонятных сообщениях электронной почты, Телеграм или через социальные сети Slack, Вк, Facebook и даже наш Голос.
Однако в мире сейчс очень много интересного и полезного. Я, например, читаю, очень много статей и часто иду по ссылка на сайты проектов, которые меня заинтересовали (например, в рамках ICO, о которых часто пишу). Как говориться - волков бояться - в лес не ходить. Так вот, если и переходить, то соблюдая п. 1 этой Инструкции - быть внимательным.

3. Делиться любыми персональными данными нужно осторожно

В Интернете очень важно не отдавать свои персональные данные и тем более ключи и пароли кому-либо. Так, если в письме (или на сайте ведущем по ссылке из письма) есть просьба указать свои персональные данные, публичные или приватные ключи (пароли) - стоит вспомнить п. 1 и попытаться понять: кто и зачем хочет узнать такую информацию.

4. Криптоэнтузиаст, проверь URL-адрес! А затем - еще раз - перепроверь URL-адрес

Соблюдая п. 1 Инструкции, необходимо внимательно проанализировать адрес сайта (URL), на который были переадресованы из письма или сообщения. В  большинстве случаев фишинга, несмотря на то, что сайт выглядит идентично настоящему, URL-адрес может отличаться от оригинального  (например, заканчиваться на .com вместо .gov). Однако, на данный момент в Интернете в сегменте криптоиндустрии бывают подставные фишинговые сайты, в URL-адресах которых может быть неправильная лишь один символ.

Продуманные мошенники умудряются регистрировать сайты с такими URL, когда, например, буква "e" в URL может быть незаметно для жертвы заменена на "é" или  "ê". И если не выпонить п. 1 этой инструкции, то невнимательный и напуганный пользователь может ввести свои данные (например, ключи кошелька) на сайте мошенников. Тем самым, в базе данных мошенников оказывается все необходимое для перевода средств с кошелька жертвы.

5. Откуда вышел - туда и вхожу

Это по важности - самое главное правило (после п. 1, конечно же), которое я применяю уже много лет. Суть правила - после успешной регистрацию на сайте какого-то ICO или в кошельке (или на бирже и т.д.) я всегда сохраняю ссылки (URL-адрес) на сайт этого проекта/кошелька в своей почте или/и блокноте. И, когда я хочу войти в аккаунт этого сайта (дажа, если мне кто-то прислал письмо с ссылкой на этот сайт) я никогда (!) не ввожу пароли в форме сайта до тех пор, пока не введу в адресную строку именно проверенный и заранее сохраненный при регистрации URL-адрес. Это правило важно, ведь даже, если кто-то срочно просит посетить сайт, то я посещаю сайт, но! Но ссылка на сайт - та, которая уже была мною опробована и имеет у меня статус доверия. Таким образом, откуда я вышел (после успешной регистрации) - только туда я и вхожу. Это правило исключает подмену URL злоумышленником. Также это правило помогает защититься от "фишинговой инфекции".


Что такое фишинговая инфекция?

Термин фишинговая инфекция на данный момент нигде не встречается. Однако такое явление существует. Потому я в рамках этой статьи решил его ввести.

Фишинговая инфекция, вирусный фишинг или фишинговый вирус (на английском будет звучать, как "phishing infection" или "viral phishing") - это термин, которым я назвал тот целенаправленный тип фишинга и/или последствия обычного фишинга, когда ссылки на фишинговый сайт нам неосознанно и без злого умысла пересылают лица, которым мы доверяем - родственники, друзья, блогеры, на которых мы подписаны, а также - коллеги и даже организация, где мы трудимся, а не мошенники. При этом основная черта в том, что "подставную" ссылку нам присылают не нарочно (не осознанно), без злого умысла.

Примером фишинговой инфекции может быть такой тип фишинга, когда мошенник в письме осознанно использует психологическую манипуляцию таким образом, чтобы заставить, понудить или промотивировать (какими-то бонусами или страхом и т. д.) объекта фишинговой атаки (нашего родственника, например) распространить вредоносную или подмененную ссылку всем своим знакомым. Таким образом фишинговое сообщение становится своего рода вирусной информацией, которая может очень быстро "разлетаться" по различным адресам. Особенностью такой фишинговой аткаки является то, что нам приходит письмо не из незнакомого источника, а от доверенного лица - друга, родственника, что может усыпить нашу внимательность и остарожность.

Как я понимаю, иногда вирусный фишинг (фишинговая инфекция) может стать таковой без умысла мошенника. Фишинговый вирус имея свойства вируса может распространяться весьма быстро.

Именно потому, самое важно мое правило борьбы с фишингом находиться в п. 1 Инструкции.


Возможно, данный пост будт интерестен @dr2073, @aleco, @acidsun, @bender, @ili, @natasha, @litrbooh, @lehard, @hipster, @on0tole и @ladyzarulem

Надеюсь, вам было полезно и интересно, читатели. А если так - голосуйте и делайте репост! БлагоДарю всех за поддержку!


P.S. Также рекомендую всем читающим эту статью посмотреть видео "Эфириум кошелёк MyEtherWallet: как не стать жертвой мошенников" от @primus. В этом видео он рассказывает о том, как можно безопасно использовать кошелек MyEtherWallet:

Ну, а в следующей статье я начну рассказ про известные мне способы, как удобно и надежно хранить пароли (ключи) кошельков. Таким образом, я продолжу тему как безопасно хранить криптовалюту.


Пока-пока!


Шаббат! Шалом!

БлагоСловений Бога и Счастья!

С уважением, - @mir

3
62.788 GOLOS
0
Ответить
На Golos с November 2016
Комментарии (1)
Сортировать по:
Сначала старые
© 2016 - 2024 Golos.io