Как защитить биржевой аккаунт: разбираем на примере Binance

Методы осуществления ATO

В большинстве случаев криптобиржи предоставляют пользователям так называемые «кастодиальные» кошельки для хранения активов. Они полностью управляются площадкой, поэтому владельцу учетной записи не нужно переживать о защищенности и сохранности seed-фразы или приватного ключа. 

Однако распоряжающийся средствами биржевой аккаунт может быть подвержен атакам через другие каналы. В числе основных угроз: 

• взлом или кража устройства — если злоумышленнику удалось завладеть гаджетом, то он может напрямую использовать установленное биржевое приложение или украсть учетные данные для доступа к учетной записи и вывода средств; 
• подмена SIM-карты — мошенник получает копию SIM-карты с номером пользователя, который затем используется для доступа к сервисам и социальным площадкам. В 2023 году количество таких атак возросло, пострадал даже Виталик Бутерин;
• взлом электронной почты — электронная почта остается наиболее часто используемым методом входа и двухфакторной аутентификации (2FA). Имея к ней доступ, хакер может быстрее и проще захватить биржевой аккаунт;
• фишинг — это один из способов, при помощи которых мошенники получают персональные данные пользователей. Его суть заключается в создании поддельных сайтов и организации методов перевода пользователей на эти ресурсы (например, фейковых рассылок).

Однако при правильно настроенной учетной записи, большинство угроз ATO можно нивелировать или предупредить мошенничество еще до того, как злоумышленник сможет навредить пользователю.

Уровни безопасности учетной записи

Обычно крипторбиржи разрабатывают меры безопасности как для входа в аккаунт, так и для совершения определенных действий. Это не всегда удобно при частом использовании площадки, но риск кражи при таком подходе существенно снижается. 

Ниже мы покажем, как настроить защиту учетной записи на примере одной из наиболее популярной (и наиболее защищенной) торговый платформы — Binance. Некоторые из перечисленных ниже инструментов могут не поддерживаться другими биржами.

Защита входа

Базовая мера для обеспечения безопасности аккаунта — надежный пароль. Достаточно длинная и сложная комбинация символов снижает вероятность брутфорса или случайного подбора пароля. На момент написания Binance требует, чтобы пароль состоял минимум из восьми знаков с использованием хотя бы одной заглавной буквы и одной цифры.

Следующий шаг — настройка 2FA. При ее использовании для входа в учетную запись помимо пароля потребуется ввести одноразовый код. Его присылают на электронную почту или мобильный телефон. Комбинацию также может генерировать стороннее приложение-аутентификатор.

1. Переходим во вкладку Security в меню профиля на главной странице.

2. В разделе Two-Factor Authentication (2FA) поочередно настраиваем такие методы аутентификации, как мобильный номер, электронная почта и стороннее приложение.

Самым надежным методом 2FA считается приложение-аутентификатор (например, от Google) — оно генерирует случайный код безопасности каждые 30 секунд и привязано к конкретному устройству. Для максимальной защиты:

• аутентификатор должен физически находится на «резервном» смартфоне, на котором не установлено биржевое ПО;
• другие методы 2FA (почта, телефон) должны быть отключены или доступ к ним должен быть дополнительно защищен;
• желательно отключить облачную синхронизацию, чтобы в случае взлома электронной почты злоумышленник не смог получить доступ к аутентификатору. 

Подробнее о том, как подключить Google Authenticator к биржевому аккаунту Binance можно узнать тут. 

Более продвинутый вариант двухфакторной аутентификации — Universal 2nd Factor (U2F). Этот способ предусматривает добавление физического устройства, при подключении к которому через WiFi возможен вход в аккаунт. Этот метод защиты поддерживают далеко не все платформы. На Binance его можно найти в разделе Security, вкладка Passkeys.

При необходимости заблокировать доступ можно на уровне устройства, убрав нежелательный гаджет из доверенного списка. При попытке залогиниться с него повторно, пользователю потребуется подтвердить вход через электронную почту. Эта опция доступна в разделе Security, вкладка Device Management.

Однако не стоит полагаться только на этот способ, поскольку хакеры могут подменять свой цифровой отпечаток, симулируя разные устройства — блокировка не гарантирует предотвращение повторных попыток взлома.

Если вы используете мобильное ПО, то стоит настроить автоблокировку приложения. В сочетании с защитой входа это усложнит доступ к вашему аккаунту в случае кражи смартфона или планшета. Во всяком случае вы сможете выиграть время для смены пароля, завершения сеанса или обращения в службу поддержки биржи. 

Автоблокировка доступна только в мобильном приложении. Для этого нужно перейти в настройки аккаунта, затем в раздел Security и вкладку Auto-Lock.

Превентивной мерой защиты данных также является антифишинговый код. Это установленный пользователем набор символов, который добавляется к электронным письмам от Binance. Наличие такой пометки подтверждает подлинность отправителя, а ее отсутствие — свидетельствует о поддельном письме, в котором могут находиться фишинговые ссылки для кражи данных. 

1. Нажимаем на вкладку Anti-Phishing Code в разделе Advanced Security.

2. Нажимаем Create Anti-Phising code и создаем пометку:

Также не стоит забывать о физической безопасности девайса, на котором установлено ПО. Активируйте биометрическую аутентификацию, настройте возможность удаленного стирания данных в случае кражи. Если ваше устройство поддерживает защищенную среду исполнения, можно перенести приложение биржи в подобный анклав. Это создаст еще одно препятствие для вора при попытке получить доступ к аккаунту.

Защита активов

Второй уровень безопасности — это защита действий пользователя. Он задействуется, если злоумышленнику все же удалось получить доступ к учетной записи, и нацелен на создание препятствий для вывода активов из кошелька. Тут не так много инструментов, как в предыдущем разделе. Ключевыми являются:

• 2FA — двухфакторную аутентификацию можно применять для подтверждения действий, например, оплаты P2P-сделки, вывода средств или платежа между пользователям Binance. 

Установленные параметры 2FA используются и для защиты входа, и для подтверждения действий. Инструкция по настройке 2FA доступна в предыдущем разделе.

• Белый список — это перечень доверенных криптовалютных кошельков, на которые пользователь может вывести активы. При добавлении нового адреса площадка потребует подтвердить это действие через электронную почту. Так что, если у хакера нет доступа к вашему e-mail, вывести активы таким способом ему не удастся.

Применение белого списка также позволит защититься от атаки через подмену кошелька в буфере обмена, поскольку вы просто не сможете вывести активы на адрес, отличающийся от одобренного. Найти его можно в разделе Security, вкладка Withdrawal Whitelist.

Как биржи противостоят ATO

Кроме пользователя, защиту его аккаунта обеспечивает сама площадка. Конкретные меры по противодействию взлому отличаются от биржи к бирже. Так, на Binance их условно можно разделить на 2 категории:

• пассивные;
• активные.

Базовым пассивным методом защиты являются временные ограничения на вывод средств, P2P-торговлю и другие действия при изменении учетных данных, платежных инструментов или методов 2FA. На Binance стандартный период «заморозки» составляет 24 часа и пользователя предупреждают об этой мере при попытке изменить настройки аккаунта.

Набор же активных методов и их конкретная реализация входят в алгоритм безопасности площадки и не раскрываются полностью. Известно, что служба безопасности Binance может отслеживать действия учетных записей и замораживать аккаунты в случае подозрительной активности, например, частых выводов средств с баланса или транзакций на кошельки, помеченные как мошеннические. 

Для сбора и анализа паттернов подозрительной активности даже используется ИИ, чтобы гарантировать максимально быструю реакцию и обезопасить аккаунт до нанесения убытков. 

Качество работы службы безопасности и доступные методы защиты — это один из тех критериев, которые следует подробно изучить при выборе площадки. Не все биржи реагируют одинаково быстро и эффективно на ATO, а также другие угрозы для пользователей.

Итоговый чеклист

Для защиты биржевого аккаунта Binance пользователю доступен набор инструментов, обеспечивающих безопасность на разных стадиях взаимодействия с площадкой — от девайса, на котором установлено ПО, до операций в учетной записи. По сложности и удобству их условно можно разделить на два уровня.

Базовый уровень защиты

• Установка надежного пароля и безопасное хранение учетных данных (шифрование или использование менеджера паролей);
• двухфакторная аутентификация с использованием электронной почты и мобильного телефона;
• защита устройства и приложения биржи при помощи биометрии и кода безопасности.

Продвинутый уровень защиты

• Установка доверенных IP-адресов и U2F для входа в аккаунт;
• создание белого списка кошельков для вывода активов;
• использование приложения-аутентификатора на отдельном устройстве;
• настройка антифишинговых кодов с последующим регулярным обновлением.

Также не стоит забывать, что атака может быть напрямую не связана с вашим биржевым аккаунтом, но хакер сможет получить к нему доступ, если учетные данные будут среди другой украденной информации. Поэтому важно соблюдать общие правила интернет-гигиены.