Як захистити біржовий акаунт: розбираємо на прикладі Binance
Як новачки, так і досвідчені власники криптовалют вважають за краще використовувати для зберігання та обміну централізовані біржі (CEX). Вони менш схильні до атак і зломів і, на відміну від децентралізованих платформ (DEX), забезпечують збереження активів навіть за умови низької обізнаності клієнта про особливості роботи блокчейна.
Однак біржові рахунки стають ціллю для шахраїв і здирників, які використовують технічні та соціальні інструменти для атак ATO (accounts takeover; захоплення облікового запису).
У цій статті ми розберемо, як саме зловмисники можуть поцупити ваш обліковий запис і що робити, щоб захистити кошти.
Методи здійснення ATO
У більшості випадків криптобіржі надають користувачам так звані «кастодіальні» гаманці для зберігання активів. Вони повністю управляються майданчиком, тому власнику облікового запису не потрібно переживати про захищеність і збереження seed-фрази або приватного ключа.
Однак біржовий акаунт, який розпоряджається коштами, може бути схильний до атак через інші канали. Серед основних загроз:
- злом або крадіжка пристрою — якщо зловмисникові вдалося заволодіти гаджетом, то він може безпосередньо використовувати встановлений біржовий застосунок або вкрасти облікові дані для доступу до облікового запису та виведення коштів;
- підміна SIM-карти — шахрай отримує копію SIM-карти з номером користувача, який потім використовується для доступу до сервісів і соціальних майданчиків. У 2023 році кількість таких атак зросла, постраждав навіть Віталік Бутерін;
- злом електронної пошти — електронна пошта залишається найбільш часто використовуваним методом входу і двофакторної аутентифікації (2FA). Маючи до неї доступ, хакер може швидше і простіше захопити біржовий акаунт;
- фішинг — це один зі способів, за допомогою яких шахраї отримують персональні дані користувачів. Його суть полягає у створенні підроблених сайтів та організації методів переведення користувачів на ці ресурси (наприклад, фейкових розсилок).
Однак за правильно налаштованого облікового запису, більшість загроз ATO можна нівелювати або попередити шахрайство ще до того, як зловмисник зможе нашкодити користувачеві.
Рівні безпеки облікового запису
Зазвичай крипторбіржі розробляють заходи безпеки як для входу в обліковий запис, так і для здійснення певних дій. Це не завжди зручно під час частого використання майданчика, але ризик крадіжки за такого підходу істотно знижується.
Нижче ми покажемо, як налаштувати захист облікового запису на прикладі однієї з найпопулярніших (і найбільш захищених) торгових платформ — Binance. Деякі з перерахованих нижче інструментів можуть не підтримуватися іншими біржами.
Захист входу
Базовий захід для забезпечення безпеки акаунта — надійний пароль. Досить довга і складна комбінація символів знижує ймовірність брутфорса або випадкового підбору пароля. На момент написання Binance вимагає, щоб пароль складався щонайменше з восьми знаків з використанням хоча б однієї великої літери та однієї цифри.
Для хранения паролей и учетных данных лучше использовать специализированные сервисы вроде 1Password, Samsung Pass и т.д., доступ к которым защищен отдельным паролем или биометрией. Они обезопасят учетные данные даже в случае кражи или взлома устройства.
Наступний крок — налаштування 2FA. При її використанні для входу в обліковий запис крім пароля потрібно ввести одноразовий код. Його надсилають на електронну пошту або мобільний телефон. Комбінацію також може генерувати сторонній додаток-аутентифікатор.
- Переходимо у вкладку Security в меню профілю на головній сторінці.
- У розділі Two-Factor Authentication (2FA) по черзі налаштовуємо такі методи автентифікації, як мобільний номер, електронна пошта і сторонній додаток.
Найнадійнішим методом 2FA вважається додаток-аутентифікатор (наприклад, від Google) — він генерує випадковий код безпеки кожні 30 секунд і прив’язаний до конкретного пристрою. Для максимального захисту:
- аутентифікатор повинен фізично перебувати на «резервному» смартфоні, на якому не встановлено біржове ПЗ;
- інші методи 2FA (пошта, телефон) мають бути відключені або доступ до них має бути додатково захищений;
- бажано відключити хмарну синхронізацію, щоб у разі злому електронної пошти зловмисник не зміг отримати доступ до аутентифікатора.
Докладніше про те, як під’єднати Google Authenticator до біржового акаунту Binance можна дізнатися тут.
Більш просунутий варіант двофакторної аутентифікації — Universal 2nd Factor (U2F). Цей спосіб передбачає додавання фізичного пристрою, при підключенні до якого через WiFi можливий вхід в акаунт. Цей метод захисту підтримують далеко не всі платформи. На Binance його можна знайти в розділі Security, вкладка Passkeys.
За необхідності заблокувати доступ можна на рівні пристрою, прибравши небажаний гаджет з довіреного списку. При спробі залогінитися з нього повторно, користувачеві буде потрібно підтвердити вхід через електронну пошту. Ця опція доступна в розділі Security, вкладка Device Management.
Однак не варто покладатися тільки на цей спосіб, оскільки хакери можуть підміняти свій цифровий відбиток, симулюючи різні пристрої — блокування не гарантує запобігання повторним спробам злому.
Якщо ви використовуєте мобільне ПЗ, то варто налаштувати автоблокування програми. У поєднанні із захистом входу це ускладнить доступ до вашого облікового запису в разі крадіжки смартфона або планшета. У всякому разі ви зможете виграти час для зміни пароля, завершення сеансу або звернення до служби підтримки біржі.
Автоблокування доступне тільки в мобільному застосунку. Для цього потрібно перейти до налаштувань акаунта, потім до розділу Security і вкладки Auto-Lock.
Превентивним заходом захисту даних також є антифішинговий код. Це встановлений користувачем набір символів, який додається до електронних листів від Binance. Наявність такої позначки підтверджує справжність відправника, а її відсутність — свідчить про підроблений лист, у якому можуть міститися фішингові посилання для крадіжки даних.
- Натискаємо на вкладку Anti-Phishing Code у розділі Advanced Security.
- Натискаємо Create Anti-Phising code і створюємо позначку:
Також не варто забувати про фізичну безпеку девайса, на якому встановлено ПЗ. Активуйте біометричну аутентифікацію, налаштуйте можливість віддаленого стирання даних у разі крадіжки. Якщо ваш пристрій підтримує захищене середовище виконання, можна перенести застосунок біржі в подібний анклав. Це створить ще одну перешкоду для злодія під час спроби отримати доступ до акаунта.
Захист активів
Другий рівень безпеки — це захист дій користувача. Він задіюється, якщо зловмиснику все ж вдалося отримати доступ до облікового запису, і націлений на створення перешкод для виведення активів з гаманця. Тут не так багато інструментів, як у попередньому розділі. Ключовими є:
- 2FA — двофакторну аутентифікацію можна застосовувати для підтвердження дій, наприклад, оплати P2P-угоди, виведення коштів або платежу між користувачами Binance.
Встановлені параметри 2FA використовуються і для захисту входу, і для підтвердження дій. Інструкція з налаштування 2FA доступна в попередньому розділі.
- Білий список — це перелік довірених криптовалютних гаманців, на які користувач може вивести активи. При додаванні нової адреси майданчик вимагатиме підтвердити цю дію через електронну пошту. Тож, якщо у хакера немає доступу до вашого e-mail, вивести активи в такий спосіб йому не вдасться.
Застосування білого списку також дасть змогу захиститися від атаки через підміну гаманця в буфері обміну, оскільки ви просто не зможете вивести активи на адресу, що відрізняється від схваленої. Знайти його можна в розділі Security, вкладка Withdrawal Whitelist.
Як біржі протистоять ATO
Крім користувача, захист його акаунта забезпечує сам майданчик. Конкретні заходи з протидії злому відрізняються від біржі до біржі. Так, на Binance їх умовно можна розділити на 2 категорії:
- пасивні;
- активні.
Базовим пасивним методом захисту є тимчасові обмеження на виведення коштів, P2P-торгівлю та інші дії при зміні облікових даних, платіжних інструментів або методів 2FA. На Binance стандартний період «заморозки» становить 24 години, і користувача попереджають про цей захід під час спроби змінити налаштування акаунта.
Набір же активних методів і їхня конкретна реалізація входять в алгоритм безпеки майданчика і не розкриваються повністю. Відомо, що служба безпеки Binance може відстежувати дії облікових записів і заморожувати акаунти в разі підозрілої активності, наприклад, частих виведень коштів з балансу або транзакцій на гаманці, позначені як шахрайські.
Для збору та аналізу патернів підозрілої активності навіть використовується ШІ, щоб гарантувати максимально швидку реакцію і убезпечити акаунт до нанесення збитків.
Якість роботи служби безпеки та доступні методи захисту — це один із тих критеріїв, які слід детально вивчити під час вибору майданчика. Не всі біржі реагують однаково швидко й ефективно на ATO, а також інші загрози для користувачів.
Підсумковий чеклист
Для захисту біржового акаунта Binance користувачеві доступний набір інструментів, що забезпечують безпеку на різних стадіях взаємодії з майданчиком — від девайса, на якому встановлено ПЗ, до операцій в обліковому записі. За складністю і зручністю їх умовно можна розділити на два рівні.
Базовий рівень захисту
- Встановлення надійного пароля і безпечне зберігання облікових даних (шифрування або використання менеджера паролів);
- двофакторна аутентифікація з використанням електронної пошти та мобільного телефону;
- захист пристрою і застосунку біржі за допомогою біометрії та коду безпеки.
Просунутий рівень захисту
- Встановлення довірених IP-адрес і U2F для входу в акаунт;
- створення білого списку гаманців для виведення активів;
- використання програми-аутентифікатора на окремому пристрої;
- налаштування антифішингових кодів із подальшим регулярним оновленням.
Також не варто забувати, що атака може бути безпосередньо не пов’язана з вашим біржовим акаунтом, але хакер зможе отримати до нього доступ, якщо облікові дані будуть серед іншої вкраденої інформації. Тому важливо дотримуватися загальних правил інтернет-гігієни.
