Количество киберпреступлений растет с неимоверной скоростью. Практически каждый месяц мы слышим из новостей о какой-нибудь крупной атаке, а представьте, сколько более мелких происходит каждый день. Масла в эту ситуацию однозначно добавляет активное развитие финтех-индустрии. Ведь держатели криптовалюты куда более “удобные” жертвы нежели правительства или крупные корпорации. По сообщениям Coinbase, каждый месяц количество атак на криптовалюты увеличивается на 100%.
Вот как выглядит список одних из самых крупных хакерских атак на криптовалюты:
И это только самые крупные эпизоды. Кроме того, мы не написали здесь о хакерских атаках на ICO, так как список был бы слишком впечатляющим. Также многие хакерские атаки так и остаются в тайне, так как биржи и клиенты не хотят подвергать сомнению свою репутацию со стороны пользователей.
Как хакеры воруют криптовалюту
На самом деле способов довольно много, особенно рассчитанных на невнимательность и неосведомленность пользователей цифровых финансовых сервисов и клиентов. Но давайте по порядку:
Человеческий фактор и фишинговые атаки
Несмотря на то, что 14% всех средств привлеченных через ICO проектов на платформе Ethereum (а это $1,6 млрд) были украдены, то есть примерно каждый десятый проект подвергся успешной атаке, Виталик Бутерин уверен в безопасности сети и считает, что такие ситуации возникают из-за пресловутого “человеческого фактора”. Трудно с ним не согласиться, учитывая несколько очень показательных примеров. Например, проект Zerocoin. Один лишний символ в исходном коде проекта позволил хакерам похитить больше $500 тыс. Умельцы просто генерировали дополнительную криптовалюту в рамках транзакции до тех пор, пока не были замечены. Или ситуация с Ethereum-клиентом Parity, когда хакеры воспользовались уязвимостью системы и украли с кошельков пользователей $32 млн.
Однако, такие оплошности приносят куда меньший ущерб чем фишинговые атаки. К сожалению, от них не спасет ни антивирус, ни самые эффективные системы защиты. Так киберпреступникам удалось похитить $8 млн во время проведения ICO блокчейн-стартапа CoinDash, взломав сайт и заменив адрес для отправки средств пользователями. Также через фишинговую атаку хакеры взломали биржу Bithumb, о которой мы написали выше. В тот день “повезло” не только южнокорейской бирже, но и кошельку Classic Ether wallet. Хакеры завладели доменом кошелька и исчезли с $300 тыс.
Вредоносное ПО
Совместно с фишинговыми атаками хакеры любят использовать вредоносное ПО, которое позволяет довольно быстро воровать огромное количество средств. В прошлом году на сайте Reddit появился пост о криптовалютах, где располагалась ссылка на сайт CryptoChartiq. При клике на ссылку на устройство пользователя загружалось программное обеспечение, которое просто подчистую списывало средства с online-кошельков. Еще одной нашумевшей историей стало размещение вредоносной ссылки в поисковом топе Google, которая обещала посетителям научить их обращаться с криптовалютами и даркнетом. Далее площадка перенаправляла посетителей на фишинговые сайты, воруя при этом криптосредства. Эта хакерская акция была организована владельцами ресурса Darknetmarkets.org.
Также в последнее время популярность набирают скрипты для майнинга, борьбой с которыми уже занялись разработчики Google Chrome. Надеемся, что и другие браузеры тоже подтянутся. Пока для борьбы с этим видом преступной деятельности можно бороться установкой специальных расширений вроде AntiMiner, No Coin и minerBlock.
Электронные кошельки
Владелец криптовалюты зачастую хранит ее в электронном кошельке. У вас как у владельца должны быть два ключа — публичный (его вы указываете для перечисления вам монет) и приватный (его вы используете для подтверждения транзакций). На данный момент существуют два вида кошельков — “горячие” и “холодные”. В “горячих” кошельках оба ключа хранятся в интернете у вашего провайдера, а в “холодных” кошельках приватный ключ хранится у вас на устройстве. При этом нельзя сказать, что “холодные” кошельки защитят вас полностью. Используйте двухфакторную аутентификацию для дополнительной безопасности, хотя и это не 100%. Здесь скорее играет роль системный подход и общая осторожность. Храните небольшие суммы для трат на “горячих” кошельках, сбережения держите на “холодных”, не держите деньги на биржах, установите двухфакторную аутентификацию, не кликайте по сомнительным ссылкам и, по-хорошему, используйте iOS (так как ОС от Apple является закрытой системой, оно в меньшей степени подвержено взлому различными вредоносными программами).
Использование ваших вычислительных мощностей
Хакер-майнеры, использующие вычислительные мощности пользователей — процессоры и видеокарты, потихоньку отходят на задний план, так как это становится нерентабельно. Однако, особенно трудолюбивые майнеры-хакеры до сих пор могут на этом зарабатывать очень неплохие деньги. Наиболее известными являются ботнеты DevilRobber и CoinMiner. По заявлению советника президента РФ по интернету Германа Клименко, от 20% до 30% компьютеров в России заражены вирусом для майнинга. При этом, как мы уже писали выше, в последнее время набирают популярность скрипты для майнинга, которые размещаются в исходном коде сайтов. Как бороться — смотрите раздел про вредоносное ПО.
Как организовать защиту от хакеров
Как показывает практика, основные жертвы хакеров — это простые люди, держатели криптоактивов. Получается, что организовывая масштабную атаку, хакеры надеятся, что у большей части пользователей уровень защиты будет оставлять лучшего. И довольно часто они оказываются правы в своих предположениях, поэтому:
- Будьте внимательны, осторожны и не торопитесь! Принимайте решения тогда, когда вы изучили все возможные материалы и ресурсы — это касается как ICO, так и бирж, кошельков и любых информационных ресурсов. Критическое мышление — наше все!;
- Используйте проверенное программное обеспечение — антивирус, персональный межсетевой экран, VPN и т.д. Это важно, так как уязвимости в программном обеспечении могут стоить вам гораздо больше, чем стоимость того же антивируса или проверенно сервиса, а не его копии с торрента;
- Храните деньги в криптокошельках! Не храните на биржах, распределите криптоактивы по разным “холодным” кошелькам, оставляйте на “горячем” кошельке только ту сумму, которую вы можете потерять и не сожалеть об этом безмерно долго;
- Не авторизируйтесь на незнакомых устройствах. Это касается не только криптокошельков, но и любых других сервисов — даже социальных сетей;
- Будьте в сообществе. Читайте отраслевые новости, отслеживайте обновления программного обеспечения, следите за анонсами компаний, кошельками и биржами которых вы пользуетесь.
А в целом, просто не забывайте, что в финансах должен быть порядок, разумная осторожность и хладнокровный расчет. Это основные правила, которые помогут вам сохранить и приумножить свои накопления.