Как компании могут предотвратить денежные потери и оставаться в безопасности в мире криптографии?

11 ноября 2022 г.

Если вы владелец бизнеса, отсутствие безопасности недопустимо, особенно когда речь идет о безопасности денег. Какими бы сильными и дальновидными ни были решения, реализованные в цифровом пространстве в настоящее время, человеческий фактор остается залогом успешной кражи активов. Если вы организовали компанию, привлекли инвестиции и беспокоитесь о сохранности денег, крайне важно погрузиться и оценить все возможные угрозы вашим криптосервисам, которые используются в целях компании. п

В этой статье рассматривается актуальная проблема цифровой безопасности и предлагаются решения для определенных угроз, с которыми владелец бизнеса может столкнуться в ближайшем будущем. п

Внедрение культуры упреждающего мышления

Недаром говорят – «предупрежден – значит вооружен». Как правило, есть 2 вещи, которые нужно беречь как зеницу ока — закрытый ключ и seed-фраза (или мнемоника). Несложно догадаться, что недоброжелатели стремятся украсть один из них, но как именно? Вот основные методы, которые они используют для доступа к вашим активам.

1. Взлом устройства

Будь то ноутбук или смартфон, хранить закрытый ключ там не очень хорошая идея. Потеря такого ключа равносильна потере кредитной или дебетовой карты вместе с ПИН-кодом. Последствия очевидны и не нуждаются в дополнительных объяснениях.

Что делать?

Найдите другой способ хранения конфиденциальной информации. На самом деле, сохранение печатной копии ваших закрытых ключей является наиболее распространенным решением этой проблемы. Тем не менее, лист бумаги не всегда кажется самым надежным способом хранения, поэтому использование более творческого подхода к этому определенно увеличит ваши шансы избежать потери. Что касается владельцев бизнеса, то для них наиболее актуальными решениями являются Cryptosteel, Cryptoart и использование HSM (аппаратного модуля безопасности).

1. Фишинг по электронной почте

Электронная почта — неотъемлемая часть ведения бизнеса, и хакеры знают об этом как никто другой. По этой причине они отправляют электронные письма, якобы исходящие от привычного вам сервиса, и запрашивают данные для выполнения определенных действий.

Их электронные письма могут выдавать себя за представителя компании (например, если вы используете службу кошелька), который может попросить вас поделиться некоторой личной информацией, даже если официальный представитель никогда не попытается это сделать. Здесь вступает в действие человеческий фактор, и некоторые люди склонны предоставлять информацию.

Что делать? n Получив сообщение такого рода, проигнорируйте его и немедленно свяжитесь с официальным представителем компании/сервиса, с которым вы работаете. В качестве небольшого лайфхака всегда можно напомнить себе: просят ли официальные представители банка пин-коды? п

1. Поддельные кошельки

К сожалению, хакерам удается создавать приложения, выдающие себя за официальные компании (например, Trezor), и избежать блокировки на платформе Google App Store. Они используют похожие имена и маскируют официальные кошельки. В 2022 году клиенты Trezor получили электронное письмо с домена trezor.us, имитирующее сообщение от trezor.io, в котором им предлагалось обновить программное обеспечение своего кошелька, перейдя по ссылке — это выглядело как схема, направленная на кражу активов. п

Что делать?

Обязательно загрузите приложение с официального сайта службы кошелька. Некоторые из этих кошельков могут даже запросить номер вашего мобильного телефона, чтобы отправить безопасную ссылку, по которой вы попадете в магазин приложений.

1. Вредоносное ПО

Получение ваших данных имеет решающее значение для хакеров. В качестве вредоносных программ кейлоггеры идеально подходят для этой цели и записывают каждый пароль, PIN-код и мнемонику для дальнейшей передачи заинтересованному лицу. Есть 3 способа заражения кейлоггером:

* Эл. адрес; * Запуск зараженного ПО с определенного веб-сайта или торрента; * Вставка зараженного USB.

Существуют также трояны, похожие на кейлоггеры, которые могут отслеживать ваше поведение и красть все, что выглядит как закрытый ключ. Когда троян сделает свою работу, хакер быстро и легко уничтожит ваш крипто-адрес, даже если вы этого не заметите.

Более того, существует вредоносное ПО, которое портит ваш буфер обмена, так что когда вы копируете адрес кошелька для перевода денег, после его вставки адрес отличается. Программа под названием CryptoShuffler имеет украл более 150 000 долларов США, сделав именно это. п

Что делать? n Убедитесь, что ваша антивирусная система сканирует все загружаемые вами вложения. Убедитесь, что у вас есть надежная антивирусная система для корпоративных целей, чтобы вы и ваши сотрудники, работающие с криптографией, могли вовремя обнаружить вредоносное ПО. Кроме того, не забудьте дважды проверить адрес кошелька, который вы вставляете. п

1. Олицетворение

Выдавать себя за какую-то компанию, криптобиржу или конкретного человека очень выгодно хакерам и остается одним из самых распространенных способов достижения их намерений. Этот подход полностью основан на человеческом факторе и в целом намного проще из-за того, что взлом компьютерной системы является более сложной задачей. В этом случае подражатели заинтересованы в краже вашего аккаунта, а не во взломе. Они попросят вас совершать транзакции на определенные адреса. Более хитрые хакеры создают веб-сайты, на которых вы можете увидеть свои «инвестиции», а затем просят вас поделиться некоторыми данными.

Что делать?

Вопрос, затронутый здесь, связан с нашими личными качествами, поэтому будьте внимательны, все перепроверяйте, не принимайте поспешных решений и донесите эту информацию до своих сотрудников. п

1. Расширения для браузера

Расширения, которые вы устанавливаете в свой браузер, могут облегчить вам жизнь, но они также представляют собой потенциальную угрозу вашей безопасности. Было много сообщений о расширениях, которые отслеживают и копируют данные для хакеров, помимо предоставления своих услуг. Только в 2020 году Google удалил 49 Chrome расширения пойманы на краже ключей крипто-кошелька.

Что делать?

Перед установкой расширения проверьте компанию или разработчика, стоящего за ним. Также приветствуется проверка (и перепроверка) отзывов в Интернете.

1. Обход двухфакторной аутентификации

Надежные поставщики кошельков всегда используют двухфакторную аутентификацию, чтобы убедиться, что за определенными операциями стоят реальные люди. Хотя двухфакторная аутентификация остается эффективным способом защиты клиентов от мошеннических действий, были случаи, когда хакеры находили способы обойти этот уровень безопасности.

Например, злоумышленники могут перехватывать SMS-сообщения из-за уязвимостей в протоколе отправки данных. Также хакеры могут заранее заразить смартфон вредоносным ПО, клонировать карты мобильных операторов и взломать учетные записи пользователей на сайте. Их цель — получить контроль над всеми средствами защиты, которыми пользуется посетитель. После этого взлом криптокошелька уже не актуален: мошенники уже получают доступ к криптовалюте. п

Что делать?

Следите за уведомлениями, которые вы получаете, и помните обо всем, что здесь говорится.

n Идем дальше. Учитывая мультиподпись и холодные кошельки

Все, что описано до этого момента, касается горячих кошельков (которые всегда подключены к Интернету) и отдельных закрытых ключей, используемых для них, но при рассмотрении вопросов безопасности необходимо учитывать гораздо больше. Давайте рассмотрим решения, которые повысят уровень вашей безопасности, чтобы вы никогда не беспокоились о взломе или потере больших сумм денег. п

Горячие и холодные кошельки

Нахождение правильного баланса между функциональностью и безопасностью всегда было актуальной проблемой, которая теперь решается с помощью горячих и холодных кошельков. С одной стороны, горячие кошельки очень функциональны, но им не хватает безопасности. С другой стороны, есть холодные кошельки, которые достаточно безопасны, но лишены функциональности. Теперь возникает вопрос: что выбрать?

Что ж, те, кто долгое время был в криптовалюте, получают выгоду от гибридного опыта, храня свои средства на физических устройствах (таких как Ledger или Trezor) и переводя их через подключенные к Интернету устройства. Аппаратные кошельки менее удобны, чем горячие кошельки, потому что они должны быть включены, а затем подключены к Интернету. Кроме того, они могут стоить вам от 50 до 200 долларов. Тем не менее, это небольшая цена за защиту бизнеса от потери всех ваших средств, потому что такие устройства защищены от взлома. п

Однако горячие кошельки также пользуются спросом у предприятий из-за простоты их использования для получения, хранения, обмена и отправки платежей. Поскольку они всегда онлайн, нет необходимости переключаться между оффлайн и онлайн для совершения криптовалютной транзакции. Такие кошельки используются для мгновенной оплаты и выставления счетов партнерам, а также для осуществления различных крипто-выплат на несколько адресов с одного кошелька. Для больших сумм в некоторых системах требуется, чтобы по крайней мере 2 администратора клиента утвердили транзакцию до ее подписания. п

При этом, если вы ищете идеальное решение с низким уровнем риска, вам подойдет гибридная стратегия. п

Мультикошельки

Кошелек с несколькими подписями может быть одним из самых ценных инструментов для криптобизнеса. Но что такое мультиподписной кошелек, спросите вы? Теперь пришло время перейти к самой важной части.

Кошелек с мультиподписью — это особый тип криптокошелька, доступ к которому возможен только при одновременном вводе 2 или более подписей. По сути, это цифровая версия сейфа с несколькими ключами, который можно открыть, только если несколько ключей вставлены в несколько замков.

Транзакции в таких кошельках также осуществляются, когда несколько пользователей вводят свои собственные уникальные подписи или ключи. Пользователь может создать правило и определить количество подписей, необходимых для завершения операции/транзакции: 1 из 2, 2 из 3, 5 из 8 и т.д. ключи подписывают транзакцию. Кошельки с мультиподписью не имеют иерархии, что означает, что для проверки и завершения транзакции не требуется никакой специальной подписи.

Кошелек Multisig является обязательным для каждого бизнеса, который не хочет зависеть от единственного держателя ключа, который может быть не в состоянии или не хочет совершать транзакции. Использование процесса мультиподписи облегчает доступ к средствам и позволяет различным сотрудникам совершать транзакции по мере необходимости.

Помимо повышенной безопасности, одним из основных преимуществ использования мультиподписного кошелька является возможность принятия решений, когда группа держателей ключей может совместно контролировать средства. Каждый может видеть бюджет и предлагать различные изменения, но никто не может перевести деньги самостоятельно. Кошелек в первую очередь действует как форма голосования, когда транзакции не проходят, когда на это соглашается определенное большинство пользователей.

Что касается недостатков, то использование таких кошельков влияет на скорость транзакций, так как требует нескольких подписей. Но, вероятно, наиболее распространенным препятствием здесь являются технические знания, необходимые для настройки мультиподписного кошелька. Кроме того, есть некоторые юридические нюансы, которые пока не догнали новые технологии. К счастью, есть сторонние поставщики кошельков и компании, которые помогают предприятиям решать такие проблемы (например, Roketo, BitPay или Casa), особенно когда речь идет об использовании кошельков с мультиподписью.

Заключение

Как видно из вышеизложенного, существует множество способов повысить безопасность вашего бизнеса, которые необходимо серьезно учитывать. Среди них использование кошелька с мультиподписью оказывается отличным способом решения проблем безопасности и облегчает группам людей справедливое управление средствами. Тем не менее, когда дело доходит до ведения бизнеса с несколькими сторонами, кошелек с мультиподписью просто необходим.

---

Оригинал