Как защитить биткоин-кошелек

31.07.2018

Серия 1. Двухфакторная аутентификация по смс

Забудьте о ней. Серьезно, смс это уже настолько общее место, что эксперты по безопасности даже не обсуждают сценарии, в которых такая защита могла бы пригодится. Чисто теоретически это может помочь вам уберечь от глаз жены фотки с последнего корпоратива. Но, даже жены в наше время становятся чертовски технически подкованными.

Что уж говорить о хакерах. Если у злоумышленника есть адрес вашей почты и номер телефона (вы ведь указываете их на визитках и в соцсетях), то угон ваших биткоинов или других дорогих вашему сердцу монет можно считать состоявшимся. Практически все мобильные операторы в мире используют протокол Signal System 7 (SS7) для передачи смс сообщений. Он поддается элементарному взлому, как недавно продемонстрировала компания Positive Technologies, специализирующаяся на кибербезопасности.

Они показали на примере пользователей Coinbase насколько легко можно с помощью перехвата смс сменить пароль на вашей почте и через последующее восстановление пароля на аккаунте биржи получить доступ к вашему биткоин-кошельку. Все были в шоке и начали гнать на Coinbase, которая как раз в этой ситуации ни при чем. Дело в уязвимости протокола мобильных операторов.

А операторов связи хакеры умеют взламывать виртуозно, ведь, в принципе, само хакерское движение зародилось в Австралии из-за дороговизны интернет-связи. Просто ребята хотели доступный интернет и научились взламывать линии операторов. Обменивались доступом между собой, и пошло-поехало. И вот по состоянию на июль 2018 года в Даркнете 12 000 площадок продают более 34 000 инструментов для хакеров.

Как уберечься? Да элементарно - отключите в настройках сервисов Google или Yandex восстановление пароля при сбросе с помощью смс. Двухфакторная аутентификация вещь хорошая, но в том случае, если этим вторым фактором будет физический ключ (на флэшке) или кодовая фраза (на бумажке, хранимой в сейфе).

Берегите себя! В следующих материалах серии я расскажу о защите операционных систем телефонов, ботах в Slack и отдельных браузерах для операций с криптовалютами.

Ваш Робот Ходлер