Осенью прошлого года биткойн-биржа Poloniex несколько раз быстро приостанавливала работу из-за «технических проблем». Это происходит периодически на всех платформах, временно отключая их работу, прерывая вашу возможность торговать. К сожалению, это не самое худшее, что может случиться. До сих пор хакеры были главным препятствием для торговли криптовалютами. Например, в конце октября 2018 года популярная канадская криптовалютная биржа MapleChange была взломана и взломана. Самый распространенный способ кражи депозитов — атаки на специализированные торговые приложения. Ниже приведены наиболее распространенные методы, используемые злоумышленниками.
У каждого торгового приложения есть свои недостатки
Самым слабым местом большинства ICO-проектов и популярных криптовалютных бирж являются их мобильные торговые клиенты и компьютерное программное обеспечение. Компания Positive Technologies, специализирующаяся на разработке программного обеспечения для обеспечения информационной безопасности, провела собственное исследование на эту тему.
Для анализа использовались 11 торговых площадок от 6 биржевых трейдинговых компаний. Некоторые приложения разработаны для Android, а некоторые для IOS. Результат очень разочаровал. Все обнаруженные уязвимости подорвали доверие к криптовалютным биржам и позволили атаковать пользователей.
Во всех приложениях было найдено не менее трех уязвимостей. Наиболее распространенным из них было незащищенное хранение критически важных данных. Бэкапы размещались в открытых директориях, а ключи шифрования можно было найти прямо в исходном коде программы. Это хорошо видно ниже.
Уязвимости в Android-приложениях
Уязвимости приложения iOS
Было обнаружено, что более трети приложений делают торговлю криптовалютой незащищенной и позволяют совершать финансовые транзакции от имени других пользователей. Действия злоумышленников могут существенно повлиять на стоимость данного цифрового актива во время атаки. Например, в январе 2018 года хакеры вывели монеты NEM на сумму более 500 миллионов долларов в ходе взлома популярной криптовалютной биржи Coincheck. Это вызвало падение цены на 16% и последующую общую тенденцию к снижению на рынке криптовалют.
Еще один разочаровывающий факт заключается в том, что более чем в 50% случаев хакер может завладеть личной информацией пользователя, которая указана либо на бирже, либо непосредственно в приложении. К сожалению, при создании мобильных версий на безопасность тратится гораздо меньше времени. Двухфакторная аутентификация практически нигде не используется. Зачастую достаточно подобрать обычный PIN-код или провести фишинговую атаку, чтобы перехватить рабочую сессию и торговать вместо пользователя.
Еще одна уязвимость, обнаруженная в некоторых приложениях, заключается в том, что злоумышленники могут изменить значения активов, отображаемые на устройстве. Например, когда фактическая цена монеты составляет 3600 долларов, будет отображаться число 5600 долларов. Такие манипуляции можно производить в режиме реального времени, тем самым побуждая пользователя совершать действия, выгодные личным интересам хакера. Особенно легко спровоцировать продажу в случае резкого падения стоимости, создав панику. Рассмотрим примерную ситуацию ниже.
На скриншоте показан фрагмент торговой сессии криптовалюты с доминирующим медвежьим трендом. Последняя японская свеча недостаточно критична для закрытия позиций.
Теперь посмотрим, как будет выглядеть график после коррекции крюка.
Понятно, что во втором случае даже те, кто торгует криптовалютами больше месяца, попытаются закрыть свои позиции.
Какие существуют виды хакерских атак?
Способов много, но есть те, которые используются чаще остальных. Самый простой сценарий для злоумышленника — это когда трейдер и торгует, и посещает разные сайты с одного устройства и везде использует один и тот же пароль. В таком случае, какой бы надежной ни была биржа криптовалют, к сожалению, она мало чем поможет. Вредоносный скрипт вставляется в один из посещаемых пользователем сайтов. Благодаря ему злоумышленник может совершать транзакции на валютном счете пользователя. Поскольку скрипт не устанавливается непосредственно на устройство, антивирусная защита никак на него не реагирует. В большинстве случаев пользователь даже не подозревает, что его взломали, пока не найдет записи транзакций, которые он не совершал.
Еще один популярный вариант — перехват сетевого трафика. Главное требование к злоумышленнику — подключиться к той же сети, что и жертва. Именно по этой причине эксперты по кибербезопасности подчеркивают опасность использования общедоступных точек доступа Wi-Fi для банковских приложений и торговых программ. Весной 2018 года произошла атака «перехват сетевого трафика» с использованием криптовалютного кошелька MyEtherWallet. Разработчикам удалось предотвратить худший результат, но они рисковали потерять активы на сумму более 250 миллионов долларов.
Как защитить свою криптовалюту?
Первое и самое главное — сделать ваше устройство максимально безопасным. Получайте последние обновления служб, отслеживайте информацию о разработчиках и устанавливайте приложения только из надежных источников. Если программа требует root-прав на андроид-устройствах или джейлбрейка на ios, лучше внимательно изучить, зачем это нужно. Вероятно, это вредоносная модифицированная программа со встроенным вредоносным ПО. Как упоминалось выше, не используйте общедоступные сети Wi-Fi для торговли криптовалютами или любых финансовых транзакций. Не забывайте использовать двухфакторную аутентификацию, когда это возможно. Это значительно повышает надежность обмена криптовалют.
Помимо соблюдения всех технических рекомендаций, присутствует еще человеческий фактор и использование злоумышленниками социальной инженерии. Помните, что ни в коем случае нельзя переходить по непонятным ссылкам, открывать вложения электронной почты, пришедшие с подозрительных адресов, и скачивать файлы от неизвестных лиц в социальных сетях и мессенджерах. Вероятность того, что вы наткнетесь на фишинговый сайт или запустите «стилер», который мгновенно отправит хакерам максимум информации о логинах и паролях учетных записей, хранящихся на вашем устройстве, слишком высока.
Узнайте больше на бесплатных уроках от Александра Герчика. Безопасные депозиты и успешная торговля!
Результаты торговли индивидуальны и зависят от опыта и личной дисциплины. Вы можете улучшить свои навыки и дисциплину с помощью нашего дистанционного курса «Торговля от А до Я за 60 дней».
Подпишитесь на нашу рассылку!
который можно оформить из личного кабинета
