Reklama
WIG82 745,58+1,45%
WIG202 436,05+1,72%
EUR / PLN4,31+0,02%
USD / PLN4,00+0,15%
CHF / PLN4,43+0,08%
GBP / PLN5,05+0,13%
EUR / USD1,08-0,12%
DAX18 492,49+0,08%
FT-SE7 952,62+0,26%
CAC 408 205,81+0,01%
DJI39 807,37+0,12%
S&P 5005 254,35+0,11%
ROPA BRENT87,07+1,60%
ROPA WTI82,70+1,20%
ZŁOTO2 232,81+1,87%
SREBRO25,03+1,87%

Masz ciekawy temat? Napisz do nas

twitter
youtube
facebook
instagram
linkedin
Reklama
Reklama

portfel mobilny

Kolejna hossa w świecie kryptowalut sprawiła, że coraz większa grupa osób zaczęła interesować się wirtualnymi walutami i tokenami, a to zaś jest wprost proporcjonalne do wzrostu liczby wszelkiej maści oszustów, którzy próbują wyłudzić cudze pieniądze. W przypadku kryptowalut cyberprzestępcy czują się wyjątkowo swobodnie, głównie dlatego że wirtualne środki przesyłane za pośrednictwem sieci blockchain znajdują się poza regulowanym prawnie obiegiem i gwarantują pseudoanonimowość, w zasadzie nieosiągalną w przypadku kradzieży w obrębie systemów bankowych. Co więcej, przechowywanie i korzystanie z kryptowalut, czy wirtualnych tokenów wymaga znajomości pewnych elementarnych zasad bezpieczeństwa. Zasad, o których szczególnie nowi użytkownicy kryptowalut często po prostu nie mają zielonego pojęcia. Ta niewiedza może sporo kosztować, a dokładnie tyle, ile środków trzymamy na wirtualnym portfelu. Mimo tego, że cyberprzestępcy coraz śmielej próbują przejmować środki posiadaczy kryptowalut, to większość oszustw ma dość mało wyrafinowany charakter i da się przed nimi ochronić, mając podstawową wiedzę i zachowując czujność. Jeżeli jednak uważasz, że portfel sprzętowy rozwiąże raz na zawsze Twoje problemy z bezpieczeństwem kryptowalut, to jesteś w błędzie, który może doprowadzić do utraty wirtualnych aktywów.

 

Chroni przed cyberprzestępcami, ale nie przed Tobą samym

Od dawna powtarza się, że portfel sprzętowy (ang. hardware wallet) jest najbezpieczniejszym z najprostszych w obsłudze sposobów zabezpieczania kryptowalut. Portfele tego typu najczęściej wyglądem i wielkością przypominają pendrive lub odtwarzacze mp3. Do zabezpieczania kluczy prywatnych kryptowalut wykorzystują dedykowany mikroprocesor, który uniemożliwia dostęp do zaszyfrowanych danych z zewnątrz. Dzięki temu nawet jeśli nasz komputer jest zainfekowany, to złośliwe oprogramowanie nie będzie w stanie uzyskać dostępu do kluczy prywatnych na portfelu sprzętowym. Z drugiej strony, gdy portfel sprzętowy wpadnie w niepowołane ręce, to bez znajomości kodu PIN i hasła do aplikacji nikt nie uzyska dostępu do naszych środków.

Oprócz tego, gdy zgubimy lub fizycznie uszkodzimy nasz portfel sprzętowy, to oczywiście nie stracimy dostępu do kryptowalut. A to wszystko dzięki frazie odzyskiwania seed, która składa się najczęściej z 12 lub 24 losowo wygenerowanych anglojęzycznych słów. Jak w przypadku każdego rodzaju portfela, również w przypadku sprzętowego musimy strzec naszego seeda jak oka w głowie. Jeśli cyberprzestępcy wejdą w posiadanie naszej frazy odzyskiwania, która jest tożsama z kluczem prywatnym, to na nic nie zdadzą się nawet najlepsze zabezpieczenia. Piszę o tym dlatego, że wielu posiadaczy portfeli sprzętowych bagatelizuje zasady bezpieczeństwa związane z ochroną frazy odzyskiwania, co na różne sposoby starają się wykorzystać przestępcy, którym bardzo zależy na tym, aby wyłudzić od nas seeda.

Reklama

Na początku tego tygodnia firma SatoshiLabs, produkująca drugie pod względem popularności portfele sprzętowe pod marką Trezor, ostrzegała swoich użytkowników przed fałszywą aplikacją mobilną w Google Play. Aplikacja o nazwie Mobile Manager Wallet opublikowana przez developera o nazwie „trezor.io by SatoshiLabs” podszywała się pod oficjalną aplikację do obsługi portfeli Trezora, która notabene nie istnieje (SatoshiLabs opublikował osobny artykuł na temat tego jak podłączyć portfele Trezor do urządzeń z systemem Android). Jak nietrudno się domyślić, fałszywa aplikacja po zainstalowaniu wymagała podania frazy seed, co jest dość mało wyszukanym atakiem phishingowym, mającym na celu przejęcie środków niczego nieświadomej ofiary, która sama przekazuje złodziejom dostęp do kryptowalut.

Fałszywa aplikacja w Google Play podszywająca się pod obsługującą portfel sprzętowy Trezor

Wprawdzie fałszywa aplikacja została już usunięta przez administrację Sklepu Play, jednak nie ma złudzeń co do tego, że podobne próby oszustwa pojawią się jeszcze niejednokrotnie.

Warto pamiętać, że aplikacje kompatybilne z portfelami sprzętowymi nie wymagają od nas podania frazy odzyskiwania seed. Jeśli zaś chcesz odtworzyć założony wcześniej portfel z seeda, skrupulatnie upewnij się czy aplikacja nie jest fałszywa.

URL Artykułu

Reklama

 

Uwaga na "Ledger Scam"!

Nie tylko posiadacze portfeli Trezora muszą być czujni. Jak dotąd chyba największą wpadkę związaną z bezpieczeństwem zaliczył francuski Ledger, będący czołowym producentem portfeli sprzętowych. 29 września zeszłego roku producent poinformował, że serwery sklepu internetowego Ledgera zostały zainfekowane i wyciekły z nich dane adresowe ok. 86 tys. klientów, którzy zamawiali portfele sprzętowe przez oficjalną stronę. Nie minęło wiele czasu, by klienci zaczęli dostawać spersonalizowane wiadomości, w tym również SMS, m.in. informujące o rzekomej możliwości cofnięcia transakcji. Żeby tego „wycofania” dokonać, należało kliknąć w link, który podszywał się pod stronę Ledgera i oczywiście… wpisać frazę odzyskiwania seed. Wprawdzie zabezpieczenia samych portfeli Ledgera w żaden sposób nie zostały osłabione, jednak osób, które w ramach ataków phishingowych podały swoją frazę seed przestępcom nie uchroni nawet najskuteczniejszy portfel sprzętowy.

Fałszywa witryna Ledger, służąca do przeprowadzenia ataku phishingowego; źródło: niebezpiecznik.pl

 

Podstawowe zasady bezpieczeństwa Twoich kryptowalut i tokenów

Co zrobić, aby nie paść ofiarą ataku phishingowego i nie podać na tacy dostępu do naszych kryptowalut cyberprzestępcom?

  • Nie trzymaj swoich środków na giełdach kryptowalut. Ta zasada jest tak oczywista i powtarzana tysiące razy przez setki osób, że mogłoby się wydawać, iż stała się niewidzialna. I tym samym mocno bagatelizowana. Powierzanie środków w kryptowalutach giełdom z naszej perspektywy jest oczywiście bardzo wygodne. Nie musimy martwić się instalowaniem odpowiednich aplikacji, pamiętaniem haseł, aktualizacjami i wszystkim innym, na co nie mamy ochoty. Problem zaczyna się wtedy, gdy nasza giełda zaczyna mieć kłopoty ze stabilnością finansową (o których niemal na pewno dowiemy się zbyt późno, by zareagować) lub gdy padnie ofiarą ataku hakerskiego. Oczywiście, na rynku funkcjonują mniej i bardziej wiarygodne giełdy, jednak nie ma takiej, która byłaby w pełni odporna na ataki - problemy z zabezpieczaniami takich gigantów jak Bitfinex, czy Binance mogą być tego dowodem. Poza tym, trzymając środki na giełdzie nie mamy dostępu do kluczy prywatnych. To zaś w praktyce oznacza, że zakupione środki nie należą w pełni do nas. Stara zasada mówi - nie masz kluczy (prywatnych), nie masz kryptowalut (not your keys, not your coins).
  • Jeśli chcesz zainstalować portfel mobilny na swoim smartfonie, ale nie wiesz jaki wybrać, nie zaczynaj poszukiwań od Sklepu Google Play (wpisując np. Bitcoin wallet, portfel Ethereum etc.). To właśnie w sklepie z aplikacjami możesz natknąć się na fałszywy portfel, za pomocą którego cyberprzestępcy przeprowadzą atak phishingowy. Jeśli nie wiesz jaki portfel wybrać, poszukaj w Google lub na YouTube rankingów i recenzji popularnych portfeli. W mojej serii nagrań z cyklu Kurs Bitcoina od Zera poświęciłem niemal dziesięć lekcji (od 12. odcinka) samemu tematowi wyboru odpowiedniego i bezpiecznego portfela, dostosowanego do osobistych potrzeb. Gdy już wybierzesz konkretny portfel mobilny dla siebie, aby ograniczyć ryzyko pobrania fałszywej aplikacji, poszukaj witryny internetowej jego producenta (developera) i wejdź do sklepu Google Play prosto z przekierowania umieszczonego na oficjalnej stronie. Dlaczego wspominam wyłącznie o urządzeniach mobilnych z systemem Android i sklepie Google Play? Głównie dlatego, że Apple ma nieporównywalnie bardziej restrykcyjną politykę zatwierdzania nowych aplikacji mobilnych w swoim sklepie (AppStore), co w praktyce uniemożliwia pojawienie się w nim aplikacji próbującej wyłudzić nasze poufne dane (np. frazę zabezpieczającą seed).
  • Najpopularniejsze portfele mobilne o ugruntowanej pozycji, takie jak np. Samourai Wallet, MetaMask, Exodus, czy Coinomi zapewniają relatywnie wysoki poziom bezpieczeństwa naszych środków. Nie zmienia to jednak faktu, że musimy być czujni nawet wtedy, gdy wiemy już z jakiego portfela będziemy korzystać. Cyberprzestępcy nieustannie próbują wykorzystać naszą nieuwagę podszywając się pod twórców znanych portfeli, publikując fałszywe aplikacje w Google Play, po to by wyłudzić frazę seed i uzyskać dostęp do naszych środków. Jeśli szukamy konkretnego portfela i w wynikach wyszukiwania pojawi się kilka aplikacji z identyczną ikoną o tej samej lub zbliżonej nazwie, to w jaki sposób możemy upewnić się, że instalujemy właściwą aplikację, a nie taką, przez którą możemy stracić nasze kryptowaluty? Nie jest to zbyt skomplikowane, ale wymaga skupienia i zwrócenia uwagi na kilka elementów:
    1. Liczba pobrań - jeśli popularny portfel ma zaledwie 500 lub 1000+ pobrań, to oczywisty sygnał, że coś tu jest nie tak. Oryginalna aplikacja najczęściej ma przynajmniej 100 tys. i więcej pobrań.
    2. Nazwa wydawcy aplikacji - tuż obok nazwy samej aplikacji pojawia się nazwa jej developera/wydawcy. Cyberprzestępcy publikujący fałszywą aplikację najczęściej występują pod nazwą zbliżoną do developera oryginalnego portfela, często zdarza się też że nazwa wydawcy podszywającej się aplikacji nie ma żadnego związku z nazwą portfela lub developera oryginalnego walletu.
    3. Data wydania aplikacji - to w zasadzie jeden z najbardziej kluczowych czynników przy ocenie wiarygodności portfela. Wchodząc na podstronę aplikacji w Sklepie Play i klikając w jej pełny opis, wystarczy zjechać na sam dół, aby sprawdzić kiedy dokładnie pojawiła się jej pierwsza wersja. Jeśli mamy zamiar skorzystać ze znanego portfela o ugruntowanej pozycji, to z pewnością aplikacja, która została wydana po raz pierwszy zaledwie kilka tygodni temu nie jest tą prawdziwą. Fałszywe aplikacje bardzo rzadko utrzymują się w Sklepie Play dłużej niż kilka tygodni, gdyż Google na bieżąco je usuwa, do czego sami możemy dołożyć małą cegiełkę, ale o tym później.Oczywiście, nie dajmy się zwariować - istnieją popularne portfele, które dopiero niedawno zostały wydane w wersji mobilnej. Np. MetaMask na urządzenia z Androidem został oddany do użytku dopiero we wrześniu zeszłego roku. Warto pamiętać, że wcześniej dochodziło do wielu prób podszywania się pod „mobilny MetaMask”, mimo że aplikacja na smartfony tego popularnego portfela dla Ethereum jeszcze nie istniała.
Reklama

 

 

Aplikacje podszywające się pod popularny portfel mobilny Jaxx Liberty
  • Jeśli już trafisz na aplikację, która ewidentnie podszywa się pod popularny portfel, pomyśl o innych użytkownikach, którzy mogą być mniej uważni i przenikliwi od Ciebie. Za każdym razem, gdy dostrzeżesz próbę oszustwa na Google Play, wejdź na podstronę aplikacji (pod żadnym pozorem nie instalując jej) i zgłoś ją jako nieodpowiednią treść, wybierając opcję „kopiowanie lub podszywanie się. Administracja Sklepu Play dość sprawnie reaguje na takie sygnały i czasami wystarczy zaledwie kilka zgłoszeń, by podejrzana aplikacja została usunięta, a jej developer zablokowany, przynajmniej na jakiś czas. Wysłanie takiego zgłoszenia trwa kilka sekund, a może uchronić innych przed utratą kryptowalut. Dla bardziej zaangażowanych polecam również wysłanie maila do producenta portfela, dzięki czemu będzie on mógł zainterweniować na własną rękę i ostrzec innych za pośrednictwem własnych kanałów społecznościowych.

URL Artykułu

Reklama

 

Czytaj więcej