Журнал "Системы безопасности" #5, 2019

S E C U R I T Y A N D I T M A N A G E M E N T 45 Двухфакторная аутентификация (2FA) На сегодня это базовый обязательный элемент защиты ваших средств на счету биржи. В 99,9% случаев мошенники даже не пытаются взламывать аккаунты, защищенные с помощью двухфакторной аутентификации. Взлом 2FA довольно ресурсоемкий, и злоумышленникам нужно быть уверенным, что есть смысл прила- гать дополнительные усилия. Двухфакторная аутентификация представляет собой способ идентификации клиента с помо- щью дополнительного компонента в виде кода, присланного на почту или телефон, подтвер- ждение через звонок либо дополнительные биометрические данные. На EXMO вы можете выбрать аутентификацию через телефон или приложение Google Authenticator. Помимо 2FA на аккаунте биржи, рекомендуется установить аутентификацию и для электронной почты, через которую вы зарегистрировались. Отметим, что, пренебрегая защитой электрон- ного почтового ящика, вы можете поставить под угрозу не только себя, но и всех людей, контак- ты которых в нем присутствуют: мошенники могут воспользоваться вашей почтой для фишинговой рассылки. Привязка IP к аккаунту пользователя На EXMO в настройках можно включить воз- можность авторизации только с доверенных IP- адресов. Таким образом, мошенники не смогут зайти в аккаунт, даже заполучив ваши данные. Обратите внимание, что перед использованием данной настройки необходимо убедиться, что провайдер предоставляет статический, а не динамический IP-адрес. В противном случае вы сами можете потерять доступ к своему аккаунту. Email-уведомления при выводе средств Еще одна мера предосторожности – дополни- тельное подтверждение операции на вывод средств через электронную почту, привязанную к аккаунту на бирже. Блокировка вывода средств после смены авторизационных данных Является обязательным пунктом: в случае взло- ма аккаунта пользователю дается время, чтобы отправить сообщение в службу техподдержки. Наличие отдела Antifraud Antifraud переводится с английского как "борь- ба с мошенничеством". В нашей компании работает отдел, занимающийся мониторингом и анализом финансовых транзакций с целью выявления подозрительных операций, а также предотвращения мошенничества. Основные маркеры безопасности, на которые следует обратить внимание при выборе криптобирж Безопасность – один из главных вопросов, кото- рый встает перед каждым пользователем при выборе площадки для торгов криптовалютами. Мы предлагаем список показателей, которые могут помочь вам сделать правильный выбор. 1. Публичность биржи. Возможность ознако- миться с владельцами платформы и ее коман- дой – один из показателей того, что компании нечего скрывать. Сюда же можно отнести нали- чие дополнительного взаимодействия с пользо- вателями через социальные сети, которое постоянно поддерживается. Экзит-скамы случа- лись в первую очередь с биржами, которые придерживались полной анонимности. 2. Регистрация биржи – еще один элемент про- зрачности компании. Кроме того, страна регист- рации сама сможет говорить о многом, поскольку деятельность площадки должна отве- чать ее соответствующему законодательству. 3. Жизнь площадки. Наличие свежих новостей, обновлений и новых продуктов говорят о том, что компания настроена на развитие бизнеса в долгосрочной перспективе. 4. Поддержка пользователей. Работа технической поддержки, скорость ответов и реальное реше- ние проблем также важны и порой играют глав- ную роль в предотвращении мошенничества. 5. Опыт. Вероятность скама со стороны биржи, которая работает не первый год, существенно снижается. К тому же с годами накапливается опыт работы, в том числе практики борьбы с мошенничеством. 6. Партнеры. Сотрудничество с крупными и известными компаниями также свидетельствует о добросовестности биржи. К примеру, при подключении любой платежной системы биржа проходит тщательнейшую юридическую про- верку с противоположной стороны. 7. Соблюдение требований по борьбе с отмывани- ем денег (AML). Хотя в криптосообществе KYC и AML часто воспринимаются неоднозначно, их наличие на площадке говорит о стремлении биржи работать в правовом русле. Они, в частности, спо- собствуют предотвращению вывода средств хаке- рами (после взлома на другой бирже). 8. Легкость вывода средств. Не стоит заводить на площадку сразу всю планируемую сумму. Вполне разумно сначала протестировать работу на площадке, ознакомиться с функционалом, мерами безопасности, а также возможностями вывода средств и его реализации на практике. Рекомендации по безопасности Используйте наши рекомендации, чтобы обез- опасить свои данные и не стать жертвой кибер- мошенника. Авторизация и пароли Для регистрации на бирже используйте отдель- ные электронную почту и телефон, о которых знаете только вы и которыми вы не пользуетесь в других целях. Указывайте реальные данные, иначе в случае возникновения проблем вам будет сложно доказать свою правоту и вы рис- куете утерять доступ к аккаунту. Немного полез- ной информации про безопасность паролей: l создавайте уникальные пароли на каждой площадке; l используйте только сложные пароли; l не сообщайте свой пароль никому; l обязательно подключите двухфакторную аутентификацию; l для увеличения надежности 2FA поставьте пароль не только на телефон, но и на саму SIM-карту; l заведите привычку проверять адрес сайта, прежде чем вводить на нем пароль; l если храните пароли в электронном виде – используйте кодировку; l если записываете пароли на бумаге – не оставляйте ее на видном месте. В случае возникновения проблемы или каких- либо сомнений сразу же пишите в техподдержку. Финансовые операции Не используйте для финансовых операций общие точки доступа к Интернету, например Wi-Fi в кафе. Если есть необходимость и прихо- дится пользоваться публичными сетями, то имеет смысл сделать собственный VPN-сервер. Все финансовые операции рекомендуется прово- дить на отдельном устройстве, которым вы не поль- зуетесь для повседневного интернет-серфинга. Перед отправкой средств обязательно сверяйте адрес кошелька-получателя и сумму. Компьютер, телефон и работа в Интернете Используйте антивирусные программы. Обес- печьте регулярное обновлений баз и проверку компьютера, внимательно относитесь ко всем оповещениям. Придерживайтесь также следую- щих рекомендаций, они известны всем, но не все их соблюдают: l не регистрируйтесь на подозрительных сайтах; l разрешайте обновления только с официаль- ных сайтов; l устанавливайте на телефон приложения толь- ко с официальных и проверенных источников; l избегайте установки на браузер расширений и плагинов от непонятных разработчиков; l при выборе операционной системы останав- ливайтесь на той, которую сможете наиболее профессионально настроить и безопасно в ней работать; l на компьютере открывайте пользователям столько прав, сколько требуется для выполне- ния задач. Не работайте на компьютере из аккаунта с административными правами; l не оставляйте без присмотра свой компьютер, телефон, флэшки; l не подключайте к компьютеру неизвестные USB-носители. Рекомендуется запретить автоматическую уста- новку драйверов и устройств. Еще одна допол- нительная мера предосторожности – шифрова- ние всех данных. Публичность Старайтесь сохранять максимальную конфиден- циальность о себе, ведь чаще всего злоумыш- ленники используют данные о потенциальной жертве из открытого доступа. Не обсуждайте свое финансовое положение, в том числе владе- ние криптовалютами, – даже небольшая сумма в криптовалюте сегодня в силу волатильности может стать привлекательной для мошенников. Не стоит распространяться о том, на каких бир- жах вы держите свою криптовалюту, особенно в социальных сетях. Заключение В качестве заключения хотелось бы подчерк- нуть, что не следует откладывать на потом то, что вы можете сделать ради обеспечения своей безопасности сейчас. В большинстве случаев элементарные меры безопасности сводят вероятность атак со сторо- ны злоумышленников практически к нулю. Важную роль в защите также выполняют ваши осторожность, критичность и реализм. В наше время они играют ту же роль, что и иммунитет для здоровья организма. n www.secuteck.ru октябрь – ноябрь 2019 СПЕЦПРОЕКТ БЕЗОПАСНОСТЬ БАНКОВ И ФИНАНСОВЫХ УЧРЕЖДЕНИЙ Ваше мнение и вопросы по статье направляйте на ss @groteck.ru