• Arik Afek

זהירות מוקשים בקריפטו!!! האקרים, תוכנות ריגול וכל מה שצריך להיזהר מימנו כאשר אתם מחזיקים מטבעות קריפ

ראיתי פעם הרצאת טד של אחת קטרין האן, סוכנת FBI שסיפרה על המאבק בפשיעה. הרצאה מעניינת, טד איקס, כלומר טד מקומי. מומלץ וגם סה"כ 20 דקות אז בכלל... (קישור למעוניינים: https://www.youtube.com/watch?v=507wn9VcSAE)


משפט אחד לקחתי משם שמלווה אותי בעולם הקריפטו:

העבריינים הם הנסיינים הכי טובים של טכנולוגיות חדשות.... במילים אחרות, אם אתה עבריין ורוצה להתקדם, אתה מנסה כל מיני טכנולוגיות ומאמץ אותן לעשות עוד כסף, או לצורך לא חוקי אחר כמובן...


שוק הקריפטו עדיין חדש, צעיר ומתפתח

תחום הקריפטו היום, עשר שנים ויותר אחרי הולדת הביטקוין, הוא עדיין תחום חדש צעיר ומתפתח. הרגולציה עוד לא ממש חונקת, ולכן יש המון מרחב תמרון לשלל סוגי עבריינות "להתלבש" על משתמשי התחום. הטענות שהקריפטו משמש בעיקר עבריינים הן מופרכות, ואם יגיד מישהו שהוא רוצה לאסור על השימוש בביטקוין כי הוא משמש עבריינים, אז אפשר להפנות אותו אל הדולר שם באמת עבריינים עושים שימוש נרחב של ממש.


מה שזה אומר לגבינו המשתמשים הוא, שנדרשת מאתנו זהירות יתרה! אחרי ששלחנו ביט לאנשהו, אין באמת חרטות, ואין דרך להחזיר מטבעות שנגנבו, וזה קורה. אשתדל לסקור מעט מהאיומים הנפוצים בתחום מתוך מטרה בעיקר, לחדד אצל כל המשתמשים את הצורך בזהירות בעת ביצוע פעולות ולאבד את כספם בלחיצת אצבע. האיומים ודרכי ההתגוננות כמובן. זו אינה סקירה מקיפה, ראשית כי בכל יום מומצאות דרכים חדשות לגנוב את כספנו, ושנית היריעה קצרה...


א. גניבת סיסמאות ואימות דו שלבי בארנקי קריפטו

אנחנו נמצאים שעות רבות בכל יום מול המסך. לפעמים גולשים לאתרים יותר מפוקפקים, לפעמים לוחצים על קישור שאסור היה לגעת בו, אבל לא שמנו לב. כל מה שצריך זו רוגלה קטנה, והסיסמאות שלנו כבר משותפות. משותפות? כן! לנו ולמעריצים שלנו שישמחו להיכנס לאתרים, לגנוב את הזהות שלנו ועל הדרך גם את המטבעות שעמלנו לרכוש. הפתרון המוצע אינו מושלם אבל בכל מקום בו אתם מחזיקים מטבעות באינטרנט, השימוש בו הוא קריטי.


אני מתכוון לשימוש באימות דו שלבי! מה זה?

זו בעצם הגנה של שתי סיסמאות שצריך להקיש. אחת במערכת עצמה והשנייה במכשיר או דרך החיצוניים למערכת. כך אם נגנבה הסיסמא לאצר/ מערכת, עדין נדרש להכניס סיסמה אחרת כדי לפעול ובעיקר להוציא כסף.

אימות דרך המייל כאימות דו שלבי אינו טוב מספיק, כי זו הסיסמה הראשונה שתיגנב מכם. כאשר לגנב דרך להשתמש במייל שלכם ולכתוב לחברות בשמכם אתם בסכנה. קחו את זה בחשבון. לכן, תמצאו שקשה לאשר ביטול קוד דו שלבי וכי התהליך לוקח זמן, כדי שאם חשבון נפרץ, ניתן יהיה למנוע הוצאת כספים מתוכו.


שיטת האימות דרך אפליקציה על הפלאפון. הנפוצה היא ה'גוגל אוטנטיקייטור' google authenticator. אני משתמש בה אבל מעדיף ומשתמש גם ב אוטי AUTHY, כי היא ברת שחזור. ביומיום אין בעיה אבל במידה והלך על הפלאפון. באפליקציה של גוגל אין דרך לשחזר את הקוד אלא אם האתר עצמו מאפשר אופציה שכזו.


מה זה אימות דו שלבי בקריפטו?

זה אומר שכאשר הקשת סיסמה נכונה, (והגדרת זאת מראש באתר), הוא יבקש ממך להקיש מספר בן 6 ספרות, אותו תמצא באפליקציה על הנייד שלך. המספר מתחלף מידי 30 שניות והוא מסונכרן לאתר שיודע לזהות אם הקשת את המספר הנכון בחלון הזמן הנכון או שלא.

לא פעם תתבקש לפתור בנוסף חידונת גרפית CAPCHA, כדי להוכיח שאתה לא רובוט, אבל יש היום מרכזים סביב העולם, שמספקים שירותי פריצה לעניין הזה, אז הוא כבר ללא רלוונטי ומהווה בעיקר מטרד.


איפה נשתמש באימות דו שלבי?

בכל מקום עליו אנחנו רוצים להגן, לא רק קריפטו. לדוגמה, אם אנו חוששים מפריצה אפשרית לדף הפייס שלנו, אפשר להקים אימות דו שלבי. אנו נשתמש באימות כזה לארנקים שנמצאים ברשת, לאתרי המסחר וכן לכל מקום בו מישהו מחזיק מטבעות. ואפשר ורצוי גם לשכלל. בזירות המסחר דוגמת קראקן וביננס למשל, יש קוד נפרד למשיכת כספים וקוד אחר לכניסה. כלומר אם מישהו פיצח בטעות אחד, כדי לגעת בכספים יש לו עוד אחד לפצח...

ב. גניבת משאבי מחשב לטובת כרייה של מטבעות ביטקויין / קריפטו

יש לא מעט תוכנות זדוניות, רושעות, החודרות למחשבים שלנו ומנצלות אותם לצרכיהן. לטובת גניבת סיסמאות למשל, או משאבים. יש מחשבים הנחטפים כדי להגביר את כוח החישוב של כריית מטבע זה או אחר.

מה עושים?

המהדרים יגידו מחשב נפרד לחלוטין שמשמש אך ורק לענייני המסחר. רצוי גם מנותק מהרשת אלא בעת פעילות.

הפחות מקפידים ידרשו לכל הפחות תוכנת אנטי וירוס ברישיון.

בכל מקרה ההמלצה היא להמנע מכניסה לכל האתרים המהווים פוטנציאל סכנה כגון אתרי הפורנו, אתרים לא מוכרים להורדת סרטים וכד'.

הסיכון גבוה מדי.


ג. העברת מטבעות קריפטו בין כתובות

הפעולה הכי רגישה ומועדת לפורענות היא העברת מטבעות בין כתובות אינטרנט. חוסר שימת לב יכול לעלות לכם בממון רב ומעבר לכך יש גם רושעות שישנו ברגע האחרון את הכתובת שרשמתם לכתובת אחרת ויעלימו לכם את המטבעות שלכם.

לכך נועדו אמצעי הגנה אשר כדאי ליישם את חלקם או כולם בכל העברת מטבעות ין ארנקים:

* באתר ממנו אתם שולחים את המטבע לדאוג להוספת כתובות מאושרות למשיכה אשר רק אליהן ניתן להעביר מטבעות.

* בדיקה כפולה ומשולשת של הכתובת למשלוח.

* שליחת סכום קטן לפני שליחת הסכום הגדול או שליחה במנות.

* חשוב חשוב חשוב לשים לב לכתובות, כי טעות משמעה אבדן המטבעות שלכם.

* וידוא איזה מטבע אתם שולחים. ביטקוין ששלחתם יאבד אם תשלחו אותו לכתובת אתריום למשל. חשוב לוודא שאתם שולחים את המטבע לארנק המתאים לו. שטות של חוסר שימת לב והלך על מה ששלחתם.

* אף פעם לא לעשות את הדברים האלה כאשר אתם עייפים. עייפות בקריפטו זה מתכון לאסון!


ד. שמירה על מטבעות הקריפטו שלנו

זו אינה סקירה מפורטת על הנושא. אחת כזו תבוא בנפרד. אבל חשוב להבין את הכללים הכי בסיסיים בתחום. העיקרון של הקריפטו הוא שאנחנו שולטים בצורה מלאה במטבעות שלנו. כלומר אנחנו לא מחזיקים אותם בבנק או אצל מישהו אחר שישמור לנו עליהם. אנחנו הבנק של עצמנו, כולל האחריות הנדרשת מאיתנו לעניין.

במילים אחרות, עדיפות עליונה להחזקת המטבעות שלנו היא בארנקים קרים דוגמת לדג'ר LEDGER או טרזור TRESOR. אפשר לרכוש אותם מחול או בחנויות הקריפטו צ'יינג בארץ במחיר מעט יותר גבוה. במשפט אחד, ארנק קר הוא ארנק המנותק מהאינטרנט למעט בעת ביצוע פעולות, הוא מאוד בטוח ומוגן מפני תקיפות וניסיונות לגנוב את תכולתו.

ארנק חם הוא ארנק המחובר לאינטרנט כל הזמן. אלה נחלקים לארנקים שברשותנו המלאה או לארנקים הנמצאים תחת כנפיה של חברה כלשהי כגון ארנקי בלוקצ'יין. עדיפה שליטה מלאה בארנק כלומר שיהיה אצלנו.

בכל מקרה, גיבוי למילות השחזור של הארנק הוא קריטי. על נייר בכמה עותקים! איבדתם את השחזור, תגידו שלום למטבעות. זה כל כך כואב וכל כך ישיר, אבל אין דרך חזרה מאבדן הגיבויים והסיסמה גם יחד!

החזקת מטבעות באתרי מסחר היא מסוכנת אך סבירה. די שנזכיר את הזירות שנפרצו והכספים שאבדו לאנשים כתוצאה מכך. שוב פירוט בהזדמנות אחרת.


ה. מה עוד אפשר לעשות?

* אפשר לקנות מחשב ייעודי. כלומר, אפשר לקנות מחשב שימש רק את הקריפטו ולא לשום צורך אחר. פחות מיילים, פחות אתרים מסוכנים, המחשב יהיה בטוח יותר. לא תמיד זה מספיק אבל זו עוד שכבת הגנה. זו השקעה ללא ספק, אלב לא צריך מחשב גיימרים למסחר. רק משהו שאפשר לגלוש איתו.

* אנטי וירוס. כל כך הרבה משתמשים חוסכים את הכסף הקטן ממש הזה על תוכנת אנטי וירוס איכותית ומשאירים את המחשב פרוץ לחלוטין. אל תחסכו על הכסף הקטן. זה לא שווה את ההפסד אם יפרצו לכם.

* קחו בחשבון שחלק ממידע שלכם כבר מסתובב שם בחוץ. עם הפריצות הגדולות ששמענו עליהם בתקופה האחרונה, זה יותר מסביר שהמייל שלכם ועוד פרטים כמו מספר הטלפון כבר מסתובבים שם בחוץ. זה אומר שניסיונות הגניבה מכם רק מתרבים עם הזמן. לאחרונה למשל אני מקבל מיילים ברוסית עם קישור למסמך או משהו. לא נוגע לא סקרן. מוחק ומדווח כדי שגוגל יעשו את שלהם.




רוצים ללמוד לסחור בקריפטו? כנסו ללניק הבא וקבלו את כל הפרטים על קורס המסחר בקריפטו שלנו