مجموعه ی وسیع ارزهای رمزنگاری شده یک مجموعه ی واقعاً آشفته و دارای هرج و مرج است، تا آنجا که تأمین امنیت آن باعث نگرانی مشتریان و خریدان ارزهای رمزپایه شده است.
اگر تاکنون از هر یک از سرویس های رمزنگاری حتی به طور سطحی (تا حدی که مشکلات اولیه شما برطرف شده باشد)، استفاده کرده باشید برای این کار هم مجبور خواهید بود از یک سری تدابیر امنیتی خسته کننده پیروی کنید که شامل عبارات و کدهای پیچیده و طولانی است که باید آن ها را به خاطر داشته باشید یا در مکانی امن حفظشان کنید(هرچند مکان امن برای ذخیره ی کد، در واقع بی معنی است).
بله، شما کنترل دارایی هایتان را به دست دارید اما هزینه ای که باید برای آن بپردازید این است که خود شما مسئول تأمین امنیت خودتان هستید و از آنجا که اکثر مردم، کارشناسان امنیتی نیستند، غالباً بدون آن که بدانند، بسیار زیاد در معرض خطر قرار می گیرند. من همیشه از مشاهده ی این که چگونه بسیاری از افراد، حتی افراد متبحر، اقدامات امنیتی اولیه را رعایت نمی کنند شگفت زده می شوم.
حتی در صورت که شما از یک کیف پول سخت افزاری فوق العاده امن استفاده کنید که استانداردی طلایی برای امنیت امروزی محسوب می شود، باز هم در معرض خطر قرار دارید. در واقع بیشتر مشکلات، در “مراحل اتصال و ارتباط” با کیف پول شما به وجود می آیند، نه در خود کیف پول.
آنچه در معرض خطر قرار دارد، لزوماً تنظیمات شما نیست بلکه دقت و مراقبت شماست
در این مقاله، برخی از ترفندهایی که هکرها به استفاده از آن ها برای به سرقت بردن کلیدهای خصوصی(private keys) شما (اطلاعات مورد نیاز برای سرقت ارزهای رمزنگاری شده ی شما) علاقه دارند یا حتی روش هایی که به وسیله آن به شما حقه می زنند تا شما سکه ها/ توکن ها را به مقصدی اشتباه را ارسال کنید، شرح داده می شوند.
۱٫ کپی و Paste
شما آدرسی که می خواهید برای آن بیت کوین ارسال کنید را مشاهده می کنید. این آدرس را کپی کرده و سپس در کیف پول خودتان Paste می کنید. این روال به صورت عادی انجام می شود به جز در مواردی که چیزهایی نظیر تروجان کریپتوشافلر(CryptoShuffler) وجود داشته باشند، کریپتوشافلر برنامه ی کوچکی است که آدرسی که شما کپی کردید را با آدرس دیگری که هیچ ربطی به آدرس اصلی ندارد، جابه جا می کند. این تروجان با هر نوع رمز عبوری از جمله کپی کردن رمز عبور اصلی شما برای مدیر رمز عبور(مثلاً آخرین رمز عبور) کار می کند.
نکته: این کار پر دردسر است اما(حتماً) آدرس را قبل از paste کردن آن، بررسی کنید(۵ رقم اول و آخر). اگر نحوه ی استفاده از کد QR را می دانید از آن استفاده کنید.
نکته ۲: نرم افزارهای عجیب و غریب(غیرعادی) یا برنامه ای که از آن ها اطمینان ندارید را نصب نکنید. به طور منظم یک ضد بدافزار(anti Malware) را بر روی کامپیوتر خود اجرا کنید (مانند Bitdefender و kaspersky) تا کامپیوتر شما پاک سازی شود.
نکته ی کلیدی و هوشمندانه: به جای آدرس های مستعد خطای انسانی که بررسی آن ها غیر ممکن است، از ENS موثق (سرویس نام اتریوم ethereum name service) (بیشتر برای آنچه در ادامه آمده) استفاده کنید. برخی از ENSها ارزان هستند برخی خیر. اما استفاده از ENS موثق آسودگی خاطر به ارمغان می آورد.
۲٫ برنامه های موبایلی هک شده
هکرها می توانند برنامه های تجاری جعلی واقعی منتشر کنند که دارایی ها را از یک صرافی ارز رمزنگاری شده(مانند صرافی Poloniex) خریداری کنند، اما در واقع شما در هیچ مکانی مبادله نمی کنید بلکه پول را به حساب هکر جعلی ارسال می کنید.
به طور کلی، اندروید واقعاً مستعد هک شدن است(بیشتر از iOS). شما باید مراقب آنچه نصب می کنید باشید و اطمینان حاصل کنید که دستگاه شما به طور منظم از داده های ناخواسته(junk) پاک سازی می شود.
نکته: زیاد تخیل پردازی نکنید. واضح است(البته نه برای همه) که شما باید از دستگاه خودتان با استفاده از پین (PIN)، حسگر اثر انگشت (Touch ID) یا قابلیت تشخیص چهره (FaceID) حفاظت کنید، احراز هویت دو مرحله ای را برای تمام برنامه هایی که آن را به شما پیشنهاد می دهند، اضافه کنید و از دانلود موارد ناخواسته بپرهیزید.
۳٫ ربات های هک Slack
ربات هایی که بر روی Slack مستقر می شوند، مثل یک آفت هستند.
آن ها خطرات امنیتی بر روی کیف پول شما را هشدار می دهند(که البته ممکن است مورد خطرناکی وجود نداشته باشد) و شما را به URL ای متصل می کنند که آن ها از شما کلید خصوصیتان را مطالبه می کنند. این کار را انجام ندهید.
نکته: ربات های بر روی کانال slack را نادیده بگیرید. هنگامی که با شما ارتباط برقرار می کنند، آن ها را گزارش دهید. همچنین از Metacert برای محافظت از کانال های slack خودتان استفاده کنید.
۴٫ افزونه های مرورگر(Browser extensions)
برخی از افزونه ها ادعا می کنند که تجربه ی کاربری شما بر روی سایت های خرید و فروش را بهبود خواهند بخشید. در حالی که ممکن است آن ها به طور همزمان تمام چیزهایی که شما در آنجا تایپ می کنید را بخوانند.
با پیگیری تجارب بد کاربران شما می توانید امنیت بیشتری داشته باشید.
نکته: افزونه های رمزی را دانلود نکنید. مرورگر را در “حالت خصوصی (Private mode)” قرار دهید که معمولاً افزونه ها در این حالت غیرفعال می شوند. یا از یک مرورگر دست اول و جدید صرفاً برای این کار استفاده کنید.
می توانید نگاهی به Brave داشته باشید، Brave یک مرورگر بومی بلاک چین به همراه کیف پول تعبیه شده درون آن است.
۵٫ وب سایت های نسخه برداری و تقلید شده (Clone Websites)
هنگامی که تایپ URL یک سایت را شروع می کنید، نوارURL شما، به وسیله ی یک URL دیگری که بسیار شبیه به URL وب سایت مورد نظر شما، دقیقاً با همان ظاهر و قیافه و لوگو است، هک می شود. مراقب باشید!
افزونه Cryptonite کروم
نکته: به دنبال گواهی صحت https باشید (تا از اصل بودن آدرس مطمئن شوید)، از افزونه Cryptonite کروم/فایرفاکس استفاده کنید که می توانند URL های جعلی را برجسته و مشخص کنند.
۶٫ تبلیغات/سئو (Ads/SEO) جعلی گوگل
URL جعلی در Google Ads
URL جعلی در Google Ads
این روش، تکنیک شناخته شده ای است. شما به دنبال سایت های ارزهای رمزنگاری شده ی مورد علاقه خودتان (یا تمام سایت ها نه صرفاً مورد علاقه) در گوگل هستید اما هکرها با در اختیار گرفتن اولین نتایج جستجوی paid در بالای لیست نتایح (یا ارگانیک) با URLهای مشابه (با یک تغییر کوچک) شما را فریب داده و به جای سایت اصلی، به سایت خودشان هدایت می کنند.
نکته: URL را پس از کلیک کردن به دقت بررسی کنید.
۷٫ اکانت های اجتماعی جعلی
در این مورد مواظب باشید، تنها اکانت های تأیید شده را دنبال کنید یا بر روی لینک های اجتماعی از وب سایت های رسمی سرویسی که می خواهید آن را دنبال کنید کلیک کنید. به هیچ منبع دیگری اعتماد نکنید، حتی الگوریتم های پیشنهادی توئیتر/ فیسبوک که می توانند اکانت های جعلی جدید را به زور غالب کنند.
۸٫ احراز هویت دو مرحله ای از طریق اس ام اس تلفن همراه
این موضوعی است که به طور گسترده شناخته شده است. سرویس ها از شما، شماره تلفن همراهتان را برای ثبت نام یا فعال سازی قابلیت احراز هویت دو مرحله ای (۲FA) می پرسید، اما به ویژه در آمریکا، برخی از هکرها در فریب دادن تیم پشتیبانی اپراتورهای تلفن همراه بسیار مستعد هستند و مجوزهای شما را به دست می آورند و از این طریق به هر اکانت لینک شده به تلفن همراه شما دسترسی خواهند داشت.
نکته: از اپراتور خود بپرسید که تلفن همراه شما چگونه محافظت می شود.
نکته۲: هرگز هرگز از سرویسی که به شماره تلفن همراه شما نیاز دارد استفاده نکنید و هرگز قابلیت ۲FA را از طریق پیامک (SMS) فعال نکنید (به جای آن از یک راه حل نرم افزاری استفاده کنید مثلِ google authenticator).
۹٫ فیشینگ ایمیل (Email phishing)
شما یک ایمیل از سرویسی که می شناسید دریافت می کنید، در حالی که این ایمیل از طرف آن ها نیست. آن ها از فرمت، قالب و طرح دقیقاً یکسانی با آن سرویس، استفاده خواهند کرد. بسیاری از اوقات، این سرویس، حتی ایمیل شما را در اختیار ندارد، اما مهم نیست، چون شما به یاد نخواهید آورد که آدرس ایمیل خودتان را در اختیار این سرویس قرار داده اید یا خیر. به خاطر داشته باشید، کورکورانه کلیک نکنید.
جعلی
نکته: به لینکی که بر روی آن کلیک می کنید توجه کنید، آن ها را در بخش لینک مرورگر مشاهده کنید. اگر عجیب و غریب به نظر می رسند، از آن ها خارج شوید.
۱۰٫ هک کردن وای فای (Wifi hacking)
ممکن است خبرهایی درباره ی هک وای فای دیده باشید اما (Wi-Fi Protected Access) (دسترسی امن به وای فای) پروتکل امنیتی که توسط اکثر مسیریاب های (routers) وای فای مورد استفاده قرار گرفته، در معرض خطر قرار گرفته است.
به دلیل آسیب پذیری “krack attack” هر کسی می تواند تمام داده هایی که از شبکه وای فای شما عبور می کنند را ببیند. مشکلات مشابهی در وای فای های عمومی نیز اتفاق افتاده است (مانند وای فای فرودگاه).
نکته: روتر خود را تنظیم کنید، آپدیت ها را چک کنید و هیچ وقت از طریق وای فای های عمومی، داد و ستد نکنید (حداقل بدون یک VPN امن این کار را انجام ندهید).
پاداش۱: ENS جعلی
ENS معادل ایمیل ها/DNS (سرویس های نام دامنه) برای آدرس کیف پول است (یک پُست مفصل در این باره به زودی منتشر خواهد شد). بسیاری از ICOهای خوب از آن به جای آدرسی که مستعد خطا است، استفاده می کنند. مثلاً ENS ای شبیه به whatever.eth
اما بعضی از هکرها، ENS جعلی را در تالارهای گفتگو (فروم ها) ارسال می کنند که شبیه به ENS اصلی که آن ها دارند به نظر خواهد رسید با نامی نزدیک به نام ENS آن ها (مثلاً thisICO.eth به جای thatICO.eth).
نکته: تنها به مرجع ENS ارائه شده توسط شرکت اطمینان کنید و قبل از استفاده، دوبار آن را چک کنید.
نکته ی کلیدی و هوشمندانه: اگر شما یک ICO را سِت کنید، ENS مخصوص خودتان (از جمله قابلیت typos) را دریافت می کنید، حتی اگر قصد استفاده از آن را نداشته باشید.
پاداش۲: Airdropهای رایگان
Airdropها، توزیع تصادفی توکن های رایگان هستند تا به دارندگان توکن ها، پاداش دهند یا کاربران بیشتری را به راه اندازی یک سرویس ارز رمزنگاری شده تشویق کنند. عالی به نظر می رسد. شما کیف پول خود را افتتاح می کنید. شگفت انگیز است! توکن های رایگان(در آن وجود دارند). برخی ادعا می کنند یک Airdrop وجود دارد در حالی که اینگونه نیست. برخی از آن ها، توکن های واقعی ارائه خواهند کرد تا شما را ترغیب کنند که در سایت کلاهبرداری آن ها ثبت نام کنید و اطلاعات شخصی شما را به دست آورند. خیلی مراقب باشید.
