El pirateig Ian Balina, de 2 milions de dòlars: 4 recordatoris per a emportar claus de seguretat

Si no heu escoltat el brunzit més recent a la criptoesfera durant la darrera setmana, és probable que visqueu sota una roca, perquè (malauradament) s’hi ha centrat tota la gent. Al voltant de les 4:00 EST del 16 d’abril de 2018, transmissió en temps real, inversor de criptomonedes, assessor i autoproclamat “evangelista”, Ian Balina acabava de fugir dels 2 milions de dòlars EUA robats de la seva cartera ETH.

Va acabar bruscament la seva transmissió en directe, tuitant el següent missatge:

Ian Balina Hack Tweet

És difícil entendre com algú amb fons en milions l’havia emmagatzemat tan imprudentment. I la part més aterridora: és més comú del que es pensa. En un massatge de Telegram, ja suprimit, Balina va explicar com creu que el van piratejar:

Així és com crec que em van piratejar. El meu correu electrònic universitari apareixia com a correu electrònic de recuperació del meu Gmail. Recordo que vaig rebre un correu electrònic sobre el fet que es comprometia i vaig intentar fer un seguiment de la seguretat de la meva universitat per resoldre’l, però no vaig poder gestionar-lo de manera ràpida [sic] i vaig abandonar-lo pensant que només era un vell correu electrònic.

Guardo les versions de text de les meves claus privades emmagatzemades al meu Evernote, com a fitxers de text xifrats amb contrasenyes. Crec que van piratejar el meu correu electrònic amb el meu correu electrònic universitari i després van piratejar el meu Evernote.

Per a aquells que no estiguin exactament segurs de qui és Ian Balina, va començar a fer vídeos de YouTube a principis de 2017 ensenyant als inversors a “piratejar el sistema” i obtenir ingressos de sis xifres. Només va guanyar protagonisme en els darrers sis mesos després de la seva revelació que parlava a Inversió de 90.000 dòlars en 4 milions de dòlars en menys de 12 mesos: una declaració que va corroborar amb la seva Instantànies de Blockfolio publicades a Twitter.

Ens agradi o no, el hack Ian Balina és una lliçó costosa sobre la importància de mantenir la criptografia segura. A continuació, es detallen 4 recomanacions i recordatoris de seguretat fonamentals que els HODLers haurien de familiaritzar-se i implementar-los en la seva navegació, inversió i emmagatzematge de criptografia per tal de minimitzar les possibilitats de ser piratejat (o ser criticat a les xarxes socials).

1. No ho ostentis només perquè ho has aconseguit

De la mateixa manera que la persona mitjana no camina cridant les dades del seu compte bancari i la quantitat de diners que té a la cartera en un barri maliciós a les 2 del matí, els inversors en criptografia no haurien de publicitar la seva cartera de criptografia i les seves participacions en línia, ni en persona..

Fins i tot quan participeu en fòrums en línia populars, com BitcoinTalk o Reddit, la discreció és fonamental: pregunteu a aquest Redditor que realment va publicar la seva llavor privada de Siacoin en línia i un company de Redditor, afortunadament, li va donar una lliçó de seguretat.

Abstenir-se d’emetre informació financera en línia sembla un consell evident, però encara cal repetir-ho.

A continuació, es detallen algunes de les conseqüències i riscos per a la seguretat a què s’obren els inversors:

  1. Estafes de pesca orientades
  2. Ransomware
  3. Enginyeria social
  4. Robatori

És cert, robatori. Prengui-ho de aquest taiwanès que va mostrar proves dels seus bitcoins a 3 estafadors i finalment va ser agredit i robat. Els estafadors van transferir 18 bitcoins (estimats en més de 170.000 dòlars EUA) del seu compte (per telèfon).

Fins i tot el primer ministre d’Islàndia va acabar sent un assistent involuntari a la fugida d’un home sospitosos de robar al voltant de 600 ordinadors amb Bitcoin, en el que es considera el robatori més gran d’Islàndia.

És possible que no vulgueu que us passin per alt, però tampoc no us voleu mirar massa. No us doneu.

2. Utilitzeu l’emmagatzematge en fred si guardeu més d’un mes de sou en línia

A l’hora de decidir si volen guanyar entre 60 i 150 dòlars en una cartera de maquinari, els HODLers haurien de preguntar-se quant estan d’acord amb perdre, si les seves contrasenyes o informació d’inici de sessió es veuen compromeses..

L’emmagatzematge de claus privades en línia i l’ús de carteres calentes és manejable i adequat per als inversors que emmagatzemen petites quantitats en línia, mentre que l’emmagatzematge en fred (emmagatzematge de fons en un dispositiu fora de línia) i les carteres de maquinari haurien de ser utilitzades pels inversors que tinguin més d’un mes de salari en una borsa..

Tanmateix, si fins i tot perdre el salari d’una setmana per un atac us afectaria dràsticament (econòmicament o emocionalment), val la pena gastar la pestanya de la barra d’aquell cap de setmana o una mica dels diners estalviats per la sorpresa del 90è aniversari de la vostra nana.

Quan Balina va errar en les seves claus d’emmagatzematge i / o privades va ser mitjançant l’ús d’un programa d’emmagatzematge en núvol genèric i gratuït i un correu electrònic de la universitat compromès, que va permetre als pirates informàtics piratejar el seu correu electrònic actual i accedir a Evernote.

Emmagatzemar una clau privada o una llavor en línia no es considera emmagatzematge en fred; aleshores es considera una cartera calenta, ja que està connectat a Internet. nombrosos problemes i vulnerabilitats de seguretat associades a les carteres actuals.

En cas de dubte, passar fred.

Tots dos Trezor i la Ledger Nano són dues carteres de maquinari populars i de bona reputació per emmagatzemar fons. Recordeu que una petita inversió en seguretat ara podria evitar Charlie Shrem – un membre fundador de la Fundació Bitcoin – de donar-li una vegada més en el futur.

Tweet de Charlie Shrem i Balina Hack

I, si busqueu una mobilitat barrejada amb un emmagatzematge frigorífic, penseu en utilitzar CoolWallet S, una cartera de maquinari mòbil que admet Bitcoin, Ethereum, Ripple, Litecoin i Bitcoin Cash (futurs tokens ERC-20).

A més, les carteres de paper són un mitjà eficaç d’emmagatzematge en fred, sempre que no ho feu col·loqueu el tros de paper amb la llavor de recuperació i el PIN sota el coixí de la teva filla abans d’un vol i contracta un equip de neteja per endreçar-lo.

Per obtenir una visió completa de les carteres de criptomonedes, consulteu la nostra guia per a principiants sobre carteres de criptomoneda.

3. Compte amb Punycode

Des de l’augment meteòric de Crypto en els darrers anys, el phishing s’ha convertit en el mètode preferit per als estafadors que volen aprofitar els descuidats HODLers i aquells que es dediquen ràpidament als regals de criptografia gratuïts. Gràcies @VitarikBooterun de Rússia que té 2 seguidors i no té cap foto de perfil ( es tracta d’un gestor de Twitter fals i completament inventat, però inicieu sessió a Twitter i cerqueu un @VitalikButerin Piula i pren nota).

El problema més preocupant dels atacs de pesca actuals és la seva complexitat i autenticitat estètica. Especialment per a persones com jo, que se suposa que porta tècnicament ulleres de lectura, però que la seva mare no està convençuda de dir-li que es veu més guapo amb ells posats, i en lloc d’això, opta per estirar els ulls i mantenir l’ordinador a la cara.

I, no sóc l’únic que s’ha enganyat abans.

A principis d’aquest any, va sortir a la llum Twitter havia verificat un compte Tron fals. El compte havia acumulat més de 140.000 seguidors mentre feia un tuit de regals d’estafa on els usuaris enviaven petites quantitats d’ETH a una adreça publicada amb la promesa de rebre 10 vegades més que a canvi..  

No s’atura aquí. Els atacs de pesca són cada vegada més creatius. Tot i que no s’utilitza en el hack de Balina, val la pena vigilar aquest mètode de pesca: no busqueu més que “punycode”.

fals punycode binance phishing

En poques paraules, punycode és una representació especial de Unicode, permetent als pirates informàtics convertir caràcters a ASCII, un conjunt de caràcters més petit i restringit; penseu en la llengua alemanya. Per exemple, el nom alemany de Munic és “München”.

Per tant, com distingiu els llocs web legítims dels maliciosos?

  • Per començar, cerqueu el “https” verd i la paraula “Segur” a l’esquerra directa de l’adreça URL d’un lloc web. El verd indica que el lloc web ha obtingut els certificats SSL necessaris i que és legítim.
  • En segon lloc, afegir una adreça d’interès a una pàgina web visitada amb freqüència és un mitjà eficaç per minimitzar els errors o l’ortografia errònia.
  • Comproveu de nou per assegurar-vos que l’URL s’ha introduït correctament i confieu en el vostre budell. Un lloc web que mostra finestres emergents quan aterra immediatament a la pàgina probablement no sigui el lloc correcte per operar i emmagatzemar criptografia per valor de milers de dòlars..

4. L’autenticació de dos factors és clau: regna el mètode suprem

Fer una còpia de seguretat de comptes i inicis de sessió de criptografia amb autenticació de dos factors (també coneguda com a 2FA) és un pas essencial per millorar la seguretat de la cartera. 2FA requereix que els usuaris introdueixin una contrasenya única (OTP) que se’ls proporciona a través del telèfon intel·ligent o de l’aplicació per tal de completar el procés d’inici de sessió.

Tanmateix, els usuaris que es prenguin seriosament la seguretat haurien de deixar d’utilitzar l’autenticació per SMS per a 2FA i, en canvi, utilitzar aplicacions com ara Google Authenticator, o els menys populars Authy.

Investigadors i els experts en seguretat han advertit durant molt de temps contra l’ús de missatges de text com a mesura de seguretat de validació en iniciar la sessió en línia, assenyalant que els pirates informàtics han orquestrat prèviament atacs a gran escala on explotaven defectes coneguts en diverses xarxes cel·lulars per interceptar els missatges de text enviats als usuaris.  

L’avantatge de Google Authenticator és que es basa en la força de no haver d’interactuar amb un operador de telefonia mòbil, mantenint els codis d’autenticació restringits en el temps a l’aplicació (normalment durant 30 segons) i al telèfon. Fins i tot si un pirata informàtic mou ràpidament el número de telèfon d’un usuari a un telèfon nou, el codi no queda afectat.     

Quan utilitzeu Google Authenticator o altres aplicacions 2FA, és fonamental fer una còpia de seguretat de les claus privades i emmagatzemar-les de manera segura, per si us perdeu o perdeu el telèfon.

Pensaments finals

Tot i que alguns de la comunitat criptogràfica no estan convençuts que Balina ha estat realment pirateada, assenyalant diverses circumstàncies sospitoses i les raons per les quals Balina pot haver-hi tingut una mà directa, Balina ha desmentit aquestes afirmacions, afirmant que l’hack és ara oficialment sota investigació criminal.

Independentment del que va passar realment, és clar que fins i tot els titulars de criptografia “experimentats” cometen errors de seguretat flagrants i evidents.

Esperem que aquest article serveixi per recordar a tothom que és important dedicar-se un moment a reavaluar si està prenent les mesures de precaució adequades (per molt simples i bàsiques que semblin) per fer transaccions i emmagatzemar criptomoneda de manera segura..

Relacionat: Com protegir les vostres criptomonedes