Ian Balina Hack på 2 millioner dollars: 4 vigtige takeaways og påmindelser om sikkerhed

Hvis du ikke har hørt den seneste brummer i kryptosfæren i løbet af den sidste uge, så bor du sandsynligvis under en klippe, fordi det (desværre) alle mennesker har fokuseret på. Omkring kl. 4 EST den 16. april 2018 havde mid livestream, cryptocurrency-investor, rådgiver og selvudråbte “evangelist”, Ian Balina bare bange for 2 millioner dollars stjålet fra sin ETH-tegnebog.

Han sluttede pludselig sin livestream og tweetede følgende besked –

Ian Balina Hack Tweet

Det er svært at forstå, hvordan en person med millionbeløb lagrede det så hensynsløst. Og den skræmmende del – det er mere almindeligt, end du tror. I en nu slettet Telegram-massage forklarede Balina, hvordan han mener, at han blev hacket:

Sådan tror jeg, jeg blev hacket. Min college-e-mail blev opført som en gendannelses-e-mail til min Gmail. Jeg husker, at jeg fik en e-mail om, at det var kompromitteret, og forsøgte at følge op på min universitetssikkerhed for at få det løst, men var ikke i stand til at få det håndteret på [sic] hurtig måde og opgav det og tænkte, det var bare en gammel e-mail.

Jeg opbevarer tekstversioner af mine private nøgler i min Evernote som krypterede tekstfiler med adgangskoder. Jeg tror, ​​de hackede min e-mail ved hjælp af min college-e-mail og derefter hackede min Evernote.

For dem der ikke er helt sikre på, hvem Ian Balina er, begyndte han at lave YouTube-videoer i begyndelsen af ​​2017 og lærte investorer, hvordan man “hackede systemet” og tjen en seks-cifret indkomst. Han steg kun frem i de sidste seks måneder efter sin åbenbaring om, at han parlayed a $ 90.000 investering i $ 4 millioner på mindre end 12 måneder – en erklæring, som han bekræftede med sin Blockfolio snapshots indsendt på Twitter.

Som ham eller ej, er Ian Balina-hacket en dyr lektion om, hvor vigtigt det er at holde din krypto sikker. Her er 4 grundlæggende sikkerheds takeaways og påmindelser, som HODLere bør gøre sig bekendt med og implementere i deres kryptosurfing, investering og opbevaring for at minimere chancerne for at blive hacket (eller blive lam på sociale medier).

1. Undlad at flagre med det bare fordi du har det

Ligesom den gennemsnitlige person ikke går rundt og råber deres bankkontooplysninger, og hvor mange penge de har i deres tegnebog i et snuskigt kvarter kl. 2, bør kryptoinvestorer ikke offentliggøre deres kryptoportefølje og beholdninger online – eller personligt.

Selv når man deltager i populære onlinefora, såsom BitcoinTalk eller Reddit, er diskretion nøglen – spørg bare denne Redditor der faktisk sendte deres Siacoin private frø online og fik en lektion i sikkerhed af en heldigvis venlig fyr Redditor.

At afstå fra at sende økonomisk information online virker som et indlysende tip, men det gentages stadig.

Her er blot nogle få af konsekvenserne og sikkerhedsrisici, som det åbner investorerne for:

  1. Målrettede phishing-svindel
  2. Ransomware
  3. Social engineering
  4. Røveri

Det er rigtigt, røveri. Tag det fra denne taiwanske mand der viste bevis for sine bitcoins til 3 svindlere og i sidste ende blev overfaldet og røvet. Svindlerne overførte 18 bitcoins – estimeret til over US $ 170.000 – ud af hans konto (via telefon).

Selv Islands premierminister endte som en ubevidst tilskuer til en mands flugt mistænkt for at stjæle omkring 600 computere med Bitcoin, i hvad der betragtes som Islands største nogensinde røveri.

Du vil måske ikke blive overset, men du vil heller ikke blive set for meget over. Må ikke dox dig selv.

2. Brug kold opbevaring, hvis du gemmer mere end 1 måneds løn online

Når de beslutter, om de skal ponniere og bruge $ 60 – $ 150 på en hardware-tegnebog, skal HODLere spørge sig selv, hvor meget de er okay med at miste, hvis deres adgangskoder eller loginoplysninger bliver kompromitteret.

Opbevaring af private nøgler online og brug af varme tegnebøger er håndterbar og passende for investorer, der gemmer små beløb online, mens kold opbevaring – opbevaring af midler i en offline enhed – og hardware-tegnebøger skal bruges af investorer, der har mere end en måneds løn på en børs.

Men selv om det at miste en uges løn til et hack ville påvirke dig drastisk – økonomisk eller følelsesmæssigt – er det værd at bruge weekendens barfane eller nogle af de penge, der er sparet til din nanas overraskelse 90-årsdag.

Hvor Balina fejler i hans opbevaring og / eller private nøgler var gennem hans brug af et generisk og gratis cloud-opbevaringsprogram og kompromitteret college-e-mail, som gjorde det muligt for hackere at hacke hans nuværende e-mail og få adgang til Evernote.

Opbevaring af en privat nøgle eller frø online betragtes ikke som kold opbevaring – det betragtes derefter som en varm tegnebog, da den er forbundet til internettet – og følger med adskillige problemer og sikkerhedssårbarheder forbundet med hot tegnebøger.

Hvis du er i tvivl, gå koldt.

Begge Trezor og Ledger Nano er to populære og velrenommerede hardware-tegnebøger til opbevaring af midler. Bare husk, en lille investering i sikkerhed nu kunne forhindre Charlie Shrem – et stiftende medlem af Bitcoin Foundation – fra at give dig en gang i fremtiden.

charlie shrem ian balina hack tweet

Og hvis du leder efter mobilitet blandet med køleopbevaring, kan du overveje at bruge CoolWallet S, en mobil hardware-tegnebog, der understøtter Bitcoin, Ethereum, Ripple, Litecoin og Bitcoin Cash (ERC-20-tokens kommende).

Derudover er papirpunge et effektivt middel til køleopbevaring, forudsat at du ikke gør det læg papiret med dit genopretningsfrø og PIN-kode under din datters pude før en flyvning, og lej et rengøringshold til at rydde op.

For et omfattende kig på cryptocurrency-tegnebøger, tjek vores begyndervejledning til cryptocurrency-tegnebøger.

3. Pas på Punycode

Lige siden kryptos meteoriske stigning i de sidste par år er phishing blevet den foretrukne metode for svindlere, der ønsker at drage fordel af skødesløse HODLere og dem, der er hurtige til at hoppe på gratis kryptokonkurrencer – tak @VitarikBooterun fra Rusland, der har 2 tilhængere og intet profilbillede ( dette er et falsk og fuldstændigt sammensat Twitter-håndtag, men log ind på Twitter, find en @VitalikButerin Tweet og noter).

Det mest bekymrende problem omkring nutidige phishing-angreb er deres kompleksitet og æstetiske ægthed. Især for folk som mig, en person, der teknisk set skal have læsebriller, men ikke er overbevist om, at hans mor fortæller ham, at han ser mere flot ud med dem – og i stedet vælger at kæbe og holde computeren tæt på ansigtet.

Og jeg er ikke den eneste, der er blevet narret før.

Tidligere i år kom det frem i lyset en falsk Tron-konto var blevet verificeret af Twitter. Kontoen havde samlet over 140.000 tilhængere, mens de tweeter ud af svindelopgivelser, hvor brugerne sendte små mængder ETH til en posteret adresse med løfte om at modtage 10 gange det til gengæld.  

Det stopper ikke der. Phishing-angreb bliver mere kreative. Selvom den ikke bruges i Balina-hacket, er denne phishing-metode værd at holde øje med: se ikke længere end “punycode”.

falsk binance phishing punycode

Kort sagt er punycode en særlig repræsentation af Unicode, tillader hackere at konvertere tegn til ASCII, et mindre og begrænset tegnsæt – tænk på det tyske sprog. For eksempel er det tyske navn for München ‘München’.

Så hvordan fortæller du legitime websteder fra ondsindede?

  • For det første skal du kigge efter det grønne ‘https’ og ordet ‘Secure’ direkte til venstre for et websteds URL-adresse. Grøn angiver, at webstedet har opnået de nødvendige SSL-certifikater og er legitimt.
  • For det andet er bogmærke for en ofte besøgt webside et effektivt middel til at minimere fejl eller stavefejl.
  • Dobbeltkryds for at sikre, at URL’en blev indtastet korrekt, og stol på din tarm. Et websted, der viser pop op-vinduer, når de straks lander på siden, er sandsynligvis ikke det rigtige sted at handle og gemme tusindvis af dollars i krypto.

4. Godkendelse af to faktorer er nøglen – En metode hersker øverst

Sikkerhedskopiering af kryptokonti og logins med tofaktorautentificering – også kendt som 2FA – er et vigtigt skridt til at forbedre porteføljesikkerheden. 2FA kræver, at brugerne indtaster en engangskodeord (OTP), der leveres til dem via smartphone eller applikation, for at fuldføre loginprocessen.

Brugere, der tager sikkerhed alvorligt, bør dog afstå fra at bruge SMS-godkendelse til 2FA og i stedet bruge apps som f.eks Google Authenticator, eller de mindre populære Authy.

Forskere og sikkerhedseksperter har længe advaret mod brugen af ​​tekstbeskeder som en validerende sikkerhedsforanstaltning, når man logger ind online, idet man bemærker, at hackere tidligere har orkestreret store angreb, hvor de udnyttede kendte fejl i forskellige mobilnetværk for at opfange tekstbeskeder sendt til brugere.  

Fordelen ved Google Authenticator er, at den er afhængig af styrken ved ikke at skulle interagere med en cellebærer, idet de tidsbegrænsede godkendelseskoder holdes i appen (normalt i 30 sekunder) og telefonen. Selvom en hacker hurtigt flytter en brugers telefonnummer til en ny telefon, påvirkes koden ikke.     

Når du bruger Google Authenticator eller andre 2FA-apps, er det vigtigt at tage backup af private nøgler og gemme dem sikkert – bare hvis du går i stykker eller mister din telefon.

Afsluttende tanker

Mens nogle i kryptosamfundet ikke er overbeviste om, at Balina virkelig blev hacket – påpegede flere mistænkelige omstændigheder og grunde til, at Balina måske faktisk havde en direkte hånd i det – har Balina siden afvist sådanne påstande og erklærede, at hacket er nu officielt under kriminel efterforskning.

Uanset hvad der faktisk skete, er det klart, at selv “krydret” kryptoholdere begår alvorlige og åbenlyse sikkerhedsfejl.

Forhåbentlig fungerer denne artikel som en påmindelse til alle derude om, at det er vigtigt at tage et øjeblik for at revurdere, om du træffer de rette forholdsregler – uanset hvor enkle og grundlæggende de ser ud – til at foretage en sikker transaktion og opbevaring af kryptokurrency.

Relaterede: Sådan sikres dine kryptovalutaer