" Фишинговые атаки становятся все более распространенными, ведь преступники используют электронную почту, текстовые сообщения и телефонные звонки, чтобы обманом заставить жертв предоставить им личную информацию.
По данным Национального центра кибербезопасности Великобритании, с начала 2024 года было зарегистрировано 29 миллионов случаев фишингового мошенничества.
Анализатор мошеннических действий платформы блокчейн-безопасности также обнаружил, что более 324 000 криптопользователей стали жертвами фишинговых атак в 2023 году. В «Отчете о хищениях кошельков за 2023 год» отмечается, что из-за хищений кошельков было потеряно цифровых активов на сумму около 295 миллионов долларов.
По мере роста числа случаев фишинга некоторые криптовалютные биржи начали поощрять пользователей использовать специальные устройства для защиты своих средств.
Криптобиржи рекомендуют использовать второй уровень безопасности
Джейкоб Кляйн, директор и руководитель отдела доверия и безопасности Coinbase, рассказал, что Coinbase была одной из первых криптобирж, которая обеспечила совместимость с YubiKey.
Yubico представила устройства YubiKey в 2008 году, некоторые криптобиржи начали разрешать клиентам использовать их после первого крупного скачка цен в 2019 году.
«Устройства YubiKey - это самая безопасная форма аутентификации, которую мы предоставляем», - сказал Джейкоб Кляйн.
По словам Кляйна, устройства YubiKey могут служить формой двухфакторной аутентификации (2FA), которая требуется Coinbase.
«Это означает, что пользователю придется использовать свое физическое устройство YubiKey для доступа к своей учетной записи», - сказал он.
Это может быть полезно, ведь пароли учетной записи могут быть утеряны или даже взломаны в результате фишинговых атак.
«Учитывая все происходящие фишинговые атаки, пользователи должны задуматься над вопросом: «Как я могу избежать взлома?» Вот почему YubiKey может показаться очевидным и лучшим решением для защиты криптоактивов», - сказал он.
В 2019 году криптовалютная биржа Binance также представила пользователям устройства YubiKey.
Джимми Су, директор по безопасности Binance, сказал:
«Физический доступ к YubiKey - это то, что делает его наиболее защищенным методом 2FA. Единственный способ, которым злоумышленник может обойти это, - получить доступ к YubiKey. Это отличается от передачи одноразового пароля по SMS или электронной почте, которые гораздо более подвержены фишинговым атакам».
Пароли доступа также могут защитить от фишинговых атак
Устройства YubiKey могут быть одной из лучших мер защиты от фишинга, но криптобиржи недавно внедрили другие новые решения для пользователей.
Например, Кляйн поделился, что Coinbase поддерживает новую форму MFA под названием «ключи доступа», которая представляет собой «форму аутентификации пользователя, использующую криптовалютный метод, который связан с устройством пользователя, таким как его смартфон».
По словам Кляйна, любой пользователь Coinbase может включить опцию пароля при доступе к своей учетной записи.
Хаджа Ахмед, главный специалист по информационной безопасности криптовалютной биржи Gemini, рассказал, что Gemini также недавно выпустила поддержку ключей доступа, заявив:
«Поскольку ключи доступа не связаны с внешним физическим устройством, они несколько удобнее, чем физический YubiKey».
Том Д'Элетто, руководитель отдела продуктов платформы криптобезопасности Arculus, сказал, что, хотя программные ключи доступа - это шаг в правильном направлении, аппаратный ключ доступа - будь то USB-ключ или карта с поддержкой NFC - является золотым стандартом безопасности.
Том Д'Элетто объяснил, что «FIDO2» - это открытый стандарт, используемый как для ключей доступа, так и для YubiKeys. Он рассказал, что Arculus недавно внедрила свои собственные ключи, сертифицированные по стандарту FIDO2, которые выпускаются в виде металлической кредитной карты.
Первый YubiKey, использующий стандарт FIDO, был выпущен в 2014 году.
«В настоящее время аппаратные USB-ключи так и не получили массового распространения, несмотря на то, что уже много лет существуют на рынке, - сказал Д'Элетто. - Arculus использует аутентификатор FIDO2 в металлическом корпусе для кредитных карт, что позволяет пользователям, использующим аутентификатор Arculus, просто приложить свою карту к задней панели телефона для аутентификации».
Д'Элетто сказал, что это дает пользователям более привычный опыт:
«Представьте, что вы имеете дело с банкоматом - когда вы подходите к банкомату, вы используете свой PIN-код и банковскую карту для доступа к своей учетной записи. Arculus обеспечивает такую же простую и безопасную аутентификацию на вашем телефоне».
Защита от фишинговых атак, но не более того
Шахар Мадар, вице-президент по безопасности и доверительным продуктам Fireblocks, говорит, что важно понимать, что YubiKey и подобные физические устройства не содержат кошелька пользователя или секретного ключа:
«Он используется исключительно кошельком или биржей для аутентификации конечного пользователя и получения его авторизации на транзакцию».
Мадар считает, что наиболее эффективным способом использования этих устройств является предотвращение перехвата учетных записей конечных пользователей. Хотя это может защитить пользователей от фишинговых атак, YubiKey или пароль не могут защитить от взлома криптовалютной биржи.
Учитывая это, пользователи криптовалют, возможно, захотят сохранить средства на аппаратном кошельке. Власти Сингапура также недавно рекомендовали использовать аппаратные кошельки для защиты от атак по утечке кошельков.
Тем не менее, аппаратные кошельки также подвержены уникальным проблемам. Например, если пользователь аппаратного кошелька потеряет свои приватные ключи, его криптоактивы, скорее всего, станут невосстановимыми.
Кляйн отметил, что в данном случае может быть полезен YubiKey, связанный с учетной записью Coinbase:
«Если пользователь потеряет свое устройство YubiKey, он все равно сможет вернуться в свою учетную запись Coinbase, поскольку существует способ, с помощью которого пользователи могут восстановить доступ к своей учетной записи».
