Chvilka nepozornosti a může být všechno pryč: Rozhovor s Josefem Tětkem o zabezpečení kryptoměn

by | Led 19, 2022 | Blockchain & Kryptoměny, Nejnovější, Rozhovory / ankety | 0 comments

Investujete do kryptoměn nebo s nimi obchodujete? Necháváte své zůstatky přímo na kryptoměnových burzách nebo používáte peněženku? I některé samotné burzy už si prošly svými skandály, lidé přišli o hromadu peněz a útočníci se mají na kryptoměny v nadcházejícím období cíleně zaměřit. Přečtěte si o tom jak zabezpečit své zůstatky v rozhovoru s Josefem Tětkem, odborníkem na kryptoměny a Trezor Brand Ambassadorem ve společnosti SatoshiLabs.
Médii proletěla spousta zpráv o kybernetických útocích na kryptoměnové burzy. Uměl byste ve zkratce vysvětlit jak tyto útoky probíhají nebo jakým způsobem se na burzy útočníci nejčastěji dostanou?

Jsou dva hlavní způsoby jak se tam lze dostat. Jednak může nastat chyba na straně uživatele nebo na straně burzy. Chyba na straně uživatele může být dvojího typu. První je ten, že má uživatel špatně zabezpečený účet – nemá aktivovanou dvoufaktorovou autentizaci nebo používá stejný mail a heslo jako na jiných službách. Takže pokud někde dojde k úniku uživatelských dat s adresami a hesly, útočníci je zkoušejí použít i na krypto burzách. Vedle toho lidé často používají příliš jednoduchá hesla. Dvoufaktorová autentizace je výborný bezpečnostní mechanismus, ale může být zároveň tím druhým typem uživatelské chyby. Útočníci mohou totiž prostřednictvím tzv. SIM swappingu ukrást telefonní číslo a tím i obejít SMS autentizaci uživatele.

Naopak na straně burzy může dojít ke kompromitaci celé platformy. Útočníci např. určitým způsobem vylákají ze zaměstnanců dané firmy přihlašovací údaje. To už se několikrát skutečně stalo. Pak už je jenom otázkou, jak moc velká kompromitace bude. Jestli dojde k totálnímu kolapsu celé burzy, protože ji vykradou úplně nebo se jedná jen o něco menšího. Útočníci mohou mít také pomocníka uvnitř burzy – zkorumpovaný, nešťastný zaměstnanec, který útoku napomůže vědomě. Nebo může dojít k exit scamu, kdy majitel burzy ji sám vykrade a uteče s prostředky uživatelů.

Dále je ještě jedna oblast nebezpečí, která se dotýká jak uživatelů, tak samotné burzy. Jedná se obecně o phishing a social engineering. Útočníci se vydávají za známé, příbuzné či za policii nebo pracovníky oddělení podpory a poměrně sofistikovaně lákají z lidí přihlašovací údaje. S tímto se potýkají všichni, kteří poskytují nějakou službu v rámci které se pracuje s penězi. To je naprosto nejslabší místo, protože lidé jsou náchylní, důvěřiví a často nejsou zdravě paranoidní. Toto se děje mnohem častěji než sofistikovaný počítačový hacking. Nejčastěji tak přijdou lidé o peníze tím, že sami svoje přihlašovací údaje někomu předají.

Phishing, social engineering nebo SIM swapping používají útočníci také při krádeži čísel platebních karet nebo přihlašovacích údajů do internetového bankovnictví. Často přitom cílí na starší populaci, která je pro ně mnohdy snadnějším a zranitelnějším cílem. Dalo by ale se říci, že kryptoměny jsou dominantou relativně mladší části populace, která se v on-line světě zpravidla umí pohybovat. Čím to je, že tolik lidí skutečně naletí?

Phishing totiž začíná být dost sofistikovaný a útočníci očividně sledují, co se děje v dané oblasti. Často například svůj útok skryjí za výzvu k aktualizaci, která skutečně časově sedí s plánovaným updatem platformy. Hackeři tedy rozešlou email, který vypadá velice věrohodně a tváří se, že pochází z nějaké konkrétní burzy. Zkrátka napíší: „Tady přichází plánovaný update – pro spuštění klikněte na odkaz.“ Následně na falešné ale věrohodně vypadající stránce požadují přihlášení do uživatelského účtu, zadání uživatelského jména, hesla, třeba i dvoufaktorovou autentizaci. Uživatelé si často vůbec neuvědomují, že udělali nějakou chybu. Až ve chvíli kdy vidí že jim někdo vykradl účet.

Webové stránky na které phishingový mail odkáže tedy vypadají identicky jako stránky konkrétní kryptoměnové burzy?

Přesně. V zásadě jediný způsob jakým se lze ubránit, je pečlivě koukat do příkazového řádku v prohlížeči a porovnat zda zadaná stránka sedí se stránkou burzy. Ideálně by si měl každý psát název stránky do příkazového řádku sám. Útočníci totiž často pouze například zdvojí písmeno v adrese, což lze velmi špatně poznat hned na první pohled. Zkrátka už bohužel nejsme v době, kdy útočníci cílili jenom na slabší kusy a phishingové emaily byly plné překlepů a chyb. Dnes už jsou velmi sofistikované. Někdy i uživatelé kteří se v tom pohybují dlouho mají slabší chvíli a nedocvakne jim to. Stačí chvilka nepozornosti a může být všechno pryč.

Když je tedy chyba na mé straně, tak samozřejmě nepředpokládám, že bych měl dostat odškodnění. Je to zkrátka moje hloupá chyba. Co ale v případě, že nastane chyba na straně burzy? Existuje pro uživatele nějaká garance vzniklých ztrát? Jsou zůstatky uživatelů pojištěné?

U menších útoků většinou k odškodňování dochází, pokud je to skutečně chyba na straně burzy, což až tak často nebývá. Ano, když je to chyba na straně uživatelů, tzn. že třeba naletěli na nějaký phishing, tak to burza kompenzovat nemůže. Lidé ale naletí bohužel až příliš často.

Otázka je vždy v rozsahu krádeže. Pokud burza přijde o 80 % všech prostředků, tak prostě skončila. Je pro ni výhodnější vstoupit do likvidace. To se stalo v historii taky víckrát. Nejznámější případ tohoto typu je Mt. Gox. Tehdy asi ani žádné pojištění neexistovalo. I kdyby existovalo, tak by to bylo daleko nad limity, protože tam lidi přišli o stovky milionů dolarů, které časem přerostly do miliard dolarů. Takže vždy je to otázka velikosti. Jako uživatel, bych na toto v žádném případě nespoléhal. Pokud člověk má velké prostředky na burze, tak je gambler a neměl by je tam držet, protože ho nikdo nezachrání v případě že k něčemu dojde.

Setkal jste se někdy Vy osobně s kybernetickým útokem? Nebo někdo z Vašeho okolí? 

Já osobně úplně ne. Respektive phishingové emaily mi samozřejmě chodí, ale nikdy jsem na to neskočil. Já jsem přišel o peníze jinými způsoby. Klasicky pákové obchody, blbnutí s různými altcoiny a tak. Takže kompromitaci tohoto typu jsem osobně nezažil.

Od samého začátku co jsem vstoupil na burzy, tak jsem ale měl myslím docela dobrou bezpečnostní hygienu. To znamená, že jsem si pro každou burzu zakládal separátní šifrovanou emailovou adresu na ProtonMailu (šifrovaný mail). A vždy jsem měl dvoufaktorovou autentizaci jak pro email, tak i pro danou burzu. Toto je podle mě poměrně neprůstřelné. Ale i kdyby to nebylo neprůstřelné, tak bych na jakékoliv burze nenechával žádné vetší prostředky.

Ale reálných případů je hromada – na různých facebookových skupinách nebo takové příběhy slyším od novinářů se kterými dělám rozhovory, např. při natáčení Černých ovcí. Útočníci se na oblast kryptoměn orientují záměrně, jelikož je v tom hodně peněz a je v tom hodně tzv. retailu (neboli drobných investorů, pozn. redaktora), který nemá dost dobré ponětí o tom co dělá. Ať už z hlediska kryptoměn samotných nebo z hlediska bezpečnosti.

Co byste tedy doporučil investorům do kryptoměn z hlediska bezpečnosti?

Doporučil bych dát si pozor na falešné burzy. Určitě nechodit na obskurní burzy, které doporučil někdo přes email, přes telefon nebo nedej bože přes leták ve schránce. Bohužel třeba na důchodce je právě takto často cíleno. Nedůvěřovat prostředníkům nabízejícím výhodné balíčky, edukaci nebo podobný program skrze který se nakoupí kryptoměny. To je první věc.

Když by chtěl kdokoliv nakupovat Bitcoin nebo nějaké jiné altcoiny, měl by vyhledat ty největší burzy. Po zadání do vyhledávače „Bitcoin exchange“ nebo „bitcoinová směnárna“ či „burza“, je dobré přeskočit reklamy, protože ty mohou být často také podvodné. Bohužel Google toto úplně neodchytává a podvodníci si zde své reklamy regulérně platí.  Takže doporučuji přeskočit první odkazy s přídomkem reklama a jít po tom, co tam vypadne – např. coinmate.io, bitstamp.net, coinbase.com. Nemám tyto centralizované burzy osobně rád, ale alespoň to nejsou podvodníci.

Když už se člověk dostane na solidní burzu, tak by si měl svůj účet pořádně zabezpečit. Ideálně si nevymýšlet vlastní hesla, ale mít třeba KeePass nebo Password Manager. Je to zadarmo, lety ověřené a sám to používám. Dále si nastavit dvoufaktorovou autentizaci, ideálně přes Google Autenticator či Authy. Potom když člověk nakoupí na burze, měl by si všechny zůstatky vybrat k sobě. Protože i když může být burza sebedůvěryhodnější a funguje tady úspěšně řadu let, tak se vždycky může něco stát. Ideálně tedy vybrat nakoupenou kryptoměnu do hardwarové peněženky (Trezoru). Trezor funguje již dlouhá léta, zároveň je plně open source a nikdy nedošlo k žádné kompromitaci.

Jaké konkrétní řešení byste tedy doporučil např. malým nebo začínajícím investorům a na druhé straně lidem, kteří do kryptoměn investují statisíce?

Při nákupu kryptoměn v hodnotě tisíce dolarů už je dle mého názoru vhodné pořídit Trezor a stáhnout veškerá aktiva z burzy či softwarové peněženky právě do té hardwarové. Do té doby to úplně smysl nemá. U Trezoru se cena pohybuje od 1 700 Kč za Trezor Model One do  5 000 Kč za Trezor Model T.

Stále ale platí zásadní věc – nenechávat zůstatky na samotné burze. Každý by si je měl ideálně stahovat k sobě do peněženky. V případě nižších zůstatků do mobilní peněženky, kde mohu doporučit třeba peněženku Green od firmy Blockstream. Je to open source peněženka, od jedné z nejsolidnějších firem co se v oblasti kryptoměn pohybuje. Další dobré mobilní peněženky jsou Muun nebo Samourai.  Určitě nedoporučuji online peněženky.

Vyhýbal bych se www.blockchain.com – bohužel jedné z nejpopulárnějších online peněženek. Lidé tam přicházejí o hrozné množství peněz. Ne zcela z důvodu, že by to byli podvodníci, ale protože to má hrozný technický dluh. Ti lidé tam přicházejí o strašné množství prostředků, protože si neuvědomují, že pokud zapomenou své přihlašovací údaje, tak jim je nikdo neobnoví. Vždy je proto lepší stahovat zůstatky k sobě do modernější open source peněženky, jako jsou ty uvedené.

A když bych byl investor co má v kryptoměnách milion?

Určitě pořídit hardwarovou peněženku Trezor. Pořádně vše nastavit – opsat si seed (obnovovací frázi), ideálně si nastavit Shamir Backup, což je ještě takové další rozdělení seedu, aby člověk nezávisel jenom na jednom papírku. Dále si nastavit vhodnou passphrase (heslovou frázi) která ještě zabezpečí seed. Kdyby vám totiž kdokoliv seed ukradl, je to pro něj při nastavení passphrase nezneužitelné.

Zkrátka je třeba také pochopit, jak to celé vlastně funguje. Když si Trezor koupíte, připojíte jej do počítače, nainstaluje se firmware a provede vás to takovým vstupním proškolením. Následně je možné stáhnout zůstatky z burzy skrze klasickou transakci. Vhodné je také porozhlédnout se po možnostech, jak nakupovat Bitcoin anonymně, ať už z Bitcoin automatů, od důvěryhodných známých nebo třeba formou výdělku za protislužby. A hlavně, nechlubit se nikde tím, že máte hodně bitcoinu. Nechlubit se ani tím, jakým způsobem máte svůj bitcoin zabezpečený a tak dále. Zkrátka dodržovat klasickou bezpečnostní hygienu a nedělat ze sebe cíl.


Josef Tětek se již několik let se věnuje studiu Bitcoinu. Působí jako Trezor Brand Ambassador ve společnosti SatoshiLabs. Je autorem knih Nepřátelé státu, přátelé svobody a Bitcoin: Odluka peněz od státu. Provozuje Stackuj.cz Podcast.

Jeho příspěvky můžete sledovat na sociálních sítích Twitter a Instagram. Na Substack se můžete přihlásit k odběru newsletteru, ve kterém 1-2x měsíčně informuje o nových článcích, přednáškách a dalším obsahu.

Autor: Michael Fanta


Foto: Pixabay

0 Comments
Submit a Comment
Jaký je rozdíl mezi zabezpečení aplikace a zabezpečením API?

Jaký je rozdíl mezi zabezpečení aplikace a zabezpečením API?

S nástupem digitální transformace a rostoucí závislostí podniků na digitálních službách je zabezpečení aplikací a rozhraní API (Application Programming Interfaces) důležitější než kdy dříve. S ohledem na to jsou zabezpečení aplikací a API dvě zásadní součásti komplexní bezpečnostní strategie. Využitím těchto postupů se organizace mohou chránit před škodlivými útoky a bezpečnostními hrozbami a především zajistit, aby jejich data zůstala v bezpečí.

„AI přítelkyně” jsou noční můrou pro soukromí

„AI přítelkyně” jsou noční můrou pro soukromí

Romantičtí chatboti shromažďují obrovské množství dat, poskytují nejasné informace o tom, jak je používají, používají slabou ochranu heslem a nejsou transparentní, tvrdí nový výzkum společnosti Mozilla.

4 způsoby, jak hackeři pomocí sociálního inženýrství obcházejí MFA

4 způsoby, jak hackeři pomocí sociálního inženýrství obcházejí MFA

Pokud jde o zabezpečení přístupu, jedno doporučení vyniká nad ostatními: vícefaktorové ověřování (MFA). Vzhledem k tomu, že samotná hesla jsou pro hackery jednoduchou prací, poskytuje MFA zásadní vrstvu ochrany proti narušení. Je však důležité si uvědomit, že MFA není bezchybné. Lze ho obejít, a často se tak i děje.

Jak být anonymnější online

Jak být anonymnější online

Na internetu jste neustále monitorováni. Hlavním viníkem je často reklamní průmysl a technologické společnosti, které jsou na reklamě silně závislé, aby vydělaly peníze ( např. Google a Meta). Na webu vás mohou sledovat neviditelné trackery a cookies vložené do webových stránek a aplikací. Přečtěte si návod, jak se stát více anonymním na internetu.

Nejhorší hacky roku 2023

Nejhorší hacky roku 2023

Minulý rok byl plný ničivých kybernetických útoků po celém světě, od ransomwarových útoků na kasina až po státem sponzorované narušení kritické infrastruktury.

Chvilka nepozornosti a může být všechno pryč: Rozhovor s Josefem Tětkem o zabezpečení kryptoměn