Главный принцип: думайте как параноик

Самое слабое звено в любой системе безопасности — человек. Никакой фаервол не поможет, если вы сами разрешите вредоносной программе подключиться к вашему устройству или введёте пароль на фишинговом  сайте.

Любое необычное поведение системы — внезапный запрос пароля, странное окно, неожиданное предупреждение — должно вас насторожить. Если не понимаете, что и зачем требует пароль, — не вводите его. Лучше отключите интернет, проверьте систему антивирусом и разберитесь в ситуации.

Взломы крупных корпораций почти никогда не начинаются с взлома «главной супер-защищённой системы». Всё начинается с картинки во вложении, которую открыл рядовой сотрудник.

Социальная инженерия: как не попасться на удочку

Большинство атак строится не на технических уязвимостях, а на доверии. Вот ключевые правила:

Не переходите по ссылкам из непроверенных источников, даже если ссылка выглядит безобидно. Фишинговые сайты часто занимают первые строки (еще чаще покупают рекламу в Google Ads) в поисковой выдаче, поэтому поисковик — не ваш друг при работе с крипто-сервисами. Все нужные сайты — только через закладки, предварительно проверенные через VirusTotal.

Не доверяйте никому в сети, даже если общаетесь с человеком полгода. Мошенники месяцами выстраивают доверительные отношения перед атакой.

Не открывайте файлы, присланные незнакомцами: PDF, Excel, изображения, ZIP-архивы. Даже картинка может содержать вредоносный код. Не подключайте чужие флешки.

Не спешите переходить по ссылкам, даже с официальных аккаунтов — они могут быть взломаны. Подождите несколько часов, пусть другие «примут удар на себя».

Не раскрывайте, какими инструментами безопасности пользуетесь — это упрощает целевую атаку на вас.

Не задавайте вопросы в публичных телеграм-чатах бирж и проектов. Там дежурят мошенники, которые умеют маскироваться под официальную поддержку (используют фото проекта или название аккаунта как support, Admin и др.). Все вопросы — только через официальные тикеты на сайте или Discord.

Пароли: математика вашей безопасности

Длинный сложный пароль нужен не из соображений перфекционизма. Если стилер украдёт кэш браузера, то без пароля от зашифрованного хранилища данные бесполезны. Вы разделяете информацию на две части, и потерять обе сразу значительно сложнее.

Немного математики для понимания масштаба:

— Пароль из 10 цифр — энтропия 30 бит
 — Пароль из 20 цифр — энтропия 60 бит
 — Пароль из 20 символов (буквы, цифры, спецсимволы) — энтропия 120 бит
 — Пароль из 40 символов — энтропия 250 бит

Энтропия — это мера непредсказуемости. Чем выше энтропия, тем сложнее угадать пароль (методом перебора, или «брутфорса»).

Энтропия измеряется в битах. Это число означает, сколько попыток в среднем нужно сделать взломщику, чтобы угадать пароль, если он не знает его заранее.

• Если энтропия равна 1 биту, это значит, что существует всего 2 возможных варианта (как подброшенная монетка: орел или решка).

• Если энтропия равна 2 битам, это 4 варианта.

• Если энтропия равна 30 битам, это 2 в 30-й степени вариантов.

2 в 30-й степени — это 1 073 741 824 варианта (более миллиарда).

128 бит — минимальный стандарт безопасности. 256 бит — высокий класс. Вывод прост: пароли должны быть длинными (20+ символов), сложными и уникальными для каждого сервиса. Генерируйте их только в менеджере паролей — никогда не придумывайте самостоятельно.

Не сохраняйте пароли в браузере. Не храните их в заметках, Google Docs или Evernote. Используйте KeePassXC — бесплатный менеджер с открытым кодом, без облачной синхронизации. Настройте минимальное время очистки буфера обмена и автоблокировки базы.

Как безопасно хранить крипту

Главное правило любой финансовой системы — диверсификация. Не держите всё в одном месте.

Горячие кошельки (небольшая часть средств) — для частых транзакций и работы со скриптами. Используйте Metamask или Rabby. Помните: сид-фразу генерируйте только в проверенных кошельках.

Холодные кошельки (около 1/3 средств) — для активов, которые нужно держать на балансе постоянно. Лучший вариант для активной работы — Ledger, у которого есть поддержка множества адресов и совместимость с Rabby/Metamask. При такой связке для любой транзакции нужно физическое подтверждение на устройстве: даже если злоумышленник получит доступ к вашему компьютеру, сид-фраза останется в защищённом чипе.

Несколько практических советов по холодным кошелькам:
 — Покупайте только у официальных продавцов или в крупных сетях.
 — Убедитесь, что упаковка не вскрыта.
 — Сразу проверьте подлинность и обновите прошивку.
 — После первичной настройки сбросьте кошелёк до заводских настроек и настройте заново.

Защита данных: зашифрованные хранилища

Все ценные файлы — ключи, сид-фразы, пароли, таблицы — должны храниться в зашифрованных контейнерах. Для их создания используйте VeraCrypt.

Рекомендуется разделить хранилище на несколько томов по уровню важности:

Первый том — рабочие файлы, таблицы, скрипты. Постоянно смонтирован.
Второй том — пароли от бирж, почт, кошельков. Хранится в менеджере паролей внутри тома.
Третий том — приватные ключи и сид-фразы. Монтируется крайне редко. Лучше хранить его на нескольких флешках, а не на компьютере.

Контейнер можно замаскировать: переименуйте файл, дав ему расширение .dat или назвав его похожим на системный файл.

Буфер обмена и клавиатура: незаметные угрозы

Буфер обмена — распространённый вектор атаки. Вирусы подменяют адрес кошелька в момент копирования: вы думаете, что копируете один адрес, а вставляете другой. Всегда проверяйте вставленный адрес посимвольно.

Windows буфер обмена особенно уязвим — система предоставляет открытый доступ к нему без уведомлений пользователя. Используйте KeyScrambler для шифрования нажатий клавиш.

Перед работой с особо важными данными (ввод сид-фраз, приватных ключей):
1. Просканируйте систему антивирусом в безопасном режиме.
2. Отключите интернет.
3. Только после этого расшифровывайте и используйте данные.
4. После завершения работы перезагрузите устройство.

Настройка системы

Windows

Работайте под учётной записью без прав администратора — это закрывает целый спектр уязвимостей. Пароль для основного пользователя и администратора должны быть разными и сложными.

Ключевые настройки:
 — Включите BitLocker для шифрования диска.
 — Отключите удалённый рабочий стол.
 — Отключите общий доступ к файлам и принтерам.
 — Выключите журнал буфера обмена.
 — Включите изоляцию ядра в настройках безопасности.
 — Удалите OneDrive.

Для расширенного контроля используйте Autoruns — утилиту от Microsoft, которая показывает всё, что запускается при старте системы, и позволяет проверить процессы через VirusTotal.

macOS

Несмотря на репутацию «неуязвимой» системы, macOS всё чаще становится мишенью: за последние три года количество вредоносных программ для неё выросло на 60%.

Основные меры:
 — Сбросьте устройство до заводских настроек перед началом работы (если есть сомнения).
 — Создайте дополнительного пользователя без прав администратора.
 — Включите FileVault для шифрования диска.
 — Включите брандмауэр и режим невидимости.
 — Отключите AirDrop и Handoff.
 — Установите бесплатные инструменты от Objective-See: LuLu (контроль исходящих соединений), KnockKnock (поиск закреплённых компонентов), BlockBlock (мониторинг автозагрузки в реальном времени)

Браузер и расширения

Около 12,5% расширений для браузеров имеют права доступа ко всем открытым страницам — это значит, они теоретически могут читать всё, что вы делаете в браузере, включая работу с кошельками.

Правила работы с расширениями:
 — Устанавливайте только необходимые расширения.
 — Если расширение нужно редко — отключайте его.
 — Проверяйте каждый файл перед установкой через VirusTotal.
 — Не устанавливайте бесплатные VPN-расширения и сомнительные блокировщики рекламы.

Для Chrome используйте uBlock Origin Lite + Malwarebytes Browser Guard. Для Firefox — NoScript + uBlock Origin (полноценная версия). Firefox предпочтительнее с точки зрения безопасности, так как поддерживает более строгий контроль скриптов.

Telegram: обязательно отключите автозагрузку файлов в настройках. По возможности не используйте мессенджер на рабочем компьютере с кошельками.

Двухфакторная аутентификация (2FA)

Включайте 2FA везде, где это возможно. Откажитесь от SMS-кодов в пользу приложения-аутентификатора — SIM-карту можно перевыпустить, SMS — подменить. Используйте Authy или аппаратный ключ YubiKey 5.

YubiKey требует физического присутствия и прикосновения для подтверждения авторизации. Даже если злоумышленник получит ваш пароль и зашифрованный файл — без физического ключа он не войдёт. Устройство поддерживает большинство современных протоколов (FIDO2, U2F, OTP, PIV, OpenPGP).

Не храните коды восстановления для 2FA вместе с паролями от тех же сервисов — это сводит двухфакторность на нет.

DNS и VPN

Стандартный DNS от провайдера передаёт запросы в нешифрованном виде и не защищает от фишинга. Замените его на безопасную альтернативу:

— NextDNS — полная кастомизация блокировок, поддержка DNS-over-HTTPS
 — AdGuard DNS — фиксированная фильтрация рекламы и трекеров
 — Cloudflare 1.1.1.1 — высокая скорость, базовая конфиденциальность

VPN шифрует весь трафик и скрывает IP-адрес, что особенно важно при работе через публичный Wi-Fi. Надёжные варианты: Mullvad (максимальная анонимность, оплата криптой), ProtonVPN (швейцарская юрисдикция, есть бесплатный тариф), NordVPN (функция Double VPN).

Виртуальная машина: изолированная среда для работы с криптоактивами

Виртуальная ОС полностью изолирована от основной системы. Вирусы с рабочего компьютера туда не проникнут, а в экстренной ситуации виртуалку можно удалить за минуту.

Установите VirtualBox и создайте виртуальную машину с Windows или Linux. Используйте её для работы с кошельками, биржами и проверки подозрительных файлов. Делайте снимки состояния системы (Snapshots) — они позволяют мгновенно откатиться к чистому состоянию после любого подозрительного действия.

Для полной изоляции не устанавливайте общий буфер обмена между виртуальной и основной системой.

Почта и телефонный номер

Не используйте один и тот же номер телефона для бирж и в обычной жизни. Не привязывайте мессенджеры к номеру, который знают все ваши знакомые.

Заведите отдельные почтовые ящики:
 — Для работы с биржами и важными кошельками — желательно ProtonMail
 — Для участия в аирдропах, вайтлистах и прочего — ещё один ящик

Эти почты не должны пересекаться между собой. Проверьте ваши текущие адреса на факт утечки на сайте haveibeenpwned.com

Принцип «инкубатора»: угрозы не всегда реализуются сразу

Хакеры не спешат использовать полученные данные немедленно. Они ждут удобного момента — крупного перевода, роста курса, раздачи токенов. Поэтому «мне сейчас нечего терять» — плохая причина откладывать защиту. Когда появится что терять, будет поздно.

Начните выстраивать защиту сегодня, даже если суммы небольшие. Все описанные меры не требуют специальных знаний — по каждой из них есть подробные инструкции в открытом доступе.

Чек-лист: минимум для начала

—  Установить KeePassXC, создать базу паролей с длинным мастер-паролем.
 —  Создать зашифрованные тома в VeraCrypt (минимум три: рабочий, пароли, ключи).
 — Включить 2FA на всех биржах и важных сервисах (не SMS).
 — Проверить почту на утечки через haveibeenpwned.com.
 — Отключить автозагрузку в Telegram.
 — Добавить все рабочие сайты в закладки после проверки через VirusTotal.
 — Завести холодный кошелёк (Ledger или Trezor) для хранения основной части средств.
 — Настроить оповещения о движениях на кошельках через Telegram-бот.
 — Работать под учётной записью без прав администратора.
 — Включить BitLocker (Windows) или FileVault (macOS).

Безопасность в сети — это не разовое действие, а постоянный процесс. Регулярно обновляйте программы, следите за новыми схемами мошенничества и пересматривайте свои меры защиты по мере роста активов.