Crypto 自我防護手冊,學會這幾招保住百萬美元

WEEX 唯客博客, 作者:南枳,Odaily 星球日報   昨日,X 用戶@CryptoNakamao 發文表示,因 Chrome 惡意插件 Aggr 導致其瀏覽器 Cookies 被挾持,黑客通過此方式操縱其幣安賬戶,通過對敲造成損失達 100 萬美元。 針對該事件,幣安發文回應,事件發生的原因是該用戶的電腦本身被黑客攻破,安全客服用時 1 分 19 秒處理了該用戶的凍結需求,平台排查對敲交易、確認嫌疑人賬戶,跨平台提出凍結需求需要時間,截至目前的排查結果,幣安在本事件之前並未注意到 AGGR 插件的相關信息。因此對於此類事件無法進行賠償。 該事件再一次為廣大用戶敲響了安全警鐘,由於黑客的專業化程度不斷提升,出現安全事件后往往是神仙難救。因此如何做好安全防範雖是老生常談的話題,但值得以最高優先順序對待,Odaily 將於本文匯總常見的攻擊與防範手段。 一鍵凍結賬戶 首先針對該事件,如果發現遭到了黑客攻擊,但賬戶內資金還沒被完全轉移時,如何最快速保護剩餘資金?除了向其他賬戶轉移資金外,還可以通過一鍵禁用賬戶來保護賬戶,禁用后需要聯繫客服方可解凍。 禁用賬戶需要通過幣安 App 進行,首先進入設置界面,然後在界面底部將有「賬戶安全」板塊,最後再進入板塊底部的「管理賬戶」,點進禁用賬戶並確認。幣安當前的官方指引為 2018 年版本,具體執行流程與記者當前實操大不相同,建議用戶提前確認和熟悉具體位置。 Chrome 插件 Chrome 插件對於 Crypto 用戶來說不可或缺,因此不使用插件並不現實,那麼如何做好 Chrome 的安全使用?用戶可以通過以下幾個方面: 檢查瀏覽器插件許可權,不常用的瀏覽器插件可以選擇禁用; 多開瀏覽器,對於不同安全等級需求的業務分配不同的瀏覽器; 所有的 Chrome 插件建議都通過官方 X 賬戶所提供的鏈接進行跳轉,不建議使用 Google 搜索,更不建議使用 X 度搜索,通過以上渠道搜索容易遇到付費置頂的釣魚鏈接,從而遭受損失。官方有義務保持 X 賬戶鏈接正確,甚至受到攻擊事件時需要對用戶做出賠償。 已安裝插件許可權查看 關於 Chrome 擴展的原理和安全問題,慢霧已撰文進行了說明,慢霧首席安全官 23 pds 指出,最關鍵的在於 manifes.json 文件,該文件決定了插件了許可權範圍。 如何查看許可權範圍?用戶可進入 chrome://extensions 界面,該界面包括了所有在瀏覽器上安裝的插件,點進詳情后能夠看到插件的許可權範圍,對於許可權為「在所有網站上讀取和改變您的所有數據(Read and change all your data on all websites)」的插件需要慎之又慎。 瀏覽器多開 用戶可通過對不同安全等級需求的業務分配不同的瀏覽器進行安全防護,例如在登陸交易所的瀏覽器上不安全任何插件,對於涉及鏈上資金的瀏覽器僅安全錢包等基礎工具。 常見的 Chrome 瀏覽器多開有兩種方式: 第一種方式是通過官方的賬戶切換方式進行多開,在 Chrome 的右上角的賬戶界面,用戶可選擇添加臨時的訪客賬戶或者 Google 賬戶,添加完畢後點擊新增賬戶即可開啟全新的瀏覽器界面,不同賬戶開啟的瀏覽器獨立運行,插件不能跨瀏覽器作惡。並且相較下一種方法,具備插件可雲端同步的優勢。 另一種常見的批量創建方法為基於電腦的快捷方式進行多開。 用戶可在電腦端複製一個或者任意數量的 Chrome 快捷方式,然後在快捷方式上右鍵進入屬性界面,在目標地址的末端輸入 –user-data-dir=「目標文件夾地址」 即可創建全新的獨立 Chrome 瀏覽器(注意最前面有一個空格),該方法相較前一種方法更加快捷,但需要注意數據都保存在本地,需要做好錢包秘鑰等關鍵數據的備份。 剪切板許可權 由於 TG Bot 的盛行,許多用戶往往會進行直接複製秘鑰的操作。該場景下建議不要一次性複製完整的秘鑰,可留存幾個字母手工輸入,避免剪切板監聽風險。此外關閉 APP 與網頁的剪切板讀取許可權也非常關鍵,對於網頁端用戶可進入以下鏈接 chrome://settings/content/clipboard,在該界面可對網站的讀取許可權進行關閉,在特殊必要的情況下再另行開啟,能夠大幅提升安全性。 X 平台虛假賬戶騙局 近幾個月來,仿冒官方在 X 平台發布惡意釣魚鏈接的情況頻發,這些賬戶往往都為金標賬戶,用戶名與官方一致,僅賬戶句柄存在一兩個字母的差異,難以一眼看出。 對於此類騙局,建議用戶安裝 Scam Sniffer 插件,該插件將對 X 平台賬戶進行掃描,提示在評論區出沒的虛假官方賬號。 其他基本安全意識 除了以上可手動檢查和開關的安全操作之外,還有許多基本意識層面的安全要素,包括: 不要在 TG 和 DC 上相信任何私信鏈接,僅相信官方賬戶發布鏈接與信息; 助記詞和秘鑰盡量不觸網,尤其是不要使用手機拍照記錄助記詞; 在涉及大額資金的電腦上,避免安裝 todesk、向日葵等遠程操控軟體; 涉及大額資金的交易所賬戶設置 2FA,使用完畢後退出賬戶; 去中心化意味著安全問題永遠不會消失的同時損失難以挽回,黑客的攻擊手段仍在不斷升級,只有自己能保護自己,做好最基本的安全防護才是「活下去」的根本。 WEEX唯客交易所官網:weex.com

Previous:

Next: