راه‌های جلوگیری از هک کیف پول ارز دیجیتال به همراه چک لیست امنیتی

یک لحظه غفلت هنگام تایید یک تراکنش سریع، کلیک روی یک لینک پشتیبانی جعلی که دقیقاً شبیه سایت اصلی طراحی شده، یا حتی کپی کردن آدرس مقصد در حالی که یک بدافزار پنهان در پس‌زمینه گوشی شما آن را تغییر می‌دهد، تمام چیزی است که یک هکر نیاز دارد. شما تراکنش را با دست خودتان تایید می‌کنید، غافل از اینکه دارایی شما به جای نشستن در حساب مقصد، مستقیم به کیف پول یک سارق در آن سوی دنیا منتقل می‌شود. برای در امان ماندن از این تله‌های دیجیتال، در ادامه این مطلب تکنیک‌های طلایی و اقدامات ضروری برای حفظ امنیت کیف پول را قدم به قدم بررسی می‌کنیم تا از سرمایه خود در برابر این خطرات پنهان محافظت کنید.

هک کیف پول ارز دیجیتال؛ واقعیت یا شایعه؟

وقتی قدم در دنیای رمزارزها می‌گذاریم، اولین چیزی که می‌شنویم امنیت بی‌نظیر شبکه‌ی بلاکچین (دفتر کل دیجیتال و غیرقابل تغییر که اطلاعات تراکنش‌ها را به صورت امن ثبت می‌کند) است. این موضوع باعث می‌شود بسیاری از کاربران تازه‌کار تصور کنند که دارایی‌هایشان در برابر هرگونه خطری کاملا ایمن است. اما حقیقت این است که هک کیف پول ارز دیجیتال یک واقعیت انکار ناپذیر است. در واقع هکرها سیستم قدرتمند بلاک چین را هک نمی‌کنند، بلکه با استفاده از ترفندهای مختلف، کلید ورود به گاوصندوق شخصی شما را می‌دزدند. این شرایط دقیقا مانند این است که یک گاوصندوق فولادی و ضدسرقت در خانه‌ی خود داشته باشید، اما کلید آن را روی در جا بگذارید.

آمار تکان‌دهنده از سرقت دارایی‌های دیجیتال در سال‌های اخیر

گزارش‌های امنیتی نشان می‌دهند که سالانه میلیاردها دلار از سرمایه‌ی کاربران در سراسر جهان به سرقت می‌رود. بدافزارهای مخفی مانند تروجان (نوعی ویروس پنهان که با ظاهر یک برنامه‌ی سالم وارد سیستم می‌شود و به دور از چشم شما اطلاعات را می‌دزدد) روزانه هزاران کاربر را هدف قرار می‌دهند. برای مثال برنامه‌های مخربی وجود دارند که فقط منتظر می‌مانند تا شما آدرس یک کیف پول را برای انتقال ارز کپی کنید و در کسری از ثانیه، آن آدرس را با آدرس کیف پول هکر عوض می‌کنند. دلیل اصلی بالا بودن این آمار تکان‌دهنده، ضعف شبکه‌ی ارزهای دیجیتال نیست، بلکه ناآگاهی کاربران از روش‌های ساده‌ی محافظت از اطلاعات شخصی و تکیه‌ی بیش از حد به تنظیمات اولیه‌ی برنامه‌ها است.

چرا هکرها به کیف پول‌های ارز دیجیتال علاقه دارند؟

شاید بپرسید چرا سارقان اینترنتی تا این حد روی بازار رمزارزها تمرکز کرده‌اند؟ پاسخ به این سوال در ویژگی‌های خاص این بازار نهفته است. هکرها به دلایل زیر کیف پول‌های دیجیتال را هدف قرار می‌دهند:

• تراکنش‌های غیرقابل برگشت: در سیستم بانکی سنتی اگر پولی اشتباه جابه‌جا شود، با پیگیری قضایی و مسدود کردن حساب گیرنده، امکان بازگشت وجه وجود دارد. اما در دنیای رمزارزها، وقتی تراکنشی در شبکه تایید شد، دیگر هیچ راهی برای لغو یا برگرداندن آن وجود ندارد.
• ناشناس بودن هویت‌ها: هکرها می‌توانند بدون اینکه ردپای مشخصی از نام و نشان خود به جا بگذارند، میلیون‌ها دلار را در قالب ارزهای دیجیتال به کیف پول‌های مختلف منتقل کرده و سپس آن‌ها را ناپدید کنند.
• نفوذ آسان به حریم کاربران: برای یک هکر، فریب دادن یک کاربر مبتدی بسیار ساده‌تر از هک کردن سرورهای امنیتی یک بانک بزرگ است. آن‌ها با ساختن یک سایت تقلبی یا ارسال یک لینک مخرب، به راحتی اطلاعات ورود شما را به دست می‌آورند.

تفاوت امنیت در کیف پول‌های گرم (نرم‌افزاری) و سرد (سخت‌افزاری)

برای جلوگیری از هک شدن، ابتدا باید خانه‌ی دارایی‌های خود را به درستی بشناسید. کیف پول‌های ارز دیجیتال از نظر سطح امنیت به دو دسته‌ی کلی تقسیم می‌شوند:

• کیف پول گرم: این کیف پول‌ها در دسترس هستند و برای استفاده‌ی روزمره بعد ازخرید و فروش ارز دیجیتال بسیار راحت طراحی شده‌اند. درست مانند کیف پولی که در جیب خود می‌گذارید و برای خریدهای روزانه از آن استفاده می‌کنید. اما چون همیشه به اینترنت متصل هستند، در برابر حملات آنلاین، ویروس‌ها و خطرات ناشی از اتصال به شبکه‌ی وای‌فای عمومی در کافه‌ها آسیب‌پذیرترند.
• کیف پول سرد: این دستگاه‌ها بالاترین سطح امنیت را ارائه می‌دهند. کیف پول سرد دقیقا مانند یک گاوصندوق سنگین در زیرزمین خانه‌ی شماست. هکرها از طریق اینترنت نمی‌توانند به اطلاعات درون آن دسترسی پیدا کنند، زیرا این دستگاه‌ها اطلاعات حیاتی شما را آفلاین نگه می‌دارند و ارتباطشان با اینترنت قطع است. اگر قصد دارید سرمایه‌ی قابل توجهی را برای مدت طولانی نگهداری کنید، استفاده از این روش امن‌ترین انتخاب ممکن است.

هکرها چگونه کیف پول ارز دیجیتال شما را خالی می‌کنند؟

برای محافظت از دارایی‌های خود، ابتدا باید روش‌های کار سارقان را بشناسیم. در دنیای رمزارزها، هکرها معمولا به جای تلاش برای شکستن قفل‌های پیچیده‌ی شبکه‌ی بلاک چین، روی نقطه‌ی ضعف اصلی یعنی خطای انسانی تمرکز می‌کنند. آن‌ها می‌دانند که فریب دادن شما بسیار آسان‌تر از هک کردن کدهای کامپیوتری است. در ادامه با رایج‌ترین ترفندهای این افراد آشنا می‌شویم.

حملات فیشینگ Phishing و تله سایت‌های جعلی

حملات فیشینگ (Phishing) یکی از قدیمی‌ترین و موثرترین روش‌های سرقت است. در این روش، هکرها یک وب‌سایت کاملا مشابه با سایت صرافی یا کیف پول اصلی شما می‌سازند. سپس از طریق ایمیل یا پیامک، یک پیام هشدار دهنده برای شما ارسال می‌کنند؛ مثلا با این مضمون که حساب شما در حال مسدود شدن است و باید سریعا وارد لینک شوید تا مشکل را برطرف کنید.

زمانی که شما با اضطراب روی لینک کلیک می‌کنید و وارد آن سایت جعلی می‌شوید، از شما خواسته می‌شود تا عبارت بازیابی (Seed Phrase: دوازده تا بیست و چهار کلمه‌ی انگلیسی که کلید اصلی و سند مالکیت کیف پول شماست) را وارد کنید. به محض وارد کردن این کلمات، هکرها به تمام دارایی‌های شما دسترسی پیدا می‌کنند. برای درک بهتر، این کار دقیقا مانند این است که شما کلید گاوصندوق خانه‌ی خود را با دستان خودتان به یک غریبه تحویل دهید.

بدافزارهای کلیپ‌بورد Clipboard Malware و تغییر آدرس کپی‌شده

این روش یکی از هوشمندانه‌ترین و بی‌سروصداترین انواع هک است. بدافزارهای کلیپ‌بورد (Clipboard Malware: برنامه‌های مخربی که حافظه‌ی موقت کپی و پیست کردن در گوشی یا کامپیوتر را کنترل و دستکاری می‌کنند) معمولا با دانلود یک فایل ناشناس، یک عکس آلوده یا نصب یک برنامه‌ی غیر معتبر وارد دستگاه شما می‌شوند.

روند کار این ویروس بسیار ساده اما خطرناک است. زمانی که شما آدرس طولانی یک کیف پول را کپی می‌کنید تا ارزی را به آن انتقال دهید، این بدافزار در پس‌زمینه‌ی دستگاه شما فعال می‌شود. در همان لحظه‌ای که شما دکمه‌ی جایگذاری یا پیست را می‌زنید، بدافزار آدرس کپی‌شده‌ی شما را با آدرس کیف پول هکر جایگزین می‌کند. از آنجایی که آدرس‌های ارز دیجیتال بسیار طولانی و پیچیده هستند، اکثر کاربران متوجه این تغییر نمی‌شوند و تراکنش را تایید می‌کنند. در نهایت، سرمایه‌ی شما به جای رسیدن به مقصد، مستقیما به جیب هکر می‌رود.

مهندسی اجتماعی و پیام‌های فریبنده در تلگرام و شبکه‌های اجتماعی

مهندسی اجتماعی (Social Engineering: هنر فریب دادن ذهن افراد برای سوءاستفاده و مجاب کردن آن‌ها به افشای اطلاعات محرمانه) در شبکه‌های اجتماعی بسیار پرکاربرد است. فضای تلگرام، دیسکورد و توییتر پر از کلاهبردارانی است که خود را به عنوان تیم پشتیبانی صرافی‌ها یا کیف پول‌های معتبر جا می‌زنند.

آن‌ها معمولا با استفاده از روش‌های زیر تلاش می‌کنند اعتماد شما را جلب کنند:

• پیام دادن در گروه‌های تلگرامی به عنوان ادمین و پیشنهاد کمک برای حل مشکل فنی یا گیر کردن تراکنش شما.
• ارسال لینک‌های مربوط به ایردراپ (Airdrop: توزیع رایگان ارز دیجیتال بین کاربران برای تبلیغ یک پروژه‌ی جدید) تقلبی، تا شما را ترغیب کنند کیف پول خود را به سایت مخرب آن‌ها متصل کنید.
• درخواست برای تایید هویت و گرفتن اسکرین‌شات از صفحه‌ی کیف پول شما تا بتوانند موجودی شما را بررسی کنند.

به یاد داشته باشید که پشتیبان‌های واقعی هرگز در پیام خصوصی به شما پیام نمی‌دهند و تحت هیچ شرایطی کلمات بازیابی یا رمز عبور شما را درخواست نمی‌کنند.

خطرات پنهان و سرقت اطلاعات از طریق وای فای عمومی Public Wi-Fi

استفاده از اینترنت رایگان در مکان‌هایی مانند کافه‌ها، فرودگاه‌ها، هتل‌ها یا رستوران‌ها بسیار وسوسه‌کننده است، اما این شبکه‌ها می‌توانند به شدت ناامن باشند. وای فای عمومی (Public Wi-Fi: شبکه‌های اینترنت بدون رمز یا با رمز مشترک که در مکان‌های عمومی در دسترس همه قرار دارند) بستر بسیار مناسبی برای سرقت اطلاعات مهم است.

هکرها می‌توانند با اتصال به همان شبکه‌ی رایگانی که شما به آن متصل هستید، تمام اطلاعاتی که بین گوشی شما و اینترنت رد و بدل می‌شود را رصد کنند. اگر در این حالت وارد اپلیکیشن کیف پول خود شوید یا تراکنشی را انجام دهید، آن‌ها می‌توانند رمزهای عبور و کلمات کلیدی شما را در میانه‌ی راه سرقت کنند. حتی گاهی اوقات هکرها یک شبکه‌ی وای فای تقلبی با نامی شبیه به نام کافه‌ی مورد نظر می‌سازند تا شما با دست خودتان به شبکه‌ی آن‌ها متصل شوید و تمام اطلاعاتتان را در اختیارشان قرار دهید. به همین دلیل، انجام امور مالی با اینترنت عمومی یکی از بزرگ‌ترین اشتباهات در دنیای رمزارزها است.

راهکارهای طلایی برای جلوگیری از هک شدن کیف پول ارز دیجیتال

حالا که متوجه شدیم سارقان اینترنتی چگونه در کمین دارایی‌های ما هستند، وقت آن است که راه‌های مقابله با آن‌ها را یاد بگیریم. جای نگرانی نیست؛ تامین امنیت در دنیای رمزارزها کار پیچیده و ترسناکی نیست. با رعایت چند اصل ساده و ایجاد عادت‌های امنیتی درست، می‌توانید کیف پول خود را به یک دژ نفوذ ناپذیر تبدیل کنید. در ادامه، مهم‌ترین اقداماتی که هر کاربر برای محافظت از سرمایه‌ی خود باید انجام دهد را مرور می‌کنیم.

انتخاب هوشمندانه کیف پول و صرافی ارز دیجیتال معتبر

اولین قدم برای ورود به دنیای رمزارز، انتخاب یک پلتفرم امن است. درست همان‌طور که پول خود را در هر بانک ناشناخته‌ای سپرده‌گذاری نمی‌کنید، در اینجا هم نباید به هر برنامه‌ی جدیدی اعتماد کنید. همیشه از کیف پول‌ها و صرافی‌هایی استفاده کنید که سابقه‌ی فعالیت طولانی، شفافیت مالی و تیم پشتیبانی قوی دارند. برنامه‌های معتبر به طور مداوم توسط شرکت‌های امنیتی بررسی می‌شوند تا هیچ راه نفوذی در کدهای آن‌ها وجود نداشته باشد. دانلود برنامه‌ها را فقط از سایت رسمی خود پلتفرم یا فروشگاه‌های معتبری مانند گوگل پلی و اپ استور انجام دهید.

نگهداری کلید خصوصی و عبارت بازیابی Seed Phrase در امن‌ترین حالت

همان‌طور که پیش‌تر اشاره کردیم، عبارت بازیابی (Seed Phrase: مجموعه‌ای متشکل از ۱۲ تا ۲۴ کلمه‌ی تصادفی که به عنوان سند مالکیت و رمز اصلی بازگردانی کیف پول شما عمل می‌کند) مهم‌ترین دارایی شماست.

برای نگهداری این کلمات، رعایت قوانین زیر الزامی است:

• این کلمات را روی یک تکه کاغذ یادداشت کنید و در یک جای امن مانند گاوصندوق خانه‌ی خود قرار دهید.
• هرگز از این کلمات عکس نگیرید؛ زیرا بدافزارها می‌توانند به گالری گوشی شما نفوذ کنند.
• کلمات را در برنامه‌های یادداشت‌برداری گوشی، ایمیل یا فضاهای ابری (مانند گوگل درایو) ذخیره نکنید.

فعال‌سازی احراز هویت دو مرحله‌ای 2FA برای ورود و برداشت

یکی از بهترین راه‌ها برای مسدود کردن مسیر هکرها، استفاده از احراز هویت دو مرحله‌ای (2FA: یک لایه‌ی امنیتی اضافی که از شما می‌خواهد علاوه بر رمز عبور ثابت، یک کد متغیر و موقت را نیز برای ورود یا برداشت وارد کنید) است. بهتر است به جای دریافت پیامک که احتمال هک شدن یا تاخیر دارد، از اپلیکیشن‌هایی مانند گوگل اتنتیکیتور (Google Authenticator) استفاده کنید. با این کار، حتی اگر شخصی رمز عبور شما را پیدا کند، بدون دسترسی فیزیکی به گوشی موبایل شما نمی‌تواند وارد حسابتان شود.

استفاده از شبکه اینترنت امن و پرهیز از تراکنش با اینترنت رایگان

همان‌طور که در بخش روش‌های هک بررسی کردیم، شبکه‌های وای فای عمومی در کافه‌ها یا هتل‌ها به هیچ وجه امن نیستند. اطلاعات شما در این شبکه‌ها به راحتی قابل شنود است. قانون طلایی این است: برای چک کردن موجودی، انجام معامله یا انتقال ارز، همیشه از اینترنت دیتای موبایل خود یا شبکه‌ی وای فای خانگی که رمز عبور قدرتمندی دارد استفاده کنید.

انتقال بخش اصلی سرمایه به کیف پول‌های سخت‌افزاری Cold Wallet

اگر قصد دارید مبلغ زیادی را وارد بازار کنید یا می‌خواهید ارزهای خود را برای چند سال نگه دارید (اصطلاحا هولد کنید)، بهترین راهکار استفاده از کیف پول سرد (Cold Wallet: یک دستگاه فیزیکی شبیه به فلش مموری که کلیدهای خصوصی شما را کاملا آفلاین و به دور از دسترس اینترنت نگهداری می‌کند) است. محصولات شرکت‌هایی مانند لجر (Ledger) بالاترین سطح امنیت را فراهم می‌کنند، زیرا برای تایید هر تراکنش، شما باید دکمه‌ی فیزیکی روی دستگاه را با انگشت خود فشار دهید؛ کاری که هیچ هکری از راه دور قادر به انجام آن نیست.

بررسی دقیق و کاراکتر به کاراکتر آدرس‌ها پیش از تایید تراکنش

برای در امان ماندن از بدافزارهای تغییردهنده‌ی آدرس (کلیپ‌بورد مالورها)، یک عادت ساده اما حیاتی را در خود ایجاد کنید: همیشه قبل از زدن دکمه‌ی تایید نهایی برای انتقال ارز، آدرس مقصد را چک کنید. نیازی نیست تمام حروف را بررسی کنید؛ تطبیق دادن ۴ یا ۵ حرف اول و آخر آدرسی که در کیف پول شما نمایش داده می‌شود با آدرسی که قصد ارسال به آن را داشتید، برای اطمینان از صحت تراکنش کافی است.

احتیاط در دانلود فایل‌ها، کلیک روی لینک‌های ناشناس و ایمیل‌های مشکوک

در فضای دیجیتال، کنجکاوی بیش از حد می‌تواند گران تمام شود. روی لینک‌هایی که در پیام‌های ناشناس تلگرام، دیسکورد یا ایمیل‌های مشکوک دریافت می‌کنید کلیک نکنید، مخصوصا اگر وعده‌ی سودهای نجومی یا هدایای رایگان می‌دهند. همچنین از دانلود فایل‌ها و نرم‌افزارهای کرک‌شده از سایت‌های نامعتبر خودداری کنید، زیرا این فایل‌ها معمولا حامل ویروس‌هایی هستند که مستقیما کیف پول شما را هدف قرار می‌دهند.

به‌روزرسانی منظم دستگاه‌ها و استفاده از آنتی‌ویروس‌های معتبر

شرکت‌های نرم‌افزاری به طور مداوم در حال شناسایی حفره‌های امنیتی و رفع آن‌ها هستند. به همین دلیل، همیشه سیستم‌عامل گوشی موبایل، لپ‌تاپ و اپلیکیشن کیف پول خود را به آخرین نسخه‌ی موجود به‌روزرسانی کنید. همچنین داشتن یک آنتی‌ویروس معتبر و فعال روی سیستم، می‌تواند جلوی بسیاری از بدافزارها و برنامه‌های مخرب را پیش از شروع فعالیتشان بگیرد.

لغو دسترسی قراردادهای هوشمند Smart Contracts مشکوک از کیف پول

گاهی اوقات برای استفاده از یک سایت یا بازی در دنیای رمزارزها، باید کیف پول خود را به قراردادهای هوشمند (Smart Contracts: کدهای برنامه‌نویسی خودکاری که روی شبکه‌ی بلاک چین اجرا می‌شوند و شرایط یک توافق را بدون نیاز به واسطه اعمال می‌کنند) متصل کنید. در هنگام اتصال، شما به این قراردادها اجازه می‌دهید تا به موجودی ارزهای شما دسترسی داشته باشند. بسیار مهم است که به صورت دوره‌ای، تنظیمات کیف پول خود را بررسی کرده و دسترسی سایت‌های قدیمی، ناشناس یا مشکوک را لغو کنید تا نتوانند در آینده بدون اجازه‌ی شما برداشتی انجام دهند.

چک‌لیست امنیتی کیف پول ارز دیجیتال

در بخش‌های قبلی با ترفندهای هکرها و راهکارهای مقابله با آن‌ها به طور کامل آشنا شدیم. اکنون برای اینکه خیالتان از بابت امنیت سرمایه‌ی خود راحت باشد، در اینجا یک چک‌لیست (Checklist: فهرستی از کارهای ضروری که برای اطمینان از انجام دقیق و بدون خطای آن‌ها تهیه می‌شود) کاربردی و سریع برای شما آماده کرده‌ایم. با مرور این موارد، دیوار امنیتی خانه‌ی دیجیتال خود را نفوذ ناپذیر کنید:

• محافظت فیزیکی از عبارت بازیابی: آیا کلمات کلیدی خود را فقط روی کاغذ نوشته‌اید؟ مطمئن شوید که هیچ نسخه‌ی دیجیتالی، اسکرین‌شات یا عکسی از این کلمات در گوشی موبایل یا لپ‌تاپ شما وجود ندارد و این کاغذ را در مکانی بسیار امن نگهداری می‌کنید.
• فعال‌سازی تایید دو مرحله‌ای: آیا لایه‌ی امنیتی دوم یا همان تایید دو مرحله‌ای (2FA) را در تمام حساب‌های مالی و صرافی‌های خود روشن کرده‌اید؟ همیشه از نرم‌افزارهای تولیدکننده‌ی رمز یکبار مصرف استفاده کنید تا وابستگی شما به پیامک‌های ناامن از بین برود.
• بررسی موشکافانه‌ی آدرس‌ها پیش از انتقال: آیا قبل از زدن دکمه‌ی تایید نهایی برای ارسال ارز، حداقل چهار حرف اول و آخر آدرس مقصد را با دقت بررسی می‌کنید؟ این عادت ساده، دارایی شما را از شر بدافزارهای جایگزین‌کننده‌ی آدرس در امان نگه می‌دارد.
• پرهیز از شبکه‌های اینترنت عمومی: آیا متعهد شده‌اید که هرگز با استفاده از وای فای رایگان کافه‌ها یا هتل‌ها وارد برنامه‌ی کیف پول خود نشوید؟ برای کارهای مالی، تنها دیتای شخصی موبایل یا شبکه‌ی اینترنت خانگی رمزدار شما قابل اعتماد است.
• مراقبت ویژه از سرمایه‌های بزرگ: آیا بخش اصلی دارایی خود را به یک کیف پول سرد (سخت‌افزاری) منتقل کرده‌اید؟ اگر قصد پس‌انداز و نگهداری طولانی‌مدت دارید، این دستگاه‌ها بهترین گزینه‌ی ممکن برای شما هستند.
• هوشیاری در فضای مجازی: آیا در برابر پیام‌های ناشناس در شبکه‌های اجتماعی، پیشنهادهای وسوسه‌انگیز برای دریافت ارز رایگان و لینک‌های مشکوک مقاومت می‌کنید و بدون کلیک کردن، آن‌ها را نادیده می‌گیرید؟
• لغو دسترسی سایت‌های ناشناس: آیا به صورت دوره‌ای چک می‌کنید که کیف پول شما به چه وب‌سایت‌هایی متصل است و دسترسی موارد قدیمی یا غیر ضروری را قطع می‌کنید؟
• به‌روزرسانی مداوم: آیا سیستم عامل دستگاه‌ها و اپلیکیشن‌های مالی خود را همیشه به‌روز نگه می‌دارید تا از جدیدترین سدهای امنیتی بهره‌مند شوید؟

پایبندی به این چک‌لیست ساده می‌تواند خطرات موجود در دنیای رمزارز را به حداقل برساند و آرامش خاطر را در مسیر سرمایه‌گذاری برای شما به ارمغان بیاورد.

منابع:

Ledger.com

Kaspersky

Coinbase