[Ważne!] Korzystasz z giełd? Włącz uwierzytelnienie dwupoziomowe 2FA!

Podczas ostatnich kilkunastu dni doszło do serii włamań na konta giełdowe na masową skalę. Zdecydowana większość przypadków to efekt braku uwierzytelnienia dwupoziomowego 2FA.

 

 

Podczas ostatnich kilkunastu dni doszło do serii włamań na konta giełdowe na masową skalę. Zdecydowana większość przypadków to efekt braku uwierzytelnienia dwupoziomowego 2FA.

 

Co to jest 2FA i po co mi to potrzebne?

 

Korzystając z bankowości internetowej, aby zalogować się na konto, podajesz login i hasło, jednak gdy wykonujesz przelew, bank wymaga dodatkowego uwierzytelnienia w postaci kodu sms, hasła jednorazowego z listy haseł lub tokenu sprzętowego. Dzięki temu, nawet jak nasze hasło wpadnie w niepowołane ręce, osoba trzecia nie będzie w stanie zrobić przelewu bez jednorazowego hasła. To właśnie jest uwierzytelnienie dwupoziomowe. W bankach jest obowiązkowe, jednak w przypadku giełd jest to niestety nadal opcja, z której wiele osób nie korzysta!

 

W grudniu 2017 roku, świat obiegła informacja o wycieku 1.4 miliarda haseł do skrzynek pocztowych. Na liście jest 10 milionów skrzynek polskich!

 

Jeżeli niepowołana osoba mająca bazę maili z hasłami wejdzie na naszą skrzynkę pocztową i z maili wywnioskuje, że korzystamy z giełd kryptowalutowych, bez problemu będzie mogła użyć funkcji odzyskiwania hasła na giełdzie droga mailową  (oczywiście o ile nie korzystamy z podwójnego uwierzytelnienia). W sytuacji, gdy nie mamy włączonego 2FA, haker mając dostęp do naszej skrzynki pocztowej ma więc również dostęp do naszych środków na giełdzie!

 

Ręczne przeglądanie 10 milionów skrzynek dla hakerów byłoby czasochłonne, jednak mogą oni korzystać z botów, które automatycznie logują się na skrzynki i przeglądają maile w poszukiwaniu fraz z nazwą znanych giełd. Każdy kto korzysta z giełd ma od tych giełd maile, np. otrzymane przy rejestracji lub z prośba o potwierdzenie przelewu. Identyfikacja użytkowników giełd jest więc banalnie prosta. Dzięki botom, hakerzy w określonym czasie będą mieć listę użytkowników i przypisanych do nich maili z listy.

 

Być może Ty również jesteś na tej liście! Włącz natychmiast 2FA!

 

Pamiętaj również, aby NIGDY nie korzystać z tego samego hasła w różnych serwisach, a już na pewno nie w tych, od których zależy los twoich pieniędzy! Często z wielu serwisów wycieka baza danych z mailami i hasłami. Jeżeli korzystasz z tego samego hasła w różnych miejscach, prędzej czy później dojdzie do tragedii. Jeśli nie z winy samej giełdy, to z winy serwisu, gdzie użyłeś takiego samego hasła.

 

Jeśli z giełdowego hasła korzystasz jeszcze w innym serwisie ZMIEŃ JE W TEJ CHWILI!

 

Jak założyć 2FA

 

W chwili obecnej większość giełd na świecie (jak nie wszystkie) posiadają opcję dodatkowego zabezpieczenia 2FA. Przeważnie poprzez aplikacje Google Authenticator, która generuje jednorazowe kody tymczasowe, ważne minutę. Pobierz aplikację mobilną na telefon/smartfon (najbezpieczniej stary przywrócony do ustawień fabrycznych smartfon – dla maniaków bezpieczeństwa ). Po ściągnięciu aplikacji, należy zeskanować QRCode, który poda nam giełda. Warto również pamiętać o zapisaniu (najlepiej na kartce) klucza prywatnego, na wypadek zagubienia telefonu. Od teraz, logując się na giełdę, poprosi ona dodatkowo o 6 cyfrowy kod jednorazowy generowany przez aplikację w urządzeniu mobilnym. Nawet jeśli haker włamie się na skrzynkę pocztową i skorzysta z funkcji odzyskania hasła, bez kodu jednorazowego nie będzie w stanie nic zrobić.

 

Winne włamań nie są same dziurawe skrzynki pocztowe. Na komputerze możemy mieć również, trojana/keyloggera, który może przechwycić nam hasło. Jednak mając 2FA, hakerowi hasło na nic się nie zda (chyba, że mamy również wirusa w telefonie, co jest mniej prawdopodobne).

 

Jeżeli dotrwałeś do końca artykułu i nie masz 2FA na giełdzie/giełdach, sprawdź teraz czy masz jeszcze na nich środki. Jeśli są, los jest dla Ciebie bardzo łaskawy, ale nie kuś go i w tej chwili obowiązkowo załóż 2FA! Jeżeli Twoja skrzynka pocztowa posiada opcję 2FA, również skorzystaj.

 

Jeżeli chcesz, tu możesz sprawdzić czy nie wyciekło hasło do Twojego maila: haveibeenpwned.com, jednak pamiętaj, że lista może być niekompletna/nieaktualna.