HW peněženka - pozor na phishing
Vážení klienti naší směnárny,
dalším z častých dotazů na naší podpoře je, kde a jak si kryptoměny nejbezpečněji uchovávat. Jsme velmi rádi, že si tolik z Vás uvědomuje fakt, že tato otázka je naprosto klíčová a jedná se o alfu a omegu dlouhodobého držení a těžení z výhod tohoto odvětví. Odpověď však není tak úplně snadná, protože každý klient má jiné preference, nároky, možnosti a v neposlední řadě i zkušenosti a přístup ke kybernetické hygieně. Dá se ale říci, že šlápnout vedle nemůžete s ověřenou značkou hardwarové peněženky, jako je například Trezor nebo Ledger. Její asi největší nevýhodou je pořizovací cena, která se pohybuje od nějakých 1200 ke 4500 (v závislosti na značce, modelu a případných slevových akcích) – to se pochopitelně moc nevyplatí, pokud si "jen hrajete" s ekvivalentem několik stokorun. Pokud ale držíte portfolio v hodnotě několika desítek tisíc korun a výše, jedná se zpravidla o investici do vyšší bezpečnosti.
Co je ale velice důležité si uvědomit (a spousta lidí si to neuvědomí), je fakt, že HW je opravdu výborná a bezpečná volba - pokud ji ovšem používáte jak se máte a dbáte zásad bezpečnosti. Nejedná se o zařízení 100% chránící Vaše krypto, ať děláte sebevětší hlouposti – stále je třeba být zodpovědný, opatrný a své zařízení si chránit. Řekněme si naprosté základy, které by měly být ten nejnižší standart každého uživatele. Pro ty znalejší z Vás se bude jednat o samozřejmosti a omýlání již mnohokráte řečeného, ale opakování je matkou moudrosti :)
V první řadě - pozor na phising!
Originální zařízení a doplňkové periferie/software poskytují velkou ochranu a během krátkého připojení HW k počítači nedává hackerům šanci na cílený útok. Podvodníci a zloději si toto dobře uvědomují a vědí, že jejich největší nadějí na ukradení Vašich kryptoměn je vylákání Vaší obnovující fráze – díky ní dokáží duplikovat přístup do Vaší peněženky, aniž by k ní museli získat fyzický přístup. Mohou ji tak vybrat, aniž byste to vůbec věděli. Za tímto účelem vzniká spousta podvodných webů, napodobenin originálních přístupových bodů a aplikací/programů tvářících se jako rozšíření přímo od výrobce. Ačkoliv se tváří jako služba, jejich jediný cíl je právě získání obnovující fráze pod různými záminkami (hlásí že zařízení máte rozbité, atd.) - co nejvěrohodněji napodobují skutečné procesy, aby to bylo co nejméně nápadné. Těmto praktikám lákání citlivých údajů se říká "phishing" – podobné anglickému výrazu pro rybaření. Protože oni rybaří – Vy máte skočit na návnadu a Vaše peněženka představuje onu tučnou kořist.
Vždy používejte pouze oficiální zdroje a přístupové body!
Nespoléhejte na odkazy jinde, než na originálním webu výrobce. Ani na vyhledávání na Googlu či jiném vyhledávači. Pro názornost této obrovské hrozby – v době psaní tohoto článku jsem zkusmo zadal do Googlu "Trezor One" (základní, ale spolehlivý model HW peněženky od SatoshiLabs) – hned první odkaz v Googlu (topovaný) byla placená reklama a jednalo se o podvodný web! Tváří se jako stránky výrobce a sází na to, že návštěvník přehlédne překlep v názvu (výměna "e" za "c") a jinou používanou doménovou koncovku. Nespoléhejte na to, že vaše oblíbené vyhledávače pro Vás filtrují jen spolehlivé a bezpečné stránky – dostanou za reklamu zaplaceno, zveřejní ji a následně ji řeší a stáhnou, až když ji dostatek lidí nahlásí jako podezřelou/podvod. Pokud ale Vy mezitím díky ní o své prostředky přijdete, nikdo Vám je nevrátí. Ideální je tedy uložit si ověřené stránky výrobce/provozovatele (ty najdete např. v návodech uvnitř originálního balení peněženky) do svých záložek v prohlížeči a využívat potom ty. Nebo pokud si je pamatujete, pokaždé je velmi pečlivě a několikrát kontrolovat – ty podvodné sází často na jedinou málo viditelnou chybu/překlep, odlišnou doménu nebo přidání slova "wallet", "access" apod. Stejně tak, pokud chcete instalovat nějakou aplikaci z Google Play do svého smartphonu, ověřte si nejprve její legitimitu u výrobce – pokud není na jeho webu o ní ani zmínka, to co vidíte v telefonu bude podvodný pokus.
Například originální web pro Trezor HW je https://trezor.io/ - odtamtud se dostanete kam potřebujete, ale vždy je dobré začínat přímo zde (nebo si dát do záložek odkaz na přístup do peněženky, na který jste se odsud dostali). I v případě stahování Trezor Bridge – také pouze z těchto stránek. Doména .io pro Vás možná není tak známá jako jiné, ale zde známější neznamená bezpečnější. Dobrým ukazatelem je také tzv. SSL certifikát, vyznačující se "zeleným zámečkem" a v adresním řádku je na začátku místo http řetězec https – ale ani to není 100% ochrana. Jelikož Trezor pro svou správu využívá webové rozhraní, nejčastěji se zde setkáte právě s napodobujícími weby. Francouzský konkurent Ledger využívá aplikaci Ledger Live přímo instalovanou do počítače – tu také stahujte vždy jen na jejich oficiálním webu, který je https://www.ledger.com/ . Ať narazíte na jakákoliv rozšíření a deklarované upgrady a "nové lepší" verze, vždy si ověřte správnost těchto informací přímo u tohoto věrohodného zdroje.
A perlička na dnešní závěr – použili jste výše zmíněné odkazy? Pokud ano, zkontrolovali jste si po otevření, že Vás přesměrovali na adresu totožnou s jejich názvem? Nebojte se, ty dva jsou v pořádku :) Ale zkuste tento: https://trezor.io/ . Vidíte? A to je textem naprosto stejný, jako ten první. Nespoléhejte vždy na to, že směřování odkazu odpovídá jeho textu. Název odkazu a jeho adresa jsou dva rozdílné parametry a i naprostý začátečník ve tvorbě webu Vás takto dokáže nasměrovat někam úplně jinam. Pokud je pak změna adresy čistě kosmetická a web vypadá stejně, nemusíte to ani zaznamenat. Takže i na to pozor.
A příště si napíšeme něco o uchovávání bezpečnostní fráze a fyzickém zacházení s Vaší HW peněženkou.
Váš tým VirtualProperty
Čtěte dále: Udržujte svou obnovující frázi v bezpečí
