M.Cap$2.69 T▲0.13%24h Vol$83.06 B▼11.11%BTC.D57.33%▼0.14%
Модуль 2: Безопасность и кошельки

Урок 8 Безопасность на бирже: 2FA, антифишинг, whitelist

9 мин чтения Новичок
Содержание

В модуле «Безопасность и кошельки» мы уже разобрали, как распределять криптовалюту по уровням хранения, изучили механику мошеннических схем и научились проверять проекты перед вложением. Биржевой аккаунт — это первый уровень: ликвидные деньги для быстрых операций. Именно он чаще всего становится целью атаки.

В феврале 2025 года Bybit взломали на $1,5 млрд — рекордный случай в истории криптовалют. Хакеры добрались до институциональных холодных кошельков через уязвимость в инфраструктуре Safe. Аккаунты обычных пользователей с нормально выстроенной защитой не пострадали. Это важная деталь: атаки на серверную инфраструктуру биржи — не ваша зона ответственности. Атаки на ваш конкретный аккаунт — ваша.

В этом уроке вы разберёте:

  • почему SMS-верификация — самая слабая форма двухфакторной аутентификации
  • как работает TOTP и как правильно настроить Google Authenticator или Authy
  • что такое YubiKey и кому он нужен
  • как антифишинг-код позволяет распознать поддельное письмо за секунду
  • почему withdrawal whitelist защищает деньги даже при полном взломе аккаунта
  • полный чеклист защиты, который настраивается один раз за 20–30 минут

После урока вы сможете настроить защиту своего аккаунта так, чтобы даже при утечке пароля злоумышленник не смог вывести средства.

Почему SMS — это почти никакая защита

Представьте такой сценарий. Мошенник звонит вашему мобильному оператору и говорит: «Потерял симку, помогите переоформить номер на новую карту». Оператор уточняет несколько данных — имя, дату рождения, последние звонки. Эти данные утекли с какого-нибудь форума или слиты в даркнет. Оператор переносит номер. Теперь все SMS, которые приходят на ваш номер, получает злоумышленник — включая коды входа на биржу.

Этот приём называется SIM-swapping (подмена SIM-карты). В США через SIM-swap за 2022–2023 годы у криптопользователей украли $68 млн — по данным ФБР. В России схема работает иначе: операторы требуют паспорт при замене, но задокументированы случаи, когда сотрудники МТС, Билайн и Теле2 проводили перевыпуск за деньги или под давлением соцжинжиниринга. Атака не требует взлома сервера биржи или вашего устройства.

Есть и более технический вариант: перехват SMS через уязвимости протокола SS7 — стандарта телефонной сигнализации, разработанного ещё в 1975 году. Этим методом пользуются не уличные мошенники, а более квалифицированные группировки. Принцип тот же: SMS-код можно перехватить, не имея физического доступа к вашему телефону.

SMS — это минимальный уровень защиты. Он лучше, чем отсутствие 2FA, но значительно хуже любой альтернативы. Если на вашем аккаунте включена только SMS-верификация, защита существенно слабее, чем вам кажется. Переходите на Authenticator-приложение.

Именно для устранения этой уязвимости был придуман TOTP. Он принципиально отличается по механике: SMS здесь вообще не задействован.

Google Authenticator и Authy: как работает TOTP

Установите Google Authenticator на телефон и откройте его после добавления биржевого аккаунта. Вы увидите шестизначный код, который меняется каждые 30 секунд. Никаких SMS, никакого интернета прямо сейчас — код генерируется локально на вашем устройстве.

Работает это так. При первичной настройке биржа передаёт вашему приложению секретный ключ — через QR-код. Дальше и биржа, и приложение независимо вычисляют одинаковый код на основе двух вещей: этого ключа и текущего времени с точностью до 30-секундного интервала. Совпали — вход разрешён. Это и есть TOTP: Time-based One-Time Password — одноразовый пароль на основе времени.

Перехватить код через SIM-swap невозможно: он нигде не передаётся по SMS-сети, он только у вас в приложении.

Как настроить: Account → Security → Two-Factor Authentication → Authenticator App (на русском интерфейсе: Аккаунт → Безопасность → Двухфакторная аутентификация → Приложение-аутентификатор) → отсканировать QR-код телефоном.

При настройке приложение покажет backup-ключ — строку из 32 символов. Запишите его на бумагу и храните офлайн. Потеряли телефон без этого ключа — потеряли доступ к аккаунту. Восстановление через поддержку займёт несколько дней и потребует верификацию личности. Скриншот в облаке — не считается: это уже не офлайн-хранение.

Храните backup-ключ в физическом виде: записная книжка, конверт рядом с документами. Не в заметках телефона, не в облачном хранилище — туда же, где хранится seed-фраза.

Authy против Google Authenticator. Authy поддерживает зашифрованные резервные копии — удобно при смене телефона, но приложение привязано к номеру телефона. Google Authenticator проще, без лишних зависимостей, зато без backup-ключа восстановление невозможно. Оба подходят — главное, что ни один из них не SMS.

YubiKey: единственная защита от перехвата кода

TOTP надёжно закрывает SIM-swap. Но у него есть одна уязвимость: если вы попали на поддельный сайт биржи и ввели код, злоумышленник может мгновенно использовать его на настоящем сайте. У него есть 30 секунд, пока код действителен. Именно так работает фишинг с перехватом 2FA в реальном времени.

YubiKey решает эту проблему иначе. Это физический USB/NFC-ключ от компании Yubico стоимостью $50–90. Его ключевое свойство: при регистрации hardware-ключ привязывается к конкретному домену. На поддельном сайте с другим адресом он просто не сработает — даже если адрес визуально почти идентичен оригиналу.

YubiKey — единственный метод 2FA, который защищает от фишинга с перехватом кода в реальном времени. Ни TOTP, ни SMS этого не умеют.

Поддержка аппаратных ключей есть не у всех бирж. В 2026 году YubiKey поддерживают Coinbase и OKX, на Bybit — частично. Перед покупкой проверьте настройки безопасности именно вашей биржи.

Это решение для тех, у кого на бирже хранится больше $5 000 и кто хочет профессионального уровня защиты. Для меньших сумм Google Authenticator полностью достаточен.

Антифишинг-код: фильтр поддельных писем

В уроке о мошенничестве мы разбирали фишинговые письма — поддельные уведомления от имени биржи, которые ведут на фальшивый сайт. Биржи давно придумали простой способ сделать такие письма заметными с первого взгляда.

Вы придумываете уникальный код — например, «Krasniy2026» — и устанавливаете его в настройках аккаунта. С этого момента каждое легитимное письмо от биржи содержит ваш личный код в теле сообщения. Пришло письмо без этого кода или с посторонним текстом — это фишинг, можно не открывать и не переходить по ссылкам.

Мошенники, рассылающие поддельные письма, не знают ваш личный код. Именно в этом вся сила механизма: простое решение без технической сложности, которое работает как визуальный фильтр.

Как настроить на Bybit: Account → Security → Anti-Phishing Code → Set Code (на русском интерфейсе: Аккаунт → Безопасность → Антифишинговый код → Установить код).

Придумайте код, который запомните, но который не угадывается по имени или дате рождения. Запишите его офлайн рядом с backup-ключом от 2FA. Настройка занимает две минуты.

Withdrawal Whitelist: заморозка вывода на чужие адреса

Допустим, несмотря на все меры, злоумышленник всё же попал в ваш аккаунт. Без whitelist вывода он немедленно отправит средства на свой адрес. С whitelist — не сможет.

Whitelist (белый список адресов вывода) — это перечень кошельков, на которые разрешён вывод без дополнительных барьеров. Любой новый адрес добавляется только после тройного подтверждения: email + 2FA + принудительное ожидание 24–48 часов. Взломать аккаунт и вывести деньги на новый адрес за одну ночь — физически невозможно.

Как настроить: Account → Security → Withdrawal Management → Address Book → Add Address (на русском интерфейсе: Аккаунт → Безопасность → Управление выводом → Адресная книга → Добавить адрес). Добавьте свой основной кошелёк — адрес MetaMask или Ledger.

Whitelist + задержка 24–48 часов = время на реакцию. Даже при взломанном аккаунте уведомление о попытке добавить новый адрес придёт на почту раньше, чем деньги уйдут. У вас будет время остановить вывод.

Безопасность email: незакрытая дверь

Email — это точка входа в ваш биржевой аккаунт. Взломали почту — нажали «Сбросить пароль» — вошли на биржу. Вся цепочка защиты теряет смысл, если сама почта уязвима.

Главная ошибка — использовать для крипты тот же email, что и для соцсетей, магазинов, форумов. Любой из этих сервисов может допустить утечку данных. Показательный пример: в 2020 году произошла утечка базы покупателей Ledger — email-адреса 270 000 человек оказались в открытом доступе. Пострадавшие годами получали таргетированные фишинговые письма.

  • Создайте отдельный email исключительно для криптовалют — не для соцсетей, не для покупок, ни для чего другого
  • Gmail или ProtonMail — оба подходят
  • Включите 2FA на самом email через Authenticator, не SMS
  • Придумайте уникальный пароль и сохраните его в менеджере паролей (Bitwarden — бесплатен; RoboForm, 1Password, Kaspersky Password Manager — платные; все четыре надёжны)
  • Этот email нигде больше не регистрируйте: утечка с любого другого сервиса не затронет вашу крипту

Создать отдельный Gmail занимает три минуты. Установить менеджер паролей — ещё десять. После этого вы об этом не вспомните, зато email для крипты станет отдельной, хорошо защищённой крепостью.

Отдельное устройство для крипты

Каждое приложение на вашем телефоне, каждое расширение браузера, каждый посещённый сайт — это потенциальная точка входа для вредоносного кода. В информационной безопасности это называется attack surface (поверхность атаки): чем она больше, тем больше векторов для взлома.

Отдельный смартфон или планшет, используемый только для биржи и кошельков, радикально сокращает эту поверхность. Никаких игр, соцсетей, новостных приложений. Только то, что связано с управлением криптой.

Для этого подходит отдельное устройство с актуальной версией операционной системы: сбросьте до заводских настроек, обновите ОС, установите только нужные приложения. Важный момент: если Android на устройстве уже не получает обновлений безопасности — оно само по себе становится уязвимостью. Выбирайте устройство с поддерживаемой версией ОС.

Это оправдано при капитале на бирже или в кошельках свыше $3 000. Чем крупнее позиции — тем больше смысл в этой мере. Для небольших сумм достаточно предыдущих пунктов чеклиста.

Что НЕ делать

Защита работает в обе стороны: важно не только что настроить, но и каких привычек избегать. Вот пять действий, которые создают уязвимости даже при правильно выстроенной защите.

  • Не сохраняйте пароли в браузере. Используйте менеджер паролей — он хранит данные в зашифрованном виде, а не в открытом тексте браузерного хранилища, которое доступно расширениям и вредоносному ПО.
  • Не используйте один email для крипты и всего остального. Утечка с любого другого сервиса — и атака сразу направлена на ваш криптоаккаунт.
  • Не заходите в аккаунт через общественный WiFi без VPN. Открытые сети позволяют перехватывать незашифрованный трафик, включая сессионные куки.
  • Не копируйте seed-фразу в менеджер паролей. Seed хранится только офлайн, на бумаге. Менеджер паролей — программное обеспечение, а оно может быть скомпрометировано.
  • Не давайте удалённый доступ к устройству. «Поддержка», просящая установить TeamViewer или AnyDesk, — это мошенники. Настоящая служба поддержки биржи никогда не запрашивает доступ к вашему экрану.

Если кто-то, представившийся сотрудником биржи, просит установить программу удалённого доступа или назвать seed-фразу — немедленно прекратите контакт. Это не поддержка, это атака. Схема называется Remote Access Scam — о ней мы говорили в уроке 2.1.

Полный чеклист защиты биржевого аккаунта

Все настройки ниже выполняются один раз и занимают в сумме 20–30 минут. Это разовая инвестиция времени, которая защищает деньги на годы вперёд.

# Действие Приоритет Время
1 Включить 2FA через Google Authenticator или Authy (не SMS) Обязательно 5 мин
2 Записать backup-ключ от 2FA на бумагу, хранить офлайн Обязательно 2 мин
3 Установить антифишинг-код Обязательно 2 мин
4 Включить Withdrawal Whitelist, добавить свой кошелёк Обязательно 5 мин
5 Создать отдельный email для крипты с 2FA Обязательно 5 мин
6 Уникальный пароль для аккаунта через менеджер паролей Обязательно 3 мин
7 Проверить активные сессии (Settings → Devices), выйти с неизвестных Обязательно 2 мин
8 YubiKey (если капитал на бирже превышает $5 000) Опционально 15 мин
9 Отдельное устройство для крипты (если капитал превышает $3 000) Опционально 30 мин

Первые семь пунктов — базовый минимум. После их выполнения ваш аккаунт защищён лучше, чем у большинства пользователей криптовалют. Пункты 8 и 9 — для тех, кто ведёт серьёзные позиции и хочет профессиональный уровень защиты.

Раз в 3–6 месяцев: проверяйте раздел активных сессий в настройках биржи и отзывайте те, которые не узнаёте. Это занимает две минуты и помогает вовремя заметить несанкционированный доступ до того, как произошло что-то серьёзное.

Признаки взлома и первые 60 секунд

Хорошая защита снижает риск до минимума. Но нулевым он не бывает. Важно знать, на что реагировать и что делать немедленно. Подробный алгоритм действий для разных сценариев разберём в уроке 2.9. Здесь — только самое срочное.

Признаки того, что аккаунт, возможно, скомпрометирован:

  • Не можете войти — пароль или 2FA перестали работать
  • Пришёл email о смене пароля или привязанного адреса, которого вы не запрашивали
  • В истории операций появились незнакомые транзакции
  • Получили SMS или письмо с кодом подтверждения без вашего запроса
  • Сессия неожиданно завершилась или пришло уведомление о входе с неизвестного устройства

Ваши действия в первые 60 секунд, если вход ещё возможен:

1. Нажмите «Freeze Account» или «Заблокировать аккаунт» в настройках биржи.
2. Напишите в службу поддержки биржи — запрос на заморозку операций.
3. С другого устройства смените пароль email-адреса, привязанного к аккаунту.

Whitelist вывода, настроенный заранее, работает здесь в вашу пользу: злоумышленник не может добавить новый адрес без ожидания 24–48 часов и email-подтверждения. Это даёт время среагировать. Именно поэтому whitelist — не просто удобная функция, а реальная линия обороны.

Полный пошаговый протокол — для взлома биржевого аккаунта, взлома кошелька и вредоносного approve — разберём в уроке 2.9.

Урок пройден

Закрепите знания

Ответьте на вопросы по уроку — это поможет лучше запомнить материал

1 Почему SMS-верификация считается самой слабой формой 2FA?

2 Что такое TOTP и чем он лучше SMS?

3 Что нужно обязательно сделать сразу после настройки Google Authenticator на бирже?

4 Как работает Withdrawal Whitelist и зачем он нужен?

5 Какое главное преимущество YubiKey перед TOTP-приложениями?

Не хотите проходить тест?
Зарегистрируйтесь, чтобы прогресс сохранялся на всех устройствах
Поделиться:
Следующий урок
Содержание
    © 2026 mmguru.pro