Zacznij od unikalnego hasła

Hasło do giełdy nie powinno być używane nigdzie indziej. Jeśli ten sam login i hasło wyciekną z innej strony, atakujący może automatycznie sprawdzić je na popularnych giełdach. To jeden z najprostszych scenariuszy przejęcia konta.

Najlepiej używać menedżera haseł i generować długie, losowe hasło. Hasło typu nazwa coina, data urodzenia albo powtórzony schemat z innych kont nie jest zabezpieczeniem, tylko opóźnieniem problemu.

2FA z aplikacji, nie przez SMS

Uwierzytelnianie dwuskładnikowe powinno być standardem. Najlepiej używać aplikacji 2FA albo klucza sprzętowego. SMS jest wygodny, ale słabszy, bo numer telefonu może zostać przejęty przez social engineering lub błąd operatora.

Przy zapisywaniu kodów zapasowych nie trzymaj ich w tym samym miejscu co hasło. Jeśli ktoś przejmie menedżer haseł, nie powinien automatycznie dostać również drugiego składnika logowania.

Whitelisty wypłat i opóźnienia bezpieczeństwa

Dobra giełda pozwala ustawić listę zaufanych adresów wypłat. To ogranicza ryzyko, że po przejęciu konta środki natychmiast trafią na adres atakującego. Czasem dodanie nowego adresu wymaga odczekania określonego czasu, co daje użytkownikowi szansę na reakcję.

Przed większą wypłatą wykonaj test małą kwotą. Sprawdź sieć, adres, memo lub tag, jeśli dana sieć go wymaga. W krypto drobna literówka może być nieodwracalna.

Phishing wygląda coraz lepiej

Fałszywa strona giełdy może wyglądać niemal identycznie jak prawdziwa. Atak często zaczyna się od reklamy w wyszukiwarce, wiadomości prywatnej albo maila z presją czasu. Dlatego adres giełdy warto mieć zapisany jako zakładkę i wchodzić tylko z niej.

Uważaj też na fałszywe wsparcie techniczne. Prawdziwa giełda nie poprosi o seed phrase, hasło, kod 2FA ani zdalny dostęp do komputera.