Знакомый потерял $4 000 из-за SMS-кода. Вот почему это не повторится со мной
Торгую с 2018 года. За это время сам не терял средства из-за взлома аккаунта — но видел это у знакомых. Самый громкий случай: SIM-swap атака, мошенник перехватил SMS-код 2FA, вывел $4 000 за 10 минут пока человек спал. После этого я переделал свой подход к безопасности полностью. Этот чеклист — то что реально защищает, без лишней паранойи. 20 минут разовой настройки.
Прежде чем дальше
Если ещё не зарегистрированы — гайд регистрации уже включает базовые шаги безопасности. Этот чеклист — для углубления и для тех у кого уже есть аккаунт.
1. 2FA через Google Authenticator (НЕ SMS)
Самый важный пункт. SMS-код можно перехватить через SIM-swap (мошенник переносит ваш номер на свою SIM). Google Authenticator генерирует код локально на телефоне — перехватить невозможно без физического доступа к устройству.
- «Безопасность» → «2FA» → «Google Authenticator» → сканируете QR-код
- Сохраняете seed-ключ (текстовый код под QR) на бумаге офлайн. Без него при потере телефона восстановление через поддержку занимает дни-недели.
- Если SMS уже включён — переключите на Authenticator и отключите SMS полностью.
2. Уникальный пароль + менеджер паролей
4 из 5 людей которым я помогал с безопасностью использовали один пароль на несколько сервисов. Один взлом стороннего сайта (форум, интернет-магазин) = доступ к вашей бирже если пароль повторяется.
- Менеджер паролей: Bitwarden (бесплатный), 1Password
- Уникальный пароль 12+ символов для каждой биржи
- Никогда не храните пароли в заметках телефона или текстовых файлах
3. Антифишинговый код
Доступно на Bybit, OKX, Binance, Bitget. Вы задаёте кодовое слово (например «STARFOX2018») — и все настоящие письма от биржи будут содержать это слово в теме или тексте. Письмо «от биржи» без вашего кода = фишинг, удаляете без перехода по ссылкам.
Настройка: «Безопасность» → «Антифишинговый код» → задаёте слово (не связанное с паролем).
4. Белый список адресов вывода
Если включено — выводить средства можно только на предварительно сохранённые и подтверждённые адреса. Даже если злоумышленник получит доступ к аккаунту, он не сможет вывести на свой адрес — только на ваши сохранённые.
Минус: добавление нового адреса обычно имеет задержку 24 часа (защита срабатывает и здесь — даже если хакер добавит свой адрес, у вас есть сутки чтобы заметить и отменить).
5. Проверка активных сессий и API-ключей
Раз в месяц: «Безопасность» → «Управление устройствами/сессиями» — проверьте нет ли неизвестных входов. Если используете API для ботов/трекеров — убедитесь что права ограничены (только чтение, без права вывода средств), и регулярно удаляйте неиспользуемые ключи.
6. Защита от SIM-swap
SIM-swap — когда мошенник через социальную инженерию убеждает оператора связи перенести ваш номер на новую SIM-карту. Защита:
- У оператора установите дополнительный PIN/пароль на действия с номером (если доступно)
- Не привязывайте критичные аккаунты (биржа, email) к SMS вообще — только Authenticator
- Email-аккаунт (Gmail и т.д.) тоже защитите Authenticator-2FA — компрометация email часто первый шаг к компрометации биржи через «забыл пароль»
Сводный чеклист (20 минут)
| Действие | Время | Критичность |
|---|---|---|
| Google Authenticator вместо SMS | 5 мин | Критично |
| Уникальный пароль + менеджер | 5 мин | Критично |
| Антифишинговый код | 2 мин | Высоко |
| Белый список адресов | 3 мин | Высоко |
| 2FA на email | 5 мин | Критично |
| Проверка сессий (ежемесячно) | 2 мин/мес | Средне |
Итог
20 минут разово + 2 минуты ежемесячно — и риск компрометации аккаунта падает до минимума. Для хранения крупных сумм — дополнительно холодный кошелёк. Для распознавания мошенничества ещё до того как оно коснётся вашего аккаунта — 8 схем скама.