Один знайомий втратив $4 000 через SMS-код. Ось чому це не повториться зі мною
Торгую з 2018 року. За цей час сам не втрачав кошти через злам акаунту — але бачив це у знайомих. Найгучніший випадок: SIM-swap атака, шахрай перехопив SMS-код 2FA, вивів $4 000 за 10 хвилин поки людина спала. Після цього я переробив свій підхід до безпеки повністю. Цей чекліст — те, що реально захищає, без зайвої параної. 20 хвилин одноразового налаштування.
Перш ніж далі
Якщо ще не зареєстровані — гайд реєстрації вже включає базові кроки безпеки. Цей чекліст — для поглиблення і для тих хто вже має акаунт.
1. 2FA через Google Authenticator (НЕ SMS)
Найважливіший пункт. SMS-код можна перехопити через SIM-swap (шахрай переносить ваш номер на свою SIM). Google Authenticator генерує код локально на телефоні — перехопити неможливо без фізичного доступу до пристрою.
- «Безпека» → «2FA» → «Google Authenticator» → скануєте QR-код
- Зберігаєте seed-ключ (текстовий код під QR) на папері офлайн. Без нього при втраті телефону відновлення через підтримку займає дні-тижні.
- Якщо SMS вже увімкнено — переключіть на Authenticator і вимкніть SMS повністю.
2. Унікальний пароль + менеджер паролів
4 з 5 людей яким я допомагав з безпекою використовували один пароль на кілька сервісів. Один злам стороннього сайту (форум, інтернет-магазин) = доступ до вашої біржі якщо пароль повторюється.
- Менеджер паролів: Bitwarden (безкоштовний), 1Password
- Унікальний пароль 12+ символів для кожної біржі
- Ніколи не зберігайте паролі у нотатках телефону чи текстових файлах
3. Антифішинговий код
Доступно на Bybit, OKX, Binance, Bitget. Ви задаєте кодове слово (наприклад «STARFOX2018») — і всі справжні листи від біржі будуть містити це слово в темі чи тексті. Лист «від біржі» без вашого коду = фішинг, видаляєте без переходу за посиланнями.
Налаштування: «Безпека» → «Антифішинговий код» → задаєте слово (не пов'язане з паролем).
4. Білий список адрес виведення
Якщо увімкнено — виводити кошти можна тільки на попередньо збережені та підтверджені адреси. Навіть якщо зловмисник отримає доступ до акаунту, він не зможе вивести на свою адресу — тільки на ваші збережені.
Мінус: додавання нової адреси зазвичай має затримку 24 години (захист спрацьовує і тут — навіть якщо хакер додасть свою адресу, у вас є доба щоб помітити і скасувати).
5. Перевірка активних сесій і API-ключів
Раз на місяць: «Безпека» → «Керування пристроями/сесіями» — перевірте чи є невідомі входи. Якщо використовуєте API для ботів/трекерів — переконайтесь що права обмежені (тільки читання, без права виведення коштів), і регулярно видаляйте невикористані ключі.
6. Захист від SIM-swap
SIM-swap — коли шахрай через соціальну інженерію переконує оператора зв'язку перенести ваш номер на нову SIM-карту. Захист:
- У оператора встановіть додатковий PIN/пароль на дії з номером (якщо доступно)
- Не прив'язуйте критичні акаунти (біржа, email) до SMS взагалі — тільки Authenticator
- Email-акаунт (Gmail тощо) теж захистіть Authenticator-2FA — компрометація email часто перший крок до компрометації біржі через «забув пароль»
Зведений чекліст (20 хвилин)
| Дія | Час | Критичність |
|---|---|---|
| Google Authenticator замість SMS | 5 хв | Критично |
| Унікальний пароль + менеджер | 5 хв | Критично |
| Антифішинговий код | 2 хв | Високо |
| Білий список адрес | 3 хв | Високо |
| 2FA на email | 5 хв | Критично |
| Перевірка сесій (щомісяця) | 2 хв/міс | Середньо |
Підсумок
20 хвилин одноразово + 2 хвилини щомісяця — і ризик компрометації акаунту падає до мінімуму. Для зберігання великих сум — додатково холодний гаманець. Для розпізнавання шахрайства ще до того як воно торкнеться вашого акаунту — 8 схем скаму.