במערבונים של פעם, כשהברמן הנרגש היה מקבל טיפ של מטבע זהב מהגיבור האמיץ והאדיש, הוא היה נוהג לנגוס קלות במטבע וע”י כך לוודא שמדובר בזהב אמיתי. אם היו עושים היום מערבון, הברמן היה צריך לוודא שיש לו את המפתח הפרטי לארנק.
העולם משתנה, אבל יש עקרונות שנשארים איתנו מאז המצאת הכסף ועוד מלפניה. כסף, בהסתכלות של רבים היום, הוא למעשה דרך יעילה להעביר מידע. כמובן שיש פה עניין של ערך שעומד מאחורי הכלכלה אבל הכסף עצמו הוא בעצם רישום של מידע: למי יש כמה ולמה.
אם מזייפים את המידע, הערך עלול להתעוות. אם בעבר כל איכר היה יכול לשלוח הודעה מטעם המלך, לאיכר היה כח רב, אך למלך לא יהיה כלל כח. זיוף הודעה מטעם המלך שקול למעשה לגניבת הזהות של המלך. זוהי כמובןן גניבה לכל דבר, אפילו גניבה רבת ערך.
לכן המלכים השקיעו בחותמות. החותמת היא המזהה של המלך, יקר עד בלתי אפשרי לאיכר לייצר אותה, וניתן לזהות אם החותמת נשברה. זכרו את החותמת להמשך, כשנדבר על אתרים עם מוניטין – מלכים – מול אתרי פישינג מתחזים – גנבים לכל דבר ועניין.
אספקט אחר של הגנה על הערך הוא המפתח. הברמן שלנו מיד ישים את המטבע בכספת וישמור את המפתח. מדוע הברמן לא פשוט שומר לעצמו את המטבע? משום שיש תמריץ לגניבה. אך אם מישהו יגנוב את המפתח ולא יידע היכן הכספת, המפתח חסר ערך עבורו. מנגד, אם הברמן שם את המטבע בכספת בבנק, כדאי שייקח עמו את המפתח. אם ייתן לבנקאי לשמור עבורו את המפתח, הבנקאי יכול בקלות לקחת את המטבע לזכותו.
במהלך ההיסטוריה, כל פעם שהאנושות התקדמה טכנולוגית, לקח זמן לאנשים להסתגל. תקופת ההסתגלות היא גן עדן לשודדים. צ’קים נתפסים היום ככלי פרימיטיבי, אך הם היו חידוש מרענן כאשר נכנסו לשימוש. כמובן שזיופים של צ’קים היו כורח המציאות, ועד היום למעשה רק עירנות של בעלי חשבונות בנק עשויה למנוע זיופי צ’קים (לכן גם אישור או Confirmation מלא של צ’ק הוא 3 ימים).
כאשר הבנקים החליטו לאמץ את האינטרנט, מאוחר ככל שזה היה, עדיין היו רבים שלא הכירו את השימוש ברשת. אנשים רבים לא הבינו שיש כתובת לדפדפן, ושיטת ההונאה (“פישינג”) של התחזות לאתרים החלה להיות נפוצה. אנשים קיבלו למייל כתובת לאתר שהתחזה לבנק. נכנסו ללינק בתואנות שונות ובכך מסרו את הסיסמה שלהם לגנבים.
מאז השתכללו הבנקים, והתקשורת באינטרנט בכלל, ופרוטוקול https המאובטח (SSL) מהווה למעשה הצפנה חתומה של התקשורת. כלומר SSL מאפשר למקבל ההודעה לדעת שהוא אכן מדבר עם האתר בעל המוניטין (המלך), ושההודעה לא נקראה ע”י גורם זר (החותמת שלמה ולא נשברה בדרך).
2 עקרונות חשובים לא השתנו מאז הימים העליזים של המערבונים:
אנחנו בעידן של קפיצה עצומה בטכנולוגיה. מאז המצאת הכסף, תמיד היתה קיימת הבעייה של הריכוזיות. אמנם היא נפתרה זמנית בעידן הבהלה לזהב, כאשר כל אדם מן השורה יכל לכרות זהב ולייצר כסף, אך מאז הבנקים וחברות האשראי השתלטו חזרה על הכסף, עברו לאשראי, ולמעשה נתקו את הקשר לזהב עצמו ויצרו מונופול על הדפסתו. לא סתם קוראים ליצירת מטבע קריפטוגרפי (דיגיטלי) “כרייה”.
מלבד הביזור, הקריפטו גם נזיל וזריז יותר מכל אמצעי תשלום שהיה קיים עד כה, והכי חשוב – הקריפטו משלב בין דיגיטליות לשמירת המפתח.
למעשה מאותם הדברים: זיהוי ואחזקה. נתחיל מאחזקה – כאשר יש לנו ארנק, אנחנו מחזיקים את המפתח אצלנו. כאשר אנחנו מחזיקים קריפטו בזירות מסחר, הכספת היא של הזירה וגם המפתח לכספת מוחזק אצל הזירה עצמה.
כשמחירי הביטקוין או מחירי אלטים עולים, כך עולים גם התמריצים של ״פורצים״ לגנוב מטבעות מזירות מסחר. יש מרכאות כפולות, כי העבר הוכיח שלפעמים ה״פורצים״ זה הזירות עצמן שמעוניינות לקחת את הכסף. כמובן, בזירות המובילות סביר שתרחיש כזה לא יחזור על עצמו. אז מהם למעשה כללי הברזל בשמירה על האבטחה?
אל תשאירו מטבעות אצל מישהו אחר אם לא חייבים. אם אין לכם את המפתח, המטבעות לא באמת שלכם. פוזיציות לטווח ארוך מומלץ לא להשאיר על זירות המסחר ולהעביר המטבעות בארנקים קרים יעודיים. כמו כן מומלץ לאכסן במספר ארנקים, ולא לאכסן את כל המטבעות בארנק אחד.
גם למתחילים, וגם למשקיעים גדולים ומנוסים, הסכנה של פישינג אורבת ברגע אחד של היסח דעת. מתחילים בגלל חוסר הבנה, למנוסים – בגלל שאננות וחוסר ערנות.
פישינג עלול להופיע במספר דרכים של התחזות, למשל אתר עם שם דומה, או אפילו מישהו שמתחזה לחבר שלכם במייל – למשל חבר בעל המייל israel@gmail.com . הפישר יפתח מייל חדש עם כתובת israael@gmail.com וינסה להוציא מכם מידע. חשוב לזכור: יש לשים לב שכתובת האתר היא מדוייקת. במקרים רבים למשל בארנקי Web ניתן לראות פרסומות (מסומנות ב”מודעה” בגוגל) שכל מטרתן לזייף את האתר המקורי ולגנוב את פרטי הכניסה שלכם. אם אתם מקבלים מייל מהזירה תמיד לבדוק שזו הכתובת הנכונה של הדומיין (חיפוש גוגל וכניסה לתוצאה הראשונה יאמת את הכתובת).
גם בגיוסים ICO – יש לבחון טוב את הכתובת, שמקורה בערוצי התקשורת של הגיוס (כיום נהוג לפרסם ולאמת ביותר מערוץ אחד. למשל אתר אינטרנט + Slack). בעבר הלא רחוק אתר קוינדאש נפרץ בתחילת המכירה ו- 7 מיליון דולר באיתריום נשלחו לכתובת הפורץ. רשימת התפוצה של הגיוס של Enigma נפרצה, וכשבועיים לפני הגיוס המתוכנן נשלחו הודעות לכלל המשקיעים שהגיוס החל ואת הכתובת למשלוח מטבעות. הנזק היה קטן יותר, אך חצי מיליון דולר נשלחו לכתובות ההאקרים במקרה הזה.
יש לוודא שכל אתר בו מפקידים כספים מאובטח ברמת SSL (לוודא בשורת הכתובת עם סימן המנעול). כל אתר שמכבד את עצמו, ישתמש בפרוטוקול, כלומר יופיע בשורת הכתובת https , מה שאומר שהמידע שעובר מכם לאתר, מוצפן, ולא ניתן להאזין לו בקלות בדרך (סניפינג).
ישנן עקרונות שנשארו, אך החידוש של הביזוריות בקריפטו מעביר אלינו את האחריות (וזה טוב כי גם הסמכות אצלנו). אין בנקים מונופוליסטיים, אך גם אין למי לפנות במקרה של טעות (למרות שלעתים אנשים בקהילה עוזרים אחד לשני, עם מבט אופטימי לגבי העתיד). לכן חשוב מאוד להזהר בהפקדות ומשיכות.
יש לוודא פעמיים שהכתובת היא הכתובת הנכונה. טיפ קל – להתסכל על 3 הספרות הראשונות ו- 3 האחרונות. לדעת שידוע על פריצות למחשבים שהכתובת המודבקת היתה שונה מהכתובת המועתקת (לכל אוהבי Ctrl+C, Ctrl+V), או שהועתק תו אחד פחות מהכתובת המלאה.
במידה ומעבירים סכום משמעותי – תמיד מומלץ לשלוח תשלום קטן (חלק קטן מאוד מהסכום, כ- 1%) ולוודא שהוא מגיע כשורה. עדיף לאבד מעט קריפטו, מאשר לחסוך בכפיות ולהפסיד בדליים.
כל מי שהתעסק עם מידע רגיש, מכיר מפתח רנדומלי של RSA או למשל את אפליקציית המאמת של גוגל – Google Authenticator. היום האימות הדו שלבי קל ונגיש מאיי פעם. אפילו Gmail מאפשרת כניסה מאובטחת בעזרתו. מדובר על קוד רנדומלי של 6 ספרות המשתנה כל 60 שניות והוא ייחודי לחשבון אליו הוא מקושר. ללא הקוד הגישה לחשבון לא תתאפשר, ולכן רק מי שמחזיק במכשיר הסלולארי עליו מותקן ה- 2FA יכול לגשת לחשבון.
חשוב לזכור: אם אתם משדרגים מערכת הפעלה או מחליפים מכשיר סלולארי, יש לבטל את האימות הדו-שלבי בכל האתרים, ולחדש אותו תחת המכשיר החדש. בנוסף, ישנה סיסמאת גיבוי לאימות הדו שלבי כמובן יש לאכסנה מחוץ למחשב במקום מאובטח.
באפליקציות בתחום הקריפטו מומלץ לכבות את העדכון האוטומטי. עדיף להמתין מספר ימים לפני התקנת עדכון כלשהו, שכן אם יש בעייה – תנו לאחרים לדווח עליה לפני שאתם מתקינים גרסא עם באגים.
בעדכונים של ארנקי חומרה – מומלץ להעביר המטבעות לפני העדכון. בכל מקרה חובה לוודא שהגיבוי למפתח הפרטי קיים אצלכם.
עסקאות פנים אל פנים תמיד היו ותמיד יהיו. גם בתחום הקריפטו ישנם המעדיפים לעשות עסקאות המחייבות מפגש פיזי, למשל מי שרוצה לקנות ספר, ורוצה לוודא שהספר אותנטי, לפני העברת הכסף.
כללים למכירה של ביטקוין ומטבעות קריפטו פנים אל פנים: אם אתם הקונים לחכות ל- Confirmation 1 לפחות לפני העברת הכסף, אם אתם המוכרים מומלץ להסכים רק למזומן (ידועות תרמיות בזיופים של מסמכי העברה בנקאית). עדיף לא להתנהל כלל מול פרופיל עלום שם בפייסבוק. להיפגש במקום ציבורי (עדיף עם מצלמות, גנבים לא יקבעו במקומות כאלה), להעדיף מוכרים בעלי חברים משותפים. יש לסכם ולקבע את השער לפני הפגישה (בביטקוין נהוג ללכת לפי השער של Bitcoinavergae).
מכירות ביטקוין לאנשים זרים: אין לבצע את המכירה באינטרנט (אלא אם משתמשים בפלטפורמת escrow אמינה, רק למי שמבין).
רשתות Wi-Fi ציבוריות רבות לוקות במחדלי אבטחה. תחקירים רבים הראו האקרים יושבים בבתי קפה ומחכים לקורבנות תמימים בעלי מחשב נייד. ההאקרים השתלטו מבעוד מועד על הרשת וכך כל המידע המועבר דרכה מועבר גם אליהם. וכן, זה כולל גם סיסמאות. בחרו טוב את הרשתות WiFi אליהן אתם מחוברים. לא מומלץ להתחבר לרשתות ציבוריות כאשר מבצעים מסחר בקריפטו.
מלבד כתובת המייל היום יומית שלכם אשר נגישה ממספר מכשירים ומרשתות אלחוטיות רבות, פתחו כתובת מייל אשר תשמש אתכם לחשבונות הקריפטו וזירות המסחר בלבד. לכתובת המייל הזו אפשרו אימות דו-שלבי וכמובן תבחרו סיסמא קשה לפיצוח.
לסיכום, עם האפשרויות החדשות, מגיעות גם סכנות, חדשות וישנות. לכן כדאי להיות ערניים, ובעיקר לשתף את הקהילה בניסיונכם האישי, כדי שביחד תבנה טכנולוגיה בריאה ומאובטחת לקהילה הוגנת.
