Nexo की सिक्योरिटी कैसे काम करती है, और अपने अकाउंट को कैसे मज़बूत करें
May 14•8 min read
क्रिप्टो में सिक्योरिटी एक साझा ज़िम्मेदारी है। प्लेटफ़ॉर्म उपाय करते हैं — इंफ़्रास्ट्रक्चर नियंत्रण, धोखाधड़ी का पता लगाना, एन्क्रिप्शन — लेकिन अकाउंट जोखिम का एक महत्वपूर्ण हिस्सा यूज़र की तरफ़ से आ सकता है: कमज़ोर पासवर्ड, असत्यापित लिंक, ऐसे एड्रेस जो किसी के ध्यान दिए बिना स्वैप हो जाते हैं।
यह लेख दोनों हिस्सों को कवर करता है। Nexo बैकग्राउंड में क्या चलाता है, स्वतंत्र ऑडिटर क्या सत्यापित करते हैं, और आप अपने अकाउंट को हैक होने से बचाने के लिए इसे और मुश्किल बनाने के लिए खुद क्या सक्रिय कर सकते हैं।
बैकग्राउंड में क्या चलता है
ये डिफ़ॉल्ट रूप से काम करते हैं। सेट अप करने या सक्रिय करने के लिए कुछ भी नहीं है — वे हर अकाउंट, हर ट्रांज़ैक्शन के लिए ऑन हैं।
एंटी-स्कैम इंजन
Nexo पर हर निकासी एक स्वचालित एंटी-स्कैम इंजन से होकर गुज़रती है जो प्लेटफ़ॉर्म से फ़ंड निकलने से पहले वास्तविक समय में ट्रांज़ैक्शन का विश्लेषण करता है। अगर कुछ गड़बड़ लगती है — जैसे कि ज्ञात स्कैम गतिविधि से जुड़ा कोई पता, एक असामान्य ट्रांज़ैक्शन पैटर्न, एक डेस्टिनेशन जो पिछले व्यवहार से मेल नहीं खाता — तो आपको चिंता को समझाते हुए एक सरल भाषा में प्रॉम्प्ट दिखाई देगा। कोई शब्दजाल नहीं, कोई अस्पष्ट चेतावनी नहीं। दुर्लभ उच्च-जोखिम वाले मामलों में, समीक्षा के लिए किसी ट्रांज़ैक्शन को संक्षिप्त रूप से रोका जा सकता है।
इंजन बैकग्राउंड में चुपचाप चलता है। ज़्यादातर यूज़र का इससे कभी सामना नहीं होगा। इसका यही उद्देश्य है।
एन्क्रिप्शन
प्लेटफ़ॉर्म पर ट्रांज़िट में और रखे हुए डेटा को AES 256-बिट SSL एन्क्रिप्शन के साथ सुरक्षित किया जाता है — यह वही मानक है जिसका उपयोग विश्व स्तर पर वित्तीय संस्थानों और बड़े पैमाने पर क्लाउड इंफ़्रास्ट्रक्चर द्वारा किया जाता है।
स्वतंत्र ऑडिट
Nexo के इंफ़्रास्ट्रक्चर को अंतरराष्ट्रीय स्तर पर मान्यता प्राप्त सिक्योरिटी फ़्रेमवर्क के एक समूह के विरुद्ध स्वतंत्र रूप से ऑडिट किया जाता है, जिन्हें हर साल नवीनीकृत किया जाता है:
- SOC 2 टाइप 2 — ऑपरेशनल सिक्योरिटी नियंत्रण और प्रक्रियाएँ
- SOC 3 — SOC 2 ऑडिट का सार्वजनिक-सामना सारांश
- ISO 27001 — सूचना सिक्योरिटी प्रबंधन
- ISO 27017 — क्लाउड-विशिष्ट सिक्योरिटी नियंत्रण
- ISO 27018 — क्लाउड में व्यक्तिगत रूप से पहचान योग्य जानकारी का संरक्षण
- CSA STAR लेवल 1 — क्लाउड सिक्योरिटी एश्योरेंस
वे स्वतंत्र तीसरे पक्षों द्वारा नियमित आधार पर आयोजित किए जाते हैं।
आप क्या सक्रिय कर सकते हैं
प्लेटफ़ॉर्म साइड इंफ़्रास्ट्रक्चर और ट्रांज़ैक्शन को कवर करता है। यह आपके अकाउंट के एक्सेस को कवर नहीं कर सकता — यह इस पर निर्भर करता है कि आपने चीज़ों को कैसे सेट किया है। ये फ़ीचर हर यूज़र के लिए उपलब्ध हैं और इन्हें कॉन्फ़िगर करने में कुछ मिनट लगते हैं।
टू-फ़ैक्टर ऑथेंटिकेशन (2FA)
2FA लॉग इन करते समय एक दूसरा सत्यापन चरण जोड़ता है। Nexo पर, संवेदनशील कार्रवाइयों पर भी यही सत्यापन — SMS, ईमेल, या ऑथेंटिकेटर ऐप — आवश्यक है: निकासी, एड्रेस बुक में बदलाव, और सिक्योरिटी सेटिंग्स में बदलाव। इसलिए भले ही किसी के पास आपका पासवर्ड हो, वे दूसरे फ़ैक्टर के बिना फ़ंड नहीं ले जा सकते या आपका सेटअप नहीं बदल सकते।
ऑथेंटिकेटर ऐप (जैसे Google Authenticator या Authy) SMS-आधारित 2FA से ज़्यादा मज़बूत होते हैं। SMS, SIM स्वैप हमलों के प्रति संवेदनशील है, जहाँ एक हमलावर आपके मोबाइल वाहक को आपका नंबर उनके नियंत्रण वाले SIM पर ट्रांसफ़र करने के लिए मना लेता है। अगर आप SMS 2FA का उपयोग कर रहे हैं, तो एक ऑथेंटिकेटर ऐप पर स्विच करना इसमें लगने वाले दो मिनट के लायक है।
सक्रिय करने के लिए: अपनी सिक्योरिटी सेटिंग्स पर जाएँ और अपनी पसंदीदा 2FA विधि चुनें।
ज़रूरी नोट: 2FA अनधिकृत पहुंच के जोखिम को काफ़ी कम कर देता है, लेकिन यह पूरी गारंटी नहीं है। अपने रिकवरी कोड को किसी सुरक्षित जगह पर रखें — बिना बैकअप के अपने 2FA डिवाइस का एक्सेस खोने से आप अपने अकाउंट से बाहर हो सकते हैं।
एंटी-फ़िशिंग कोड
फ़िशिंग — Nexo से आने वाले नकली ईमेल — क्रिप्टो में सबसे आम हमला करने के तरीकों में से एक है। एंटी-फ़िशिंग कोड एक पर्सनल स्ट्रिंग है जिसे आप खुद सेट करते हैं जो Nexo द्वारा आपको भेजे गए हर वैध ईमेल के फुटर में दिखाई देता है। अगर Nexo से होने का क्लेम करने वाले किसी ईमेल में आपका कोड नहीं है, तो वह Nexo से नहीं आया है।
इसे सेट करने के लिए: Nexo ऐप खोलें → अपनी प्रोफ़ाइल पर टैप करें → सिक्योरिटी और सेटिंग्स → एंटी-फ़िशिंग कोड → अपनी पसंद का कोड दर्ज करें।
एक बार सेट हो जाने पर, बिना आपके कोड वाले किसी भी Nexo ईमेल को संदिग्ध मानें — भले ही वह कितना भी विश्वसनीय क्यों न लगे।
पता व्हाइटलिस्टिंग
क्रिप्टो में चुपचाप हमला करने वाले तरीकों में से एक एड्रेस स्वैपिंग है — मैलवेयर जो चुपके से कॉपी किए गए निकासी एड्रेस को हमलावर द्वारा नियंत्रित एड्रेस से बदल देता है। अगर आप पुष्टि करने से पहले पूरे पते के हर कैरेक्टर को सत्यापित नहीं कर रहे हैं, तो हो सकता है कि आप इस पर ध्यान न दें।
एड्रेस व्हाइटलिस्टिंग आपकी निकासी को आपकी एड्रेस बुक में सहेजे गए पतों (500 तक) पर लॉक कर देती है। आप नए जोड़े गए पतों पर एक अतिरिक्त सिक्योरिटी देरी भी सेट कर सकते हैं — एक कॉन्फ़िगर करने योग्य विंडो जिसके बाद कोई नया पता निकासी के लिए उपयोग करने योग्य हो जाता है। यह स्वैप विंडो को बंद कर देता है: भले ही कोई हमलावर आपके अकाउंट तक अस्थायी पहुंच प्राप्त कर ले, वे तुरंत किसी नए पते पर निकासी नहीं कर सकते।
सक्रिय करने के लिए: अपनी सिक्योरिटी सेटिंग्स पर जाएँ और एड्रेस व्हाइटलिस्टिंग चालू करें।
चैनल वैलिडेटर
Nexo होने का क्लेम करने वाले किसी भी ईमेल एड्रेस, सोशल मीडिया हैंडल या URL के साथ इंटरैक्ट करने से पहले, आप इसे nexo.com/channel-validator पर सत्यापित कर सकते हैं। अगर यह वैलिडेटर में नहीं है, तो यह एक आधिकारिक Nexo चैनल नहीं है।
यह सोशल मीडिया के लिए विशेष रूप से उपयोगी है — एक्स, टेलीग्राम और डिस्कॉर्ड पर नकली Nexo अकाउंट आम हैं, और वे आम तौर पर सपोर्ट स्टाफ का रूप धारण करते हैं या नकली प्रचार अभियान चलाते हैं।
Nexo कभी क्या नहीं करेगा
कुछ बातें जानने लायक हैं, क्योंकि उन्हें जानने से सोशल इंजीनियरिंग के प्रयासों को पहचानना आसान हो जाता है:
- Nexo कभी भी आपका पासवर्ड या 2FA कोड नहीं पूछेगा
- Nexo कभी भी आपको चैट, ईमेल या टेक्स्ट के माध्यम से ट्रांज़ैक्शन को अधिकृत करने के लिए नहीं कहेगा
- Nexo आपको कभी भी SMS के ज़रिए कोई लॉगिन लिंक नहीं भेजेगा
अगर Nexo से होने का क्लेम करने वाला कोई भी व्यक्ति इनमें से कोई भी काम करता है, तो वह Nexo नहीं है। आप support.nexo.com/contact पर क्लाइंट केयर टीम को संदिग्ध गतिविधि की रिपोर्ट कर सकते हैं।
आपके अकाउंट की सिक्योरिटी वास्तव में कहाँ से आती है
कोई भी प्लेटफ़ॉर्म सभी जोखिमों को खत्म नहीं कर सकता। ऊपर बताए गए उपाय — प्लेटफ़ॉर्म-साइड इंफ़्रास्ट्रक्चर और यूज़र-साइड फ़ीचर दोनों — हमले की सतह को कम करते हैं और आपके अकाउंट से छेड़छाड़ करना काफ़ी मुश्किल बना देते हैं।
इंफ़्रास्ट्रक्चर उन चीज़ों को संभालता है जिन्हें यूज़र देख या नियंत्रित नहीं कर सकते। यूज़र-साइड की खूबियाँ वो काम करती हैं जो प्लेटफ़ॉर्म नहीं कर सकता — क्योंकि बैकएंड सिक्योरिटी कितनी भी ज़्यादा क्यों न हो, वो ऐसे हमलावर को नहीं रोक सकती जिसके पास आपके क्रेडेंशियल हों, या ऐसे यूज़र को जो फ़िशिंग लिंक पर क्लिक करता है।
एक ऑथेंटिकेटर ऐप के ज़रिए 2FA सेट अप करने, एंटी-फ़िशिंग कोड को सक्रिय करने और एड्रेस व्हाइटलिस्टिंग चालू करने में दस मिनट से भी कम समय लगता है। यह सबसे ज़्यादा रिटर्न वाला सिक्योरिटी एक्शन है जो ज़्यादातर यूज़र ने अभी तक नहीं लिया है।
आम खतरों और उनसे बचाव के तरीकों के बारे में पूरी जानकारी के लिए, आम सिक्योरिटी खतरे और उन्हें कम करने के तरीके देखें।
अक्सर पूछे जाने वाले प्रश्न
1. एंटी-स्कैम इंजन क्या है, और यह कैसे काम करता है?
यह एक स्वचालित प्रणाली है जो प्लेटफ़ॉर्म से फ़ंड निकलने से पहले वास्तविक समय में हर निकासी का विश्लेषण करती है। अगर कोई ट्रांज़ैक्शन संदिग्ध लगता है — डेस्टिनेशन पते, ट्रांज़ैक्शन पैटर्न या अन्य संकेतों के आधार पर — तो आपको एक सरल भाषा में स्पष्टीकरण दिखाई देगा। दुर्लभ उच्च-जोखिम वाले मामलों में, ट्रांज़ैक्शन को संक्षिप्त रूप से रोका जा सकता है। यह डिफ़ॉल्ट रूप से चलता है और इसमें कुछ भी कॉन्फ़िगर करने की आवश्यकता नहीं होती है।
2. SMS 2FA और एक ऑथेंटिकेटर ऐप में क्या अंतर है?
दोनों लॉग इन करते समय एक दूसरा सत्यापन चरण जोड़ते हैं। SMS 2FA, SIM स्वैप हमलों के प्रति संवेदनशील है, जहाँ एक हमलावर आपके मोबाइल वाहक को आपका नंबर उनके नियंत्रण वाले SIM पर फिर से असाइन करने के लिए मना लेता है। ऑथेंटिकेटर ऐप आपके डिवाइस पर स्थानीय रूप से कोड जनरेट करते हैं और आपके फ़ोन नंबर से नहीं जुड़े होते हैं, जो उन्हें इस प्रकार के हमले के प्रति ज़्यादा प्रतिरोधी बनाता है।
3. अगर मुझे Nexo से होने का क्लेम करने वाला कोई संदिग्ध ईमेल प्राप्त होता है तो मुझे क्या करना चाहिए?
जाँचें कि क्या उसके फ़ुटर में आपका एंटी-फ़िशिंग कोड है — अगर नहीं है, तो वह Nexo से नहीं आया है। आप nexo.com/channel-validator पर किसी भी ईमेल पते, सोशल हैंडल या URL को भी सत्यापित कर सकते हैं। support.nexo.com/contact पर Nexo की क्लाइंट केयर टीम को संदिग्ध संदेशों की रिपोर्ट करें।
4. क्या Nexo स्टाफ़ मेरी अनुमति के बिना मेरे अकाउंट तक पहुँच सकता है?
Nexo कभी भी आपका पासवर्ड या 2FA कोड नहीं मांगेगा, और कभी भी आपको चैट, ईमेल या टेक्स्ट के माध्यम से ट्रांज़ैक्शन को अधिकृत करने के लिए नहीं कहेगा। अगर Nexo सपोर्ट होने का क्लेम करने वाला कोई भी व्यक्ति इनमें से कोई भी काम करता है, तो वह Nexo नहीं है।
5. एड्रेस व्हाइटलिस्टिंग क्या है, और क्या मुझे इसे सक्रिय करना चाहिए?
एड्रेस व्हाइटलिस्टिंग निकासी को उन पतों तक सीमित करती है जिन्हें आपने अपनी एड्रेस बुक में पहले से मंज़ूरी दी है। यह आपको नए जोड़े गए पतों के उपयोग योग्य होने से पहले एक देरी सेट करने की सुविधा भी देता है। यह एड्रेस-स्वैपिंग मैलवेयर से बचाता है और यह सीमित करता है कि एक हमलावर अस्थायी अकाउंट एक्सेस के साथ क्या कर सकता है। अगर आपके पास नियमित निकासी डेस्टिनेशन हैं तो इसे सक्रिय करना उचित है।
ये सामग्रियां विश्व स्तर पर उपलब्ध हैं, और इस जानकारी की उपलब्धता वर्णित सेवाओं तक पहुंच का गठन नहीं करती है, जो सेवाएं कुछ अधिकार क्षेत्रों में उपलब्ध नहीं हो सकती हैं। ये सामग्रियां सिर्फ़ सामान्य जानकारी के उद्देश्यों के लिए हैं और इनका इरादा किसी भी Nexo सर्विसेज़ का इस्तेमाल करने के लिए वित्तीय, कानूनी, टैक्स या इन्वेस्टमेंट सलाह, ऑफ़र, आग्रह, सिफ़ारिश या समर्थन के रूप में नहीं है और ये पर्सनलाइज़्ड नहीं हैं, या किसी भी तरह से विशेष इन्वेस्टमेंट उद्देश्यों, वित्तीय स्थिति या ज़रूरतों को दर्शाने के लिए तैयार नहीं की गई हैं. डिजिटल एसेट में उच्च स्तर का जोखिम होता है, जिसमें अस्थिर मार्केट मूल्य की गतिशीलता, नियामक परिवर्तन और तकनीकी प्रगति शामिल है, लेकिन यह इन्हीं तक सीमित नहीं है। डिजिटल एसेट का पिछला प्रदर्शन भविष्य के परिणामों का एक विश्वसनीय संकेतक नहीं है। डिजिटल एसेट पैसा या कानूनी निविदा नहीं हैं, सरकार या किसी केंद्रीय बैंक द्वारा समर्थित नहीं हैं, और अधिकांश के पास कोई अंतर्निहित एसेट, राजस्व स्ट्रीम या मूल्य का अन्य स्रोत नहीं है। व्यक्तिगत परिस्थितियों के आधार पर स्वतंत्र निर्णय का प्रयोग किया जाना चाहिए, और कोई भी निर्णय लेने से पहले एक योग्य पेशेवर से परामर्श की सिफारिश की जाती है।
इस लेख में वर्णित सिक्योरिटी उपाय प्रकाशन की तारीख के अनुसार Nexo के इंफ़्रास्ट्रक्चर और सुविधाओं को दर्शाते हैं। सिक्योरिटी एक विकसित होता हुआ क्षेत्र है, और कोई भी प्रणाली सभी जोखिमों को समाप्त नहीं करती है। यूज़र्स को सूचित रहने और अपने अकाउंट की सुरक्षा में सक्रिय भूमिका निभाने के लिए प्रोत्साहित किया जाता है।
