Bagaimana keselamatan Nexo berfungsi, dan cara untuk mengukuhkan akaun anda

May 147 min read

Keselamatan dalam kripto ialah tanggungjawab bersama. Platform menyediakan langkah-langkah — kawalan infrastruktur, pengesanan penipuan, penyulitan — tetapi sebahagian besar risiko akaun mungkin datang dari pihak pengguna: kata laluan yang lemah, pautan yang tidak disahkan, alamat yang ditukar tanpa disedari oleh sesiapa.

Artikel ini merangkumi kedua-dua bahagian. Apa yang Nexo jalankan di latar belakang, perkara yang disahkan oleh juruaudit bebas, dan perkara yang anda boleh dayakan sendiri untuk menjadikan akaun anda lebih sukar untuk digodam.

Perkara yang berjalan di belakang tabir

Ini beroperasi secara lalai. Tiada apa-apa untuk disediakan atau didayakan — ia diaktifkan untuk setiap akaun, setiap transaksi.

Enjin anti-penipuan

Setiap pengeluaran di Nexo melalui enjin anti-penipuan automatik yang menganalisis transaksi dalam masa nyata sebelum dana keluar dari platform. Jika ada sesuatu yang kelihatan tidak kena — alamat yang dikaitkan dengan aktiviti penipuan yang diketahui, corak transaksi yang luar biasa, destinasi yang tidak sepadan dengan tingkah laku sebelumnya — anda akan melihat gesaan dalam bahasa yang mudah untuk menerangkan kebimbangan tersebut. Tiada jargon, tiada amaran yang samar-samar. Dalam kes berisiko tinggi yang jarang berlaku, transaksi mungkin dijeda seketika untuk semakan.

Enjin ini berjalan secara senyap di belakang tabir. Kebanyakan pengguna tidak akan pernah menemuinya. Itulah tujuannya.

Penyulitan

Data dalam transit dan semasa rehat di seluruh platform dilindungi dengan penyulitan SSL AES 256-bit — standard yang sama digunakan oleh institusi kewangan dan infrastruktur awan berskala besar di seluruh dunia.

Audit bebas

Infrastruktur Nexo diaudit secara bebas terhadap satu timbunan rangka kerja keselamatan yang diiktiraf di peringkat antarabangsa, semuanya diperbaharui setiap tahun:

  • SOC 2 Jenis 2 — kawalan dan proses keselamatan operasi
  • SOC 3 — ringkasan audit SOC 2 untuk umum
  • ISO 27001 — pengurusan keselamatan maklumat
  • ISO 27017 — kawalan keselamatan khusus awan
  • ISO 27018 — perlindungan maklumat peribadi yang boleh dikenal pasti di awan
  • CSA STAR Tahap 1 — jaminan keselamatan awan

Ia dijalankan oleh pihak ketiga yang bebas secara berkala.

Perkara yang boleh anda dayakan

Bahagian platform merangkumi infrastruktur dan transaksi. Perkara yang tidak dapat dilindunginya ialah akses akaun anda — ia bergantung pada cara anda menyediakan tetapan. Ciri-ciri ini tersedia untuk setiap pengguna dan mengambil masa beberapa minit untuk dikonfigurasikan.

Pengesahan dua faktor (2FA)

2FA menambah langkah pengesahan kedua semasa log masuk. Di Nexo, pengesahan yang sama — SMS, e-mel atau aplikasi pengesah — juga diperlukan untuk tindakan sensitif: pengeluaran, pengeditan Buku Alamat, dan perubahan pada tetapan keselamatan. Jadi, walaupun seseorang mempunyai kata laluan anda, mereka tidak boleh memindahkan dana atau menukar tetapan anda tanpa faktor kedua.

Aplikasi pengesah (seperti Google Authenticator atau Authy) adalah lebih kuat daripada 2FA berasaskan SMS. SMS terdedah kepada serangan penukaran SIM, di mana penyerang meyakinkan pembawa mudah alih anda untuk memindahkan nombor anda ke SIM yang mereka kawal. Jika anda menggunakan 2FA SMS, beralih kepada aplikasi pengesah adalah berbaloi walaupun hanya mengambil masa dua minit.

Untuk mendayakan: pergi ke tetapan Keselamatan anda dan pilih kaedah 2FA pilihan anda.

Nota penting: 2FA mengurangkan risiko akses tanpa kebenaran dengan ketara, tetapi ia bukan jaminan yang lengkap. Simpan kod pemulihan anda di tempat yang selamat — kehilangan akses kepada peranti 2FA anda tanpa sandaran boleh menyebabkan anda terkunci daripada akaun anda.

Kod anti-pancing data

Pancingan data — e-mel palsu yang kelihatan seolah-olah daripada Nexo — ialah salah satu vektor serangan yang paling biasa dalam kripto. Kod anti-pancing data ialah rentetan peribadi yang anda tetapkan sendiri yang muncul di pengaki setiap e-mel sah yang dihantar oleh Nexo kepada anda. Jika e-mel yang mendakwa daripada Nexo tidak mengandungi kod anda, ia bukan datang daripada Nexo.

Untuk menetapkannya: buka aplikasi Nexoketik profil anda Keselamatan & TetapanKod anti-pancing data → masukkan kod pilihan anda.

Setelah ditetapkan, anggap mana-mana e-mel Nexo tanpa kod anda sebagai mencurigakan — tidak kira betapa meyakinkan ia kelihatan.

Penyenaraian putih alamat

Salah satu vektor serangan yang lebih senyap dalam kripto ialah penukaran alamat — perisian hasad yang secara senyap menggantikan alamat pengeluaran yang disalin dengan alamat yang dikawal oleh penyerang. Jika anda tidak mengesahkan alamat penuh aksara demi aksara sebelum mengesahkan, anda mungkin tidak akan perasan.

Penyenaraian putih alamat mengunci pengeluaran anda kepada alamat yang disimpan dalam Buku Alamat anda (sehingga 500). Anda juga boleh menetapkan penangguhan Keselamatan Tambahan pada alamat yang baru ditambah — tempoh yang boleh dikonfigurasikan sebelum alamat baru boleh digunakan untuk pengeluaran. Ini menutup tetingkap penukaran: walaupun penyerang mendapat akses sementara ke akaun anda, mereka tidak dapat mengeluarkan dana serta-merta ke alamat baru.

Untuk mendayakan: pergi ke tetapan Keselamatan anda dan hidupkan Penyenaraian Putih Alamat.

Pengesah Saluran

Sebelum berinteraksi dengan mana-mana alamat e-mel, nama pengguna media sosial, atau URL yang mendakwa sebagai Nexo, anda boleh mengesahkannya di nexo.com/channel-validator. Jika ia tiada dalam pengesah, ia bukan saluran rasmi Nexo.

Ini amat berguna untuk media sosial — akaun Nexo palsu di X, Telegram dan Discord adalah biasa, dan mereka biasanya menyamar sebagai kakitangan sokongan atau menjalankan kempen promosi palsu.

Perkara yang tidak akan dilakukan oleh Nexo

Beberapa perkara yang patut diketahui, kerana mengetahuinya memudahkan untuk mengesan percubaan kejuruteraan sosial:

  • Nexo tidak akan sekali-kali meminta kata laluan atau kod 2FA anda
  • Nexo tidak akan sekali-kali meminta anda untuk membenarkan transaksi melalui sembang, e-mel atau teks
  • Nexo tidak akan sekali-kali menghantar pautan log masuk kepada anda melalui SMS

Jika sesiapa yang mendakwa daripada Nexo melakukan mana-mana perkara tersebut, itu bukan Nexo. Anda boleh melaporkan aktiviti yang mencurigakan kepada pasukan Bantuan Pelanggan di support.nexo.com/contact.

Dari mana datangnya keselamatan akaun anda yang sebenar

Tiada platform yang boleh menghapuskan semua risiko. Apa yang dilakukan oleh langkah-langkah di atas — kedua-dua infrastruktur dari sisi platform dan ciri-ciri dari sisi pengguna — adalah untuk mengurangkan permukaan serangan dan menjadikan akaun anda lebih sukar untuk digodam.

Infrastruktur mengendalikan apa yang tidak dapat dilihat atau dikawal oleh pengguna. Ciri-ciri di sisi pengguna mengendalikan apa yang tidak boleh dilakukan oleh platform — kerana tiada jumlah keselamatan bahagian belakang yang dapat menghentikan penyerang yang mempunyai kelayakan anda, atau pengguna yang mengklik pautan pancingan data.

Menyediakan 2FA melalui aplikasi pengesah, mendayakan kod anti-pancing data, dan menghidupkan penyenaraian putih alamat mengambil masa kurang daripada sepuluh minit. Ia adalah tindakan keselamatan dengan pulangan tertinggi yang masih belum diambil oleh kebanyakan pengguna.

Untuk gambaran yang lebih lengkap tentang ancaman biasa dan cara untuk bertahan daripadanya, lihat Ancaman keselamatan biasa dan cara untuk menanganinya.

Soalan lazim

1. Apakah itu enjin anti-penipuan, dan bagaimana ia berfungsi? 

Ia adalah sistem automatik yang menganalisis setiap pengeluaran dalam masa nyata sebelum dana keluar dari platform. Jika sesuatu transaksi kelihatan mencurigakan — berdasarkan alamat destinasi, corak transaksi atau isyarat lain — anda akan melihat penjelasan dalam bahasa yang mudah difahami. Dalam kes berisiko tinggi yang jarang berlaku, transaksi mungkin dijeda seketika. Ia berjalan secara lalai tanpa perlu dikonfigurasi.

2. Apakah perbezaan antara 2FA SMS dan aplikasi pengesah? 

Kedua-duanya menambah langkah pengesahan kedua semasa log masuk. 2FA SMS terdedah kepada serangan penukaran SIM, di mana penyerang meyakinkan pembawa mudah alih anda untuk menyerahkan semula nombor anda kepada SIM yang mereka kawal. Aplikasi pengesah menjana kod secara setempat pada peranti anda dan tidak terikat dengan nombor telefon anda, menjadikannya lebih tahan terhadap jenis serangan ini.

3. Apakah yang perlu saya lakukan jika saya menerima e-mel mencurigakan yang mendakwa daripada Nexo? 

Periksa sama ada ia membawa kod anti-pancing data anda di pengaki — jika tidak, ia bukan datang daripada Nexo. Anda juga boleh mengesahkan sebarang alamat e-mel, nama pengguna sosial atau URL di nexo.com/channel-validator. Laporkan mesej yang mencurigakan kepada pasukan Bantuan Pelanggan Nexo di support.nexo.com/contact.

4. Bolehkah kakitangan Nexo mengakses akaun saya tanpa kebenaran saya? 

Nexo tidak akan sekali-kali meminta kata laluan atau kod 2FA anda, dan tidak akan sekali-kali meminta anda untuk membenarkan transaksi melalui sembang, e-mel atau teks. Jika sesiapa yang mendakwa sebagai sokongan Nexo melakukan mana-mana perkara tersebut, itu bukan Nexo.

5. Apakah itu penyenaraian putih alamat, dan patutkah saya mendayakannya? 

Penyenaraian putih alamat menyekat pengeluaran ke alamat yang telah anda luluskan terlebih dahulu dalam Buku Alamat anda. Ia juga membolehkan anda menetapkan penangguhan sebelum alamat yang baru ditambah boleh digunakan. Ini melindungi daripada perisian hasad penukaran alamat dan mengehadkan perkara yang boleh dilakukan oleh penyerang dengan akses akaun sementara. Adalah berbaloi untuk mendayakannya jika anda mempunyai destinasi pengeluaran yang tetap.

Bahan-bahan ini boleh diakses di seluruh dunia, dan ketersediaan maklumat ini tidak bermaksud akses kepada perkhidmatan yang diterangkan, yang mana perkhidmatan tersebut mungkin tidak tersedia dalam bidang kuasa tertentu. Bahan-bahan ini adalah untuk tujuan maklumat umum sahaja dan tidak bertujuan sebagai nasihat kewangan, perundangan, cukai, atau pelaburan, tawaran, pelawaan, cadangan atau sokongan untuk menggunakan mana-mana Perkhidmatan Nexo dan tidak diperibadikan, atau dalam apa jua cara disesuaikan untuk mencerminkan objektif pelaburan, situasi kewangan atau keperluan tertentu. Aset digital tertakluk kepada tahap risiko yang tinggi, termasuk tetapi tidak terhad kepada dinamik harga pasaran yang tidak menentu, perubahan kawal selia, dan kemajuan teknologi. Prestasi sebelumnya aset digital bukanlah penunjuk yang boleh dipercayai untuk hasil pada masa hadapan. Aset digital bukanlah wang atau tender perundangan, tidak disokong oleh kerajaan atau bank pusat, dan kebanyakannya tidak mempunyai sebarang aset pendasar, aliran hasil, atau sumber nilai lain. Pertimbangan bebas berdasarkan keadaan peribadi harus dibuat, dan rundingan dengan profesional yang berkelayakan adalah disyorkan sebelum membuat sebarang keputusan.

Langkah-langkah keselamatan yang diterangkan dalam artikel ini mencerminkan infrastruktur dan ciri-ciri Nexo pada tarikh penerbitan. Keselamatan adalah bidang yang sentiasa berkembang, dan tiada sistem yang dapat menghapuskan semua risiko. Pengguna digalakkan untuk sentiasa mendapat maklumat dan mengambil peranan yang aktif dalam melindungi akaun mereka.