Как работает система безопасности Nexo и как укрепить защиту аккаунта

Безопасность в крипто — общая ответственность. Платформы принимают защитные меры — контроль инфраструктуры, обнаружение мошенничества, шифрование, — однако значительная часть рисков для аккаунта может исходить со стороны пользователя: слабые пароли, непроверенные ссылки, адреса, которые подменяются незаметно.

Эта статья охватывает обе стороны вопроса. Что Nexo делает в фоновом режиме, что проверяют независимые аудиторы и что вы можете включить самостоятельно, чтобы существенно повысить защиту аккаунта.

Что работает в фоновом режиме

Всё это работает по умолчанию. Ничего настраивать или включать не нужно — защита активна для каждого аккаунта и каждой транзакции.

Антискам-система

Каждый вывод средств в Nexo проходит через автоматизированную антискам-систему, которая анализирует транзакции в режиме реального времени до того, как средства покидают платформу. Если что-то выглядит подозрительно — адрес связан с известной мошеннической деятельностью, необычный паттерн транзакции, назначение не соответствует прежнему поведению — вы увидите понятное сообщение с объяснением проблемы. Никакого жаргона, никаких расплывчатых предупреждений. В редких случаях высокого риска транзакция может быть кратковременно приостановлена для проверки.

Система работает незаметно в фоновом режиме. Большинство пользователей никогда с ней не столкнутся. Именно так и задумано.

Шифрование

Данные в процессе передачи и в состоянии покоя на всей платформе защищены 256-битным SSL-шифрованием AES — тем же стандартом, который используют финансовые учреждения и крупные облачные инфраструктуры по всему миру.

Независимые аудиты

Инфраструктура Nexo независимо проверяется на соответствие набору международно признанных стандартов безопасности, которые обновляются ежегодно:

• SOC 2 Type 2 — операционные средства контроля безопасности и процессы
• SOC 3 — публичная сводка аудита SOC 2
• ISO 27001 — управление информационной безопасностью
• ISO 27017 — средства контроля безопасности для облачных сред
• ISO 27018 — защита персональных данных в облаке
• CSA STAR Level 1 — обеспечение безопасности в облаке

Они проводятся независимыми третьими сторонами на регулярной основе.

Что вы можете включить

Платформа отвечает за инфраструктуру и транзакции. То, что она не может охватить, — это доступ к вашему аккаунту: это зависит от того, как вы всё настроили. Эти функции доступны каждому пользователю и настраиваются за несколько минут.

Двухфакторная аутентификация (2FA)

2FA добавляет второй шаг верификации при входе в аккаунт. В Nexo та же верификация — через SMS, эл. почту или приложение-аутентификатор — требуется и для чувствительных действий: вывода средств, редактирования «Адресной книги» и изменения настроек безопасности. Так что даже если кто-то узнает ваш пароль, переместить средства или изменить настройки без второго фактора не получится.

Приложения-аутентификаторы (например, Google Authenticator или Authy) надежнее, чем 2FA через SMS. SMS уязвим для атак с подменой SIM-карты (SIM swap), при которых злоумышленник убеждает мобильного оператора переоформить ваш номер на подконтрольную ему SIM-карту. Если вы используете 2FA через SMS, переход на приложение-аутентификатор займет всего две минуты и значительно повысит вашу безопасность.

Как включить: перейдите в настройки безопасности и выберите предпочтительный метод 2FA.

Важно: 2FA существенно снижает риск несанкционированного доступа, но не является абсолютной гарантией. Храните коды восстановления в надежном месте — потеря доступа к устройству с 2FA без резервной копии может заблокировать вас в аккаунте.

Код для защиты от фишинга

Фишинг — поддельные письма, имитирующие сообщения от Nexo, — один из наиболее распространенных векторов атак в крипто. Код для защиты от фишинга — это личная строка, которую вы задаете сами; она отображается в футере каждого официального письма от Nexo. Если письмо, якобы отправленное от Nexo, не содержит вашего кода — оно не от Nexo.

Как настроить: откройте приложение Nexo → нажмите на профиль → Security & Settings → Код для защиты от фишинга → введите код на ваш выбор.

После настройки любое письмо от Nexo без вашего кода следует считать подозрительным — независимо от того, насколько убедительно оно выглядит.

Белый список адресов

Один из менее заметных векторов атак в крипто — подмена адресов: вредоносное ПО незаметно заменяет скопированный адрес вывода средств на адрес, подконтрольный злоумышленнику. Если вы не проверяете адрес полностью, символ за символом, перед подтверждением — вы можете этого не заметить.

Белый список адресов ограничивает вывод средств только теми адресами, которые сохранены в «Адресной книге» (до 500 адресов). Также можно установить задержку Extra Security для новых адресов — настраиваемое окно ожидания, прежде чем новый адрес станет доступен для вывода средств. Это закрывает окно подмены: даже получив временный доступ к вашему аккаунту, злоумышленник не сможет сразу вывести средства на новый адрес.

Как включить: перейдите в настройки безопасности и активируйте белый список адресов.

Проверка каналов

Прежде чем взаимодействовать с любым адресом электронной почты, аккаунтом в социальных сетях или URL, утверждающим принадлежность к Nexo, проверьте его на nexo.com/channel-validator. Если канала нет в валидаторе — он не является официальным каналом Nexo.

Это особенно актуально для социальных сетей — фейковые аккаунты Nexo в X, Telegram и Discord широко распространены; как правило, они выдают себя за сотрудников поддержки или проводят поддельные рекламные акции.

Чего Nexo никогда не сделает

Несколько важных вещей, знание которых помогает легче распознать попытки социальной инженерии:

• Nexo никогда не запросит ваш пароль или код 2FA
• Nexo никогда не попросит вас авторизовать транзакцию через чат, эл. почту или SMS
• Nexo никогда не отправит вам ссылку для входа через SMS

Если кто-либо, представляющийся сотрудником Nexo, делает любое из перечисленного — это не Nexo. Сообщить о подозрительной активности можно в службу поддержки по адресу support.nexo.com/contact.

Откуда берется реальная безопасность аккаунта

Ни одна платформа не может устранить все риски. Описанные меры — как на уровне инфраструктуры платформы, так и на стороне пользователя — сокращают поверхность атаки и существенно усложняют взлом вашего аккаунта.

Инфраструктура берет на себя то, что пользователи не могут видеть или контролировать. Функции на стороне пользователя отвечают за то, что недоступно платформе, — ведь никакой уровень защиты бэкенда не остановит злоумышленника, знающего ваши учетные данные, или пользователя, перешедшего по фишинговой ссылке.

Настройка 2FA через приложение-аутентификатор, активация кода для защиты от фишинга и включение белого списка адресов займут менее десяти минут. Это меры безопасности с наилучшим результатом, которые большинство пользователей пока не приняли.

Для более полного обзора распространенных угроз и способов защиты от них смотрите Распространенные угрозы безопасности и способы их нейтрализации.

Часто задаваемые вопросы

1. Что такое антискам-система и как она работает? 

Это автоматизированная система, которая анализирует каждый вывод средств в режиме реального времени до того, как средства покидают платформу. Если транзакция выглядит подозрительно — по адресу назначения, паттерну транзакции или другим сигналам — вы получите понятное объяснение. В редких случаях высокого риска транзакция может быть кратковременно приостановлена. Система работает по умолчанию, без какой-либо настройки.

2. В чем разница между 2FA через SMS и приложением-аутентификатором? 

Оба варианта добавляют второй шаг верификации при входе в аккаунт. 2FA через SMS уязвим для атак с подменой SIM-карты (SIM swap), при которых злоумышленник убеждает мобильного оператора переоформить ваш номер на подконтрольную ему SIM-карту. Приложения-аутентификаторы генерируют коды локально на вашем устройстве и не привязаны к номеру телефона, что делает их более устойчивыми к подобным атакам.

3. Что делать, если я получил подозрительное письмо, якобы отправленное от Nexo? 

Проверьте, есть ли в футере письма ваш код для защиты от фишинга — если его нет, письмо не от Nexo. Также можно проверить любой адрес эл. почты, аккаунт в соцсетях или URL на nexo.com/channel-validator. Сообщайте о подозрительных сообщениях в службу поддержки Nexo по адресу support.nexo.com/contact.

4. Может ли сотрудник Nexo получить доступ к моему аккаунту без моего разрешения? 

Nexo никогда не запрашивает пароль или код 2FA и никогда не просит авторизовать транзакции через чат, эл. почту или SMS. Если кто-либо, представляющийся службой поддержки Nexo, делает любое из перечисленного — это не Nexo.

5. Что такое белый список адресов и стоит ли его включить? 

Белый список адресов ограничивает вывод средств только теми адресами, которые вы предварительно одобрили в «Адресной книге». Также можно установить задержку перед тем, как новые адреса станут доступны для использования. Это защищает от вредоносного ПО, подменяющего адреса, и ограничивает возможности злоумышленника при временном доступе к аккаунту. Стоит включить, если у вас есть постоянные адреса для вывода средств.

Данные материалы доступны по всему миру. Наличие этой информации не означает доступ к описанным услугам, которые могут быть недоступны в отдельных юрисдикциях. Эти материалы носят исключительно общий информационный характер и не являются финансовой, юридической, налоговой или инвестиционной консультацией, предложением, призывом, рекомендацией или одобрением использовать какие‑либо услуги Nexo, не являются персональными и никоим образом не учитывают конкретные инвестиционные цели, финансовое положение или потребности. Цифровые активы сопряжены с высоким уровнем риска, в том числе связанным с волатильностью рыночных цен, изменениями в регулировании и техническим прогрессом. Прошлые результаты цифровых активов не являются надежным индикатором будущих результатов. Цифровые активы не являются деньгами или законным платежным средством, не обеспечены государством или центральным банком, и у большинства из них нет базовых активов, источника дохода или иных источников стоимости. Следует руководствоваться собственным суждением с учетом личных обстоятельств. Перед принятием любых решений рекомендуется проконсультироваться с квалифицированным специалистом.

Меры безопасности, описанные в этой статье, отражают инфраструктуру и возможности Nexo на дату публикации. Безопасность — это постоянно развивающаяся область, и ни одна система не устраняет все риски. Пользователям рекомендуется быть в курсе актуальных угроз и активно участвовать в защите своих аккаунтов.