ระบบความปลอดภัยของ Nexo ทำงานอย่างไร และวิธีเสริมความแข็งแกร่งให้บัญชีของคุณ
May 14•2 min read
ความปลอดภัยใน crypto เป็นความรับผิดชอบร่วมกัน แพลตฟอร์มวางมาตรการต่างๆ ไว้ — การควบคุมโครงสร้างพื้นฐาน การตรวจจับการทุจริต การเข้ารหัส — แต่ความเสี่ยงของบัญชีส่วนหนึ่งที่สำคัญอาจมาจากฝั่งผู้ใช้: รหัสผ่านที่อ่อนแอ ลิงก์ที่ไม่ได้รับการยืนยัน และที่อยู่ที่ถูกสวอปโดยไม่มีใครสังเกตเห็น
บทความนี้ครอบคลุมทั้งสองส่วน สิ่งที่ Nexo ดำเนินการอยู่เบื้องหลัง สิ่งที่ผู้ตรวจสอบอิสระตรวจสอบ และสิ่งที่คุณสามารถเปิดใช้งานด้วยตัวเองเพื่อทำให้บัญชีของคุณยากต่อการโจมตีมากขึ้นอย่างมีนัยสำคัญ
สิ่งที่ทำงานอยู่เบื้องหลัง
ฟีเจอร์เหล่านี้ทำงานโดยค่าเริ่มต้น ไม่ต้องตั้งค่าหรือเปิดใช้งานใดๆ — เปิดใช้งานสำหรับทุกบัญชีและทุกธุรกรรม
ระบบต่อต้านสแกม
การถอนเงินทุกรายการบน Nexo จะผ่านระบบต่อต้านสแกมอัตโนมัติที่วิเคราะห์ธุรกรรมแบบเรียลไทม์ก่อนที่เงินทุนจะออกจากแพลตฟอร์ม หากพบสิ่งผิดปกติ — ที่อยู่ที่เกี่ยวข้องกับกิจกรรมสแกมที่ทราบ รูปแบบธุรกรรมที่ผิดปกติ หรือปลายทางที่ไม่ตรงกับพฤติกรรมก่อนหน้า — คุณจะเห็นข้อความแจ้งเตือนที่อธิบายข้อกังวลอย่างตรงไปตรงมา ไม่มีศัพท์เทคนิค ไม่มีคำเตือนที่คลุมเครือ ในกรณีที่มีความเสี่ยงสูงซึ่งพบได้น้อย ธุรกรรมอาจถูกหยุดชั่วคราวเพื่อการตรวจสอบ
ระบบทำงานอยู่เบื้องหลังอย่างเงียบๆ ผู้ใช้ส่วนใหญ่จะไม่เคยพบกับมันเลย นั่นคือจุดประสงค์ของมัน
การเข้ารหัส
ข้อมูลที่อยู่ระหว่างการส่งและที่จัดเก็บบนแพลตฟอร์มได้รับการปกป้องด้วยการเข้ารหัส AES 256-bit SSL — มาตรฐานเดียวกับที่สถาบันการเงินและโครงสร้างพื้นฐานคลาวด์ขนาดใหญ่ทั่วโลกใช้
การตรวจสอบอิสระ
โครงสร้างพื้นฐานของ Nexo ได้รับการตรวจสอบอย่างอิสระตามกรอบความปลอดภัยที่ได้รับการยอมรับในระดับสากล โดยทั้งหมดได้รับการต่ออายุทุกปี:
- SOC 2 Type 2 — การควบคุมและกระบวนการด้านความปลอดภัยในการดำเนินงาน
- SOC 3 — สรุปผลการตรวจสอบ SOC 2 สำหรับสาธารณะ
- ISO 27001 — การจัดการความปลอดภัยของข้อมูล
- ISO 27017 — การควบคุมความปลอดภัยเฉพาะสำหรับคลาวด์
- ISO 27018 — การคุ้มครองข้อมูลส่วนบุคคลที่สามารถระบุตัวตนได้บนคลาวด์
- CSA STAR Level 1 — การรับประกันความปลอดภัยของคลาวด์
การตรวจสอบเหล่านี้ดำเนินการโดยบุคคลที่สามที่เป็นอิสระบนพื้นฐานที่เกิดขึ้นซ้ำ
สิ่งที่คุณสามารถเปิดใช้งานได้
ฝั่งแพลตฟอร์มครอบคลุมโครงสร้างพื้นฐานและธุรกรรม สิ่งที่ไม่สามารถครอบคลุมได้คือการเข้าถึงบัญชีของคุณ — ขึ้นอยู่กับวิธีที่คุณตั้งค่าไว้ ฟีเจอร์เหล่านี้พร้อมใช้งานสำหรับผู้ใช้ทุกคนและใช้เวลาเพียงไม่กี่นาทีในการกำหนดค่า
การยืนยันตัวตนแบบสองชั้น (2FA)
2FA เพิ่มขั้นตอนการยืนยันที่สองเมื่อเข้าสู่ระบบ บน Nexo การยืนยันเดียวกัน — SMS อีเมล หรือแอปยืนยันตัวตน — ยังจำเป็นสำหรับการดำเนินการที่สำคัญ: การถอน การแก้ไขสมุดที่อยู่ และการเปลี่ยนแปลงการตั้งค่าความปลอดภัย ดังนั้นแม้ว่าใครบางคนจะมีรหัสผ่านของคุณ พวกเขาก็ไม่สามารถโอนเงินทุนหรือเปลี่ยนการตั้งค่าของคุณได้หากไม่มีตัวระบุตัวตนที่สอง
แอปยืนยันตัวตน (เช่น Google Authenticator หรือ Authy) มีความปลอดภัยมากกว่า 2FA แบบ SMS SMS มีช่องโหว่ต่อการโจมตีแบบ SIM swap ซึ่งผู้โจมตีโน้มน้าวผู้ให้บริการมือถือของคุณให้โอนหมายเลขของคุณไปยัง SIM ที่พวกเขาควบคุม หากคุณใช้ SMS 2FA อยู่ การเปลี่ยนมาใช้แอปยืนยันตัวตนคุ้มค่ากับเวลาสองนาทีที่ใช้
วิธีเปิดใช้งาน: ไปที่การตั้งค่าความปลอดภัยของคุณและเลือกวิธี 2FA ที่คุณต้องการ
หมายเหตุสำคัญ: 2FA ช่วยลดความเสี่ยงของการเข้าถึงโดยไม่ได้รับอนุญาตอย่างมีนัยสำคัญ แต่ไม่ได้เป็นหลักประกันที่สมบูรณ์ เก็บรหัสกู้คืนของคุณไว้ในที่ปลอดภัย — การสูญเสียการเข้าถึงอุปกรณ์ 2FA โดยไม่มีแบ็กอัปอาจทำให้คุณถูกล็อกออกจากบัญชี
โค้ดป้องกันฟิชชิ่ง
ฟิชชิ่ง — อีเมลปลอมที่แอบอ้างว่ามาจาก Nexo — เป็นหนึ่งในช่องทางการโจมตีที่พบบ่อยที่สุดใน crypto โค้ดป้องกันฟิชชิ่งคือข้อความส่วนตัวที่คุณตั้งเองซึ่งจะปรากฏในส่วนท้ายของอีเมลทุกฉบับที่ถูกต้องที่ Nexo ส่งให้คุณ หากอีเมลที่อ้างว่ามาจาก Nexo ไม่มีโค้ดของคุณ แสดงว่าไม่ได้มาจาก Nexo
วิธีตั้งค่า: เปิด แอป Nexo → แตะโปรไฟล์ของคุณ → Security & Settings → โค้ดป้องกันฟิชชิ่ง → ป้อนโค้ดตามที่คุณต้องการ
เมื่อตั้งค่าแล้ว ให้ถือว่าอีเมล Nexo ใดๆ ที่ไม่มีโค้ดของคุณเป็นอีเมลที่น่าสงสัย — ไม่ว่าจะดูน่าเชื่อถือแค่ไหนก็ตาม
การทำไวท์ลิสต์ที่อยู่
หนึ่งในช่องทางการโจมตีที่เงียบกว่าใน crypto คือการสวอปที่อยู่ — มัลแวร์ที่แอบเปลี่ยนที่อยู่การถอนที่คัดลอกไว้เป็นที่อยู่ที่ผู้โจมตีควบคุม หากคุณไม่ยืนยันที่อยู่แบบเต็มทีละตัวอักษรก่อนยืนยัน คุณอาจไม่สังเกตเห็น
การไวท์ลิสต์ที่อยู่จะล็อกการถอนของคุณให้เฉพาะที่อยู่ที่บันทึกไว้ในสมุดที่อยู่ของคุณ (สูงสุด 500 รายการ) คุณยังสามารถตั้งค่าการหน่วงเวลา Extra Security สำหรับที่อยู่ที่เพิ่งเพิ่มใหม่ — ช่วงเวลาที่กำหนดได้ก่อนที่ที่อยู่ใหม่จะสามารถใช้สำหรับการถอนได้ ฟีเจอร์นี้ปิดช่องว่างของการสวอป: แม้ว่าผู้โจมตีจะเข้าถึงบัญชีของคุณได้ชั่วคราว พวกเขาก็ไม่สามารถถอนไปยังที่อยู่ใหม่ได้ทันที
วิธีเปิดใช้งาน: ไปที่การตั้งค่าความปลอดภัยของคุณและเปิด Address Whitelisting
เครื่องมือตัวตรวจสอบช่องทาง
ก่อนที่จะติดต่อกับที่อยู่อีเมล แฮนเดิลโซเชียลมีเดีย หรือ URL ใดๆ ที่อ้างว่าเป็น Nexo คุณสามารถยืนยันได้ที่ nexo.com/channel-validator หากไม่อยู่ในตัวตรวจสอบ นั่นไม่ใช่ช่องทางอย่างเป็นทางการของ Nexo
ฟีเจอร์นี้มีประโยชน์อย่างยิ่งสำหรับโซเชียลมีเดีย — บัญชี Nexo ปลอมบน X, Telegram และ Discord เป็นเรื่องที่พบได้บ่อย และมักแอบอ้างเป็นเจ้าหน้าที่ฝ่ายสนับสนุนหรือจัดแคมเปญโปรโมชันปลอม
สิ่งที่ Nexo จะไม่มีวันทำ
สิ่งสำคัญบางประการที่ควรรู้ เพราะการรู้จะช่วยให้ตรวจจับความพยายามของ social engineering ได้ง่ายขึ้น:
- Nexo จะไม่มีวันขอรหัสผ่านหรือโค้ด 2FA ของคุณ
- Nexo จะไม่มีวันขอให้คุณอนุมัติธุรกรรมผ่านแชท อีเมล หรือข้อความ
- Nexo จะไม่มีวันส่งลิงก์เข้าสู่ระบบให้คุณทาง SMS
หากใครก็ตามที่อ้างว่ามาจาก Nexo ทำสิ่งเหล่านั้น นั่นไม่ใช่ Nexo คุณสามารถรายงานกิจกรรมที่น่าสงสัยไปยังทีมฝ่ายดูแลลูกค้าได้ที่ support.nexo.com/contact
ความปลอดภัยของบัญชีของคุณมาจากที่ไหน
ไม่มีแพลตฟอร์มใดสามารถขจัดความเสี่ยงทั้งหมดได้ สิ่งที่มาตรการข้างต้นทำ — ทั้งโครงสร้างพื้นฐานฝั่งแพลตฟอร์มและฟีเจอร์ฝั่งผู้ใช้ — คือการลดพื้นที่การโจมตีและทำให้บัญชีของคุณยากต่อการโจมตีมากขึ้นอย่างมีนัยสำคัญ
โครงสร้างพื้นฐานจัดการสิ่งที่ผู้ใช้มองไม่เห็นหรือควบคุมไม่ได้ ฟีเจอร์ฝั่งผู้ใช้จัดการสิ่งที่แพลตฟอร์มไม่สามารถทำได้ — เพราะไม่มีระบบความปลอดภัยเบื้องหลังใดที่หยุดผู้โจมตีที่มีข้อมูลประจำตัวของคุณ หรือผู้ใช้ที่คลิกลิงก์ฟิชชิ่งได้
การตั้งค่า 2FA ผ่านแอปยืนยันตัวตน การเปิดใช้งานโค้ดป้องกันฟิชชิ่ง และการเปิดการไวท์ลิสต์ที่อยู่ใช้เวลาไม่ถึงสิบนาที นี่คือการดำเนินการด้านความปลอดภัยที่ให้ผลตอบแทนสูงสุดที่ผู้ใช้ส่วนใหญ่ยังไม่ได้ทำ
สำหรับภาพรวมที่ครอบคลุมมากขึ้นเกี่ยวกับภัยคุกคามทั่วไปและวิธีรับมือ ดูได้ที่ ภัยคุกคามด้านความปลอดภัยทั่วไปและวิธีรับมือ
คำถามที่พบบ่อย
1. ระบบต่อต้านสแกมคืออะไร และทำงานอย่างไร?
เป็นระบบอัตโนมัติที่วิเคราะห์การถอนทุกรายการแบบเรียลไทม์ก่อนที่เงินทุนจะออกจากแพลตฟอร์ม หากธุรกรรมดูน่าสงสัย — จากที่อยู่ปลายทาง รูปแบบธุรกรรม หรือสัญญาณอื่นๆ — คุณจะเห็นคำอธิบายที่เข้าใจง่าย ในกรณีที่มีความเสี่ยงสูงซึ่งพบได้น้อย ธุรกรรมอาจถูกหยุดชั่วคราว ทำงานโดยค่าเริ่มต้นโดยไม่ต้องกำหนดค่าใดๆ
2. ความแตกต่างระหว่าง SMS 2FA กับแอปยืนยันตัวตนคืออะไร?
ทั้งสองเพิ่มขั้นตอนการยืนยันที่สองเมื่อเข้าสู่ระบบ SMS 2FA มีช่องโหว่ต่อการโจมตีแบบ SIM swap ซึ่งผู้โจมตีโน้มน้าวผู้ให้บริการมือถือของคุณให้โอนหมายเลขของคุณไปยัง SIM ที่พวกเขาควบคุม แอปยืนยันตัวตนสร้างโค้ดในเครื่องบนอุปกรณ์ของคุณและไม่ผูกกับหมายเลขโทรศัพท์ของคุณ ทำให้ทนทานต่อการโจมตีประเภทนี้มากกว่า
3. ควรทำอย่างไรหากได้รับอีเมลที่น่าสงสัยที่อ้างว่ามาจาก Nexo?
ตรวจสอบว่ามีโค้ดป้องกันฟิชชิ่งของคุณในส่วนท้ายหรือไม่ — หากไม่มี แสดงว่าไม่ได้มาจาก Nexo คุณยังสามารถยืนยันที่อยู่อีเมล แฮนเดิลโซเชียล หรือ URL ได้ที่ nexo.com/channel-validator รายงานข้อความที่น่าสงสัยไปยังทีมฝ่ายดูแลลูกค้าของ Nexo ได้ที่ support.nexo.com/contact
4. เจ้าหน้าที่ Nexo สามารถเข้าถึงบัญชีของฉันได้โดยไม่ได้รับอนุญาตจากฉันหรือไม่?
Nexo จะไม่มีวันขอรหัสผ่านหรือโค้ด 2FA ของคุณ และจะไม่มีวันขอให้คุณอนุมัติธุรกรรมผ่านแชท อีเมล หรือข้อความ หากใครก็ตามที่อ้างว่าเป็นฝ่ายสนับสนุน Nexo ทำสิ่งเหล่านั้น นั่นไม่ใช่ Nexo
5. การไวท์ลิสต์ที่อยู่คืออะไร และควรเปิดใช้งานหรือไม่?
การไวท์ลิสต์ที่อยู่จำกัดการถอนให้เฉพาะที่อยู่ที่คุณอนุมัติล่วงหน้าในสมุดที่อยู่ของคุณ ยังให้คุณตั้งค่าการหน่วงเวลาก่อนที่ที่อยู่ที่เพิ่งเพิ่มใหม่จะสามารถใช้งานได้ ฟีเจอร์นี้ป้องกันมัลแวร์สวอปที่อยู่และจำกัดสิ่งที่ผู้โจมตีสามารถทำได้เมื่อเข้าถึงบัญชีชั่วคราว คุ้มค่าที่จะเปิดใช้งานหากคุณมีปลายทางการถอนประจำ
เนื้อหาเหล่านี้เข้าถึงได้ทั่วโลก และการที่ข้อมูลนี้พร้อมใช้งานไม่ถือเป็นการให้สิทธิ์เข้าถึงบริการที่อธิบายไว้ ซึ่งบริการดังกล่าวอาจไม่มีให้บริการในบางเขตอำนาจศาล เนื้อหาเหล่านี้มีวัตถุประสงค์เพื่อให้ข้อมูลทั่วไปเท่านั้น และไม่ได้มีไว้เป็นคำแนะนำทางการเงิน กฎหมาย ภาษี หรือการลงทุน ข้อเสนอ การชักชวน คำแนะนำ หรือการรับรองให้ใช้บริการ Nexo Services ใดๆ และไม่ได้เป็นข้อมูลเฉพาะบุคคล หรือปรับแต่งให้สะท้อนถึงวัตถุประสงค์การลงทุน สถานการณ์ทางการเงิน หรือความต้องการเฉพาะแต่อย่างใด สินทรัพย์ดิจิทัลมีความเสี่ยงในระดับสูง รวมถึงแต่ไม่จำกัดเพียงความผันผวนของราคาในตลาด การเปลี่ยนแปลงด้านกฎระเบียบ และความก้าวหน้าทางเทคโนโลยี ผลการดำเนินงานในอดีตของสินทรัพย์ดิจิทัลไม่ใช่ตัวบ่งชี้ที่เชื่อถือได้สำหรับผลลัพธ์ในอนาคต สินทรัพย์ดิจิทัลไม่ใช่เงินหรือเงินที่ชำระหนี้ได้ตามกฎหมาย ไม่ได้รับการค้ำประกันจากรัฐบาลหรือธนาคารกลาง และส่วนใหญ่ไม่มีสินทรัพย์อ้างอิง กระแสรายได้ หรือแหล่งที่มาของมูลค่าอื่นใด ควรใช้วิจารณญาณอย่างอิสระตามสถานการณ์ส่วนบุคคล และแนะนำให้ปรึกษาผู้เชี่ยวชาญที่มีคุณสมบัติเหมาะสมก่อนตัดสินใจใด ๆ
มาตรการความปลอดภัยที่อธิบายในบทความนี้สะท้อนถึงโครงสร้างพื้นฐานและฟีเจอร์ของ Nexo ณ วันที่เผยแพร่ ความปลอดภัยเป็นสาขาที่มีการพัฒนาอยู่เสมอ และไม่มีระบบใดขจัดความเสี่ยงทั้งหมดได้ ขอแนะนำให้ผู้ใช้ติดตามข้อมูลอยู่เสมอและมีบทบาทในการปกป้องบัญชีของตนอย่างจริงจัง
