Як працює безпека Nexo і як зміцнити свій акаунт

Безпека в crypto — спільна відповідальність. Платформи вживають заходів — контроль інфраструктури, виявлення шахрайства, шифрування — але значна частина ризиків для акаунту може виходити з боку користувача: слабкі паролі, неперевірені посилання, адреси, які підмінюються непомітно.

Ця стаття охоплює обидві частини. Що Nexo запускає у фоновому режимі, що перевіряють незалежні аудитори та що ви можете увімкнути самостійно, щоб суттєво ускладнити злом акаунту.

Що працює у фоновому режимі

Вони працюють за замовчуванням. Нічого налаштовувати або вмикати не потрібно — вони активні для кожного акаунту та кожної транзакції.

Антишахрайський рушій

Кожне виведення на Nexo проходить через автоматизований антишахрайський рушій, який аналізує транзакції в режимі реального часу, перш ніж кошти залишають платформу. Якщо щось виглядає підозріло — адреса, пов'язана з відомою шахрайською активністю, незвичний патерн транзакції, призначення, яке не відповідає попередній поведінці — ви побачите зрозуміле повідомлення із поясненням причини. Жодного жаргону, жодних розмитих попереджень. У рідкісних випадках підвищеного ризику транзакцію може бути тимчасово призупинено для перевірки.

Рушій працює тихо у фоновому режимі. Більшість користувачів ніколи з ним не зіткнеться. Так і задумано.

Шифрування

Дані в процесі передачі та зберігання на платформі захищені SSL-шифруванням AES 256-біт — тим самим стандартом, який використовують фінансові установи та великомасштабна хмарна інфраструктура по всьому світу.

Незалежні аудити

Інфраструктура Nexo незалежно аудіюється відповідно до низки міжнародно визнаних стандартів безпеки, які оновлюються щорічно:

• SOC 2 Type 2 — операційні засоби контролю безпеки та процеси
• SOC 3 — публічне зведення аудиту SOC 2
• ISO 27001 — управління інформаційною безпекою
• ISO 27017 — засоби контролю безпеки для хмарних середовищ
• ISO 27018 — захист персональних даних у хмарі
• CSA STAR Level 1 — забезпечення безпеки в хмарі

Вони проводяться незалежними третіми сторонами на регулярній основі.

Що ви можете увімкнути

Платформа відповідає за інфраструктуру та транзакції. Що вона не може охопити — це доступ до вашого акаунту, а він залежить від того, як ви все налаштували. Ці функції доступні кожному користувачу та налаштовуються за лічені хвилини.

Двофакторна автентифікація (2FA)

2FA додає другий крок верифікації під час входу. На Nexo та сама верифікація — через SMS, електронну пошту або застосунок-автентифікатор — також потрібна для чутливих дій: виведення коштів, редагування адресної книги та зміни налаштувань безпеки. Тож навіть якщо хтось дізнається ваш пароль, він не зможе перемістити кошти чи змінити налаштування без другого фактора.

Застосунки-автентифікатори (наприклад, Google Authenticator або Authy) надійніші за 2FA на основі SMS. SMS вразливе до атак із підміною SIM-карти, коли зловмисник переконує вашого мобільного оператора перенести ваш номер на SIM-карту, яку контролює він. Якщо ви використовуєте SMS 2FA, перехід на застосунок-автентифікатор вартий двох хвилин, яких він потребує.

Щоб увімкнути: перейдіть до налаштувань безпеки та оберіть бажаний метод 2FA.

Важлива примітка: 2FA значно знижує ризик несанкціонованого доступу, але не є абсолютною гарантією. Зберігайте коди відновлення у надійному місці — втрата доступу до пристрою 2FA без резервної копії може заблокувати вас у вашому акаунті.

Антифішинговий код

Фішинг — фальшиві електронні листи, які нібито надходять від Nexo — є одним із найпоширеніших векторів атак у crypto. Антифішинговий код — це особистий рядок, який ви встановлюєте самостійно та який з'являється у підвалі кожного справжнього листа від Nexo. Якщо лист, що нібито надійшов від Nexo, не містить вашого коду — він не від Nexo.

Щоб встановити: відкрийте застосунок Nexo → торкніться свого профілю → Security & Settings → Anti-phishing code → введіть код на свій вибір.

Після встановлення вважайте будь-який лист від Nexo без вашого коду підозрілим — незалежно від того, наскільки переконливо він виглядає.

Білий список адрес

Один із непомітних векторів атак у crypto — підміна адреси: шкідливе програмне забезпечення, яке тихо замінює скопійовану адресу виведення на адресу, підконтрольну зловмиснику. Якщо ви не перевіряєте повну адресу символ за символом перед підтвердженням, можна цього не помітити.

Додавання адрес до білого списку обмежує виведення лише адресами, збереженими в адресній книзі (до 500). Також можна встановити затримку Extra Security для нових адрес — налаштовуваний проміжок часу, протягом якого нова адреса стає доступною для виведення. Це закриває вікно для підміни: навіть якщо зловмисник отримає тимчасовий доступ до вашого акаунту, він не зможе одразу вивести кошти на нову адресу.

Щоб увімкнути: перейдіть до налаштувань безпеки та ввімкніть Address Whitelisting.

Валідатор каналів

Перш ніж взаємодіяти з будь-якою електронною адресою, акаунтом у соціальних мережах або URL-адресою, яка нібито належить Nexo, ви можете перевірити їх на nexo.com/channel-validator. Якщо цього немає у валідаторі — це не офіційний канал Nexo.

Це особливо корисно для соціальних мереж — фальшиві акаунти Nexo у X, Telegram та Discord поширені: вони зазвичай видають себе за службу підтримки або організовують фіктивні акції.

Чого Nexo ніколи не робитиме

Кілька речей, які варто знати, — це допоможе легше розпізнати спроби соціальної інженерії:

• Nexo ніколи не запитуватиме ваш пароль або код 2FA
• Nexo ніколи не проситиме вас авторизувати транзакцію через чат, електронну пошту або SMS
• Nexo ніколи не надсилатиме вам посилання для входу через SMS

Якщо хтось, хто стверджує, що представляє Nexo, робить будь-що з перерахованого — це не Nexo. Ви можете повідомити про підозрілу активність команді підтримки клієнтів на support.nexo.com/contact.

Звідки насправді береться безпека акаунту

Жодна платформа не може усунути всі ризики. Те, що роблять перелічені заходи — як з боку інфраструктури платформи, так і з боку користувача — це скорочення поверхні атаки та суттєве ускладнення злому акаунту.

Інфраструктура відповідає за те, чого користувачі не бачать і не контролюють. Функції на стороні користувача відповідають за те, чого не може платформа, — адже жоден рівень безпеки бекенду не зупинить зловмисника, який отримав ваші облікові дані, або користувача, який перейшов за фішинговим посиланням.

Налаштування 2FA через застосунок-автентифікатор, увімкнення антифішингового коду та активація додавання адрес до білого списку займають менше десяти хвилин. Це найефективніша дія для захисту, яку більшість користувачів ще не зробила.

Для детальнішого огляду поширених загроз і способів захисту від них дивіться Поширені загрози безпеці та способи їх усунення.

Поширені запитання

1. Що таке антишахрайський рушій і як він працює? 

Це автоматизована система, яка аналізує кожне виведення в режимі реального часу, перш ніж кошти залишають платформу. Якщо транзакція виглядає підозріло — за адресою призначення, патерном транзакції або іншими сигналами — ви побачите зрозуміле пояснення. У рідкісних випадках підвищеного ризику транзакцію може бути тимчасово призупинено. Він працює за замовчуванням — нічого налаштовувати не потрібно.

2. У чому різниця між SMS 2FA та застосунком-автентифікатором? 

Обидва додають другий крок верифікації під час входу. SMS 2FA вразливе до атак із підміною SIM-карти, коли зловмисник переконує вашого мобільного оператора переприсвоїти ваш номер SIM-карті, яку контролює він. Застосунки-автентифікатори генерують коди локально на вашому пристрої та не прив'язані до номера телефону, що робить їх стійкішими до такого типу атак.

3. Що робити, якщо я отримав підозрілий лист, нібито від Nexo? 

Перевірте, чи містить він ваш антифішинговий код у підвалі — якщо ні, він не від Nexo. Також можна перевірити будь-яку електронну адресу, акаунт у соціальних мережах або URL-адресу на nexo.com/channel-validator. Повідомляйте про підозрілі повідомлення команді підтримки клієнтів Nexo на support.nexo.com/contact.

4. Чи можуть співробітники Nexo отримати доступ до мого акаунту без мого дозволу? 

Nexo ніколи не запитуватиме ваш пароль або код 2FA та ніколи не проситиме вас авторизувати транзакції через чат, електронну пошту або SMS. Якщо хтось, хто стверджує, що є підтримкою Nexo, робить будь-що з перерахованого — це не Nexo.

5. Що таке додавання адрес до білого списку і чи варто його увімкнути? 

Додавання адрес до білого списку обмежує виведення коштів лише адресами, заздалегідь схваленими в адресній книзі. Це також дозволяє встановити затримку перед тим, як нові адреси стануть доступними для використання. Це захищає від шкідливого програмного забезпечення, що підміняє адреси, та обмежує дії зловмисника за умови тимчасового доступу до акаунту. Варто увімкнути, якщо у вас є постійні адреси для виведення.

Ці матеріали доступні по всьому світу, і наявність цієї інформації не означає доступу до описаних послуг, які можуть бути недоступні в окремих юрисдикціях. Ці матеріали призначені виключно для загальних інформаційних цілей і не є фінансовою, юридичною, податковою або інвестиційною порадою, пропозицією, solicitation, рекомендацією чи схваленням використання будь-яких послуг Nexo, а також не є персоналізованими або будь-яким чином адаптованими до конкретних інвестиційних цілей, фінансового становища чи потреб. Цифрові активи пов'язані з високим ступенем ризику, включно з волатильною динамікою ринкових цін, регуляторними змінами та технологічними досягненнями, але не обмежуючись ними. Минулі результати цифрових активів не є надійним індикатором майбутніх результатів. Цифрові активи не є грошима або законним платіжним засобом, не підкріплені урядом чи центральним банком, і більшість із них не мають базових активів, потоків доходу чи іншого джерела вартості. Рекомендується приймати самостійні рішення на основі особистих обставин і консультуватися з кваліфікованим фахівцем перед ухваленням будь-якого рішення.

Заходи безпеки, описані в цій статті, відображають інфраструктуру та функції Nexo станом на дату публікації. Безпека — це сфера, що постійно розвивається, і жодна система не усуває всі ризики. Користувачів заохочують бути в курсі подій і активно брати участь у захисті своїх акаунтів.