Cách thức hoạt động của bảo mật Nexo và cách tăng cường bảo mật cho tài khoản của bạn

Bảo mật trong lĩnh vực tiền mã hóa là trách nhiệm chung. Các nền tảng áp dụng nhiều biện pháp — kiểm soát cơ sở hạ tầng, phát hiện gian lận, mã hóa — nhưng phần lớn rủi ro tài khoản có thể đến từ phía người dùng: mật khẩu yếu, liên kết chưa được xác minh, địa chỉ bị hoán đổi mà không ai để ý.

Bài viết này đề cập đến cả hai nửa. Những gì Nexo chạy ngầm, những gì các kiểm toán viên độc lập xác minh và những gì bạn có thể tự bật để tài khoản của mình khó bị xâm phạm hơn một cách đáng kể.

Những gì chạy ngầm

Các tính năng này hoạt động theo mặc định. Không cần phải cài đặt hay bật gì cả — chúng được bật cho mọi tài khoản, mọi giao dịch.

Công cụ chống lừa đảo

Mọi giao dịch rút trên Nexo đều đi qua một công cụ chống lừa đảo tự động, phân tích các giao dịch trong thời gian thực trước khi tiền rời khỏi nền tảng. Nếu có điều gì đó bất thường — một địa chỉ liên quan đến hoạt động lừa đảo đã biết, một kiểu giao dịch bất thường, một điểm đến không khớp với hành vi trước đó — bạn sẽ thấy một lời nhắc bằng ngôn ngữ đơn giản giải thích mối lo ngại. Không có thuật ngữ chuyên môn, không có cảnh báo mơ hồ. Trong những trường hợp hiếm hoi có rủi ro cao, một giao dịch có thể bị tạm dừng trong thời gian ngắn để xem xét.

Công cụ này chạy âm thầm trong nền. Hầu hết người dùng sẽ không bao giờ gặp phải nó. Đó là điểm mấu chốt.

Mã hóa

Dữ liệu đang chuyển và đang lưu trữ trên toàn nền tảng được bảo vệ bằng mã hóa AES 256-bit SSL — tiêu chuẩn tương tự được các tổ chức tài chính và cơ sở hạ tầng đám mây quy mô lớn trên toàn cầu sử dụng.

Kiểm toán độc lập

Cơ sở hạ tầng của Nexo được kiểm toán độc lập theo một loạt các khuôn khổ bảo mật được quốc tế công nhận, tất cả đều được gia hạn hàng năm:

• SOC 2 Loại 2 — các quy trình và kiểm soát bảo mật hoạt động
• SOC 3 — bản tóm tắt công khai của cuộc kiểm toán SOC 2
• ISO 27001 — quản lý bảo mật thông tin
• ISO 27017 — kiểm soát bảo mật dành riêng cho đám mây
• ISO 27018 — bảo vệ thông tin nhận dạng cá nhân trên đám mây
• CSA STAR Cấp 1 — đảm bảo bảo mật đám mây

Các cuộc kiểm toán này được thực hiện bởi các bên thứ ba độc lập trên cơ sở định kỳ.

Những gì bạn có thể bật

Về phía nền tảng, chúng tôi chịu trách nhiệm về cơ sở hạ tầng và các giao dịch. Những gì chúng tôi không thể bao quát là quyền truy cập tài khoản của bạn — điều đó phụ thuộc vào cách bạn đã thiết lập. Các tính năng này có sẵn cho mọi người dùng và chỉ mất vài phút để cấu hình.

Xác thực hai yếu tố (2FA)

2FA thêm một bước xác minh thứ hai khi đăng nhập. Trên Nexo, cùng một phương thức xác minh — SMS, email, hoặc ứng dụng xác thực — cũng được yêu cầu cho các hành động nhạy cảm: rút tiền, chỉnh sửa Sổ Địa chỉ và thay đổi cài đặt bảo mật. Vì vậy, ngay cả khi ai đó có mật khẩu của bạn, họ cũng không thể chuyển tiền hoặc thay đổi thiết lập của bạn nếu không có yếu tố thứ hai.

Các ứng dụng xác thực (như Google Authenticator hoặc Authy) mạnh hơn 2FA dựa trên SMS. SMS dễ bị tấn công hoán đổi SIM, trong đó kẻ tấn công thuyết phục nhà cung cấp dịch vụ di động của bạn chuyển số của bạn sang một SIM mà chúng kiểm soát. Nếu bạn đang sử dụng 2FA qua SMS, việc chuyển sang ứng dụng xác thực là rất đáng giá với hai phút bạn bỏ ra.

Để bật: đi tới Cài đặt bảo mật của bạn và chọn phương thức 2FA ưa thích của bạn.

Lưu ý quan trọng: 2FA làm giảm đáng kể nguy cơ truy cập trái phép, nhưng nó không phải là một sự đảm bảo hoàn toàn. Hãy giữ mã khôi phục của bạn ở một nơi an toàn — mất quyền truy cập vào thiết bị 2FA của bạn mà không có bản sao lưu có thể khiến bạn bị khóa tài khoản.

Mã chống lừa đảo

Tấn công lừa đảo — các email giả mạo có vẻ là từ Nexo — là một trong những hình thức tấn công phổ biến nhất trong lĩnh vực tiền mã hóa. Mã chống lừa đảo là một chuỗi ký tự cá nhân do chính bạn đặt, xuất hiện ở chân trang của mọi email hợp pháp mà Nexo gửi cho bạn. Nếu một email tự nhận là của Nexo không có mã của bạn, thì đó không phải là email từ Nexo.

Để cài đặt: mở ứng dụng Nexo → chạm vào hồ sơ của bạn → Bảo mật & Cài đặt → Mã chống lừa đảo → nhập mã bạn chọn.

Sau khi cài đặt, hãy coi bất kỳ email nào của Nexo không có mã của bạn là đáng ngờ — bất kể nó trông thuyết phục đến mức nào.

Lập danh sách trắng cho địa chỉ

Một trong những hình thức tấn công thầm lặng hơn trong lĩnh vực tiền mã hóa là hoán đổi địa chỉ — phần mềm độc hại âm thầm thay thế địa chỉ rút đã sao chép bằng một địa chỉ do kẻ tấn công kiểm soát. Nếu bạn không xác minh toàn bộ địa chỉ từng ký tự trước khi xác nhận, bạn có thể không nhận thấy.

Việc đưa vào Whitelist địa chỉ sẽ khóa các giao dịch rút của bạn vào các địa chỉ đã lưu trong Sổ Địa chỉ của bạn (lên đến 500). Bạn cũng có thể đặt độ trễ Bảo mật bổ sung cho các địa chỉ mới được thêm vào — một khoảng thời gian có thể cấu hình trước khi một địa chỉ mới có thể sử dụng để rút tiền. Điều này sẽ đóng cửa sổ cơ hội hoán đổi: ngay cả khi kẻ tấn công có được quyền truy cập tạm thời vào tài khoản của bạn, chúng cũng không thể rút ngay lập tức đến một địa chỉ mới.

Để bật: đi tới Cài đặt bảo mật và bật Đưa địa chỉ vào Whitelist.

Công cụ xác minh kênh

Trước khi tương tác với bất kỳ địa chỉ email, tài khoản mạng xã hội hoặc URL nào tự nhận là của Nexo, bạn có thể xác minh nó tại nexo.com/channel-validator. Nếu nó không có trong công cụ xác minh, đó không phải là kênh chính thức của Nexo.

Điều này đặc biệt hữu ích đối với mạng xã hội — các tài khoản Nexo giả mạo trên X, Telegram và Discord rất phổ biến và chúng thường mạo danh nhân viên hỗ trợ hoặc chạy các chiến dịch quảng cáo giả mạo.

Những điều Nexo sẽ không bao giờ làm

Một vài điều đáng biết, vì biết chúng sẽ giúp bạn dễ dàng phát hiện các nỗ lực tấn công tâm lý hơn:

• Nexo sẽ không bao giờ yêu cầu mật khẩu hoặc mã 2FA của bạn
• Nexo sẽ không bao giờ yêu cầu bạn ủy quyền giao dịch qua trò chuyện, email hoặc tin nhắn văn bản
• Nexo sẽ không bao giờ gửi cho bạn một liên kết đăng nhập qua SMS

Nếu bất kỳ ai tự nhận là từ Nexo làm bất kỳ điều nào trong số đó, thì đó không phải là Nexo. Bạn có thể báo cáo hoạt động đáng ngờ cho đội ngũ Chăm sóc khách hàng tại support.nexo.com/contact.

Bảo mật tài khoản của bạn thực sự đến từ đâu

Không có nền tảng nào có thể loại bỏ mọi rủi ro. Những gì các biện pháp trên làm — cả cơ sở hạ tầng phía nền tảng và các tính năng phía người dùng — là giảm bề mặt tấn công và làm cho tài khoản của bạn khó bị xâm phạm hơn đáng kể.

Cơ sở hạ tầng xử lý những gì người dùng không thể thấy hoặc kiểm soát. Các tính năng phía người dùng xử lý những gì nền tảng không thể — bởi vì không có mức độ bảo mật phụ trợ nào có thể ngăn chặn một kẻ tấn công có thông tin đăng nhập của bạn, hoặc một người dùng nhấp vào một liên kết lừa đảo.

Việc thiết lập 2FA qua ứng dụng xác thực, bật mã chống lừa đảo và bật đưa địa chỉ vào whitelist chỉ mất chưa đến mười phút. Đây là hành động bảo mật mang lại hiệu quả cao nhất mà hầu hết người dùng chưa thực hiện.

Để có cái nhìn tổng quan đầy đủ hơn về các mối đe dọa phổ biến và cách phòng chống chúng, hãy xem Các mối đe dọa bảo mật phổ biến và cách giảm thiểu chúng.

Câu hỏi thường gặp

1. Công cụ chống lừa đảo là gì và nó hoạt động như thế nào? 

Đó là một hệ thống tự động phân tích mọi giao dịch rút trong thời gian thực trước khi tiền rời khỏi nền tảng. Nếu một giao dịch trông đáng ngờ — dựa trên địa chỉ đến, kiểu giao dịch hoặc các tín hiệu khác — bạn sẽ thấy một lời giải thích bằng ngôn ngữ đơn giản. Trong những trường hợp hiếm hoi có rủi ro cao, giao dịch có thể bị tạm dừng trong giây lát. Nó chạy theo mặc định mà không cần cấu hình gì.

2. Sự khác biệt giữa SMS 2FA và ứng dụng xác thực là gì? 

Cả hai đều thêm một bước xác minh thứ hai khi đăng nhập. SMS 2FA dễ bị tấn công hoán đổi SIM, trong đó kẻ tấn công thuyết phục nhà cung cấp dịch vụ di động của bạn gán lại số của bạn cho một SIM mà chúng kiểm soát. Các ứng dụng xác thực tạo mã cục bộ trên thiết bị của bạn và không gắn với số điện thoại của bạn, giúp chúng chống lại loại tấn công này tốt hơn.

3. Tôi nên làm gì nếu nhận được một email đáng ngờ tự nhận là của Nexo? 

Kiểm tra xem nó có mã chống lừa đảo của bạn ở chân trang không — nếu không, nó không đến từ Nexo. Bạn cũng có thể xác minh bất kỳ địa chỉ email, tài khoản mạng xã hội hoặc URL nào tại nexo.com/channel-validator. Báo cáo các tin nhắn đáng ngờ cho đội ngũ Chăm sóc khách hàng của Nexo tại support.nexo.com/contact.

4. Nhân viên Nexo có thể truy cập tài khoản của tôi mà không có sự cho phép của tôi không? 

Nexo sẽ không bao giờ yêu cầu mật khẩu hoặc mã 2FA của bạn và sẽ không bao giờ yêu cầu bạn ủy quyền giao dịch qua trò chuyện, email hoặc tin nhắn văn bản. Nếu bất kỳ ai tự nhận là bộ phận hỗ trợ của Nexo làm bất kỳ điều nào trong số đó, thì đó không phải là Nexo.

5. Đưa địa chỉ vào Whitelist là gì và tôi có nên bật nó không? 

Việc đưa địa chỉ vào Whitelist hạn chế việc rút tiền đến các địa chỉ bạn đã phê duyệt trước trong Sổ Địa chỉ của mình. Nó cũng cho phép bạn đặt độ trễ trước khi các địa chỉ mới được thêm vào có thể sử dụng được. Điều này bảo vệ chống lại phần mềm độc hại hoán đổi địa chỉ và hạn chế những gì kẻ tấn công có thể làm với quyền truy cập tài khoản tạm thời. Bạn nên bật tính năng này nếu bạn có các điểm đến rút tiền thường xuyên.

Những tư liệu này có thể truy cập toàn cầu, nhưng tính khả dụng của thông tin không đồng nghĩa dịch vụ được mô tả cũng khả dụng mọi nơi, vì vài khu vực pháp lý nhất định không cho phép cung cấp. Những tư liệu này chỉ nhằm mục đích cung cấp thông tin nói chung, không phải lời tư vấn tài chính, pháp lý, thuế hay đầu tư; cũng không đề nghị, chào mời, khuyến khích hoặc tán thành việc sử dụng bất kỳ Dịch vụ Nexo nào, cũng như không được cá nhân hóa hay điều chỉnh theo mục tiêu đầu tư, tình hình tài chính hoặc nhu cầu cụ thể. Tài sản kỹ thuật số tiềm ẩn rủi ro cao, bao gồm nhưng không giới hạn ở biến động giá thị trường, thay đổi luật định và các tiến bộ công nghệ. Hiệu suất tài sản số trong quá khứ không phải chỉ báo đáng tin cậy cho kết quả tương lai. Tài sản kỹ thuật số không phải tiền hay tiền pháp định, không được chính phủ hoặc ngân hàng trung ương bảo đảm, phần lớn không có tài sản cơ sở, dòng doanh thu hay nguồn giá trị nào khác. Cần sử dụng phán đoán độc lập, dựa trên hoàn cảnh cá nhân, nên tham khảo ý kiến chuyên gia có trình độ trước khi đưa ra bất kỳ quyết định nào.

Các biện pháp bảo mật được mô tả trong bài viết này phản ánh cơ sở hạ tầng và các tính năng của Nexo tại thời điểm xuất bản. Bảo mật là một lĩnh vực không ngừng phát triển và không có hệ thống nào loại bỏ được mọi rủi ro. Người dùng được khuyến khích cập nhật thông tin và đóng vai trò tích cực trong việc bảo vệ tài khoản của mình.