Jak ochronić się przed oszustami na Steem?
Jak pewnie pamiętacie, parę osób (w tym z polskiej społeczności) trafiło na atak typu phishing i potracili pieniądze. Odpowiednia edukacja i zabezpieczenia po stronie Steemit mogłyby temu zapobiec, ale nikomu nie spieszy się z wprowadzeniem tego.
Oczywiście tego typu atak po zadziałaniu, tzn. wprowadzeniu loginu i master key jest już nieodwołalny, hasło zostaje zmienione, a pieniądze w parę sekund wysłane. Więc lepiej zapobiegać niż leczyć. Ale są pewnego rodzaju "możliwości", które by uniemożliwiły wypłatę pieniędzy i ostatecznie odzyskanie konta zanim złodziej by ukradł. O tym porozmawiamy - o bezpiecznym używaniu i autoryzowaniu konta Steem.
HODL SBD czy HODL SP?
Bardzo wiele osób trzyma Steem Dollary na portfelu. Nie wiem czy jest sens, gdyż Steem Dollars w założeniu powinny być warte 1 dolara amerykańskiego. I tu pytanie czy działa tutaj wiara, że będzie warty np. 14 dolarów i zarobimy dużo czy nie. Jeśli taka wiara jest to:
Savings
Jest to specjalne miejsce w portfelu, które umożliwia przechowywanie pieniędzy. Ogólnie idea jest taka, że wkładacie tam pieniądze, a wypłacić możecie w ciągu 3 dni. Oczywiście problemem jest wypłacanie tego 3 dni, ale jak haker wejdzie Wam na konto - też ich nie wypłaci, a my możemy zdążyć zmienić hasło.
Jeśli jednak trzymamy pieniądze (czy tokeny) dlatego, że nie wiemy co z tym zrobić na razie (lub chcemy zebrać dużą sumkę) możemy przeznaczyć to na Steem Power i wzmocnić swoje konto. Na lokalnym markecie sprzedajemy Steem Dollary na Steem i robimy Power Up.
Posting Key
Rejestrując się na Steem dostajemy jedno hasło główne. Mając je możemy zrobić wszystko. Jednakże nie jest to zalecana metoda autoryzacyjna. Hasło najlepiej napisać w wielu egzemplarzach, a używać należy Posting Key.
Posting Key to specjalny rodzaj hasła umożliwiający tworzenie treści i upvotowanie / flagowanie wpisów (nie można wykonywać żadnych operacji pieniężnych). Więc gdyby Posting Key wyciekł, nikt by nie stracił pieniędzy (co najwyżej stałby się spamerem).
Aby uzyskać ten klucz należy zalogować się głównym kluczem na Steem, wejść w zakładkę Wallet -> Permissions.
Naciskamy na przycisk Show Private key i pierwszy kod się zmieni. I tym kodem możemy się autoryzować.
Intinte SteemDragon
To był (i może jest) koncepcyjny projekt stworzenia przeglądarki internetowej (bazującej na Firefox lub Chromium), która będzie służyć tylko do przeglądania treści Steemowych.
Oznacza to, że jeśli ktoś miałby odpowiednio skonfigurowaną przeglądarkę (lub nasz projekt o ile by powstał) to nie dałby się nabrać na atak, gdyż przeglądarka odrzuca wszystkie strony, które nie są Steemowe (a dokładniej nie są w bazie).
Jeśli ktoś chce na wszelki wypadek wgrać sobie, to polecam instalację nowej przeglądarki (która będzie tylko do Steem). Przeglądarka ta musi mieć możliwość instalacji dodatku uBlock (być może zwykły Adblock zadziała również).
Do uBlock należy wgrać mój zestaw filtrów:
https://raw.githubusercontent.com/fervi/SteemDragon-Filters/master/filters.txt
Ten zestaw jest bardzo mały, ale w teorii umożliwia tworzenie wpisów na Steemit, oglądania zdjęć w postach i filmów z Youtube. I niewiele więcej, więc jak nawet dostaniecie od kolegi link do Google, uBlock go odrzuci. Macie (niemalże?) 100% pewność, że taki phishing nie zadziała (chyba, że zezwolimy danej stronie działać).
Na zdjęciu macie legalną stronę działającą na Steem, ale nie dodaną do reguł - została odrzucona tak jak praktycznie każda inna strona internetowa. Może znajdzie się więcej osób i będziemy razem rozwijać projekt - zobaczymy.
Wiki
Już dawno temu miała postać Wiki, która by miała wszystko zapisane. Widziałem działający prototyp i ta osoba (tworząca Wiki) znikła?
Na razie zrobię ubogą - może nawet upośledzoną wersję Wiki, w której będziemy zbierać tego typu poradniki. Najwyżej potem przeniesie się na coś profesjonalnego (Dokuwiki?).
https://docs.google.com/document/d/1b1_MbevXu_o53exwlv3mV3HhZMVwuIDqXYyltyJM_Dc
Będę pomału (mam nadzieję, że ktoś pomoże, bo z czasem krucho) dodawać linki, które potem bot Grzegorza będzie rozsyłał początkującym.
Tragedia
Należy pamiętać, że złodzieje chętnie wykorzystają nasze słabości. Jak w życiu - musimy wystrzegać się wielu zagrożeń. Mam nadzieję, że teraz sieć Steem będzie miejscem bezpieczniejszym dla ludzi.
Wiem, że złodziei powinno wieszać się za ikrę, ale niestety - nikt tego nie robi :(
Popełniłeś ten sam błąd co ja całkiem niedawno.
Zasłoniłeś klucze, ale pozostawiłeś kody QR odsłonięte!
W ten sposób można utracić konto jeszcze szybciej, po prostu skanując obrazek niż przepisując ciąg znaków. Na szczęście na Twoich przykładach przedstawione są klucze publiczne.
Przestroga dla reszty Steemian ;)
Ok, te miniaturki są prawdopodobnie puste (przykładowe). Zwraca z nich tylko "http://"
Ufff :D Na szczęście mys czuwa by sprawdzać co jest priv keyem, a co nie XD
Ciekawy artykuł, ale jestem w aucie. Chcę do przeczytać później. Czy jest w Steemie jakaś metoda przerzucenia tego do "przeczytaj później" lub czegoś podobnego, co przełączy mnie za jakiś czas? Przypomni?
Mam też jeszcze jedno pytanie. Czy różnego rodzaju aplikacje wspomagające są bezpieczne? Np eSteem na Androida?
Busy posiada taką funkcjonalność, o której piszesz. Steemit niestety nie. Zawsze możesz dany artykuł ze Steemit wrzucić do Pocketa lub do Czytelni w przeglądarce (np. Safari ma taką czytelnię).
Jeśli o aplikacje idzie, to najbezpieczniejsze są te korzystające ze SteemConnect – jest to sprawdzony i bezpieczny sposób. Tak naprawdę żadna aplikacja czy serwis nie jest w 100% bezpieczny, bo oznacza, że przekazujemy nasze klucze trzeciej stronie. Dlatego ważne, by ta trzecia strona była zaufana ;) SteemConnect to właśnie zaufany sposób na przekazanie swoich kluczy i można go podpiąć do dowolnej aplikacji czy serwisu internetowego. Niestety, nie wszyscy twórcy z tego korzystają (przynajmniej na razie).
Dziękuję, czyli co powinienem teraz zrobić. Bo rozumiem, że na moim Androidzie - oprócz odinstalowania eSteem i poszukania czegoś co korzysta ze SteemConnect?
Można na komórce korzystać ze steemit.com w przeglądarce. Ja tak robię i daje radę (oczywiście autoryzuje się kluczem prywatnym posting).
I na litość boską nie używaj komórki za kierownicą bo jak będę stał obok to poczęstuję soczystą wiązanką!
Wiesz co, rozumiem powody tej uwagi, ale ja tam w zasadzie stoję na parkingu przy lokalnej małej myjni i nie mam nikogo przed sobą :) W czasie jazdy staram się mieć zawsze zestaw głośnomówiący :-)
A to całe szczęście - wiązanki nie będzie ;-P.
Nie wiem, czy jest potrzeba usuwać aplikację. Jest chyba całkiem popularna i nie było z nią problemów. Poszukaj w Internecie jakichś opinii i informacji na jej temat. Ja sam osobiście z niej nie korzystam, wystarczają mi Steemit i Busy w przeglądarce mobilnej.
Ogólnie loguj się używając posting key (w tekście o tym masz). Nic nie jest bezpieczne nawet steemit ;) Po prostu z czegoś trzeba korzystać, a za Steemit stoi grupa programistów. W sensie nie mówię o ataku, a czymś w rodzaju - zrobiliśmy błąd jakiś
Fervi jak zawsze wiarygodne info. Upvote
Świetny poradnik. Dobre sposoby na ochronienie swojego konta. W przypadku, gdy wszystko mamy w SP, to haker sobie tak łatwo nie wypłaci.
@fervi wartościowy artykuł up100% leci :)
Dobra porada.
Fervi dzieki , odpowiedziales mi na kilka bardzo waznych , nurtujacych mnie ostatnio pytan. thumbs up.
Dobre rady zawsze mile widziane. Wszystko się przyda, wszelka informacja. Pozdrawiam.