Näin suojaat kryptolompakkosi: palautuslause kuntoon
Tiivistelma
Laitelompakko ei koskaan kysy palautuslausetta tietokoneella. Tämä opas kertoo, miten säilytät 12–24 sanaa turvassa, mistä tunnistat kalastelun ja mitä teet, jos sanat ovat jo vuotaneet.
Ennen kalastelu asui väärennetyllä sivulla, jonne sinut houkuteltiin linkillä.
Nyt palautuslausekenttä voi ilmestyä aidonkin näköisen sovelluksen sisään, heti kun kytket laitteesi.
Juuri tästä kytkee OkoBot-haittaohjelmasta kertova havainto: valekehotus tulee paikasta, johon opit luottamaan.
Sääntö on silti yksi ja yksinkertainen: laitelompakko ei koskaan kysy palautuslausetta tietokoneella.
Palautuslause syötetään vain laitteen omalla näytöllä tai pidetään offline.
Kuka tahansa, jolla on sanat, voi tyhjentää lompakon ilman fyysistä laitetta.
Opas pysyy tarkoituksella kapeana ja käsittelee vain lompakon ja palautuslauseen suojaamista.
Miksi palautuslausetta ei koskaan syötetä koneelle?
Palautuslause on koko lompakon varmuuskopio.
Palautuslause ei ole salasana yhteen palveluun vaan pääsy kaikkiin osoitteisiisi ja varoihisi.
Ledger sanoo asian suoraan: yhtiö ei koskaan kysy 24:ää sanaasi.
Syötä palautuslause vain itse Ledger-laitteeseen, älä koskaan Ledger Liveen tai millekään sivustolle tai puhelimeen.
Trezorin ohje on sama: laitteen varmuuskopiota ei syötetä mihinkään, ellei itse Trezor-laite sitä pyydä.
Aito tuki ei koskaan kysy palautuslausetta. Joka kysyy, on huijari.
Ymmärrä siis ero: kylmä laitelompakko pitää avaimen sirullaan, kuuma ohjelmisto- tai pörssilompakko elää nettiin kytketyllä laitteella.
Kuumassa lompakossa avain altistuu haittaohjelmalle. Laitelompakossa avain ei poistu sirulta.
Siksi laitelompakko allekirjoittaa siirron itse, ja koneen tehtäväksi jää vain välittää valmis allekirjoitus.
Ledger korostaa vielä yhtä asiaa: palautuslausetta ei saa koskaan jakaa eikä altistaa internetille.
Pidä siis mielessä yksinkertainen jako: laite hoitaa salaisuudet, kone hoitaa näytön.
Miten säilytät 12–24 sanaa turvassa?
Kirjoita sanat paperille tai metallille ja tee vähintään 2 kopiota eri paikkoihin.
Älä koskaan valokuvaa lausetta, tallenna sitä pilveen, lähetä sähköpostilla tai kirjoita tekstitiedostoon.
Metallille kaiverrettu kopio kestää tulen ja veden paperia paremmin.
Säilytä kopiot fyysisesti eri paikoissa, ettei yksi vahinko tai varkaus vie molempia.
Näppäile sanat vain laitteen omalla näytöllä.
Jos aidonkin näköinen Ledger Live tai Trezor Suite näyttää palautuslausekentän, kyse on petoksesta.
Lataa lompakkosovellus vain viralliselta sivulta: ledger.com tai trezor.io.
Väärennettyjä Ledger Live- ja Trezor Suite -sovelluksia levitetään mainoslinkeillä ja hakutuloksissa.
Vahvista vastaanotto-osoite aina laitteen näytöltä, älä koneen ruudulta.
Haittaohjelma voi vaihtaa leikepöydän osoitteen tai syöttää samannäköisen väärän osoitteen (address poisoning).
Suojaa laite PIN-koodilla ja harkitse passphrasea, jotta laitteen katoaminen ei yksin riitä varojen menetykseen.
Peru vanhat token-hyväksynnät, sillä kertaalleen annettu "approve"-oikeus jää voimaan ja drainerit hyödyntävät sitä.
Tarkista ja peru tarpeettomat hyväksynnät tähän tarkoitetulla työkalulla ja irrota lompakon yhteys sivustoihin, joita et enää käytä.
Käytä isommille summille erillistä lompakkoa, jolla et vieraile satunnaisilla sivustoilla.
Näin yhden huolimattoman allekirjoituksen vahinko jää pieneen käyttölompakkoon.
Mistä tunnistat palautuslauseen kalastelun?
Tunnusmerkki on sama joka kerta: sinua pyydetään syöttämään palautuslauseen sanat.
Epäile aina kehotusta vahvistaa, palauttaa, synkronoida tai migratoida lompakko sanoja näppäilemällä.
Mikään aito päivitys ei vaadi lauseen syöttämistä.
Ole erityisen varovainen, jos kehotus ilmestyy heti laitteen kytkemisen jälkeen. Juuri niin OkoBot toimii.
Muista, ettei "tuki" koskaan pyydä lausetta somessa, chatissa, puhelimessa, kirjeessä tai QR-koodilla.
Airdrop- tai "connect wallet" -sivu, joka pyytää lausetta tai laajaa allekirjoitusta, on ansa.
Ja jos koneen ruudulla näkyvä osoite eroaa laitteen näytön osoitteesta, luota laitteeseen.
Kalastelu voi tulla myös postiluukusta: Ledger on varoittanut aidon näköisistä kirjeistä, joissa QR-koodi vie palautuslausetta kysyvälle sivulle.
Sama sääntö pätee joka kanavassa: yksikään aito taho ei tarvitse sanojasi.
Kalastelun tyypit ja koko petosvalikoima on avattu erikseen yleisessä kryptohuijausoppaassamme.
Entä jos lause on jo vuotanut?
Toimi heti ja oleta lause menetetyksi.
Kryptosiirtoa ei voi perua, joten nopeus ratkaisee.
Älä yritä puhdistaa vanhaa lompakkoa vaan siirry uuteen.
Kilpajuoksu on todellinen, koska automaattinen drainer voi tyhjentää osoitteen minuuteissa.
- Luo puhtaalla, saastumattomalla laitteella täysin uusi lompakko ja uusi palautuslause.
- Siirrä varat vanhasta lompakosta uuteen niin nopeasti kuin pystyt.
- Puhdista ja asenna uudelleen kone, jolla epäilet haittaohjelmaa.
- Peru vanhan lompakon token-hyväksynnät, ettei vanha yhteys pääse tyhjentämään uutta osoitetta.
Ilmoita tapauksesta Kyberturvallisuuskeskukselle osoitteessa ilmoita.kyberturvallisuuskeskus.fi.
Tee myös rikosilmoitus poliisille osoitteessa poliisi.fi.
Rikosuhripäivystys auttaa maksutta numerossa 116 006.
Ole silti realisti: palautuslauseella viety raha on lähes aina menetetty, joten paino on ennaltaehkäisyssä.
Muistilista
- Kirjoita 12–24 sanaa paperille tai metallille ja pidä vähintään 2 kopiota eri paikoissa.
- Älä koskaan valokuvaa, pilvitallenna tai sähköpostita palautuslausetta.
- Syötä sanat vain laitteen omalla näytöllä, älä koskaan koneelle.
- Lataa sovellus vain sivulta ledger.com tai trezor.io.
- Vahvista vastaanotto-osoite laitteen näytöltä.
- Suojaa laite PIN-koodilla ja harkitse passphrasea.
- Peru vanhat token-hyväksynnät ja irrota käyttämättömät sivustoyhteydet.
- Epäile jokaista "vahvista lompakko" -kehotusta, joka pyytää lauseen.
Jos vahinko ehti jo tapahtua, etene rauhassa oppaan Mitä tehdä, jos olet joutunut huijauksen uhriksi? mukaan.