1. Úvod
Tento dokument slouží jako osobní threat modelJednoduchý plán, který říká, co chráníte, před kým a jak by útok mohl proběhnout. Více zaměřený na kybernetickou bezpečnost v oblasti kryptoměn. Jeho cílem je identifikovat potenciální hrozby a zranitelnostiSlabina v aplikaci, zařízení nebo nastavení, kterou lze zneužít k útoku. Více a navrhnout opatření k jejich minimalizaci.
2. Identifikace aktérů a cílů
Aktéři
- Hackeři
- Regulátorní orgány
- Konkurence
- Blízcí
Cíle
- Krypto peněženka
- Transakční historie
- Investiční strategie
Aktéři a Cíle: Detailní Pohled
V této části threat modelu je klíčové podrobně identifikovat aktéry, kteří by mohli představovat hrozbu, a cíle, které by mohli chtít kompromitovat. Každý aktér a cíl by měl být podrobně rozveden, včetně motivací, schopností a způsobů útoků.
Hackeři
- Motivace: Finanční zisk, reputační důvody, ideologické přesvědčení
- Schopnosti: MalwareŠkodlivý software, který může špehovat, krást data, poškozovat zařízení nebo převzít ko... Více, ransomwareTyp malwaru, který zablokuje nebo zašifruje data a požaduje výkupné. Více, phishingové útokyPodvodná zpráva nebo stránka, která se tváří důvěryhodně a snaží se z vás dostat údaje... Více
- Způsoby útoků: Infiltrace do peněženky, keylogging, SIM swappingÚtok, při kterém se útočník pokusí převést vaše telefonní číslo na SIM kartu pod svou k... Více
Regulátorní orgány
- Motivace: Dohled a regulace, zajištění dodržování zákonů
- Schopnosti: Legální opatření, přístup k veřejným a soukromým databázím
- Způsoby útoků: Soudní příkazy, konfiskace majetku, audit
Konkurence
- Motivace: Získání konkurenční výhody, finanční zisk
- Schopnosti: Průmyslová špionáž, social engineeringManipulace s lidmi tak, aby sami udělali krok výhodný pro útočníka. Více
- Způsoby útoků: Infiltrace, dezinformace, manipulaceManipulace s lidmi tak, aby sami udělali krok výhodný pro útočníka. Více trhu
Blízcí
- Motivace: Osobní zájmy, možná finanční zisky
- Schopnosti: Přístup k osobním zařízením, znalost osobních informací
- Způsoby útoků: Použití známých heselHeslo je obecný prostředek ověření totožnosti (autentizaci) uživatele, kterým nemusí nutně... Více, přístup k nezabezpečeným zařízením
Cíle
Krypto peněženka
- Důležitost: Vysoká
- Typy útoků: PhishingPodvodná zpráva nebo stránka, která se tváří důvěryhodně a snaží se z vás dostat údaje... Více, malwareŠkodlivý software, který může špehovat, krást data, poškozovat zařízení nebo převzít ko... Více, fyzický přístup
- Opatření: Hardwarová peněženkaFyzické zařízení určené k bezpečnějšímu držení kryptoměn a tajných klíčů. Více, 2FAVícefázové ověření (též vícefaktorové, anglicky multi-factor authentication) je v informat... Více, silná heslaHeslo je obecný prostředek ověření totožnosti (autentizaci) uživatele, kterým nemusí nutně... Více
Transakční historie
- Důležitost: Střední
- Typy útoků: Sledování IP adresySíťová adresa zařízení nebo připojení. Weby ji mohou použít k odhadu vaší sítě nebo p... Více, kompromitace směnárny
- Opatření: Použití VPNSlužba, která vede vaše připojení přes jiný server a obvykle šifruje provoz mezi vámi a tí... Více, decentralizované směnárny
Investiční strategie
- Důležitost: Střední až vysoká
- Typy útoků: Social engineeringManipulace s lidmi tak, aby sami udělali krok výhodný pro útočníka. Více, průmyslová špionáž
- Opatření: Omezení sdílení informací, použití šifrované komunikaceKomunikace chráněná šifrováním, aby její obsah nebyl po cestě snadno čitelný. Více
3. Zranitelnosti
Používání online peněženek s nízkým zabezpečením
- Popis: Online peněženky jsou často cílem útoků, zejména pokud nejsou správně zabezpečeny.
- Aktéři: Hackeři, konkurence
- Typy útoků: PhishingPodvodná zpráva nebo stránka, která se tváří důvěryhodně a snaží se z vás dostat údaje... Více, brute-forceAutomatické zkoušení velkého množství kombinací, dokud některá nefunguje. Více útoky
- Opatření: Přechod na hardwarovou peněženku, použití 2FAVícefázové ověření (též vícefaktorové, anglicky multi-factor authentication) je v informat... Více
Nezabezpečená Wi-Fi síť
- Popis: Používání nezabezpečených Wi-Fi sítí může umožnit útočníkům snadný přístup k vašim datům.
- Aktéři: Hackeři, blízcí
- Typy útoků: Man-in-the-middle útoky, sniffing
- Opatření: Použití VPNSlužba, která vede vaše připojení přes jiný server a obvykle šifruje provoz mezi vámi a tí... Více, připojení pouze k důvěryhodným sítím
Používání neaktualizovaného software
- Popis: Starý nebo neaktualizovaný software může obsahovat zranitelnostiSlabina v aplikaci, zařízení nebo nastavení, kterou lze zneužít k útoku. Více, které mohou být využity k infiltraci.
- Aktéři: Hackeři, regulátorní orgány
- Typy útoků: ExploitaceKonkrétní způsob, postup nebo kód, kterým útočník zneužije zranitelnost. Více známých zranitelnostíSlabina v aplikaci, zařízení nebo nastavení, kterou lze zneužít k útoku. Více
- Opatření: Pravidelné aktualizace software, použití bezpečnostních záplat
Nedostatečná dvoufaktorová autentizace (2FA)
- Popis: Absence nebo špatná implementace 2FAVícefázové ověření (též vícefaktorové, anglicky multi-factor authentication) je v informat... Více může vést k snadnému přístupu k citlivým údajům.
- Aktéři: Hackeři, blízcí
- Typy útoků: Brute-forceAutomatické zkoušení velkého množství kombinací, dokud některá nefunguje. Více útoky, SIM swappingÚtok, při kterém se útočník pokusí převést vaše telefonní číslo na SIM kartu pod svou k... Více
- Opatření: Aktivace a správná konfigurace 2FAVícefázové ověření (též vícefaktorové, anglicky multi-factor authentication) je v informat... Více
Nedostatečná opsec (operational security)
- Popis: Nedostatečná opsecOperační bezpečnost: návyky, které omezují, kolik citlivých informací o sobě a svých plán... Více může zahrnovat špatné zacházení s hesly, klíči a dalšími citlivými údaji.
čná opsecOperační bezpečnost: návyky, které omezují, kolik citlivých informací o sobě a svých plán... Více může zahrnovat špatné zacházení s hesly, klíči a dalšími citlivými údaji.
- Aktéři: Všichni
- Typy útoků: Social engineeringManipulace s lidmi tak, aby sami udělali krok výhodný pro útočníka. Více, phishingPodvodná zpráva nebo stránka, která se tváří důvěryhodně a snaží se z vás dostat údaje... Více
- Opatření: Vzdělání v oblasti kybernetické bezpečnosti, použití správce heselAplikace, která bezpečně ukládá hesla a pomáhá vytvářet pro každý účet jiné silné hes... Více
4. Vektory útoků
Phishingové útoky
- Popis: Útoky, které se snaží získat citlivé informace prostřednictvím podvodných e-mailů nebo webových stránek.
- Aktéři: Hackeři, konkurence
- ZranitelnostiSlabina v aplikaci, zařízení nebo nastavení, kterou lze zneužít k útoku. Více: Nedostatečná opsecOperační bezpečnost: návyky, které omezují, kolik citlivých informací o sobě a svých plán... Více, používání online peněženek s nízkým zabezpečením
- Opatření: Vzdělání v oblasti kybernetické bezpečnosti, použití 2FAVícefázové ověření (též vícefaktorové, anglicky multi-factor authentication) je v informat... Více
Man-in-the-middle útoky
- Popis: Útoky, kdy útočník odposlouchává nebo manipuluje s komunikací mezi dvěma stranami.
- Aktéři: Hackeři, regulátorní orgány
- ZranitelnostiSlabina v aplikaci, zařízení nebo nastavení, kterou lze zneužít k útoku. Více: Nezabezpečená Wi-Fi síť, neaktualizovaný software
- Opatření: Použití VPNSlužba, která vede vaše připojení přes jiný server a obvykle šifruje provoz mezi vámi a tí... Více, šifrováníPřevod dat do podoby, které bez správného klíče nelze rozumět. Více komunikace
Social Engineering
- Popis: ManipulaceManipulace s lidmi tak, aby sami udělali krok výhodný pro útočníka. Více s lidmi k získání citlivých informací nebo přístupu k systémům.
- Aktéři: Konkurence, blízcí
- ZranitelnostiSlabina v aplikaci, zařízení nebo nastavení, kterou lze zneužít k útoku. Více: Nedostatečná opsecOperační bezpečnost: návyky, které omezují, kolik citlivých informací o sobě a svých plán... Více, nedostatečná 2FAVícefázové ověření (též vícefaktorové, anglicky multi-factor authentication) je v informat... Více
- Opatření: Vzdělání v oblasti kybernetické bezpečnosti, omezení sdílení informací
SIM Swapping
- Popis: Útok, při kterém útočník získá kontrolu nad cílovou SIM kartou.
- Aktéři: Hackeři
- ZranitelnostiSlabina v aplikaci, zařízení nebo nastavení, kterou lze zneužít k útoku. Více: Nedostatečná 2FAVícefázové ověření (též vícefaktorové, anglicky multi-factor authentication) je v informat... Více, nedostatečná opsecOperační bezpečnost: návyky, které omezují, kolik citlivých informací o sobě a svých plán... Více
- Opatření: Použití hardwarové 2FAVícefázové ověření (též vícefaktorové, anglicky multi-factor authentication) je v informat... Více, vysoká úroveň opsecOperační bezpečnost: návyky, které omezují, kolik citlivých informací o sobě a svých plán... Více
5. Opatření
Použití hardwarové peněženky
- Popis: Hardwarové peněženkyFyzické zařízení určené k bezpečnějšímu držení kryptoměn a tajných klíčů. Více poskytují vysokou úroveň zabezpečení pro ukládání kryptoměn.
- Aktéři: Hackeři
- Vhodné pro: Ochrana krypto peněženky
- Jak implementovat: Zakoupení důvěryhodné hardwarové peněženkyFyzické zařízení určené k bezpečnějšímu držení kryptoměn a tajných klíčů. Více, jako je Ledger nebo Trezor, a přesunutí kryptoměn na ni.
Použití VPN
- Popis: VPNSlužba, která vede vaše připojení přes jiný server a obvykle šifruje provoz mezi vámi a tí... Více poskytuje anonymitu a zabezpečení při procházení internetu.
- Aktéři: Regulátorní orgány, hackeři
- Vhodné pro: Ochrana transakční historie, zabezpečení Wi-Fi
- Jak implementovat: Vybrání důvěryhodného poskytovatele VPNSlužba, která vede vaše připojení přes jiný server a obvykle šifruje provoz mezi vámi a tí... Více a aktivace při připojení k internetu.
Aktivace a správná konfigurace 2FA
- Popis: Dvoufaktorová autentizaceVícefázové ověření (též vícefaktorové, anglicky multi-factor authentication) je v informat... Více poskytuje dodatečnou vrstvu zabezpečení.
- Aktéři: Hackeři, blízcí
- Vhodné pro: Ochrana krypto peněženky, zabezpečení online účtů
- Jak implementovat: Aktivace 2FAVícefázové ověření (též vícefaktorové, anglicky multi-factor authentication) je v informat... Více na všech důležitých účtech a použití aplikace jako Google AuthenticatorAplikace v telefonu, která generuje krátké jednorázové kódy pro bezpečnější přihlášení... Více nebo hardwarového klíče jako YubiKeyMalý fyzický klíč pro bezpečnější přihlašování, často přes USB, NFC nebo Bluetooth. Více.
Vzdělání v oblasti kybernetické bezpečnosti
- Popis: Vzdělání a osvěta jsou klíčové pro rozpoznání a odvrácení útoků.
- Aktéři: Všichni
- Vhodné pro: Ochrana proti všem typům útoků
- Jak implementovat: Absolvování kurzů kybernetické bezpečnosti, čtení aktuálních zpráv a článků, účast na webinářích a konferencích.
6. Závěr
Tento osobní threat modelJednoduchý plán, který říká, co chráníte, před kým a jak by útok mohl proběhnout. Více je prvním krokem k zajištění mé kybernetické bezpečnosti v oblasti kryptoměn. Plánuji pravidelně aktualizovat tento dokument a implementovat nová bezpečnostní opatření podle aktuálního vývoje hrozeb.
