PHASE 2
Cerita pasal email ni trigger sebab selama ni, penulis cuma pakai satu email untuk semua. Meaning, kerja, hobi, crypto dan apa ke lanch, semua dalam satu email sahaja.
The reason is why because penulis malas nak login banyak email. Minimize waktu. So email penulis agak organised dengan labels yang warna cam pelangi.
Bila tiba waktu dimana perniagaan penulis dalam usaha nak dijual kepada investor lagi up, makanya, partner penulis bagitau yang server kita ni dah nak di hand over. So beliau membayangkan yang akan datang, email ni dah bukan under kawalan dia.
DEM. Agak banyak benda nak kena buat ni. So pengajaran terbesar adalah : Asingkan email kerja anda dengan personal, walaupun kerja anda itu adalah company atau perniagaan anda.
Deployment
✔ 1. Semakan boleh ke tukar email sebenarnya?
Sebelum register email baru, boleh ke sebenarnya tukar email? Contoh selama ni email ke Kraken dah pakai tu, sekali nak ubah. Boleh ke tidak? Maka ini list yang berkaitan.
a. Kraken, boleh
b. Bitfinex, boleh
c. Poloniex, tak boleh
d. Luno, boleh
e. Celsius, boleh
f. Authy, boleh
g. CoinStats, tengah siasat
h. Bitpay, boleh
i. Remitano, macam boleh
j. Exodus, tengah siasat, non custodial no need email
k. Ledger Nano, tak tukar, biar info lama pada ledger nano.
l. Token Metrics, macam boleh
m. Ali, macam boleh
Basically, kalau mana-mana yang tak boleh tukar email, nampak kena sign up baru guna email baru macam poloniex. Yang leceh adalah nak kena KYC semula.
✔ 2. Memilih email
Memiilih email baru agak crucial. Sama ada nak guna provider email yang sama atau lain. Juga, sama ada nak guna email decentralised seperti https://ledgermail.io/ atau lain-lain.
Setelah berfikir panjang, penulis decide guna email provider yang satu ni.
Email ini juga akan digunakan hanya untuk hal crypto sahaja dan tak campur benda lain dah. Meaning, di masa akan datang, email ini boleh diwariskan terus.
Satu hal yang penting dalam memilih email, make sure email tu ada 2FA. Sebab partner penulis pernah kena hack email dia hilang 4 BTC sebab tak pakai 2FA.
✔ 3. Register Email
Now, nak register email. Ni makan masa gak sebab nak fikir apa nama email ni.
Ok dah register.
Dan 2FA dah on.
4. Deploy Email Change pada semua provider.
Deploy ni ada 2 benda. First deploy, second test semak untuk login atau apa.
✔ a. Kraken > Elegant gila, ala-ala cam filem yang ada submarine, bila nak launch peluru kena dua orang. So Kraken kena masukkan key dalam email lama dan email baru serentak. Tak perlu email Kraken, semua buat dalam web app.
✔ b. Bitfinex > Pending reply. Paling leceh sebab nak kena selfie ngan tulis date bagai.
✔ c. Poloniex Decide untuk tutup
✔ d. Luno > Quite senang, tukar dalam web app. Memula add, verify 2FA, sms, then remove email lama.
e. Celsius > Pending reply. Kena email support. Leceh. Agak slow, makan 2 hari. Kena buat video selfie.
✔ f. Authy > Paling senang, buat dalam apps phone. Tapi ada rasa cam tak secure sebab langsung tak ada verify dengan email lama.
g. CoinStats, tengah siasat
h. Bitpay > Pending reply. Kena email support. Leceh. Agak slow, makan 2 hari.
i. Remitano, tengah siasat > Kena email support. Leceh.
✔ j. Exodus, non custodial no need email Exodus Reply
k. Ledger Nano
l. TokMet Renew dgn email baru, tapi credit transfer
m. Ali Renew dgn email baru bila subscription habis 2 May 2022
5. Delete semua crypto related email dalam inbox email lama + sent
Delete semua email yang berkait dengan crypto di dalam inbox, dan juga sent inbox, termasuk compose.
6. Saja tade kerja
Boleh check sama ada email kita sudah atau belum compromised.
https://haveibeenpwned.com/
Kalau tade idea nak buat password, boleh cari password generator. Tapi penulis skeptikal, sebab mana tau sebenarnya provider ni tengah update list password dia so later dia boleh jual data password ni.
Semakan
Semak semua account crypto related dah guna email baru atau tidak.
Enhance Security
Mengatasi Sim Swap
Sim Swap adalah teknik dimana hacker guna no telefon kita untuk request xs kepada email kita, then bila dapat, dia request password crypto related kita.
Step dia gini :
Untuk take over no telefon kita, dia menyamar jadi kita, call telco, install no phone kita di sim card dia. Atau, data. breach dalam telco, so kita kena.
End up, dia dah berjaya take over no telefon kita. Phone kita tetiba tade coverage, org call kita, pergi ke phone dia.
Next, sebab sim card dia dah jadi phone kita, dia cuba nak xs email kita.
Dia akan request tukar password, so email pulak akan send code ke phone kita yang dia dah hijack, dengan code ni, dia berjaya masuk email kita. Then, dia tukar password email kita. So kita memula lost no phone, next kita lost xs email.
Bila dia boleh xs email kita, dia request tukar password dengan semua entiti crypto related kita. Maka kemudian, dia rembat crypto kita.
End game, kita lost phone number, email dan crypto ultimately.
Unless, crypto kita duduk dalam hardware wallet, which is ini, dia tak boleh nak rembat through sim swap. Hanya crypto yang ada di exchange untuk trade.
So canne nak atasi attack ini?
✔ 1. Email yang guna untuk crypto, onkan 2FA.
✔ 2. Email yang guna untuk crypto, tiada related dengan phone number.
✔ 3. Email yang guna untuk crypto, set recovery pada email backup yang orang lain tak tau atau yang kita guna hanya untuk recovery sahaja, in case kita hilang xs ke email ini.