Số lượng các cuộc tấn công phishing (tấn công giả mạo) đang ngày càng tăng lên trong bối cảnh tâm lý thị trường lạc quan. Ước lượng của Chainalysis cho thấy riêng trong nửa đầu năm 2023 đã ghi nhận khoản mất mát khoảng 1 tỷ USD từ tất cả hình thức lừa đảo crypto đối với nhà đầu tư trên toàn thế giới.

Thế giới tiền điện tử đã vô tình mang đến cơ hội hấp dẫn cho những kẻ lừa đảo, trong đó các vụ lừa đảo phishing trở nên khá phổ biến trên các sàn giao dịch tiền điện tử. Bài viết này sẽ giúp bạn hiểu rõ tấn công phishing là gì, dấu hiệu nhận biết và quy trình các bước để bạn có thể chống lại những cuộc tấn công giả mạo như vậy.

Lừa đảo phishing tiền điện tử (crypto phishing scam) là một kỹ thuật lừa đảo qua mạng tinh vi được thiết kế để truy cập thông tin nhạy cảm như khóa riêng (private key), tên người dùng, mật khẩu và dữ liệu quan trọng khác liên quan đến ví tiền điện tử của người dùng . Những cuộc tấn công giả mạo này rất phổ biến trong lĩnh vực tiền điện tử, thường được bắt đầu thông qua email, mạng xã hội và tin nhắn văn bản. Các tội phạm mạng nhắm mục đích lừa đảo nhà đầu tư và truy cập vào khóa riêng của họ để thực hiện các vụ lừa đảo tiền điện tử hoặc đánh cắp tài sản crypto thông qua các phương tiện gian lận khác nhau.

Báo cáo An ninh Web3 của CertiK cho năm 2023 đã cho thấy rằng các hacker không chỉ đánh cắp hàng triệu NFT mà còn nhắm vào nhà đầu tư crypto với phần mềm độc hại hiện đại.

Một điểm đáng chú ý liên quan đến hình thức tấn công phishing này là sự xuất hiện của 'ice phishing'. Chiến thuật này cụ thể nhắm vào những người dùng Web3 không am hiểu về công nghệ, dẫn dụ họ cấp quyền truy cập vào số dư tài khoản của ví cho hacker. Báo cáo bổ sung trong nửa đầu năm 2023, hacker đã rút cạn ước tính 400 triệu USD từ các nền tảng và người dùng Web3. Con số này bao gồm những tổn thất đáng kể từ các kế hoạch validator độc hại, nhấn mạnh nhu cầu cấp thiết về an ninh ví điện tử.

Những cuộc tấn công này không chỉ giới hạn ở việc trộm cắp trực tiếp mà còn bao gồm các vụ lừa đảo ICO, rug pulls và lừa đảo đầu tư crypto. Vì vậy, để đảm bảo giao dịch crypto an toàn, nhà giao dịch cần phải nắm rõ cách nhận biết và tránh xa các hình thức lừa đảo crypto.

Người dùng thường trở thành nạn nhân của các cuộc tấn công phishing (tấn công giả mạo) thông qua nhiều phương pháp khác nhau do hacker sử dụng, bao gồm:

1. Tấn công giả mạo Email

Phishing email (tấn công giả mạo email) được thể hiện thông qua việc hacker gửi email giả mạo các thông báo chính thức từ sàn giao dịch tiền điện tử. Ví dụ, người dùng có thể nhận được email giả mạo của một nền tảng giao dịch phổ biến như KuCoin, cảnh báo sai lệch về một vụ vi phạm an ninh và yêu cầu họ nhấp vào một liên kết (link) độc hại. Dưới đây là ví dụ về một email giả mạo KuCoin nhằm mục đích lừa đảo người dùng P2P:

2. Tấn công giả mạo Website

Hacker thường tạo ra các trang web có giao diện và chức năng gần giống với website chính thống của sàn giao dịch tiền điện tử. Do đó, người dùng có thể vô tình nhập khóa riêng của mình trên những trang này, cho phép hacker truy cập vào ví của họ. Một số ví dụ phổ biến về vấn đề này là kucoin-airdrop.com và kucoin-distribution.com. Các trang web lừa đảo này đã mạo danh sàn giao dịch KuCoin và tuyên bố cung cấp airdrop miễn phí token KCS. Dưới đây là ảnh chụp màn hình các tin nhắn SMS nhận được từ những trang này:

3. Tấn công giả mạo SMS (tin nhắn văn bản)

Người dùng thường nhận được các tin nhắn văn bản giả mạo có cấu trúc tương tự như các dịch vụ tiền điện tử uy tín. Những tin nhắn lừa đảo SMS này thường chứa các liên kết dẫn đến các trang web giả mạo, nơi mà nếu bạn nhấp vào thì sẽ mất thông tin dữ liệu.

4. Yêu cầu cung cấp khóa riêng

Trong hình thức lừa đảo này, các hacker sẽ đại diện dịch vụ ví tiền điện tử và yêu cầu người dùng cung cấp khóa riêng của họ dưới danh nghĩa nâng cấp an ninh, một chiến thuật mà không có dịch vụ hợp pháp nào sử dụng.

5. Tấn công giả mạo trên mạng xã hội

Hacker tạo ra các hồ sơ mạng xã hội giả mạo giống như của các nền tảng tiền điện tử hoặc người dùng thực để lừa đảo. Những hồ sơ này thường đăng các liên kết (link) dẫn đến đến các trang web giả mạo.

6. Tấn công giả mạo nhóm hỗ trợ khách hàng

Với hình thức này, nạn nhân sẽ bị lừa để tương tác với một nhóm hỗ trợ giả mạo, thường qua các nền tảng mạng xã hội như Telegram, sau đó họ sẽ yêu cầu các thông tin nhạy cảm như khóa riêng của ví.

Dưới đây là ví dụ về người dùng đã nhận được link dẫn đến một tài khoản hỗ trợ khách hàng giả mạo KuCoin trên Telegram:

7. Tấn công giả mạo qua WiFi

Các mạng WiFi công cộng có thể được kiểm soát bởi hacker, bị lợi dụng để chặn thông tin người dùng, bao gồm cả thông tin đăng nhập cho các tài khoản tiền điện tử.

8. Lừa đảo đổi SIM

Lừa đảo đổi SIM (SIM swap scam) là hình thức lừa các nhà mạng di động chuyển số điện thoại của một người dùng sang một SIM mới mà hacker kiểm soát. Sự vi phạm này có thể làm tổn hại đến các biện pháp bảo vệ xác thực hai yếu tố. Ví dụ, vào tháng 9 năm 2023, đồng sáng lập Ethereum Vitalik Buterin đã trở thành nạn nhân của một cuộc tấn công đổi SIM, dẫn đến việc tài khoản Twitter (X) của anh bị hack.

9. Cơ hội đầu tư giả mạo

Những kẻ lừa đảo thường quảng cáo các kế hoạch đầu tư và nền tảng đầu tư giả mạo, hứa hẹn về lợi nhuận cao đến mức khó tin hoặc mua tiền điện tử với giá ưu đãi, hấp dẫn nhà đầu tư và làm họ chuyển tiền hoặc mua các loại tiền điện tử thực chất không tồn tại.

10. Lừa đảo "Pig-Butchering"

Đây là một chiêu trò lừa đảo tinh vi và đang là xu hướng mới nổi. Những vụ lừa đảo này liên quan đến việc kẻ lừa đảo xây dựng mối quan hệ giả mạo với nạn nhân qua mạng xã hội hoặc các nền tảng hẹn hò. Theo thời gian, kẻ lừa đảo sẽ lấy được lòng tin của nạn nhân và sau đó giới thiệu một cơ hội đầu tư giả mạo, dẫn đến những tổn thất tài chính đáng kể.

Dưới đây là một số ví dụ thực tế về các vụ lừa đảo mà đội ngũ kiểm soát rủi ro tại KuCoin đã nhận được và hỗ trợ giải quyết trong những tháng gần đây:

1. Một sinh viên đã được một người có tên "Lucy" từ một cơ quan tuyển dụng giả mạo liên hệ qua ứng dụng WhatsApp để giới thiệu cơ hội việc làm. Kẻ lừa đảo này đã hướng dẫn nạn nhân đăng ký trên một trang web và tạo một ví tiền điện tử KuCoin. Sinh viên này được yêu cầu gửi tiền liên tục trong năm ngày với lời hứa về lợi nhuận 800 bảng. Tuy nhiên, nạn nhân không nhận được bất kỳ khoản tiền nào và vẫn bị yêu cầu gửi thêm tiền.
2. Một nạn nhân khác được liên hệ để thực hiện một nhiệm vụ bởi một cơ quan lừa đảo. Kẻ lừa đảo yêu cầu thanh toán cho các nhiệm vụ với lời hứa về phần thưởng hấp dẫn. Tuy nhiên, khi người dùng muốn rút tiền đã kiếm được, kẻ lừa đảo thông báo phải trả 10k bảng để rút, dẫn đến tổng thiệt hại là 13,512 bảng.
3. Một người dùng được giới thiệu công việc trên WhatsApp liên quan đến việc đặt các món hàng với lời hứa về mức hoa hồng hấp dẫn. Sau khi thực hiện nhiều khoản thanh toán và tham khảo ý kiến của con trai, người này mới nhận ra đó là một vụ lừa đảo.
4. Một khách hàng khác đã bị một cố vấn tài chính có vẻ đáng tin cậy lừa trong thời gian chín tháng. Kẻ lừa đảo này yêu cầu khách hàng tải xuống Anydesk và đầu tư 10k bảng để đánh cắp 125k USD trong ví của họ. Sau khi chuyển tiền, kẻ lừa đảo này đã biến mất không dấu vết.
5. Một nạn nhân khác được yêu cầu gửi tiền vào một tài khoản tiền điện tử KuCoin để tối ưu hóa tài khoản. Nạn nhân được hứa hẹn hoàn lại tiền sau khi hoàn thành các nhiệm vụ hàng ngày. Tuy nhiên, tiền đã được chuyển đến một địa chỉ ví tiền điện tử không xác định.
6. Một người khác bị lừa đảo thông qua một video trên YouTube hứa hẹn lợi nhuận hấp dẫn từ một trang web đầu tư giả mạo. Nạn nhân được hướng dẫn thiết lập một ví KuCoin và mua Bitcoin. Tuy nhiên, người này đã bị mắc bẫy ký quỹ giả mạo, tổng thiệt hại lên đến 14,000 bảng.

Khi giao dịch qua sàn giao dịch tiền điện tử KuCoin, bạn được cung cấp nhiều cách để ngăn chặn tấn công phishing.

Xác minh thông tin chính thống

KuCoin nhấn mạnh tầm quan trọng của việc xác minh tính xác thực của bất kỳ thông tin liên lạc nào. Nếu bạn nhận được tin nhắn trên mạng xã hội hoặc email với các liên kết tuyên bố đến từ KuCoin, việc xác minh chúng qua các kênh chính thống là rất quan trọng. Bước này rất cần thiết để nhận biết các vụ lừa đảo crypto phishing và tránh bị lừa đảo qua email liên quan đến tiền điện tử.

Đánh dấu trang web chính thống của KuCoin

Để đảm bảo thực hiện giao dịch tiền điện tử an toàn, KuCoin khuyến nghị người dùng nên đánh dấu trang web chính thức của mình: https://www.kucoin.com. Luôn xác minh URL bắt đầu với "https://", một bước quan trọng trong việc bảo vệ tài sản tiền điện tử khỏi gian lận tiền số.

Chứng chỉ trang web

KuCoin khuyến cáo người dùng kiểm tra chứng chỉ trang web (Site Certificate) để xác minh tính xác thực của trang web. Đây là một bước quan trọng đối với an toàn của website và bảo mật ví điện tử. Biểu tượng khóa an toàn trong địa chỉ web chứng minh trang web đó an toàn và chính thức, từ đó có thể giảm thiểu rủi ro liên quan đến bảo mật sàn giao dịch tiền điện tử.

Cụm từ chống tấn công Phishing

Một tính năng nổi bật của bảo mật KuCoin là Cụm từ chống tấn công Phishing (Anti-Phishing Phrase). Người dùng có thể thiết lập một cụm từ an toàn tùy chỉnh trên tài khoản KuCoin của họ. Cụm từ này xuất hiện trong các email hợp pháp từ KuCoin hoặc trong quá trình đăng nhập. Nếu cụm từ bị thiếu hoặc không chính xác, sẽ có một cảnh báo đỏ cho thấy một cuộc tấn công phishing tiềm ẩn hoặc lừa đảo tiền điện tử.

Người dùng có thể tự thiết lập Cụm từ chống tấn công Phishing của họ từ phần Bảo Mật Tài Khoản (Account Security) sau khi đăng nhập vào tài khoản KuCoin. Tính năng này là một biện pháp chủ động chống lại các vụ lừa đảo tiền điện tử phổ biến.

Mẹo nhận biết và hạn chế các cuộc tấn công Phishing

Trong thế giới ngày càng trở nên nhạy cảm với các vụ lừa đảo và gian lận tiền điện tử, việc trang bị kiến thức để nhận biết lừa đảo tiền điện tử hoặc phân loại các hình thức lừa đảo là rất quan trọng. Dưới đây là cách bạn có thể tăng cường cách phòng thủ để chống lại lừa đảo phishing crypto và đảm bảo giao dịch an toàn:

Mẹo 1: Nhận biết và tránh các quảng cáo giả mạo trên công cụ tìm kiếm

Cần cẩn thận khi sử dụng công cụ tìm kiếm như Google khi truy cập vào các nền tảng giao dịch tiền điện tử. Bạn nên kiểm tra lại URL để tránh rơi vào bẫy lừa đảo bitcoin hoặc vi phạm an ninh sàn giao dịch tiền điện tử. Các trang tấn công giả mạo (phishing) thường tạo ra các quảng cáo giả mạo. Điều này cho thấy việc xác minh tính hợp pháp của liên kết là cực kỳ quan trọng, đặc biệt là những liên kết tuyên bố dẫn đến từ các nguồn uy tín như KuCoin.

Mẹo 2: Thiết lập mật khẩu mạnh

Mật khẩu mạnh là ưu tiên hàng đầu trong việc chống lại các vụ lừa đảo đầu tư tiền điện tử và gian lận tiền số. Người dùng nên tránh việc tái sử dụng mật khẩu, một điểm yếu phổ biến được chỉ ra trong các cuộc khảo sát quản lý mật khẩu gần đây. Một mật khẩu mạnh sẽ kết hợp chữ cái, số và ký tự đặc biệt, mật khẩu như vậy sẽ làm giảm đáng kể nguy cơ bị lừa đảo tiền điện tử.

Mỗi khi tạo một tài khoản để giao dịch trên một sàn giao dịch tiền điện tử (hoặc bất kỳ loại ví tiền điện tử nào), mật khẩu và mã của bạn nên được thiết lập đặc biệt để không dễ dàng đoán được. Cuộc khảo sát quản lý mật khẩu năm 2022 của Bitwarden tiết lộ rằng 32% người trả lời trên toàn cầu tái sử dụng mật khẩu của họ trên 5-10 trang web. Thói quen này khiến kẻ lừa đảo truy cập vào thông tin và ví của bạn dễ dàng hơn.

Một mật khẩu hoặc mã mạnh và an toàn thường có hơn 10 ký tự, với sự kết hợp của chữ cái, số và ký tự đặc biệt. Hầu hết các trình tạo mật khẩu trên Internet có thể dễ dàng cung cấp mật khẩu giúp giữ an toàn cho dữ liệu và đảm bảo một mức độ bảo mật cao trên địa chỉ ví.

Mẹo 3: Sử dụng trình quản lý mật khẩu

Trình quản lý mật khẩu là một cách an toàn để quản lý mật khẩu phức tạp cho các tài khoản tiền điện tử, chống lại các cuộc tấn công giả mạo qua email liên quan tiền điện tử. Những công cụ này có thể lưu trữ và tự động điền thông tin đăng nhập của bạn, giúp nhận biết các trang web giả mạo bằng cách không tự động điền trên các trang đó. Đây là một cách thức đơn giản nhưng hiệu quả để nhận biết các cuộc tấn công phishing.

Tip bổ sung: Cài đặt phần mềm diệt virus trên thiết bị của bạn để đảm bảo có thể dễ dàng phát hiện email chứa mã độc hoặc dẫn đến các trang web có thể khiến PC của bạn gặp rủi ro bằng cách giới thiệu phần mềm độc hại.

Mẹo 4: Tận dụng tính năng tự động điền

Các trình quản lý mật khẩu với tính năng tự động điền có thể ngăn chặn các vụ lừa đảo phishing tiền điện tử. Chúng sẽ không tự động điền thông tin của người dùng (bao gồm mật khẩu) trên các trang web giả mạo, phục vụ như một hệ thống cảnh báo sớm chống lại các vụ lừa đảo tiền điện tử.

Mẹo 5: Kích hoạt và xác thực 2 yếu tố

Xác thực hai yếu tố sẽ giúp thêm một lớp bảo mật thiết yếu quan trọng trong việc bảo vệ tài sản tiền điện tử. Bước này đặc biệt quan trọng trong việc bảo vệ chống lại các vụ lừa đảo DeFi và đảm bảo an ninh ví điện tử.

Để thực hiện điều này, hacker trong các cuộc tấn công giả mạo phải có quyền truy cập vào điện thoại của bạn, ngay cả khi chúng đã có quyền truy cập vào khóa và các dữ liệu khác của bạn.

Mẹo 6: Luôn luôn cảnh giác

Hãy đặt câu hỏi với tính xác thực của mọi thông tin liên lạc. Ví dụ, xác minh nguồn gốc của các email thông báo đến từ sàn giao dịch tiền điện tử. Ngoài ra, hãy cảnh giác với các tin nhắn hoặc liên kết trên mạng xã hội có vẻ đáng ngờ, vì chúng có thể dẫn đến các vụ lừa đảo ICO hoặc rug pulls. Bạn cần nhớ rằng các sàn giao dịch hợp pháp sẽ không bao giờ yêu cầu thanh toán để mở khóa tài khoản của bạn.

Email đáng ngờ

Nếu bạn nhận được một email thông báo rằng tài khoản của bạn đã bị khóa, bạn cần đảm bảo rằng email đó đến từ địa chỉ chính thức của sàn giao dịch tiền điện tử.

Tương tự, trước khi nhấp vào bất kỳ link nào mà bạn có thể nhận qua trang web hoặc mạng xã hội, hãy đảm bảo chúng hợp pháp.

Không cung cấp mã và thông tin đăng nhập của bạn

Điều này cũng áp dụng khi cung cấp thông tin đăng nhập của bạn trên bất kỳ trang web nào. Thông thường, nạn nhân của tấn công phishing thường không kiểm tra xem trang web mà họ cung cấp dữ liệu có hợp pháp hay không, dẫn đến việc mất mát tài sản nặng nề.

Ngoài ra, hãy chắc chắn sử dụng một nhà cung cấp dịch vụ email an toàn và đáng tin cậy, và nếu bạn sử dụng máy chủ email tự xây dựng, bạn cần kích hoạt DKIM, DMARC và SPF.

Không gửi tiền điện tử cho người dùng mà bạn không biết. Lưu ý rằng, không có sàn giao dịch nào liên hệ với người dùng để thông báo rằng tài khoản đã bị chặn và yêu cầu chi phí sửa chữa. Nếu bạn nhận được một email như vậy, có khả năng mail được gửi bởi những kẻ tấn công độc hại muốn đánh cắp tiền bằng cách truy cập vào ví của bạn.

Mặc dù việc loại bỏ hoàn toàn các cuộc tấn công phishing sẽ rất khó, đặc biệt là trong lĩnh vực an ninh tiền điện tử. Nhưng sẽ luôn có những chiến lược hiệu quả để giảm đáng kể tác động của loại hình lừa đảo này. Bản chất của các vụ lừa đảo phishing tiền điện tử liên tục phát triển, điều này làm cho việc tạo ra các hệ thống hoàn toàn miễn nhiễm trở nên khó khăn hơn. Tuy nhiên, nhận thức và giáo dục người dùng đóng một vai trò quan trọng trong việc phòng ngừa.

Các kẻ tấn công thường xuyên điều chỉnh chiến lược của họ để chống lại các biện pháp an ninh mới. Ví dụ, khi các nhà cung cấp dịch vụ email cải thiện bộ lọc spam, kẻ lừa đảo sẽ tinh chỉnh chiến thuật của họ để vượt qua các phòng tuyến này, dẫn đến việc lừa đảo email phishing tiền điện tử trở nên tinh vi hơn.

Tương tự, trong khi các sàn giao dịch tiền điện tử tăng cường các giao thức bảo mật để bảo vệ dữ liệu người dùng, yếu tố con người vẫn là mục tiêu chính. Kẻ lừa đảo thường xuyên khai thác điều này bằng cách tạo ra các vụ lừa đảo hấp dẫn đến mức khó tin, như hứa hẹn lợi nhuận không thực tế trong các vụ lừa đảo đầu tư tiền điện tử hoặc tạo ra các câu chuyện giả mạo thông qua các vụ lừa đảo ICO.

Để bảo vệ khỏi những mối đe dọa này, việc hiểu biết về các cuộc tấn công phishing và cách thức chúng có thể xuất hiện trong thế giới tiền điện tử là vô cùng cần thiết. Bạn nên cảnh giác với gian lận tiền số, các vụ lừa đảo DeFi và các loại lừa đảo tiền điện tử khác. Một số phương pháp được đề xuất bao gồm:

> Tự trang bị kiến thức: Hãy cập nhật thông tin về các vụ lừa đảo tiền điện tử phổ biến năm 2023. Nhận biết các dấu hiệu của một vụ lừa đảo, như cơ hội đầu tư không mong muốn hoặc yêu cầu thông tin cá nhân.

> Bảo mật ví điện tử: Đảm bảo an toàn cho ví điện tử của bạn là điều tối quan trọng. Sử dụng mật khẩu mạnh, có tính duy nhất, kích hoạt xác thực hai yếu tố và cảnh giác với các yêu cầu về khóa riêng hoặc cụm từ hạt giống của bạn.

> Nhận thức về bảo mật blockchain: Hiểu biết về các tính năng bảo mật của công nghệ blockchain bạn đang sử dụng có thể giúp xác định các lỗ hổng tiềm ẩn và nhận biết một vụ lừa đảo tiền điện tử hoặc kẻ lừa đảo Bitcoin.

> Bảo mật sàn giao dịch tiền điện tử: Chọn các sàn giao dịch ưu tiên bảo mật và có bản ghi chép mạnh mẽ về việc chống lại các vụ lừa đảo tiền điện tử. Tìm kiếm các tính năng như mã hóa nâng cao, hệ thống phát hiện gian lận và quy trình xác minh người dùng.

> Hoạt động giao dịch tiền điện tử an toàn: Tham gia vào các hoạt động giao dịch giảm thiểu rủi ro, như không chia sẻ chiến lược giao dịch hoặc thông tin tài khoản cá nhân của bạn trên các diễn đàn công cộng hoặc mạng xã hội.

Có thể nói, chìa khóa để bảo vệ tài sản số của bạn nằm ở việc trang bị kiến thức liên tục, cảnh giác và áp dụng các phương pháp tốt nhất như sử dụng mật khẩu mạnh, duy nhất, kích hoạt xác thực hai yếu tố và kiểm tra kỹ lưỡng tất cả thông tin liên lạc và liên kết liên quan đến hoạt động tiền điện tử. Ngoài ra, việc chọn các sàn giao dịch tiền điện tử uy tín và an toàn, thận trọng với các cơ hội đầu tư không mong muốn cũng như hiểu biết về nền tảng công nghệ của blockchain và tiền điện tử là những bước quan trọng trong việc chống lại các cuộc tấn công giả mạo.

Khi thế giới tiền điện tử tiếp tục mở rộng và hòa nhập vào tài chính chính thống, trách nhiệm về an toàn ngày càng được trao cho người dùng cá nhân. Bằng cách trang bị cho bản thân kiến thức và công cụ hiệu quả, bạn có thể tận hưởng lợi ích của tiền điện tử trong khi giảm thiểu rủi ro của các vụ lừa đảo phishing. Có thể nói, việc chủ động về an toàn không chỉ là một lời khuyên mà còn là một nhu cầu thiết yếu để bảo vệ tài sản số quý giá của bạn.

>>> Tải Xuống Ứng Dụng KuCoin

>>> Đăng Ký tài khoản trên KuCoin

>>> Theo Dõi KuCoin trên Twitter

>>> Tham Gia Cùng KuCoin trên Telegram

>>> Tham Gia Cộng Đồng KuCoin Toàn Cầu

>>> Đăng Ký Kênh YouTube của KuCoin