Smishing là gì? Cách bảo vệ bản thân khỏi lừa đảo qua tin nhắn

Smishing, viết tắt của SMS phishing, là một thủ đoạn của tội phạm mạng, trong đó kẻ lừa đảo sử dụng tin nhắn văn bản giả mạo để đánh lừa người nhận chia sẻ các thông tin nhạy cảm. Những tin nhắn này thường được thiết kế để trông giống như đến từ các tổ chức uy tín, chẳng hạn ngân hàng, nền tảng tiền điện tử, hoặc các cơ quan chính phủ. Smishing có thể dẫn đến nguy cơ kẻ lừa đảo truy cập trái phép vào các tài khoản cá nhân, hậu quả làm tổn thất tài chính và thậm chí là đánh cắp danh tính.

 

Các trò lừa đảo Smishing gây ra những rủi ro đáng kể trong thị trường tiền điện tử. Cụ thể, kẻ lừa đảo có thể mạo danh các sàn giao dịch tiền điện tử hoặc nhà cung cấp ví tiền điện tử  để dụ dỗ nạn nhân tiết lộ các khóa riêng, mật khẩu, hoặc cụm từ hạt giống. Bài viết này sẽ giúp bạn hiểu rõ smishing là gì, cách thức hoạt động của nó, các ví dụ thực tế, và những bước hành động để bảo vệ bản thân. 

 

Các giai đoạn khác nhau của một cuộc tấn công Smishing | Nguồn: Terranova Security 

 

Smishing dựa vào kỹ thuật xã hội, một chiến thuật lừa đảo khai thác tâm lý con người thay vì các lỗ hổng kỹ thuật. Dưới đây là cách thức Smishing thường diễn ra: 

 

• Mồi nhử: Nạn nhân nhận được một tin nhắn trông giống như tin nhắn hợp pháp. Nó có thể cảnh báo về hoạt động đáng ngờ trên tài khoản, hứa hẹn phần thưởng, hoặc yêu cầu hành động khẩn cấp để bảo vệ tiền. Ví dụ bao gồm:

• “Tài khoản của bạn đã bị xâm nhập. Nhấp vào đây để xác minh thông tin của bạn: [liên kết độc hại].”

• “Bạn đã giành được thẻ quà tặng trị giá 500 đô la! Nhận ngay: [liên kết độc hại].”

• “Phát hiện đăng nhập bất thường trên ví của bạn. Bảo vệ ngay lập tức: [số hỗ trợ giả].”

• Ngụy trang: Các tin nhắn Smishing thường được thiết kế để trông giống như các nguồn uy tín. Kẻ lừa đảo có thể giả mạo tên người gửi để tin nhắn trông như thể được gửi từ ngân hàng của bạn, một cơ quan chính phủ, hoặc một nền tảng tiền điện tử. Điều này làm tăng khả năng nạn nhân bị mắc bẫy.

• Móc câu: Tin nhắn bao gồm một liên kết hoặc số điện thoại kêu gọi người nhận hành động. Các hành động như nhấp vào liên kết dẫn đến một trang web giả mạo giống với trang web hợp pháp. Nạn nhân được yêu cầu đăng nhập hoặc cung cấp các thông tin nhạy cảm, sau đó sẽ bị kẻ lừa đảo thu thập.

• Kết quả: Khi nạn nhân chia sẻ thông tin, kẻ lừa đảo có thể truy cập thành công vào tài khoản, thực hiện giao dịch trái phép, hoặc thậm chí bán dữ liệu bị đánh cắp trên trang web đen.

Nhận thức là một trong những bước đầu tiên để bảo vệ bản thân và tài sản khỏi các trò lừa đảo như Smishing trong thị trường tiền điện tử. Dưới đây là một số ví dụ giúp bạn hiểu rõ hơn về hình thức lừa đảo này: 

 

1. Cảnh báo bảo mật tài khoản giả mạo

Người dùng nhận được tin nhắn yêu cầu:

"Cảnh báo: Đã phát hiện thấy thông tin đăng nhập đáng ngờ trên tài khoản KuCoin của bạn. Bảo vệ tài sản của bạn ngay bây giờ: [liên kết độc hại]." 

 

Liên kết dẫn dắt nạn nhân đến một trang web giống hệt với nền tảng chính thức của KuCoin. Trên trang này, người dùng được yêu cầu nhập thông tin đăng nhập và mã 2FA. Kẻ lừa đảo sau đó sử dụng thông tin này để truy cập tài khoản và chuyển tiền sang địa chỉ ví bên ngoài. 

 

Vì tin nhắn xuất hiện trong cùng một chuỗi với các thông báo hợp pháp từ KuCoin, nạn nhân đã tin tin nhắn đó là thật. 

 

2. Lừa đảo giả mạo thông qua xác minh KYC

 

Một tin nhắn SMS lừa đảo thông báo cho nạn nhân:

“Yêu cầu hành động: Tài khoản của bạn sẽ bị dừng hoạt động trừ khi thông tin KYC được cập nhật ngay lập tức. Xác minh tại đây: [liên kết độc hại].”

 

Người dùng cảm thấy lo lắng về việc tài khoản bị khóa, dễ dàng nhấp vào liên kết và tải lên thông tin nhạy cảm, bao gồm CMND và dữ liệu cá nhân. Lúc này, kẻ lừa đảo sử dụng những dữ liệu đó để thực hiện hành vi đánh cắp danh tính, có thể dẫn đến các giao dịch tiền điện tử trái phép hoặc thậm chí tạo tài khoản dưới tên nạn nhân.

 

3. Lừa đảo qua tổng đài hỗ trợ giả mạo

 

Nạn nhân nhận được tin nhắn có nội dung:

“Tài khoản KuCoin của bạn đang gặp nguy hiểm. Liên hệ ngay với đội hỗ trợ của chúng tôi qua số [số điện thoại giả].” 

 

Sau khi tin tưởng đây là thông tin hợp pháp, người dùng gọi đến số điện thoại và bị thuyết phục chia sẻ thông tin tài khoản cùng mã xác minh SMS. Khi kẻ lừa đảo có được quyền truy cập, chúng thực hiện giao dịch rút tiền, dẫn đến số dư tài khoản của bạn dần biến mất.

 

4. Thông báo phần thưởng giả mạo

Một tin nhắn khẳng định:
“Chúc mừng! Bạn đã thắng 0.2 BTC trong chương trình giveaway của chúng tôi. Nhận thưởng tại đây: [liên kết độc hại].” 

 

Hào hứng với phần thưởng đầy hấp dẫn, người dùng nhấp vào liên kết và được yêu cầu đăng nhập vào ví tiền điện tử của họ. Tiếp đó, trang web được thiết kế để giả mạo nền tảng hợp pháp bắt đầu thu thập thông tin đăng nhập của nạn nhân. Kẻ lừa đảo sử dụng thông tin này để rút hết tiền từ ví crypto của nạn nhân. 

 

5. Lợi dụng xác thực hai yếu tố (2FA)

Nạn nhân nhận được tin nhắn SMS khẩn cấp:

“Tài khoản của bạn đã bị khóa do hoạt động đáng ngờ. Xác minh danh tính của bạn bằng mã này: [mã].” 

 

Kẻ lừa đảo gọi cho nạn nhân giả vờ là nhân viên từ nền tảng tiền điện tử của họ, yêu cầu mã để mở khóa tài khoản. Nạn nhân vô tình cung cấp mã 2FA và kẻ lừa đảo sử dụng mã này để hoàn tất các giao dịch trái phép.

 

Các ví dụ trên làm nổi bật cách mà kẻ lừa đảo lợi dụng sự cấp bách, sợ hãi và tham lam nhằm mục đích lừa nạn nhân tiết lộ thông tin nhạy cảm. Vì vậy, nếu biết cách hiểu rõ các chiến thuật của họ thông qua việc nhận diện bằng các dấu hiệu, bạn có thể bảo vệ bản thân và tài sản của mình tốt hơn. 

 

Luôn xác minh tính xác thực của bất kỳ tin nhắn nào bạn nhận được, và cần nhớ rằng: các tổ chức uy tín sẽ không bao giờ yêu cầu bạn cung cấp khóa riêng, cụm từ hạt giống, hoặc mật khẩu của bạn. 

 

Smishing hoạt động hiệu quả vì hình thức lừa đảo này lợi dụng lòng tin, sự cấp bách và cảm xúc của nạn nhân. Những tin nhắn này thường có những đặc trưng sau đây: 

 

• Có vẻ hợp pháp: Việc giả mạo tên người gửi và sử dụng ngôn ngữ chính thức làm tăng độ tin cậy của tin nhắn.

• Tạo ra sự hoảng loạn: Cảnh báo về việc tài khoản bị xâm nhập hoặc các thời hạn khẩn cấp gây áp lực làm cho nạn nhân hành động mà không suy nghĩ.

• Hứa hẹn phần thưởng: Sự hấp dẫn của tiền hoặc phần thưởng miễn phí khiến người ta dễ dàng thực hiện những hành động mạo hiểm.

Cách nhận diện một trò lừa đảo smishing | Nguồn: Palo Alto Networks 

 

Để nhận diện một cuộc tấn công Smishing, hãy chú ý đến các dấu hiệu cảnh báo sau: 

 

• Tin nhắn không mong muốn: Nếu bạn nhận được tin nhắn từ một nguồn không rõ ràng và thông báo bạn đã thắng cái gì đó hoặc cần bảo vệ tài khoản, hãy thực sự cẩn trọng.

• Ngôn ngữ khẩn cấp: Các cụm từ như “hành động ngay lập tức” hoặc “tài khoản của bạn sẽ bị đình chỉ” được thiết kế để tạo ra tâm lý hoảng loạn cho người nhận.

• Liên kết đáng ngờ: Kiểm tra URL bằng cách di chuột qua các liên kết (nếu có thể). Nếu URL đó không khớp với tên miền chính thức của người gửi được cho là, khả năng cao đó là một trò lừa đảo.

• Yêu cầu thông tin nhạy cảm: Không tổ chức hợp pháp nào sẽ yêu cầu mật khẩu, khóa riêng hoặc cụm từ hạt giống qua tin nhắn văn bản.

• Ngữ pháp kém hoặc lỗi chính tả: Nhiều tin nhắn Smishing chứa lỗi chính tả hoặc ngữ pháp rõ ràng có thể là dấu hiệu của một trò lừa đảo.

Bảo vệ bản thân khỏi các trò lừa đảo Smishing đòi hỏi sự cảnh giác và áp dụng các phương pháp bảo mật mạnh mẽ. Dưới đây là một số bước hành động, bao gồm các lời khuyên từ KuCoin, để giúp bảo vệ tài sản của bạn: 

 

1. Tránh nhấp vào các liên kết không rõ nguồn gốc hoặc liên hệ với bộ phận hỗ trợ không chính thức

Bạn không nên nhấp vào các liên kết không được xác minh hoặc trả lời các tin nhắn văn bản đáng ngờ. Những liên kết này có thể chuyển hướng bạn đến các trang web lừa đảo được thiết kế để đánh cắp thông tin đăng nhập của bạn hoặc chứa phần mềm độc hại. 

 

Bên cạnh đó, cần xác minh tính xác thực của bất kỳ tin nhắn nào bạn nhận được. Nếu có nghi ngờ, hãy liên hệ trực tiếp với tổ chức thông qua trang web chính thức hoặc các kênh hỗ trợ của họ. 

 

Tránh tham gia các nhóm Telegram hoặc WhatsApp giả mạo là hỗ trợ khách hàng. Đối với người dùng KuCoin, luôn sử dụng Trung tâm Hỗ trợ KuCoin chính thức: https://www.kucoin.com/vi/support. 

 

2. Sử dụng công cụ xác thực đa yếu tố (MFA), chẳng hạn như Passkey

Kích hoạt MFA (xác thực đa bên) để bổ sung một lớp bảo mật cho tài khoản của bạn. KuCoin cung cấp chức năng passkey (mật mã), một phương thức an toàn và tiện lợi thay thế cho mật khẩu truyền thống. 

 

Passkey là gì?

Passkey (Mật mã) cho phép xác minh danh tính trên nhiều thiết bị và loại bỏ việc chỉ sử dụng mật khẩu. Chúng cung cấp bảo vệ mạnh mẽ chống lại việc truy cập trái phép. 

 

Cách thêm Passkey trên KuCoin:

• Đi tới Trung tâm Người Dùng > Cài Đặt Bảo Mật > Passkey (Mật mã) trên ứng dụng hoặc trang web KuCoin.

• Thực hiện theo hướng dẫn trên màn hình để kích hoạt passkey cho tài khoản của bạn. 

Để xem hướng dẫn chi tiết, tham khảo thông tin chính thức từ KuCoin: Passkeys | KuCoin.

 

3. Không bao giờ chia sẻ thông tin cá nhân nhạy cảm

Tránh tiết lộ các thông tin nhạy cảm như mật khẩu, số thẻ tín dụng, khóa riêng hoặc cụm từ hạt giống cho bất kỳ ai. Các tổ chức hợp pháp sẽ không bao giờ yêu cầu những thông tin này qua tin nhắn văn bản hoặc cuộc gọi. 

 

Đồng thời, cần cẩn thận ngay cả với những liên hệ có vẻ đáng tin cậy, vì kẻ lừa đảo có thể giả mạo các tổ chức chính thức. 

 

4. Tránh nhấp vào các liên kết chưa được xác minh

Các liên kết trong tin nhắn lừa đảo thường dẫn đến các trang web lừa đảo hoặc tải xuống phần mềm độc hại. Vì vậy, phải luôn xác minh tính hợp pháp của các liên kết trước khi thực hiện bất kỳ hành động nào.

 

Nếu bạn nghi ngờ liên kết là độc hại, hãy truy cập dịch vụ trực tiếp qua ứng dụng hoặc trang web chính thức của dịch vụ đó. 

 

5. Tự trang bị kiến thức và cập nhật thông tin

Thường xuyên cập nhật kiến thức của bạn về các trò lừa đảo phổ biến và các phương pháp bảo mật tốt nhất. Sử dụng các nguồn tài nguyên đáng tin cậy như blog của KuCoin để cập nhật thông tin về các mối đe dọa mới.

 

Chia sẻ các mẹo bảo mật với bạn bè và gia đình để tạo sự nhận thức và giúp ngăn ngừa các trò lừa đảo trong mạng lưới của bạn. 

 

Bằng cách làm theo những bước này và sử dụng các công cụ như tính năng passkey của KuCoin, bạn có thể giảm thiểu đáng kể nguy cơ trở thành nạn nhân của các trò lừa đảo Smishing và bảo vệ tài sản của mình tốt hơn trong hệ sinh thái Web3. Luôn luôn cảnh giác và ưu tiên bảo mật khi quản lý các khoản đầu tư tiền điện tử của bạn. 

 

Nếu bạn nghi ngờ mình đã trở thành nạn nhân của một trò lừa đảo Smishing, dưới đây là những hành động cần thực hiện ngay: 

• Ngắt kết nối: Tránh tương tác thêm với kẻ lừa đảo. Thay vào đó, cần chặn số điện thoại của chúng.

• Bảo mật tài khoản của bạn: Thay đổi mật khẩu và kích hoạt 2FA (xác thực hai yếu tố) trên tất cả các tài khoản liên kết với thông tin bị xâm nhập.

• Báo cáo sự cố: Thông báo cho ngân hàng, sàn giao dịch tiền điện tử hoặc nhà cung cấp ví crypto về vụ lừa đảo. Việc báo cáo giúp ngăn chặn các cuộc tấn công tiếp theo.

• Giám sát tài khoản: Theo dõi các tài khoản tài chính và tiền điện tử của bạn để phát hiện các giao dịch trái phép.

• Khóa tín dụng: Nếu thông tin cá nhân đã được chia sẻ, hãy xem xét việc khóa tín dụng để ngăn chặn việc đánh cắp danh tính.

Các công cụ bổ sung để tăng cường bảo mật

Ngoài việc thực hiện các bước đã liệt kê ở trên, dưới đây là một số biện pháp phòng ngừa khác bạn có thể thực hiện để bảo vệ tài sản tiền điện tử khỏi các trò lừa đảo Smishing:

• Ví cứng: Lưu trữ tài sản tiền điện tử của bạn ngoại tuyến để đảm bảo bảo mật tối đa.

• Ứng dụng chống phần mềm độc hại: Các ứng dụng như Kaspersky hoặc Norton có thể ngăn chặn các liên kết độc hại và bảo vệ khỏi các cuộc tấn công giả mạo.

• Trình duyệt an toàn: Sử dụng các trình duyệt có tính năng chống giả mạo tích hợp, như Brave hoặc Firefox.

Smishing là một mối đe dọa ngày càng gia tăng, đặc biệt là trong thị trường tiền điện tử, một nơi chứa giá trị rất cao và chiến thuật của kẻ lừa đảo phát triển nhanh chóng. Khi ngành công nghiệp này phát triển, cách tiếp cận bảo mật của người dùng cũng cần phải thay đổi. Việc được thông tin và cảnh giác là rất cần thiết, nhưng việc thực hiện các biện pháp chủ động cũng không kém phần quan trọng.

 

Một giải pháp rất hiệu quả để chống lại Smishing và các mối đe dọa mạng khác là liên kết passkey với các tài khoản của bạn. Passkey cung cấp một mức độ bảo mật nâng cao bằng cách loại bỏ sự phụ thuộc vào mật khẩu đơn thuần. Không giống như thông tin xác thực truyền thống, passkey có thể hoạt động trên nhiều thiết bị và cung cấp xác thực an toàn, liên tục mà rất khó bị tấn công phishing. 

 

Bằng cách liên kết passkey với các tài khoản tiền điện tử của bạn, chẳng hạn như các tài khoản trên KuCoin, bạn có thể giảm thiểu đáng kể rủi ro bị truy cập trái phép ngay cả khi kẻ lừa đảo có được các thông tin cá nhân khác. Kết hợp điều này với các biện pháp bảo mật khác như tránh liên kết không xác minh, kích hoạt xác minh hai yếu tố và sử dụng các kênh hỗ trợ uy tín, bạn sẽ xây dựng được một hệ thống phòng thủ vững chắc chống lại các trò lừa đảo Smishing. 

 

• Những ví tự lưu ký hàng đầu để lưu trữ tiền điện tử của bạn vào năm 2025

• Rug Pull trong Crypto là gì và làm thế nào để tránh lừa đảo?

• Top 7 Ví ERC-20 hàng đầu năm 2024: Lưu trữ và Quản lý Token Ethereum của Bạn

• Rug Pull trong Crypto là gì và làm thế nào để tránh lừa đảo?

• Những trò lừa đảo phổ biến nhất trong tiền điện tử: Cách nhận biết chúng và giữ an toàn

• Cách bảo vệ thiết bị di động của bạn khỏi các vụ lừa đảo tiền điện tử