Chuyên gia an ninh mạng cảnh báo cộng đồng crypto và người dùng Internet về làn sóng lừa đảo tiền điện tử ngày càng tinh vi, với thủ đoạn công nghệ cao, gây thiệt hại hàng tỷ USD toàn cầu chỉ trong vài năm gần đây.
Kẻ tấn công có thể sử dụng các chiến thuật tinh vi sau:
Những dự án này luôn hứa hẹn lợi nhuận cao bất thường hoặc tài sản kỹ thuật số độc quyền. Nhiều dự án được thổi phồng quá mức trên các trang mạng xã hội nhưng không cung cấp giá trị thực.
Dấu hiệu cảnh báo:
Hoặc chúng sẽ xâm nhập các cuộc trò chuyện hoặc tạo hồ sơ giả mạo để khai thác người dùng đang tìm kiếm lợi nhuận nhanh chóng. Kẻ gian thường tổ chức các chương trình tặng quà giả, hứa hẹn lợi nhuận gấp đôi nếu gửi một khoản "xác minh" nhỏ.
Các chiêu thường gặp:
Dạng lừa này đánh vào lòng tin tuyệt đối và nỗi sợ “bỏ lỡ cơ hội” (FOMO). Video rất thuyết phục, ngay cả người tỉnh táo cũng dễ bị dụ. Thậm chí còn chủ động gọi video cho bạn để bạn tin tưởng.
Các chuyên gia về an ninh mạng đưa ra khuyến cáo, người dùng nên:
1. Các cuộc tấn công lừa đảo (Phishing) nâng cao
Đối tượng lừa đảo thường tạo ra các trang web có giao diện giống hệt sàn giao dịch hoặc ví điện tử uy tín, gửi đường dẫn qua email hoặc tin nhắn giả danh tổ chức chính thống để dụ người dùng nhập thông tin đăng nhập, mã OTP hay khóa riêng tư. Ngay khi thông tin bị lộ, toàn bộ tài sản trong ví có thể bị chiếm đoạt chỉ trong vài phút.Kẻ tấn công có thể sử dụng các chiến thuật tinh vi sau:
- Wallet drainers (Công cụ rút ví): Bẫy người dùng vô tình cấp quyền kết nối ví với trang web độc hại, phần mềm này có thể tự động thực hiện các lệnh chuyển tiền mà không cần sự đồng ý của chủ ví.
- Quishing (Lừa đảo bằng mã QR): Các đối tượng gắn mã QR giả mạo trong email, tin nhắn hoặc ở nơi công cộng. Khi người dùng quét, họ bị điều hướng đến trang web độc hại hoặc bị cài mã độc đánh cắp dữ liệu.
- Spear phishing (Lừa đảo có chủ đích): Đối tượng nghiên cứu kỹ thông tin nạn nhân, sau đó gửi thông điệp cá nhân hóa, ví dụ “tài khoản của bạn bị khóa”, để tạo cảm giác khẩn cấp và buộc người dùng cung cấp thông tin hoặc chuyển tiền.
- Pig butchering: Trường hợp đối tượng tiếp cận qua mạng xã hội, thiết lập quan hệ tình cảm hoặc đầu tư, dẫn dụ nạn nhân nạp tiền vào nền tảng giao dịch do chúng kiểm soát.
2. Rug Pull - Rút thanh khoản rồi "bốc hơi"
Kẻ lừa đảo thường sẽ lợi dụng các nền tảng tài chính phi tập trung (DeFi) và các dự án NFT để làm việc này. Rug pull là chiến thuật phổ biến, trong đó các nhà phát triển đột ngột rút thanh khoản và biến mất cùng với số tiền của nhà đầu tư.Những dự án này luôn hứa hẹn lợi nhuận cao bất thường hoặc tài sản kỹ thuật số độc quyền. Nhiều dự án được thổi phồng quá mức trên các trang mạng xã hội nhưng không cung cấp giá trị thực.
Dấu hiệu cảnh báo:
- Đội ngũ ẩn danh, không công khai danh tính
- Không có kiểm toán độc lập
- Hứa hẹn lợi nhuận cao bất thường, rủi ro thấp
- Kênh truyền thông chỉ toàn “hype”
3. Mạo danh Influencer, Support, Dev nổi tiếng
Mạo danh là vấn nạn thường xảy ra trên mạng xã hội. Kẻ gian thường giả mạo người nổi tiếng, người có ảnh hưởng hoặc nhân viên hỗ trợ trên mạng xã hội để lừa đảo người dùng nhẹ dạ. Chúng tạo tài khoản mạo danh/sao chép người nổi tiếng hoặc gửi tin nhắn trực tiếp giả làm bộ phận hỗ trợ sàn giao dịch để truy cập ví hoặc yêu cầu chuyển tiền khẩn cấp.Hoặc chúng sẽ xâm nhập các cuộc trò chuyện hoặc tạo hồ sơ giả mạo để khai thác người dùng đang tìm kiếm lợi nhuận nhanh chóng. Kẻ gian thường tổ chức các chương trình tặng quà giả, hứa hẹn lợi nhuận gấp đôi nếu gửi một khoản "xác minh" nhỏ.
Các chiêu thường gặp:
- “Gửi 100, nhận lại 200” – tặng quà, airdrop giả
- Giả làm nhân viên sàn hỗ trợ bạn “khôi phục tài khoản”
- Mời gọi đầu tư vào dự án “nội bộ” chỉ dành riêng cho bạn...
4. Deepfake AI - Khi mặt thật, giọng thật cũng bị làm giả
Lừa đảo deepfake sử dụng AI đã nổi lên như một mối đe dọa lớn, sử dụng công nghệ tiên tiến để lừa người dùng và đánh cắp tài sản. Tội phạm tận dụng trí tuệ nhân tạo (AI) để tạo ra video hoặc bản sao giọng nói cực kỳ chân thực của các giám đốc điều hành, chuyên gia/ ca sĩ/ diễn viên nổi tiếng, người có ảnh hưởng hoặc người thân, bạn bè... khiến bạn tin là thật.Dạng lừa này đánh vào lòng tin tuyệt đối và nỗi sợ “bỏ lỡ cơ hội” (FOMO). Video rất thuyết phục, ngay cả người tỉnh táo cũng dễ bị dụ. Thậm chí còn chủ động gọi video cho bạn để bạn tin tưởng.
5. Giả mạo hỗ trợ khách hàng, người giúp đỡ nhưng thực ra là lừa đảo
Lừa đảo hỗ trợ giả mạo là một mối đe dọa ngày càng tăng. Kẻ gian thường giả làm nhân viên hỗ trợ khách hàng từ các sàn giao dịch hoặc nhà cung cấp ví đáng tin cậy. Chúng sẽ liên hệ với nạn nhân qua các nền tảng mạng xã hội như: X, Telegram hoặc các trang web giả mạo gần giống với tên miền chính thức. Bằng cách đưa ra sự hỗ trợ có vẻ chân thực, chúng sẽ khai thác lòng tin của người dùng.Các chuyên gia về an ninh mạng đưa ra khuyến cáo, người dùng nên:
- Kiểm tra kỹ đường dẫn trước khi truy cập, không chia sẻ khóa riêng tư hay thông tin đăng nhập cho bất kỳ ai.
- Đồng thời, cần bật xác thực đa yếu tố, theo dõi lịch sử giao dịch thường xuyên và cảnh giác với mọi lời mời đầu tư “lợi nhuận khủng”.
- Quan trọng nhất người dùng vẫn phải tự trang bị kiến thức và thói quen bảo mật để bảo vệ tài sản của mình.
- Luôn kiểm tra kỹ URL và domain: Đừng bấm vào liên kết trong email hoặc tin nhắn không rõ nguồn.
- Không quét QR code từ nguồn không xác minh: Nhất là từ mạng xã hội, tờ rơi, tin nhắn.
- Đừng tin vào “quà tặng” hoặc đầu tư hứa hẹn lợi nhuận cao trong thời gian ngắn vì 99% là lừa đảo.
- Kiểm tra danh tính người liên hệ: Dù họ có “giống” đến đâu, hãy xác minh từ nhiều nguồn chính thống.
- Sử dụng ví phần cứng (hardware wallet) để bảo vệ tài sản lớn.
- Cập nhật phần mềm, trình duyệt và tiện ích bảo mật thường xuyên. Tránh cài extension không rõ nguồn gốc.
WhiteHat
Được phối hợp thực hiện bởi các chuyên gia của Bkav,
cộng đồng An ninh mạng Việt Nam WhiteHat
và cộng đồng Khoa học công nghệ VnReview