Duy Linh
Writer
Các nhà phát triển Web3 và tiền điện tử đang đối mặt với một làn sóng tấn công có chủ đích mới, không còn dựa vào các hình thức tiếp cận ngẫu nhiên như email lừa đảo hay tin nhắn Telegram không mong muốn. Thay vào đó, kẻ tấn công triển khai những “cạm bẫy tiếp cận” được thiết kế kỹ lưỡng, tận dụng trực tiếp nhu cầu phát triển sự nghiệp của nạn nhân.
Môi trường phát triển Web3 bị ảnh hưởng bởi phần mềm phỏng vấn giả mạo.
Thay vì chủ động truy đuổi mục tiêu, các nhóm tấn công hiện nay xây dựng những công ty giả mạo hoặc sao chép gần như hoàn chỉnh các doanh nghiệp Web3 hợp pháp. Chúng đăng tải các tin tuyển dụng hấp dẫn, sau đó kiên nhẫn chờ đợi các ứng viên có giá trị cao tự tìm đến.
Sự thay đổi này đánh dấu một bước tiến đáng chú ý trong kỹ thuật tấn công phi kỹ thuật (social engineering). Trong nhiều năm, mô hình phổ biến vẫn là “tấn công từ bên ngoài”, nơi kẻ xấu chủ động liên hệ và tìm cách vượt qua sự cảnh giác của nạn nhân bằng cảm giác khẩn cấp, mạo danh hoặc lý do kỹ thuật.
Tuy nhiên, với mô hình mới, tâm lý bị đảo ngược hoàn toàn. Nạn nhân là người chủ động tiếp cận, khiến các cơ chế phòng vệ tự nhiên gần như bị vô hiệu hóa ngay từ đầu.
Mục tiêu chính là thu hút những ứng viên có trình độ kỹ thuật cao, thường là các nhà phát triển quen với việc tự quản lý ví tiền điện tử cá nhân, tiện ích mở rộng trình duyệt hoặc khóa riêng ngay trên chính máy tính họ dùng để phát triển phần mềm.
Hiệu ứng “kéo” tâm lý của chiến thuật này tuy tinh tế nhưng đặc biệt hiệu quả. Khi chủ động nộp hồ sơ, ứng viên mặc nhiên xem mình là người kiểm soát cuộc chơi. Điều này đảo ngược hoàn toàn phản xạ nghi ngờ thường thấy trong các vụ lừa đảo truyền thống.
Trong các email lừa đảo thông thường, một thông điệp bất ngờ thường kích hoạt câu hỏi phòng thủ như: “Vì sao họ lại liên hệ với tôi?”. Nhưng khi chính nạn nhân là người tìm đến cơ hội, câu hỏi này gần như không xuất hiện.
Ứng viên tin rằng họ đã tìm được công việc thông qua các kênh quen thuộc như trang tuyển dụng, mạng xã hội hoặc cộng đồng nhà phát triển, từ đó dễ dàng hạ thấp cảnh giác.
Chính tại giai đoạn này, mã độc được đưa vào dưới vỏ bọc các phần mềm như “ứng dụng phỏng vấn”, “môi trường kiểm tra lập trình” hoặc “IDE tùy chỉnh” mà công ty được cho là sử dụng để tiêu chuẩn hóa quy trình tuyển dụng. Ứng viên thường bị khuyến khích, thậm chí bị gây áp lực, phải tải xuống và chạy phần mềm này trên chính máy phát triển chính của họ.
Về mặt kỹ thuật, các phần mềm này có thể hoạt động như công cụ tải mã độc hoặc phần mềm truy cập từ xa, cho phép kẻ tấn công quan sát toàn bộ môi trường làm việc của nạn nhân.
Đối với các nhà phát triển Web3, mức độ rủi ro cao hơn đáng kể. Nhiều người duy trì các tiện ích ví như MetaMask, Rabby hoặc Phantom ngay trong trình duyệt, lưu trữ cụm từ hạt giống trong ghi chú cục bộ, hoặc giữ khóa API, mã thông báo đám mây và thông tin đăng nhập nhạy cảm trong thư mục phát triển và biến môi trường.
Chỉ một lần xâm nhập thành công có thể làm lộ tài sản cá nhân, quyền truy cập hạ tầng của doanh nghiệp, thậm chí cả các khóa ký dùng trong quy trình sản xuất. Mục tiêu lớn nhất của các chiến dịch này không chỉ là một cá nhân sở hữu tiền điện tử, mà là những nhà phát triển đang trực tiếp làm việc với hệ thống sản xuất như triển khai giao thức, hạ tầng xác thực, ví đa chữ ký hoặc công cụ quản lý kho bạc.
Khi kiểm soát được một điểm cuối như vậy, kẻ tấn công có thể mở rộng từ hành vi đánh cắp cục bộ sang các cuộc xâm phạm quy mô tổ chức.
Sự gia tăng của các chiến dịch này cho thấy một thay đổi quan trọng trong bức tranh mối đe dọa Web3: lòng tin đang bị khai thác ngay từ bước đầu tiên của con đường sự nghiệp. Các chuyên gia khuyến cáo nhà phát triển cần đặc biệt cảnh giác với bất kỳ yêu cầu cài đặt công cụ phỏng vấn độc quyền, trình duyệt tùy chỉnh hoặc “môi trường kiểm thử an toàn”, nhất là khi cơ hội được mô tả có vẻ quá hấp dẫn để có thể là thật.
Môi trường phát triển Web3 bị ảnh hưởng bởi phần mềm phỏng vấn giả mạo.
Thay vì chủ động truy đuổi mục tiêu, các nhóm tấn công hiện nay xây dựng những công ty giả mạo hoặc sao chép gần như hoàn chỉnh các doanh nghiệp Web3 hợp pháp. Chúng đăng tải các tin tuyển dụng hấp dẫn, sau đó kiên nhẫn chờ đợi các ứng viên có giá trị cao tự tìm đến.
Sự thay đổi này đánh dấu một bước tiến đáng chú ý trong kỹ thuật tấn công phi kỹ thuật (social engineering). Trong nhiều năm, mô hình phổ biến vẫn là “tấn công từ bên ngoài”, nơi kẻ xấu chủ động liên hệ và tìm cách vượt qua sự cảnh giác của nạn nhân bằng cảm giác khẩn cấp, mạo danh hoặc lý do kỹ thuật.
Tuy nhiên, với mô hình mới, tâm lý bị đảo ngược hoàn toàn. Nạn nhân là người chủ động tiếp cận, khiến các cơ chế phòng vệ tự nhiên gần như bị vô hiệu hóa ngay từ đầu.
Mô hình tấn công “kéo” và các công ty Web3 giả mạo
Trọng tâm của chiến dịch này là việc sử dụng các tổ chức giả mạo có độ chính xác cao hoặc bản sao của các công ty Web3 có thật. Các tin tuyển dụng được đăng tải thông qua những nền tảng như youbuidl.dev, nhắm vào các vị trí cấp cao hoặc có thu nhập hấp dẫn như kỹ sư hợp đồng thông minh, nhà phát triển giao thức, chuyên viên DevOps cho hạ tầng tiền điện tử hoặc kỹ sư bảo mật cho nền tảng DeFi.Mục tiêu chính là thu hút những ứng viên có trình độ kỹ thuật cao, thường là các nhà phát triển quen với việc tự quản lý ví tiền điện tử cá nhân, tiện ích mở rộng trình duyệt hoặc khóa riêng ngay trên chính máy tính họ dùng để phát triển phần mềm.
Hiệu ứng “kéo” tâm lý của chiến thuật này tuy tinh tế nhưng đặc biệt hiệu quả. Khi chủ động nộp hồ sơ, ứng viên mặc nhiên xem mình là người kiểm soát cuộc chơi. Điều này đảo ngược hoàn toàn phản xạ nghi ngờ thường thấy trong các vụ lừa đảo truyền thống.
Trong các email lừa đảo thông thường, một thông điệp bất ngờ thường kích hoạt câu hỏi phòng thủ như: “Vì sao họ lại liên hệ với tôi?”. Nhưng khi chính nạn nhân là người tìm đến cơ hội, câu hỏi này gần như không xuất hiện.
Ứng viên tin rằng họ đã tìm được công việc thông qua các kênh quen thuộc như trang tuyển dụng, mạng xã hội hoặc cộng đồng nhà phát triển, từ đó dễ dàng hạ thấp cảnh giác.
Phần mềm phỏng vấn giả và rủi ro chiếm quyền hệ thống
Sau khi thiết lập liên lạc, các “nhà tuyển dụng” giả mạo sẽ dẫn dắt quy trình theo một kịch bản rất quen thuộc: sàng lọc hồ sơ, trao đổi kỹ thuật, rồi đến bước “đánh giá thực tế”.Chính tại giai đoạn này, mã độc được đưa vào dưới vỏ bọc các phần mềm như “ứng dụng phỏng vấn”, “môi trường kiểm tra lập trình” hoặc “IDE tùy chỉnh” mà công ty được cho là sử dụng để tiêu chuẩn hóa quy trình tuyển dụng. Ứng viên thường bị khuyến khích, thậm chí bị gây áp lực, phải tải xuống và chạy phần mềm này trên chính máy phát triển chính của họ.
Về mặt kỹ thuật, các phần mềm này có thể hoạt động như công cụ tải mã độc hoặc phần mềm truy cập từ xa, cho phép kẻ tấn công quan sát toàn bộ môi trường làm việc của nạn nhân.
Đối với các nhà phát triển Web3, mức độ rủi ro cao hơn đáng kể. Nhiều người duy trì các tiện ích ví như MetaMask, Rabby hoặc Phantom ngay trong trình duyệt, lưu trữ cụm từ hạt giống trong ghi chú cục bộ, hoặc giữ khóa API, mã thông báo đám mây và thông tin đăng nhập nhạy cảm trong thư mục phát triển và biến môi trường.
Chỉ một lần xâm nhập thành công có thể làm lộ tài sản cá nhân, quyền truy cập hạ tầng của doanh nghiệp, thậm chí cả các khóa ký dùng trong quy trình sản xuất. Mục tiêu lớn nhất của các chiến dịch này không chỉ là một cá nhân sở hữu tiền điện tử, mà là những nhà phát triển đang trực tiếp làm việc với hệ thống sản xuất như triển khai giao thức, hạ tầng xác thực, ví đa chữ ký hoặc công cụ quản lý kho bạc.
Khi kiểm soát được một điểm cuối như vậy, kẻ tấn công có thể mở rộng từ hành vi đánh cắp cục bộ sang các cuộc xâm phạm quy mô tổ chức.
Sự gia tăng của các chiến dịch này cho thấy một thay đổi quan trọng trong bức tranh mối đe dọa Web3: lòng tin đang bị khai thác ngay từ bước đầu tiên của con đường sự nghiệp. Các chuyên gia khuyến cáo nhà phát triển cần đặc biệt cảnh giác với bất kỳ yêu cầu cài đặt công cụ phỏng vấn độc quyền, trình duyệt tùy chỉnh hoặc “môi trường kiểm thử an toàn”, nhất là khi cơ hội được mô tả có vẻ quá hấp dẫn để có thể là thật.
Đọc chi tiết tại đây: gbhackers
Được phối hợp thực hiện bởi các chuyên gia của Bkav,
cộng đồng An ninh mạng Việt Nam WhiteHat
và cộng đồng Khoa học công nghệ VnReview
Sửa lần cuối bởi điều hành viên: