Công nghệ số

Tin tặc tung “chiêu độc” để đánh cắp tiền điện tử của người sử dụng

Giao diện của trang web lừa đảo giống hệt trang web thật (Ảnh chụp màn hình).
Được viết bởi admin

Nhiều người sở hữu các loại tiền điện tử tại Việt Nam và trên thế giới đã dính phải “chiêu lừa” của các tin tặc, khiến họ mất đi một lượng tiền điện tử giá trị lớn.

Với việc các loại tiền điện tử ngày càng phát triển mạnh giá và ngày càng nhiều người đổ tiền vào đầu tư, thị trường tiền điện tử trở thành “mảnh đất màu mỡ” của tin tặc. Nhiều người nắm giữ tiền điện tử đã bị mất một số tiền trị giá lớn sau khi dính “chiêu lừa” của các tin tặc.

Gần đây, hãng nghiên cứu bảo mật Check Point Research đã lên tiếng cảnh báo về một hình thức lừa đảo mới nhằm vào những người đang nắm giữ tiền điện tử trên phạm vi toàn thế giới, gồm tất cả cả Việt Nam. Qua đó, tin tặc sẽ tạo ra những trang web hoặc extension (phần mềm mở rộng trên trình duyệt) giả mạo, với giao diện giống hệt trang web hoặc extension của các loại ví tiền điện tử nhiều, như Phantom App, MetaMask hay PancakeSwap…

Giao diện của trang web lừa đảo giống hệt trang web thật (Ảnh chụp màn hình).
Giao diện của trang web lừa đảo giống hệt trang web thật (Ảnh chụp màn hình).

Không dừng lại ở đó, tin tặc sẽ chi tiền để mua quảng cáo trên Google để đưa các trang web lừa đảo của mình lên top đầu trong list tìm kiếm. Nhiều người không kiểm tra kỹ đường dẫn của trang web đã truy cập nhầm vào các trang web giả mạo, thay vì trang web thực sự của các ví tiền điện tử.

Trên trang web giả mạo này sẽ có hộp thoại để yêu cầu người sử dụng đăng nhập vào tài khoản ví điện tử. Nhiều người sử dụng không nhận ra các trang web giả mạo đã không ngần ngại điền thông tin đăng nhập, sau đó điền mã xác nhận mật khẩu OTP (được cấp thông qua phần mền trên điện thoại) để đăng nhập vào tài khoản ví điện tử.

Chỉ trong một thời gian ngắn, tin tặc sẽ chọn dùng các thông tin đăng nhập này (gồm tất cả cả mã OTP) để truy cập vào ví điện tử của người sử dụng và đánh cắp sạch toàn bộ số tiền điện tử đang có trong đó.

Trong trường hợp nạn nhân truy cập vào trang web giả mạo và tạo một ví điện tử mới, họ sẽ được cấp một Recovery Phrase (cụm từ khôi phục tài khoản, là chuỗi 12 từ tiếng Anh người sử dụng cũng có thể chọn dùng để đăng nhập vào ví điện tử trên bất kỳ thiết bị nào). Trong trường hợp nạn nhân chọn dùng cụm từ khôi phục tài khoản này để đăng nhập, họ sẽ đăng nhập vào tài khoản của tin tặc và mọi khoản tiền được chuyển vào đó thực chất sẽ được chuyển đến ví điện tử của tin tặc.

Theo nghiên cứu của các chuyên gia bảo mật Check Point Research, chỉ chỉ trong vòng vài ngày gần đây, các tin tặc đã đánh cắp số tiền điện tử giá trị hơn 500.000 USD trên toàn thế giới nhờ vào chiêu lừa này.

Trên các hội nhóm giao dịch tiền điện tử tại Việt Nam, nhiều người cũng đã phản ánh mình bị mất toàn bộ tiền điện tử trong ví vì dính phải những “chiêu lừa” giống như Check Point Research đã cảnh báo.

Trang web giả mạo (phanton.app) thậm chí còn xuất hiện phía trên trang web thật (phantom.app) trên công cụ tìm kiếm Google (Ảnh: CPR).
Trang web giả mạo (phanton.app) thậm chí còn lộ diện phía trên trang web thật (phantom.app) trên công cụ tìm kiếm Google (Ảnh: CPR).

Do tính ẩn danh của các giao diện tiền điện tử, việc xác định danh tính của những kẻ lừa đảo và đánh cắp tiền từ ví điện tử là bất khả thi, do vậy, các nạn nhân đành phải chấp nhận mất trắng số tiền của mình mà không thể xác định được thủ phạm.

“Tôi tin rằng chúng ta đang đứng trước xu hướng tội phạm mạng mới, nơi những kẻ lừa đảo sẽ chọn dùng công cụ tìm kiếm của Google để làm phương tiện tấn công, thay vì lừa đảo qua email như từ trước đó”, Oded Vanunu, Giám đốc Nghiên cứu lỗ hổng bảo mật của Check Point cho biết. “Theo quan sát của chúng tôi, mỗi quảng cáo của tin tặc trên Google đều được lựa chọn từ khóa một cách cẩn trọng để nổi bật trên kết quả tìm kiếm. Các trang web lừa đảo được thiết kế một cách tỉ mỉ và giống hệt trang web thật”.

“Tôi kêu gọi cộng đồng tiền điện tử phải kiểm tra thật kỹ đường dẫn của các trang web mà mình truy cập để tránh mắc bẫy của tin tặc vào thời điểm này”, Vanunu cho biết thêm.

Phát hiện của Check Point Research đã gióng lên một hồi chuông cảnh báo về chất lượng của các quảng cáo trên Google, khi công cụ tìm kiếm này đã không kiểm duyệt kỹ càng các nội dung được quảng cáo trên trang web của mình.

Sau khi Check Point công bố báo cáo về chiêu thức lừa đảo tiền điện tử, phía Google đã ngay lập tức gỡ bỏ những quảng cáo của các trang web lừa đảo.

“Hành vi này vi phạm các chính sách của chúng tôi và chúng tôi đã ngay lập tức xóa các nội dung quảng cáo và tạm ngưng các tài khoản quảng cáo vi phạm. Chúng tôi luôn tuỳ chỉnh các cơ chế hoạt động của mình để ngăn ngừa các hành vi vi phạm này”, đại diện của Google cho biết.

Theo một nghiên cứu của GOBankingRates, trang web chuyên review về các dịch vụ ngân hàng và tài chính, 2020 là năm đạt kỷ lục về số vụ lừa đảo liên quan đến tiền điện tử, với hơn 26.500 vụ lừa đảo được báo cáo, khiến các nạn nhân mất số tiền hơn 419 triệu USD. Số các vụ lừa đảo liên quan đến tiền điện tử có xu hướng tiếp tục tăng mạnh trong năm 2021. Theo một cuộc khảo sát của công ty tư vấn tài chính Motley Fool, chỉ trong quý I/2021, đã có 14.079 vụ lừa đảo liên quan đến tiền điện tử được ghi nhận tại riêng nước Mỹ, khiến các nạn nhân bị mất số tiền hơn 215 triệu USD.


Theo Deccan Herald/YF

Thông tin về các Tác giả

admin