Ví tiền điện tử bị tấn công: Lừa đảo xã hội bị phát hiện

Người dùng tiền điện tử một lần nữa lại trở thành mục tiêu của một chiến dịch tội phạm mạng ngày càng tinh vi. Theo những phát hiện mới của Darktrace, các tác nhân độc hại đang lợi dụng mạng xã hội, các công ty khởi nghiệp giả mạo và các nền tảng hợp pháp để lừa người dùng tải xuống phần mềm độc hại gây hao hụt tài khoản.

Kế hoạch kỹ thuật xã hội tinh vi này, lần đầu tiên được phát hiện vào cuối năm 2024, đã biến thành một mạng lưới rộng lớn gồm các danh tính giả, các công ty công nghệ giả mạo và các kênh truyền thông được vũ khí hóa, tất cả đều được thiết kế để đánh cắp tài sản kỹ thuật số. Bằng cách mô phỏng tính thẩm mỹ và hành vi của AI thực, trò chơi và Web3 các công ty, kẻ lừa đảo đã tìm cách vượt qua hàng rào phòng thủ của hàng trăm người dùng không hề hay biết.

Một mối đe dọa quen thuộc nhưng đang tiến hóa

Gần một năm trước, công ty an ninh mạng Cado Security Labs phát hiện ra một chiến dịch nhắm mục tiêu Web3 nhân viên với các nền tảng họp trực tuyến lừa đảo. Được biết đến với tên gọi "Meeten", chiến dịch này sử dụng phần mềm hội nghị truyền hình giả mạo để phát tán phần mềm độc hại có tên Realst. Nạn nhân được mời tham gia các cuộc họp giả mạo dưới vỏ bọc hợp tác hoặc thảo luận đầu tư. Sau khi tải xuống phần mềm, thiết bị của họ sẽ bị xâm nhập.

Darktrace hiện đã xác nhận rằng chiến dịch này vẫn tiếp tục diễn ra vào năm 2025. Các chiến thuật này đã mở rộng ra ngoài các ứng dụng video để bao gồm cả AI giả, trò chơi và các công ty truyền thông xã hội. 

Tara Gould, một nhà nghiên cứu của Darktrace, quy định rằng các hoạt động độc hại này “giả mạo AI, trò chơi và Web3 các công ty” sử dụng tài khoản mạng xã hội giả mạo và tài liệu dự án được lưu trữ trên các nền tảng hợp pháp.

Khởi nghiệp hư cấu, hậu quả thực sự

Kế hoạch này được mô tả chi tiết đến mức đáng lo ngại. Tội phạm mạng xây dựng toàn bộ các công ty giả mạo, kèm theo các trang web, bài đăng trên blog đầy thuyết phục, whitepapers, và thậm chí cả hồ sơ nhân viên giả mạo. X (trước đây là Twitter), Medium, GitHub và Notion thường được sử dụng để lưu trữ nội dung dự án, tài liệu kỹ thuật và lộ trình.

Một số vụ lừa đảo hấp dẫn nhất dựa vào các tài khoản X đã được xác minh, bị xâm phạm, thuộc về các cá nhân hoặc công ty thực sự. Những tài khoản này, với hàng nghìn người theo dõi và hoạt động nhiều năm, mang lại uy tín cho những kẻ lừa đảo. 

Một khi công ty giả mạo được thành lập, kẻ tấn công sẽ triển khai các chiến dịch tiếp thị quy mô lớn. Các bài đăng về cột mốc phát triển phần mềm, sự kiện xuất hiện và cửa hàng bán sản phẩm sẽ lấp đầy bảng tin của chúng để tăng tính xác thực.

Một ví dụ nổi bật là một studio trò chơi blockchain hư cấu có tên là “ Sự suy tàn vĩnh cửu Công ty giả mạo này đã sử dụng ảnh đã chỉnh sửa để ám chỉ họ đang trình bày tại các hội nghị lớn, mặc dù thực tế không hề có trò chơi nào như vậy. Tài khoản GitHub của họ chứa các dự án mã nguồn mở được sao chép và ngụy trang thành mã nguồn gốc. Thậm chí, một danh sách từ Companies House của Anh cũng bị làm giả bằng cách liên kết đến một công ty có tên tương tự.

Nạn nhân bị nhắm mục tiêu như thế nào

Cuộc tấn công thường bắt đầu trên các nền tảng như X, Discord hoặc Telegram. Một nhân viên được cho là sẽ liên lạc, đề nghị mục tiêu thử nghiệm phần mềm ban đầu để đổi lấy tiền điện tử. 

Nạn nhân được hướng dẫn đến trang tải xuống, được cung cấp mã đăng ký và hướng dẫn cài đặt ứng dụng. Tùy thuộc vào hệ điều hành, họ sẽ tải xuống ứng dụng macOS DMG hoặc Windows Electron. Các tệp nhị phân này chứa Realst hoặc phần mềm độc hại đánh cắp dữ liệu tương tự.

Từ đó, phần mềm độc hại âm thầm xâm nhập hệ thống. Nó trích xuất dữ liệu trình duyệt, mã thông báo xác thực, mật khẩu và quan trọng nhất là khóa riêng tư cho ví tiền điện tử. Người dùng thường không nhận ra ví của mình đã bị xâm phạm cho đến khi tiền của họ bị mất.

Biến thể GrassCall

Phương thức tấn công không hề tĩnh tại. Một chiến dịch liên quan được gọi là “ GrassCall ” gần đây đã xuất hiện, nhắm vào những người tìm việc trong Web3 space. Phần mềm độc hại được nhúng trong một ứng dụng họp trực tuyến lừa đảo được quảng cáo thông qua các danh sách việc làm và phỏng vấn giả mạo. Nạn nhân đã tải xuống phần mềm này mà không hề hay biết đã vô tình cho phép phần mềm độc hại truy cập dữ liệu nhạy cảm trên thiết bị của họ.

Biến thể này, được cho là do một "nhóm buôn người" nói tiếng Nga có biệt danh Crazy Evil thực hiện, dựa trên các nhân vật công ty giả mạo tinh vi. Trong một trường hợp, những kẻ lừa đảo đã giả danh "ChainSeeker.io", xây dựng một bộ tài khoản mạng xã hội và trang web chuyên nghiệp giả mạo. Chúng thậm chí còn trả tiền cho các danh sách việc làm cao cấp trên các trang web việc làm như LinkedIn, WellFound và CryptoJobsList để dụ dỗ. Web3 các chuyên gia vào bẫy của họ.

Những nạn nhân tham gia các cuộc phỏng vấn giả mạo này đã sớm nhận ra ví tiền của họ đã cạn kiệt. Một nhóm hỗ trợ Telegram đã được thành lập bởi những người bị ảnh hưởng, cung cấp lời khuyên về cách loại bỏ phần mềm độc hại và khôi phục hệ thống.

Lời cảnh tỉnh trị giá 650 triệu đô la

Rủi ro không chỉ giới hạn ở cá nhân. Chính quyền liên bang cũng đã trấn áp các vụ lừa đảo quy mô lớn lợi dụng lĩnh vực tiền điện tử. Đầu năm nay, Bộ Tư pháp Hoa Kỳ đã công bố cáo trạng chống lại Michael Shannon Sims và Juan Carlos Reynoso, những kẻ bị cáo buộc là chủ mưu đằng sau OmegaPro, một chương trình kim tự tháp tiền điện tử toàn cầu .

Hoạt động từ năm 2019 đến 2023, OmegaPro hứa hẹn lợi nhuận 300% trong 16 tháng thông qua giao dịch ngoại hối. Các nhà đầu tư bị thu hút thông qua mạng xã hội, với Sims và Reynoso khoe khoang lối sống xa hoa và thậm chí còn chiếu logo công ty lên tòa nhà Burj Khalifa để tạo sự tin tưởng.

Trưởng phòng điều tra hình sự của IRS, Guy Ficco, tuyên bố rằng vụ lừa đảo này “hứa hẹn mang lại tự do tài chính nhưng lại gây ra sự hủy hoại tài chính”. Hai người đàn ông này hiện phải đối mặt với cáo buộc âm mưu thực hiện hành vi gian lận chuyển tiền và rửa tiền, mỗi tội có thể phải chịu mức án lên tới 20 năm tù.

Sau khi tuyên bố bị tấn công, OmegaPro đã hướng dẫn nạn nhân đến một nền tảng mới có tên Broker Group, nơi người dùng cũng không thể rút tiền của mình.

Vai trò của mạng xã hội trong tội phạm tài chính

Sự dai dẳng và hiệu quả của những trò lừa đảo này càng làm nổi bật tiềm năng đen tối của các nền tảng mạng xã hội trong việc tạo điều kiện cho tội phạm tài chính. Bằng cách kết hợp các tài khoản đã được xác minh, nội dung do AI tạo ra, các trang web sao chép và mã bị đánh cắp, những kẻ lừa đảo này tạo ra các hệ sinh thái mô phỏng gần đúng các công ty thực tế. Việc sử dụng các nền tảng như GitHub và Notion càng tăng thêm tính hợp pháp về mặt kỹ thuật cho trò lừa đảo này.

Trong khi đó, các nền tảng như X và Discord cho phép giao tiếp trực tiếp với các nạn nhân tiềm năng. Tính chất không chính thức của các nền tảng này thường làm giảm sự hoài nghi, đặc biệt là trong lĩnh vực tiền điện tử và Web3 cộng đồng nơi mà hoạt động tiếp cận và hợp tác diễn ra thường xuyên.

Cảnh báo và Biện pháp Phòng thủ

Các chuyên gia an ninh mạng khuyến cáo người dùng nên cảnh giác khi được tiếp cận để thử nghiệm beta hoặc nhận lời mời làm việc liên quan đến các dự án tiền điện tử. Ngay cả khi một dự án có vẻ hợp pháp, người dùng vẫn nên kiểm tra kỹ hồ sơ công ty, đăng ký tên miền và lịch sử tài khoản mạng xã hội. Tuyệt đối tránh tải xuống phần mềm từ các nguồn không rõ ràng trừ khi được xác minh qua các kênh đáng tin cậy.

Joao Wedson, CEO của Alphractal, cảnh báo người dùng rằng "những cuộc tấn công quy mô nhỏ như thế này có thể dễ dàng lọt qua tầm ngắm" nhưng vẫn gây ra mối đe dọa đáng kể. Bằng cách mô phỏng các công ty phần mềm thực tế, những chiến dịch này không chỉ khai thác các lỗ hổng kỹ thuật mà còn cả lòng tin của con người.

Tóm tắt

Việc rút tiền từ ví tiền điện tử thông qua các trò lừa đảo tinh vi trên mạng xã hội không phải là một hiện tượng mới, nhưng nó đang trở nên nguy hiểm và lan rộng hơn. Sự trỗi dậy của AI và tài chính phi tập trung đã mở rộng phạm vi tấn công cho các tác nhân xấu, cho phép chúng tạo ra những lời nói dối tinh vi trên nhiều nền tảng.

Những phát hiện mới nhất của Darktrace cho thấy mối đe dọa này không chỉ dai dẳng mà còn đang phát triển, với các công ty giả mạo và cơ chế phát tán phần mềm độc hại ngày càng phức tạp. Với các cuộc phỏng vấn xin việc giả mạo, tải xuống phần mềm gian lận và các nền tảng tiền điện tử giả mạo, người dùng phải ngày càng thận trọng hơn khi tham gia vào thị trường tiền điện tử.

Cho đến khi các nền tảng tăng cường xác minh và xác thực tài khoản, và người dùng áp dụng các biện pháp bảo mật nghiêm ngặt hơn, những âm mưu tinh vi này có thể sẽ tiếp tục gây hại. Như thường lệ, nếu điều gì đó nghe có vẻ quá tốt đẹp trong thế giới tiền điện tử, thì có lẽ nó không phải vậy.