Mất số Bitcoin 91 triệu USD trong chớp mắt vì bị thao túng tâm lý

[nguoiduatinabc]

Kẻ lừa đảo giả danh nhân viên hỗ trợ ví cứng đánh lừa nạn nhân để lấy thông tin đăng nhập ví và trộm 783 Bitcoin trị giá 91,4 triệu USD. Nhà điều tra blockchain ZachXBT vừa phát hiện một vụ tấn công social engineering (kỹ nghệ xã hội hay hình thức lừa đảo dựa trên thao túng tâm lý) nghiêm trọng, trong đó nạn nhân bị mất 783 Bitcoin.

Vụ lừa đảo diễn ra ngày 19.8.2025, khi kẻ tấn công giả làm nhân viên hỗ trợ của một ví cứng và lừa nạn nhân cung cấp thông tin đăng nhập ví.

Ngay sau khi kẻ lừa đảo chuyển 783 Bitcoin trộm được, số tiền này bắt đầu được rửa thông qua quy trình quen thuộc, với nhiều giao dịch chuyển vào Wasabi Wallet - công cụ bảo mật thường được sử dụng để che giấu dấu vết giao dịch.

Sự việc trên tương tự nhiều cuộc tấn công social engineering thời gian qua, dẫn đến một năm đầy bi kịch về tấn công mạng và lừa đảo, với tổng thiệt hại của các nhà đầu tư tiền mã hóa trong nửa đầu 2025 đã lên tới 3,1 tỉ USD.

Vụ hack xảy ra đúng một năm sau vụ trộm 243 triệu USD của các chủ nợ Genesis Global Capital. Đây là sự kiện gây chấn động toàn ngành và dẫn đến việc 12 người bị bắt ở bang California (Mỹ) vào tháng 5 vừa qua.

Những chủ nợ này là cá nhân hoặc tổ chức đã cho Genesis Global Capital vay tiền hoặc gửi tài sản số để nhận lãi suất. Genesis Global Capital từng là một trong những công ty cho vay tiền mã hóa lớn nhất thế giới, nhưng đến đầu năm 2023 bị phá sản sau cú sập sàn giao dịch FTX và quỹ đầu tư phòng hộ Three Arrows Capital (3AC).

Khi đó, hàng loạt nhà đầu tư, quỹ đầu tư và sàn giao dịch trong vai trò chủ nợ bị kẹt vốn hàng trăm triệu USD tại Genesis Global Capital và nộp đơn yêu cầu công ty trả nợ thông qua thủ tục phá sản.



Các hình thức social engineering phổ biến

Social engineering là hình thức lừa đảo dựa trên thao túng tâm lý con người để đánh cắp thông tin nhạy cảm, truy cập hệ thống trái phép hoặc lây nhiễm phần mềm độc hại. Thay vì tấn công kỹ thuật trực tiếp vào hệ thống máy tính, hacker tận dụng sự tin tưởng, thiếu cảnh giác hoặc tâm lý tự nhiên của con người để khiến nạn nhân tự cung cấp thông tin hoặc thực hiện hành động có lợi. Bên dưới là các hình thức phổ biến của kiểu tấn công này:

Phishing (lừa đảo qua email/tin nhắn): Đây là hình thức phổ biến nhất. Kẻ tấn công gửi email hoặc tin nhắn giả mạo (ví dụ giả danh ngân hàng, công ty lớn, cơ quan chính phủ) để lừa nạn nhân nhấp vào liên kết độc hại, tải xuống file đính kèm chứa mã độc hoặc gõ thông tin đăng nhập vào một trang web giả mạo.

Spear phishing (lừa đảo mục tiêu cụ thể): Tương tự phishing nhưng tinh vi hơn, kẻ tấn công nhắm vào một cá nhân hoặc nhóm cụ thể, sử dụng thông tin cá nhân của nạn nhân (thu thập được từ mạng xã hội hoặc các nguồn công khai khác) để làm cho email/tin nhắn trở nên đáng tin cậy hơn.

Whaling (lừa đảo "cá voi"): Một dạng spear phishing nhắm vào các "cá voi" - nhân vật cấp cao như CEO (giám đốc điều hành) và CFO (giám đốc tài chính) – với mục tiêu là lừa họ thực hiện các giao dịch tài chính lớn hoặc tiết lộ thông tin cực kỳ nhạy cảm.

Pretexting (ngụy tạo): Kẻ tấn công tạo ra một kịch bản giả mạo, một tiền đề đáng tin cậy để lừa nạn nhân tiết lộ thông tin. Ví dụ, hacker có thể giả danh nhân viên hỗ trợ CNTT cần thông tin tài khoản để kiểm tra hệ thống.

Baiting (giăng bẫy): Kẻ tấn công để lại một thiết bị nhiễm mã độc (như ổ đĩa USB) ở nơi công cộng với hy vọng có người sẽ nhặt được và cắm vào máy tính của họ. Ngoài ra, hacker có thể cung cấp phần mềm, phim, nhạc miễn phí nhưng thực chất chứa mã độc.

Quid Pro Quo (trao đổi): Kẻ tấn công đưa ra một "phần thưởng" nhỏ (ví dụ hỗ trợ kỹ thuật miễn phí, quà tặng) để đổi lấy thông tin cá nhân hoặc quyền truy cập vào hệ thống.

Tailgating/Piggybacking (theo sau/đi ké): Kẻ tấn công theo chân một người dùng hợp pháp để vào được khu vực an ninh, ví dụ như đi theo nhân viên vào tòa nhà bằng cách giả vờ quên thẻ.

Cách phòng tránh social engineering

Luôn cảnh giác: Đặt câu hỏi về các yêu cầu đột ngột về thông tin cá nhân hoặc hành động khẩn cấp.

Kiểm tra kỹ nguồn gốc: Xác minh người gửi email, tin nhắn hoặc cuộc gọi. Nếu có bất kỳ nghi ngờ nào, hãy liên hệ trực tiếp với tổ chức đó qua số điện thoại hoặc email chính thức của họ (không phải thông tin trong email/tin nhắn đáng ngờ).

Không nhấp vào liên kết lạ: Tránh nhấp vào các liên kết đáng ngờ hoặc tải xuống file đính kèm từ những người bạn không biết hoặc những email không rõ ràng.

Bảo mật thông tin cá nhân: Hạn chế chia sẻ quá nhiều thông tin cá nhân trên mạng xã hội, vì chúng có thể được kẻ tấn công sử dụng để xây dựng kịch bản lừa đảo.

Sử dụng xác thực đa yếu tố (MFA): Bật MFA cho tất cả tài khoản quan trọng để tăng cường bảo mật.

Đào tạo nhận thức an ninh mạng: Các tổ chức nên thường xuyên đào tạo nhân viên về mối đe dọa social engineering và cách nhận biết chúng.

Social engineering là mối đe dọa dai dẳng vì khai thác điểm yếu cố hữu của con người. Nâng cao nhận thức và cảnh giác là tuyến phòng thủ tốt nhất chống lại loại hình tấn công này.