MarginATM logo
MarginATM
SETTINGS
Content language
flag Vietnamese
Vietnamese
flag Vietnamese
Vietnamese
Tiếng việt
flag English
English
English
Channel logo
MarginATM
Save
Copy link

8 thủ đoạn lừa đảo cần đề phòng trên Twitter

Ngày 21/8, nhà phân tích an ninh mạng nổi tiếng Serpent đã chỉ ra 8 hình thức lừa đảo đang hoành hành trên Twitter thời gian gần đây.
Avatar
uyntran.web3
Published Aug 22 2022
Updated Dec 21 2023
6 min read
thumbnail

Ngày 21/8, nhà phân tích an ninh mạng nổi tiếng Serpent đã chỉ ra 8 hình thức lừa đảo đang hoành hành trên Twitter thời gian gần đây.

Nhà phân tích có lực lượng người theo dõi lên đến 253,400 trên Twitter. Serpent cũng là người sáng lập Sentinel, hệ thống trí tuệ nhân tạo (AI) giúp giảm thiểu mối đe dọa trong lĩnh vực crypto.

Thông qua bài đăng trên Twitter, Serpent đã vạch ra phương thức lừa đảo của các tội phạm: (1) giả mạo trang web chính chủ; (2) giả vờ giúp thu hồi tiền bị hack; (3) cảnh báo rủi ro giả; (4) hack tài khoản có tick xanh; (5) lừa front running; (6) honeypot account; (7) thử nghiệm dự án game giả; (8) lừa mở tệp tranh giả.

Để đưa người dùng “vào tròng”, những kẻ lừa đảo giả mạo hoặc hack trang web, URL và tài khoản của người khác. Bên cạnh đó, họ mở dự án, các đợt airdrop giả và nhiều phần mềm độc hại để tấn công nạn nhân.

Trong bối cảnh hàng loạt vụ hack xảy ra gần đây, một chiêu thức nguy hiểm mới đã bắt đầu xuất hiện. Các tội phạm nói dối rằng những người thiệt hại trong các vụ hack trước đó có thể lấy lại tiền của mình nếu làm theo yêu cầu. Serpent giải thích chiêu lừa “Crypto Recovery Scam” (Thu hồi tiền bị hack) nhắm vào tâm lý muốn lấy lại tiền của các nạn nhân và khiến họ một lần nữa chịu cảnh “tiền mất, tật mang”.

Theo Serpent, những kẻ này tự xưng là nhà phát triển blockchain và tìm kiếm người dùng bị ảnh hưởng trong các vụ tấn công quy mô lớn gần đây. Họ đề nghị nạn nhân trả một khoản phí để triển khai một hợp đồng thông minh giúp thu hồi số tiền bị đánh cắp. Sau khi nhận tiền, họ nhanh chóng biến mất.

Chiêu thức này bắt đầu rộ lên sau vụ hack hàng nghìn ví Solana hồi đầu tháng 8. Theo công ty giám định blockchain Elliptic, con số thiệt hại ước tính vào khoảng 5.2 triệu USD. Nhiều người có ảnh hưởng, điển hình là chủ kênh Youtube Crypto Tips, đã lên tiếng cảnh báo cộng đồng đề phòng trước những lời hứa hẹn thu hồi tiền như trên.

Cũng trên Twitter, Serpent tiếp tục vạch trần “Fake Revoke.Cash Scam” (Cảnh báo rủi ro giả), một hình thức lừa đảo phổ biến khác. Theo nhà phân tích, những kẻ lừa đảo phát cảnh báo rằng tài sản mã hóa của người dùng có thể gặp rủi ro và dụ họ truy cập vào liên kết độc hại.

Một chiến lược khác sử dụng “Unicode Letters” (Ký tự Unicode) để làm cho URL giả trông giống hệt như URL gốc, nhưng thay thế một chữ cái bằng một ký tự Unicode. Ngoài ra, tội phạm còn hack những tài khoản đã được Twitter xác minh, sau đó đổi tên thành một người nổi tiếng nào đó để shill dự án giả.

Những người dùng muốn kiếm tiền nhanh chóng có thể bị “Uniswap Front Running Scam” (Chiến thuật front running Uniswap giả). Front running là hành vi lợi dụng thông tin nội bộ về các giao dịch sắp diễn ra để đặt lệnh trước và kiếm tiền. Bot tin nhắn sẽ yêu cầu người dùng xem video cách "kiếm 1,400 USD/ngày bằng cách front running Uniswap”. Tất nhiên, nạn nhân sẽ không kiếm được 1,400 USD nào cả mà còn mất tiền vào ví kẻ lừa đảo.

Trong “Honeypot Account” (Tài khoản honeypot), người dùng được cung cấp một private key để truy cập một ví có sẵn tiền. Tuy nhiên, khi họ cố gửi tiền vào ví đó để thực hiện giao dịch, khoản tiền ngay lập tức bị bot tự động chuyển qua ví tội phạm.

Ngoài ra, các nhà sưu tầm NFT giá trị cao gần đây thường được đề nghị tham gia “thử nghiệm beta” cho một game hoặc dự án Play-to-Earn (Chơi để kiếm tiền) mới. Tất cả chỉ là một cái cớ để những kẻ đứng sau gửi cho nạn nhân những tệp độc hại, quét cookie, mật khẩu và dữ liệu tiện ích mở rộng của trình duyệt.

Thủ đoạn cuối cùng được đề cập là “Fake Commission Art” (Lừa họa sĩ mở tệp tranh giả). Đây là cuộc tấn công chủ yếu nhắm vào các họa sĩ hay nhà thiết kế. Họ sẽ nhận được một tệp, trong đó có trình bảo vệ màn hình giả (đuôi .scr). Tệp .scr sẽ quét tất cả cookie, mật khẩu, dữ liệu tiện ích mở rộng (bao gồm cả dữ liệu ví). Ngoài ra, khi nạn nhân mở bản phác thảo, tất cả NFT sẽ được đăng bán và tiền sẽ được chuyển vào ví thủ phạm.

Tuần trước, một báo cáo từ Chainalysis lưu ý số tiền trục lợi từ các vụ lừa đảo tiền điện tử đã giảm 65% vào năm 2022. Tổng số tiền thu được từ những vụ lừa đảo tính đến thời điểm hiện tại vào khoảng 1.6 tỷ USD, giảm đáng kể so với con số 4.6 tỷ USD hồi năm ngoái. Điều này cho thấy nhận thức của người dùng đã được cải thiện hơn, song chúng ta vẫn cần cảnh giác trước những "chiếc bẫy" luôn chực chờ phía trước.

Đọc thêm:  Gate.io bị hack tài khoản Twitter

RELEVANT SERIES