Đóng góp của cộng đồng - Tác giả: WhoTookMyCrypto.com
Năm 2017 là một năm đáng chú ý đối với lĩnh vực tiền điện tử, với mức định giá tăng nhanh chóng đã đẩy chúng trở thành phương tiện truyền thông chính thống. Không có gì đáng ngạc nhiên, điều này đã mang lại cho họ sự quan tâm to lớn và ngày càng tăng, cả từ công chúng và tội phạm mạng. Tính ẩn danh tương đối được cung cấp bởi tiền điện tử khiến chúng trở thành mục tiêu ưa thích của bọn tội phạm, những kẻ thường sử dụng chúng để phá vỡ các hệ thống ngân hàng truyền thống và tránh sự giám sát tài chính từ các cơ quan quản lý.
Vì mọi người dành nhiều thời gian trên điện thoại thông minh hơn trên máy tính để bàn nên không có gì ngạc nhiên khi tội phạm mạng cũng chuyển sang sử dụng các thiết bị này. Bài viết sau đây mở rộng về cách những kẻ lừa đảo nhắm mục tiêu vào người dùng tiền điện tử thông qua thiết bị di động của họ, cũng như một số bước mà người dùng có thể thực hiện để tự bảo vệ mình.
Ứng dụng tiền điện tử giả mạo
Ứng dụng nền tảng trao đổi tiền điện tử giả mạo
Có lẽ ví dụ nổi tiếng nhất về sàn giao dịch tiền điện tử giả là Poloniex. Trước khi ra mắt ứng dụng giao dịch di động chính thức vào tháng 7 năm 2018, Google Play đã liệt kê một số ứng dụng nền tảng giao dịch Poloniex giả mạo, được thiết kế có chủ ý để hoạt động. Nhiều người dùng đã tải xuống các ứng dụng lừa đảo này đã thấy thông tin đăng nhập Poloniex của họ bị xâm phạm và tiền điện tử của họ bị đánh cắp. Một số ứng dụng thậm chí còn đi xa hơn bằng cách yêu cầu thông tin đăng nhập tài khoản Gmail của người dùng. Điều quan trọng cần lưu ý là chỉ những tài khoản không có xác thực hai yếu tố (2FA) mới bị xâm phạm.
Các bước sau đây có thể giúp bạn tự bảo vệ mình khỏi những trò gian lận như vậy.
Kiểm tra trang web chính thức của sàn giao dịch để kiểm tra xem nó có thực sự cung cấp ứng dụng giao dịch trên thiết bị di động hay không. Nếu có, hãy sử dụng liên kết được cung cấp trên trang web của họ.
Đọc đánh giá và xếp hạng. Các ứng dụng lừa đảo thường có nhiều đánh giá không tốt và mọi người phàn nàn về việc bị lừa đảo, vì vậy hãy nhớ kiểm tra các đánh giá và xếp hạng này trước khi tải xuống ứng dụng. Tuy nhiên, bạn cũng nên hoài nghi về những ứng dụng có đánh giá và xếp hạng hoàn hảo. Bất kỳ ứng dụng hợp pháp nào cũng có những đánh giá tiêu cực.
Kiểm tra thông tin nhà phát triển ứng dụng. Hãy xem liệu doanh nghiệp, địa chỉ email và trang web có được cung cấp hợp pháp hay không. Bạn cũng nên tìm kiếm thông tin được cung cấp trực tuyến để xem liệu nó có thực sự liên quan đến nền tảng trao đổi chính thức hay không.
Kiểm tra số lượng tải xuống. Số lượng tải xuống cũng cần được tính đến. Một sàn giao dịch tiền điện tử rất phổ biến khó có thể tạo ra một số lượng nhỏ lượt tải xuống.
Kích hoạt 2FA trên tài khoản của bạn. Mặc dù không an toàn 100%, nhưng 2FA khó vượt qua hơn nhiều và có thể tạo ra sự khác biệt lớn trong việc bảo vệ tiền của bạn, ngay cả khi thông tin đăng nhập của bạn bị xâm phạm (xem bài viết lừa đảo).
Ứng dụng ví tiền điện tử giả
Có rất nhiều loại ứng dụng giả mạo. Một biến thể tìm cách lấy thông tin cá nhân từ người dùng, chẳng hạn như mật khẩu ví và khóa riêng của họ.
Trong một số trường hợp, ứng dụng giả mạo cung cấp cho người dùng địa chỉ công khai được tạo trước. Do đó, những người dùng này cho rằng tiền được gửi đến các địa chỉ này, ngoại trừ việc cuối cùng, họ không có quyền truy cập vào khóa riêng và do đó không có quyền truy cập vào số tiền đã gửi.
Ví dụ về các ví giả này đã được tạo cho các loại tiền điện tử phổ biến như Ethereum và Neo và thật không may, nhiều người dùng đã bị mất tiền. Dưới đây là một số biện pháp phòng ngừa cần thực hiện để tránh trở thành nạn nhân của những hành vi này:
Các biện pháp phòng ngừa được nêu ở trên trong đoạn liên quan đến các ứng dụng trao đổi giả mạo cũng có thể được áp dụng. Tuy nhiên, một biện pháp phòng ngừa bổ sung mà bạn có thể thực hiện khi sử dụng ứng dụng ví là đảm bảo rằng địa chỉ mới được tạo khi bạn mở ứng dụng lần đầu tiên và bạn đang sở hữu các khóa riêng tư (hoặc khả năng ghi nhớ). Ứng dụng ví hợp pháp cho phép bạn xuất khóa riêng nhưng điều quan trọng là phải đảm bảo rằng việc tạo cặp khóa mới không bị xâm phạm. Vì vậy nên sử dụng phần mềm uy tín (tốt nhất là mã nguồn mở).
Ngay cả khi ứng dụng cung cấp cho bạn khóa riêng (hoặc cụm từ ghi nhớ), bạn vẫn nên xác minh rằng các địa chỉ công cộng có thể được lấy ra và có thể truy cập được từ chúng. Ví dụ: một số ví Bitcoin cho phép người dùng nhập khóa riêng hoặc mã ghi nhớ của họ để xem địa chỉ và truy cập tiền. Để giảm thiểu nguy cơ bị xâm phạm khóa và cụm từ, bạn có thể thực hiện việc này trên một máy tính bị cô lập (ngắt kết nối Internet).
Các ứng dụng khai thác tiền điện tử lén lút (cryptojacking)
Khai thác tiền điện tử lén lút (cryptojacking) là một trong những cách thực hiện ưa thích của tội phạm mạng do có một số trở ngại trong quá trình triển khai và chi phí chung thấp. Ngoài ra, nó còn mang lại cho họ tiềm năng thu nhập định kỳ dài hạn. Mặc dù sức mạnh xử lý thấp so với PC nhưng các thiết bị di động ngày càng trở thành mục tiêu của hoạt động khai thác tiền điện tử lén lút.
Ngoài việc hack tiền điện tử trên trình duyệt web, tội phạm mạng còn phát triển các chương trình có vẻ hợp pháp, trò chơi, tiện ích công cộng hoặc ứng dụng giáo dục. Tuy nhiên, nhiều ứng dụng trong số này được thiết kế để bí mật chạy các tập lệnh khai thác tiền điện tử trong nền.
Ngoài ra còn có các ứng dụng hack tiền điện tử được quảng cáo là công cụ khai thác hợp pháp của bên thứ ba, nhưng phần thưởng được trao cho nhà phát triển ứng dụng chứ không phải cho người dùng.
Tệ hơn nữa, tội phạm mạng ngày càng trở nên tinh vi và đã triển khai các thuật toán khai thác nhẹ để tránh bị phát hiện.
Khai thác tiền điện tử lén lút (cryptojacking) cực kỳ có hại cho thiết bị di động của bạn vì nó làm giảm hiệu suất và tăng tốc độ hao mòn. Tệ hơn nữa, chúng có thể hoạt động như ngựa Trojan để phát tán phần mềm độc hại nguy hiểm hơn.
Các biện pháp sau đây có thể được thực hiện để bảo vệ chính bạn:
Chỉ tải xuống ứng dụng từ các cửa hàng chính thức, chẳng hạn như Google Play. Các ứng dụng bị tấn công không được sàng lọc trước và có nhiều khả năng chứa các tập lệnh khai thác tiền điện tử lén lút.
Theo dõi điện thoại của bạn để đảm bảo pin không bị chết hoặc quá nóng. Khi những hiện tượng này được phát hiện, hãy đóng các ứng dụng gây ra chúng.
Luôn cập nhật thiết bị và ứng dụng của bạn để vá các lỗ hổng bảo mật.
Sử dụng trình duyệt web bảo vệ chống khai thác tiền điện tử lén lút hoặc cài đặt các plugin trình duyệt có uy tín, chẳng hạn như MinerBlock, NoCoin và Adblock).
Nếu có thể, hãy cài đặt phần mềm chống vi-rút di động và cập nhật phần mềm đó.
Quà tặng miễn phí và ứng dụng khai thác tiền điện tử giả
Đây là những ứng dụng tuyên bố khai thác tiền điện tử cho người dùng nhưng thực tế không làm gì khác ngoài hiển thị quảng cáo. Họ khuyến khích người dùng tiếp tục mở ứng dụng bằng cách hứa hẹn sẽ tăng phần thưởng theo thời gian. Một số ứng dụng thậm chí còn khuyến khích người dùng để lại đánh giá 5 sao để nhận phần thưởng. Tất nhiên, không có ứng dụng nào trong số này thực sự khai thác và người dùng của chúng chưa bao giờ nhận được bất kỳ phần thưởng nào.
Để bảo vệ bạn khỏi trò lừa đảo này, hãy lưu ý rằng đối với phần lớn các loại tiền điện tử, việc khai thác đòi hỏi phần cứng chuyên dụng cao (ASIC), có nghĩa là không thể khai thác trên thiết bị di động. Dù số tiền bạn trích ra có tốt nhất cũng không đáng kể. Tránh xa những ứng dụng như vậy.
Ứng dụng cắt xén
Các ứng dụng này sửa đổi địa chỉ tiền điện tử mà bạn sao chép và thay thế chúng bằng địa chỉ của kẻ tấn công. Vì vậy, trong khi nạn nhân muốn sao chép địa chỉ chính xác của người nhận, địa chỉ họ dán để xử lý giao dịch sẽ được thay thế bằng địa chỉ của kẻ tấn công.
Để tránh trở thành nạn nhân của các ứng dụng này, dưới đây là một số biện pháp phòng ngừa cần thực hiện khi xử lý giao dịch:
Luôn kiểm tra kỹ hoặc ba lần địa chỉ bạn dán vào trường người nhận. Các giao dịch trên blockchain là không thể thay đổi được, vì vậy bạn phải luôn cẩn thận về điều này.
Tốt hơn là nên kiểm tra địa chỉ đầy đủ thay vì chỉ một phần. Một số ứng dụng đủ thông minh để dán các địa chỉ giống địa chỉ bạn muốn.
Trao đổi thẻ SIM
Trong một vụ lừa đảo hoán đổi SIM, tội phạm mạng có quyền truy cập vào số điện thoại của người dùng. Để làm điều này, chúng sử dụng các kỹ thuật lừa đảo xã hội để lừa các nhà khai thác di động cấp cho chúng một thẻ SIM mới. Vụ lừa đảo hoán đổi SIM nổi tiếng nhất có liên quan đến doanh nhân tiền điện tử Michael Terpin. Anh ta cáo buộc rằng AT&T đã sơ suất trong việc sử dụng thông tin xác thực điện thoại di động của anh ta, khiến anh ta bị mất số token trị giá hơn 20 triệu USD.
Sau khi tội phạm mạng có quyền truy cập vào số điện thoại của bạn, chúng có thể sử dụng số đó để vượt qua mọi A2F dựa vào số đó. Từ đó, họ có thể truy cập vào ví và sàn giao dịch tiền điện tử của bạn.
Một phương pháp khác mà tội phạm mạng có thể sử dụng là giám sát thông tin liên lạc qua SMS của bạn. Các lỗ hổng trong mạng truyền thông có thể cho phép bọn tội phạm chặn tin nhắn của bạn, tin nhắn này có thể bao gồm mã nhận dạng yếu tố thứ hai 2FA mà bạn phải nhận khi đăng nhập.
Điều khiến cuộc tấn công này đặc biệt đáng lo ngại là người dùng có thể trở thành nạn nhân của nó mà không do bất kỳ lỗi nào (không giống như các loại lừa đảo khác mà người dùng bị lừa tải xuống phần mềm giả mạo hoặc nhấp vào liên kết độc hại).
Để tránh trở thành nạn nhân của những trò lừa đảo này, dưới đây là một số bước cần cân nhắc:
Không sử dụng số điện thoại di động của bạn cho 2FA qua SMS. Thay vào đó, hãy sử dụng các ứng dụng như Google Authenticator hoặc Authy để bảo mật tài khoản của bạn. Tội phạm mạng không thể truy cập các ứng dụng này ngay cả khi chúng có số điện thoại của bạn. Bạn cũng có thể sử dụng thiết bị 2FA như YubiKey hoặc khóa bảo mật Google Titan.
Không cung cấp thông tin nhận dạng cá nhân trên mạng xã hội, chẳng hạn như số điện thoại di động của bạn. Tội phạm mạng có thể thu thập thông tin này và sử dụng nó để đánh cắp danh tính của bạn ở nơi khác.
Bạn không bao giờ nên quảng cáo trên mạng xã hội rằng bạn sở hữu tiền điện tử, điều này sẽ khiến bạn trở thành mục tiêu. Hoặc nếu bạn ở vị trí mà mọi người đều biết bạn sở hữu nó, hãy tránh tiết lộ thông tin cá nhân, bao gồm cả sàn giao dịch hoặc ví bạn sử dụng.
Hãy sắp xếp với các nhà cung cấp điện thoại di động để bảo vệ tài khoản của bạn. Điều này có thể có nghĩa là liên kết mã PIN hoặc mật khẩu với tài khoản của bạn và cho biết rằng chỉ những người dùng biết mã PIN mới có thể thực hiện thay đổi đối với tài khoản. Bạn cũng có thể yêu cầu những thay đổi này được thực hiện trực tiếp và từ chối chúng qua điện thoại.
Wi-Fi
Tội phạm mạng liên tục tìm kiếm các điểm xâm nhập vào thiết bị di động, đặc biệt là của những người dùng tiền điện tử. Một ví dụ điển hình là truy cập Wi-Fi công cộng không an toàn và người dùng nên đề phòng trước khi kết nối với nó. Nếu không, họ có nguy cơ cấp cho tội phạm mạng quyền truy cập vào dữ liệu được lưu trữ trên thiết bị di động của họ. Những biện pháp phòng ngừa này đã được đề cập trong bài viết về Wi-Fi công cộng.
Phần kết luận
Điện thoại di động đã trở thành một phần thiết yếu trong cuộc sống của chúng ta. Trên thực tế, chúng có mối liên hệ mật thiết với danh tính kỹ thuật số của bạn đến mức chúng có thể trở thành lỗ hổng lớn nhất của chúng ta. Tội phạm mạng nhận thức được điểm yếu này và sẽ tiếp tục tìm cách khai thác nó. Bảo mật thiết bị di động của bạn không còn là một lựa chọn. Nó đã trở thành một điều cần thiết. Giữ an toàn.
