Đóng góp của Cộng đồng - Tác giả: WhoTookMyCrypto.com

Năm 2017 là một năm tuyệt vời cho lĩnh vực tiền điện tử khi sự gia tăng nhanh chóng trong giá trị đã đưa nó vào truyền thông và điều này đã thu hút sự chú ý lớn từ cả công chúng và tội phạm mạng. Tiền điện tử đã trở thành một thứ ưa thích cho tội phạm mạng và họ đã thường xuyên sử dụng nó để vượt qua các hệ thống ngân hàng truyền thống và tránh sự giám sát tài chính từ các nhà quản lý.

Vì mọi người dành nhiều thời gian hơn trên điện thoại thông minh so với máy tính để bàn, không có gì ngạc nhiên khi tội phạm mạng cũng chú ý đến chúng. Cuộc thảo luận sau đây giải thích cách mà những kẻ lừa đảo nhắm mục tiêu người dùng tiền điện tử thông qua thiết bị di động của họ cùng với một số bước mà người dùng có thể thực hiện để bảo vệ bản thân.


Ứng dụng tiền điện tử giả mạo

Ứng dụng giao dịch tiền điện tử giả mạo

Ví dụ nổi tiếng nhất về ứng dụng giao dịch tiền điện tử giả mạo có lẽ là ví dụ về Poloniex. Trước khi phát hành ứng dụng giao dịch di động chính thức vào tháng 7 năm 2018, Google Play đã liệt kê nhiều ứng dụng giả mạo của nền tảng Poloniex, điều này đã được thiết kế có chủ đích. Nhiều người dùng đã tải xuống những ứng dụng giả mạo đó đã bị xâm phạm thông tin đăng nhập của Poloniex và tiền điện tử của họ đã bị đánh cắp. Một số ứng dụng thậm chí đã đi xa hơn yêu cầu thông tin đăng nhập tài khoản Gmail của người dùng. Điều quan trọng là phải nhấn mạnh rằng chỉ những tài khoản không có xác thực hai yếu tố (2FA) mới bị xâm phạm.

Các bước sau đây có thể giúp bạn bảo vệ bản thân khỏi những vụ lừa đảo này.

  • Kiểm tra trang web chính thức của nền tảng để xác minh xem họ có thực sự cung cấp ứng dụng di động hay không. Nếu nền tảng có cung cấp, hãy sử dụng liên kết có sẵn trên trang web của họ.

  • Đọc các bình luận và đánh giá. Thường thì các ứng dụng giả mạo có nhiều đánh giá xấu, nơi mọi người phàn nàn rằng họ đã bị lừa, vì vậy hãy chắc chắn kiểm tra chúng trước khi tải xuống. Tuy nhiên, bạn cũng nên nghi ngờ các ứng dụng có đánh giá và bình luận hoàn hảo, vì bất kỳ ứng dụng hợp pháp nào cũng có một phần công bằng các đánh giá tiêu cực.

  • Kiểm tra thông tin của nhà phát triển ứng dụng. Tìm hiểu xem công ty hợp pháp, địa chỉ email và trang web có sẵn hay không. Bạn cũng nên thực hiện tìm kiếm trực tuyến về thông tin được cung cấp để xem liệu nó có thực sự liên kết với nền tảng chính thức hay không.

  • Kiểm tra số lượng tải xuống. Bạn cũng nên xem xét số lượng tải xuống mà ứng dụng có, vì không có khả năng ứng dụng của một nền tảng giao dịch tiền điện tử nổi tiếng có số lượng tải xuống ít.

  • Kích hoạt 2FA trên các tài khoản của bạn. Mặc dù không an toàn 100%, nhưng rất khó để vượt qua 2FA và có thể tạo ra sự khác biệt lớn trong việc bảo vệ tiền của bạn. Ngay cả khi thông tin đăng nhập bị đánh cắp.


Ứng dụng ví lưu trữ tiền điện tử giả mạo

Có nhiều loại ứng dụng giả mạo khác nhau. Một hình thức tìm cách thu thập thông tin cá nhân từ người dùng như mật khẩu ví và khóa riêng.

Trong một số trường hợp, các ứng dụng giả mạo cung cấp địa chỉ công cộng được tạo sẵn cho người dùng. Vì vậy, họ giả định rằng tiền được gửi vào những địa chỉ này. Nhưng họ không thể truy cập vào khóa riêng và do đó không thể truy cập vào bất kỳ tiền nào được gửi đến họ.

Những ví giả mạo này đã được tạo ra cho các loại tiền điện tử phổ biến như Ethereum và Neo và thật không may, nhiều người dùng đã mất tiền theo cách này. Dưới đây là một số bước phòng ngừa có thể thực hiện để tránh trở thành nạn nhân:

  • Các biện pháp phòng ngừa được nêu trong phần ứng dụng nền tảng ở trên cũng áp dụng. Tuy nhiên, có một biện pháp bổ sung mà bạn có thể thực hiện khi làm việc với các ứng dụng ví là đảm bảo tạo ra các địa chỉ hoàn toàn mới khi mở ứng dụng lần đầu tiên và rằng bạn đang giữ khóa riêng (mnemonic seeds). Một ứng dụng ví hợp pháp cho phép bạn xuất khẩu khóa riêng, nhưng cũng quan trọng là đảm bảo rằng việc tạo cặp khóa mới không bị lộ. Vì vậy, bạn nên sử dụng phần mềm có uy tín (tốt nhất là mã nguồn mở).

  • Ngay cả khi ứng dụng cung cấp cho bạn một khóa riêng (hoặc khóa chính), bạn nên kiểm tra xem các địa chỉ công cộng có thể truy xuất và truy cập được hay không. Ví dụ, một số ví Bitcoin cho phép người dùng nhập khóa riêng hoặc hạt giống để hiển thị các địa chỉ và truy cập vào tiền. Để giảm thiểu rủi ro khóa và hạt giống bị lộ, bạn có thể thực hiện điều này trên một máy tính không có kết nối internet.


Ứng dụng Cryptojacking

Cryptojacking đã trở thành phổ biến trong giới tội phạm mạng do rào cản thấp và dễ dàng. Hơn nữa, những ứng dụng này cung cấp cho họ khả năng tạo ra thu nhập thường xuyên lâu dài. Mặc dù có sức mạnh xử lý thấp khi so sánh với máy tính, thiết bị di động ngày càng trở thành mục tiêu của Cryptojacking.

Ngoài Cryptojacking trong trình duyệt web, tội phạm mạng cũng phát triển các phần mềm có vẻ như là trò chơi, công cụ hỗ trợ hoặc ứng dụng giáo dục hợp pháp. Tuy nhiên, hầu hết những ứng dụng này được thiết kế để chạy mã khai thác ngầm thông qua trình duyệt của nạn nhân. Cũng có các ứng dụng Cryptojacking được quảng cáo như là thợ mỏ hợp pháp nhưng phần thưởng được chuyển đến nhà phát triển ứng dụng thay vì người dùng. Tình hình trở nên tồi tệ hơn khi tội phạm mạng trở nên tinh vi hơn và phát tán các thuật toán khai thác nhẹ để tránh bị phát hiện.

Cryptojacking gây hại đáng kể cho thiết bị di động vì nó làm giảm hiệu suất và làm chậm thiết bị, tệ hơn nữa là nó có thể hoạt động như một virus Trojan Horse độc hại.


Các bước sau đây có thể được thực hiện để bảo vệ chống lại chúng.

  • Chỉ tải xuống các ứng dụng từ các cửa hàng chính thức, chẳng hạn như Google Play, các ứng dụng bị xâm phạm không được kiểm tra trước và có khả năng chứa mã Cryptojacking.

  • Theo dõi điện thoại của bạn để tránh cạn kiệt pin quá mức hoặc quá nhiệt. Ngay khi phát hiện ra, hãy ngay lập tức kết thúc các ứng dụng gây ra điều đó.

  • Giữ cho thiết bị và ứng dụng của bạn được cập nhật để sửa chữa và đóng các lỗ hổng bảo mật.

  • Sử dụng trình duyệt bảo vệ khỏi Cryptojacking hoặc cài đặt các tiện ích mở rộng trình duyệt nổi tiếng, như MinerBlock, NoCoin và Adblock.

  • Cài đặt phần mềm chống virus cho điện thoại di động và giữ cho nó được cập nhật nếu có thể.


Quà tặng miễn phí và ứng dụng khai thác tiền điện tử giả mạo

Đây là những ứng dụng giả mạo khai thác tiền điện tử cho người dùng nhưng thực tế không làm gì ngoại trừ hiển thị quảng cáo. Chúng khuyến khích người dùng giữ cho ứng dụng mở bằng cách tăng phần thưởng theo thời gian. Một số ứng dụng khuyến khích người dùng để lại đánh giá 5 sao để nhận phần thưởng và đương nhiên không có bất kỳ tiền điện tử nào được khai thác thông qua bất kỳ ứng dụng nào trong số này và người dùng cũng không nhận được phần thưởng.

Để bảo vệ khỏi sự lừa đảo này, tôi hiểu rằng đối với hầu hết các loại tiền điện tử, việc khai thác yêu cầu thiết bị chuyên dụng cao (ASIC), điều này có nghĩa là không thể khai thác trên thiết bị di động. Ngay cả số tiền mà bạn có thể khai thác cũng sẽ rất nhỏ bé, vì vậy tốt hơn là nên tránh xa bất kỳ ứng dụng nào trong số này.



Ứng dụng Clipper

Những ứng dụng này thay đổi địa chỉ tiền điện tử mà bạn sao chép và thay thế nó bằng địa chỉ của kẻ tấn công. Do đó, trong khi nạn nhân có thể sao chép địa chỉ người nhận đúng, địa chỉ mà kẻ tấn công thay thế là địa chỉ mà họ dán để xử lý giao dịch và do đó họ nhận được tiền.

Để tránh trở thành nạn nhân của những ứng dụng này, đây là một số biện pháp phòng ngừa mà bạn có thể thực hiện khi thực hiện giao dịch:

  • Luôn kiểm tra hai hoặc ba lần địa chỉ mà bạn dán vào trường người nhận. Giao dịch trên blockchain là không thể hoàn tác nên bạn luôn phải cẩn thận.

  • Tốt hơn là kiểm tra toàn bộ địa chỉ thay vì chỉ một phần. Một số ứng dụng đủ thông minh để dán các địa chỉ tương tự như địa chỉ bạn dự định.



Thay đổi SIM


Trong một cuộc lừa đảo thay đổi SIM, tội phạm mạng có thể truy cập vào số điện thoại của người dùng và kiểm soát nó. Họ làm điều này bằng cách sử dụng các kỹ thuật kỹ thuật xã hội để lừa gạt các nhà mạng phát hành một thẻ SIM mới cho họ. Một trong những vụ lừa đảo SIM nổi tiếng nhất có liên quan đến doanh nhân và người tiên phong trong lĩnh vực tiền điện tử Michael Terpin. Ông tuyên bố rằng AT&T đã bất cẩn trong việc xử lý thông tin xác thực của ông, dẫn đến việc ông mất hơn 20 triệu đô la giá trị mã thông báo.

Một khi tội phạm mạng có thể truy cập vào số điện thoại của bạn, họ có thể sử dụng nó để vượt qua bất kỳ hình thức xác thực 2FA nào dựa vào đó. Sau đó, họ có thể truy cập vào ví và tài khoản giao dịch tiền điện tử của bạn.

Một cách khác mà tội phạm mạng có thể sử dụng là theo dõi các cuộc gọi tin nhắn văn bản của bạn. Các lỗ hổng trong mạng viễn thông có thể cho phép kẻ phạm tội chặn tin nhắn của bạn, có thể bao gồm mã xác thực 2FA đã được gửi cho bạn.

Điều đáng lo ngại đặc biệt với cuộc tấn công này là người dùng không được yêu cầu thực hiện bất kỳ hành động nào như tải xuống phần mềm giả mạo hoặc nhấp vào liên kết độc hại.


Để ngăn chặn việc trở thành nạn nhân của những trò lừa đảo như vậy, đây là một số bước mà bạn nên cân nhắc:

  • Không sử dụng số điện thoại di động của bạn cho xác thực 2FA bằng tin nhắn văn bản. Thay vào đó, hãy sử dụng các ứng dụng như Google Authenticator hoặc Authy để bảo mật các tài khoản của bạn. Điều này sẽ khiến tội phạm mạng khó có thể truy cập vào những ứng dụng này ngay cả khi họ có số điện thoại của bạn. Thay vào đó, bạn có thể sử dụng các thiết bị 2FA như YubiKey hoặc Google Security Titan Key.

  • Không tiết lộ thông tin cá nhân trên mạng xã hội, chẳng hạn như số điện thoại di động của bạn. Tội phạm mạng có thể thu thập thông tin này và sử dụng nó để giả mạo bạn ở nơi khác.

  • Bạn không bao giờ nên công bố trên mạng xã hội rằng bạn sở hữu tiền điện tử vì điều này sẽ khiến bạn trở thành mục tiêu. Nếu bạn ở trong tình huống mà mọi người đều biết rằng bạn có, bạn nên tránh tiết lộ thông tin cá nhân, bao gồm cả nền tảng hoặc ví mà bạn đang sử dụng.

  • Hãy sắp xếp với nhà cung cấp dịch vụ di động của bạn để bảo vệ tài khoản của bạn. Điều này có thể có nghĩa là đính kèm mã PIN hoặc mật khẩu vào tài khoản của bạn và yêu cầu rằng chỉ những người dùng có kiến thức về mã bí mật mới có thể thực hiện thay đổi trên tài khoản. Bạn cũng có thể yêu cầu thực hiện những thay đổi như vậy trực tiếp và không cho phép qua điện thoại.


WiFi

Tội phạm mạng luôn tìm kiếm điểm truy cập trên thiết bị di động, đặc biệt là của những người dùng tiền điện tử. Điểm truy cập này chính là truy cập vào mạng WiFi. Mạng WiFi công cộng không an toàn và người dùng cần thực hiện các biện pháp phòng ngừa trước khi kết nối. Bởi vì điều này rủi ro cho tội phạm mạng truy cập vào dữ liệu trên thiết bị di động của họ. Những biện pháp phòng ngừa này đã được đề cập trong một bài viết về mạng WiFi công cộng.


Những suy nghĩ cuối cùng

Điện thoại di động đã trở thành một phần thiết yếu trong cuộc sống của chúng ta. Thực tế, chúng liên kết chặt chẽ với danh tính kỹ thuật số của bạn đến mức có thể trở thành những điểm yếu lớn nhất của bạn. Tội phạm mạng nhận thức được điều này và sẽ tiếp tục tìm kiếm cách để khai thác điều đó. Việc bảo mật thiết bị di động không còn là tùy chọn. Nó đã trở thành một nhu cầu. Hãy an toàn.