Tấn công giả mạo (phishing) vẫn là hình thức tấn công mạng phổ biến nhất. Đây là cách bảo vệ bản thân, tiền điện tử và NFT của bạn.

Mặc dù những người truyền bá Web3 từ lâu đã quảng cáo về các tính năng bảo mật gốc của blockchain, dòng tiền chảy vào khiến Web3 trở thành con mồi hấp dẫn đối với hacker, lừa đảo và trộm.

Khi những kẻ xấu thành công trong việc vi phạm an ninh mạng Web3 (Web3 cybersecurity), người dùng thường bỏ qua những mối đe dọa phổ biến nhất về lòng tham của con người, FOMO và sự thiếu hiểu biết, hơn là do những sai sót trong công nghệ.

Nhiều trò lừa đảo hứa hẹn những khoản lợi nhuận lớn, các khoản đầu tư hoặc các đặc quyền riêng; FTC gọi đây là những cơ hội kiếm tiền và lừa đảo đầu tư.

Số tiền lớn trong lừa đảo

Theo một báo cáo vào tháng 6 năm 2022 của Ủy ban Thương mại Liên bang (Federal Trade Commission), hơn 1 tỷ USD cryptocurrency đã bị đánh cắp kể từ năm 2021. Và địa điểm săn lùng của hacker là nơi mọi người tụ tập trực tuyến.

FTC cho biết: “Gần một nửa số người đã báo cáo mất crypto vào một vụ lừa đảo kể từ năm 2021 cho biết nó bắt đầu với một quảng cáo, bài đăng hoặc tin nhắn trên nền tảng mạng xã hội”.

Mặc dù các vụ lừa đảo nghe có vẻ tốt đến mức khó tin, nhưng các nạn nhân tiềm năng có thể nghi ngờ về sự biến động dữ dội của thị trường crypto; mọi người không muốn bỏ lỡ cơ hội lớn tiếp theo.

Những kẻ tấn công nhắm vào NFT

Cùng với crypto, NFTs hoặc các token không thể thay thế, đã trở thành mục tiêu ngày càng phổ biến của những kẻ lừa đảo; Theo công ty an ninh mạng Web3 TRM Labs, trong hai tháng sau tháng 5 năm 2022, cộng đồng NFT đã thiệt hại ước tính khoảng 22 triệu USD cho các vụ lừa đảo và tấn công giả mạo.

Các bộ sưu tập "blue-chip" như Bored Ape Yacht Club (BAYC) là một mục tiêu đặc biệt được đánh giá cao. Vào tháng 4 năm 2022, tài khoản Instagram của BAYC đã bị tấn công bởi những kẻ lừa đảo, kẻ lừa đảo đã chuyển hướng nạn nhân đến một trang web và lấy hết crypto và NFT ví Ethereum của nạn nhân. Khoảng 91 NFT, với tổng giá trị hơn 2.8 triệu USD đã bị đánh cắp. Vài tháng sau, một vụ khai thác Discord đã chứng kiến số NFT trị giá 200 ETH bị đánh cắp từ người dùng.

BAYC holder cao cấp cũng đã trở thành nạn nhân của những trò lừa đảo. Vào ngày 17 tháng 5, nam diễn viên kiêm nhà sản xuất Seth Green đã tweet rằng anh ấy là nạn nhân của một vụ lừa đảo giả mạo dẫn đến việc bị đánh cắp 4 NFT, bao gồm cả Bored Ape # 8398. Ngoài việc làm nổi bật mối đe dọa do các cuộc tấn công giả mạo gây ra, điều này có thể đã làm ảnh hưởng một chương trình truyền hình/phát trực tuyến theo chủ đề NFT do Green, "White Horse Tavern", lên kế hoạch. BAYC NFT bao gồm quyền cấp phép sử dụng NFT cho mục đích thương mại, như trong trường hợp của nhà hàng thức ăn nhanh Bored & Hungry ở Long Beach, CA.

Trong một phiên Twitter Spaces ngày 9 tháng 6, Green nói rằng anh ấy đã khôi phục được JPEG bị đánh cắp sau khi trả 165 ETH (hơn 295,000 USD vào thời điểm đó) cho một người đã mua NFT sau khi bị đánh cắp.

Luis Lubeck, kỹ sư bảo mật tại công ty an ninh mạng Web3, Halborn, nói với Decrypt: “Tấn công giả mạo vẫn là phương pháp tấn công đầu tiên".

Lubeck nói rằng người dùng nên lưu ý các trang web giả mạo yêu cầu thông tin đăng nhập ví, liên kết sao chép và các dự án giả mạo.

Theo Lubeck, một trò lừa đảo giả mạo có thể bắt đầu với kỹ thuật trên mạng xã hội, nói với người dùng về việc ra mắt token sớm hoặc việc số tài sản của người dùng có thể tăng gấp 100 lần, API thấp hoặc tài khoản của người dùng đã bị xâm phạm và yêu cầu thay đổi mật khẩu. Những thông báo này thường đi kèm với thời gian giới hạn để thao tác, càng khiến người dùng lo sợ về việc bỏ lỡ, còn được gọi là FOMO.

Trong trường hợp của Green, cuộc tấn công giả mạo đến thông qua một cloned link.

Clone phishing là một cuộc tấn công trong đó kẻ lừa đảo lấy một trang web, email hoặc thậm chí một link đơn giản và tạo ra một bản sao gần như hoàn hảo trông giống bản gốc. Green nghĩ rằng anh ta đang mint bản sao "GutterCat" bằng cách sử dụng những một trang web lừa đảo.

Khi Green kết nối ví của mình với trang web lừa đảo và ký giao dịch để mint NFT, anh ta đã cấp cho tin tặc quyền truy cập vào private key của mình và Bored Apes của anh ấy.

Các loại tấn công mạng

Vi phạm bảo mật có thể ảnh hưởng đến cả công ty và cá nhân. Mặc dù không đầy đủ, nhưng các cuộc tấn công mạng nhắm vào Web3 thường thuộc các loại sau:

• 🎣 Tấn công giả mạo: Một trong những hình thức tấn công mạng lâu đời nhất nhưng phổ biến nhất, các cuộc tấn công giả mạo thường xảy ra dưới dạng email và việc gửi các thông tin liên lạc lừa đảo như text và tin nhắn trên mạng xã hội có vẻ như đến từ một nguồn có uy tín. Tội phạm công nghệ cao (cybercrime) này cũng có thể ở dạng trang web bị xâm nhập hoặc được mã hóa độc hại (maliciously coded) có thể lấy crypto hoặc NFT khỏi ví của người dùng dựa trên trình duyệt được đính kèm sau khi ví được kết nối.

• 🏴‍☠️ Phần mềm độc hại (Malware): Viết tắt của malicious software, thuật ngữ này bao hàm bất kỳ chương trình hoặc code nào có hại cho hệ thống. Phần mềm độc hại có thể xâm nhập vào hệ thống thông qua email, text và tin nhắn giả mạo.

• 👾 Trang web bị xâm nhập (Compromised Websites): Các trang web chính thống bị hijack  chiếm quyền điều khiển và được sử dụng để lưu trữ phần mềm độc hại mà người dùng không nghi ngờ sẽ tải xuống sau khi người dùng click vào link, hình ảnh hoặc tệp.

• 🪤 Giả mạo URL (URL Spoofing): Hủy liên kết các trang web bị xâm phạm; trang web giả mạo spoofed website là các trang web độc hại bản sao của các trang web chính thống. Còn được gọi là URL Phishing, các trang web này có thể thu thập username, mật khẩu, thẻ tín dụng, crypto và thông tin cá nhân khác.

• 🤖 Tiện ích mở rộng trình duyệt giả mạo (Fake Browser Extensions): Đúng như tên gọi, những kẻ khai thác này sử dụng tiện ích mở rộng trình duyệt giả mạo để lừa người dùng crypto nhập thông tin đăng nhập hoặc key vào tiện ích mở rộng cung cấp cho kẻ khai thác quyền truy cập vào dữ liệu.

Các cuộc tấn công này thường nhằm vào việc truy cập, đánh cắp và phá hủy thông tin nhạy cảm hoặc trong trường hợp của Green là NFT Bored Ape.

Người dùng cần làm gì để bảo vệ bản thân?

Lubeck nói rằng cách tốt nhất để bảo vệ bản thân khỏi lừa đảo là không bao giờ trả lời email, tin nhắn SMS, Telegram, Discord hoặc WhatsApp từ một người, công ty hoặc tài khoản không xác định. “I will go further than that - hơn nữa là,” Lubeck nói thêm. "Không bao giờ nhập thông tin xác thực hoặc thông tin cá nhân nếu người dùng chưa từng giao tiếp với đối tượng."

Lubeck khuyến nghị không nhập thông tin xác thực hoặc thông tin cá nhân khi sử dụng mạng hoặc WiFi công cộng hoặc được chia sẻ. Ngoài ra, Lubeck chia sẻ rằng mọi người không nên có cảm giác an toàn giả tạo) vì sử dụng một hệ điều hành hoặc một loại điện thoại cụ thể.