"Tôi nhận được email thông báo tài khoản đang thực hiện giao dịch trên sàn. Email cũng đính kèm hai liên kết với yêu cầu xác thực giao dịch hoặc từ chối. Nhưng sau khi nhấp vào liên kết từ chối, một tin nhắn SMS gửi về số điện thoại, báo đã giao dịch thành công số tiền 55.000 USDT (loại tiền điện tử có giá trị tương đương USD). Khi vào tài khoản, đã không còn đồng nào trong đó", anh Sinh chia sẻ trên một nhóm Facebook về tiền số.
Anh Sinh cho biết tài khoản sàn giao dịch đã cài đặt xác thực bốn bước, bao gồm mật khẩu, mã xác thực qua SMS, email và Google Authenticator nhưng vẫn bị mất tiền. Tuy nhiên, anh thừa nhận đã nóng vội và truy cập vào liên kết với tên miền lạ mà không lường trước nguy cơ bị lừa đảo.
Ông Võ Đỗ Thắng, Giám đốc Trung tâm đào tạo quản trị và an ninh mạng Athena, cho rằng anh Sinh là nạn nhân của việc tấn công qua liên kết lừa đảo (phishing). Hình thức phổ biến nhất của cách tấn công này là gửi email chứa mã độc hoặc liên kết chứa phần mềm độc hại. Nếu nạn nhân nhấp vào link, mã độc có thể tự tải về thiết bị và thực hiện các bước đánh cắp tài khoản người dùng.
"Khi mã độc đã xâm nhập vào thiết bị, các bot sẽ thực hiện việc chiếm tài khoản và rút sạch tiền mà người dùng không thể làm gì. Với tiền số, việc lấy lại tài sản đã mất lại càng không thể", ông Thắng nhấn mạnh.
Theo dữ liệu từ công ty nghiên cứu blockchain Chainalysis đầu 2022, tổn thất do tội phạm liên quan đến tiền số lên đến 14 tỷ USD năm 2021, tăng 79% so với 2020, chủ yếu do hành vi trộm cắp và lừa đảo nhằm vào cá nhân và doanh nghiệp sở hữu tiền số. Riêng với cá nhân, hai trong số các chiêu lừa phổ biến là rút thảm và phishing.
Theo Fortunes, ngày càng nhiều trò lừa đảo tiền số theo hình thức phishing được ghi nhận. Hồi tháng 12, tài khoản Reddit PowerofTheGods cho biết đã mất 120.000 USD từ cả ví "nóng" và ví "lạnh" sau khi nhấp vào một liên kết đáng ngờ. Người này cho biết đã đầu tư vào tiền số từ 2016. Số token được anh chia thành 5 phần, với 80% nằm trong ví "lạnh" Ledger Nano S và còn lại trên bốn ví Metamask.
"Tôi nhìn vào các số 0 trên tài khoản và thực sự không hiểu chuyện gì xảy ra. Tôi chỉ cắm ví Ledger một lần duy nhất để kiểm tra tài khoản, nhưng toàn bộ số tiền không cánh mà bay", người này chia sẻ trên Reddit.
Anh sau đó đã nhớ lại rằng mình có truy cập một website lạ và nhấp vào một liên kết độc hại trong khi lướt web. Tuy nhiên, anh không nghĩ rằng nó có thể chiếm tất cả tiền số, nhất là với ví "lạnh" vì độ bảo mật của nó cao hơn.
Một chuyên gia bảo mật sau đó xem xét máy tính của PowerofTheGods và nhận thấy rằng một trojan đã kiểm soát trình duyệt, ghi nhận mọi thao tác trên bàn phím. Theo chuyên gia này, rất có thể các cụm khóa bảo mật của ví đã bị lộ và bị đánh cắp.
Bài viết của PowerofTheGods nhận sự chú ý lớn. Dưới phần bình luận, một số tài khoản cho biết họ cũng mất từ vài chục nghìn USD tới hàng trăm nghìn USD do bất cẩn khi duyệt web hoặc nhấp vào liên kết trong email. Chẳng hạn, tài khoản TomKim1965 nói rằng mình từng mất tiền số trị giá 100.000 USD năm 2017 cũng do truy cập vào liên kết lạ. Người này ước tính hiện số tiền đạt giá trị hơn một triệu USD.
Một dạng phising khác có tên "trò lừa tiền điện tử lãng mạn" cũng được kẻ gian áp dụng thời gian qua. Theo FBI, có hơn 24.000 nạn nhân đã sập bẫy chỉ riêng 2021 với số tiền thiệt hại lên đến một tỷ USD. Nạn nhân gần đây có Cindy Tsai và hai cha con Hutchinson. Tsai mất 2,5 triệu USD, còn gia đình Hutchinson mất gần 400.000 USD cùng với lý do bị người lạ trên mạng dụ dỗ nhấp vào website giả mạo và đánh cắp tài khoản.
Theo đặc vụ FBI Matthew Giacobbi, các đường link mà nạn nhân bấm vào để đăng ký tài khoản và giao dịch thực chất là web mạo danh các sàn giao dịch lớn. Khi chuyển tiền lên sàn, thực chất người dùng đang gửi tiền cho kẻ lừa đảo. "Kẻ gian ngày càng tinh vi trong việc tạo những website giống như thật", đặc vụ này cho biết.
Theo FBI, cách tốt nhất để bảo vệ mình là không đầu tư theo những người bạn chỉ quen trên mạng, có thói quen nghi ngờ tất cả các liên kết lạ, hạn chế bấm vào đường link không rõ nguồn gốc, không cung cấp thông tin tài khoản ngân hàng, mã số ví tiền số cho bất cứ ai, sử dụng một máy khác để truy cập nếu cảm thấy cần thiết. Ngoài ra, người dùng cũng nên bật xác thực đa yếu tố để hạn chế bị chiếm tài khoản, dù cách này không an toàn 100%.