Dụ tham gia dự án 'ma'
Tháng 10/2021, chị Thanh Hiền (Bình Phước) được bạn giới thiệu có một dự án meme coin mang tên Floki Iron. Chị bỏ ra 2.000 USD để đầu tư, với hy vọng số tiền này sớm nhân lên nhiều lần.
Ngày 22/12, Floki Iron tuyên bố đã bán hết số token trị giá 100 BNB trong 30 giây trên nền tảng PinkSale. Tuy nhiên, thay vì dùng để đầu tư vào dự án, toàn bộ số tiền trên bị người đứng sau rút ra. Với giá trị của mỗi BNB khi đó là hơn 500 USD, số tiền mà nhóm này thu về khoảng 50.000 USD.
Dựa trên dữ liệu KYC, danh tính của ba người đứng sau được PinkSale xác định đến đến từ Thái Nguyên, Bình Phước và Quảng Nam. Tuy nhiên, họ không thể làm gì hơn. Đến nay, chị Hiền và những người đã bỏ tiền vào dự án không thể lấy lại được tài sản của mình.
Theo CoinTelegraph, hình thức trên được gọi là rút thảm, nói về việc một nhóm phát triển tiền số nào đó từ bỏ dự án đột ngột và đem theo tất cả số tiền có được từ nhà đầu tư. Công ty nghiên cứu blockchain Chainalysis thống kê hình thức lừa đảo này khiến nhà đầu tư mất số tiền tổng cộng gần 3 tỷ USD trong năm 2021.
Eva Crouwel, người phụ trách mảng tội phạm tài chính của sàn giao dịch tiền số Luno, cho rằng người dùng nên cẩn thận trước các dự án thiếu minh bạch, nhất là không có thông tin đội ngũ phát triển rõ ràng, website sơ sài, không có sách trắng hay lộ trình phát triển chi tiết.
Gửi liên kết lừa đảo
Tấn công qua liên kết lừa đảo (phishing) cũng là một trong những chiêu lừa nở rộ trong lĩnh vực tiền số. Theo dữ liệu từ Chainalysis đầu 2022, tổn thất do tội phạm liên quan đến tiền số lên đến 14 tỷ USD năm 2021, tăng 79% so với 2020, chủ yếu do hành vi trộm cắp và lừa đảo nhằm vào cá nhân và doanh nghiệp sở hữu tiền số. Riêng với cá nhân, phishing là một trong những nguyên nhân hàng đầu.
Mới đây, anh Văn Sinh (Đồng Tháp) cho biết đã mất số Bitcoin trị giá hơn 50.000 USD sau khi nhấp vào liên kết trong email mạo danh một sàn giao dịch tiền số.
Theo ông Võ Đỗ Thắng, Giám đốc Trung tâm đào tạo quản trị và an ninh mạng Athena, hình thức phổ biến nhất của cách tấn công phishing là gửi email đính kèm file hoặc đường link chứa phần mềm độc hại. Nếu nạn nhân bấm vào link, mã độc có thể tự tải về thiết bị và thực hiện các bước đánh cắp tài khoản người dùng.
"Khi mã độc xâm nhập vào thiết bị, các bot sẽ thực hiện việc chiếm tài khoản và rút sạch tiền mà người dùng không thể làm gì. Với tiền số, việc lấy lại tài sản đã mất lại càng không thể", ông Thắng nhấn mạnh. "Cách tốt nhất để bảo vệ mình là không nghe theo chỉ dẫn trên mạng, có thói quen nghi ngờ tất cả các liên kết lạ, hạn chế bấm vào link không rõ nguồn gốc".
Giao dịch token lạ
Chị Lê Thu (Phú Yên) cho biết cuối năm ngoái, ví Trust Wallet của chị xuất hiện một token lạ có tên Air Coin, với giá trị số tiền hiển thị lên đến một triệu USD. Vì tò mò, chị thử thực hiện hoán đổi (swap) với hy vọng bán được. Thế nhưng, sau khi truy cập website, kết nối ví và giao dịch, toàn bộ số token trị giá 5.000 USD của chị nằm trong ví đã biến mất.
Trước đó, anh Đức Thọ (TP HCM) cũng mất hết số coin trong ví sau khi bỗng dưng nhận được số token lạ. Nghĩ là ai đó tặng mình, anh swap qua website của nhà phát triển token đó và cấp quyền truy cập ví. Ngay sau khi thực hiện thao tác trên, toàn bộ số tiền điện tử trong ví trước đó cũng bị chuyển đi.
Thực tế, việc tặng token khá phổ biến trong thế giới tiền điện tử. Hình thức này được gọi là "airdrop", thường được các dự án mới ra đời dùng để thu hút người chơi. Tuy nhiên thời gian qua, "airdrop" bị lợi dụng để lừa người nhẹ dạ, thiếu kinh nghiệm. Theo các chuyên gia về tiền số, nếu tương tác với loại token được airdrop không rõ nguồn gốc, người dùng có nguy cơ mất sạch tiền.
Tom Robinson, đồng sáng lập công ty phân tích blockchain Elliptic, cho biết một trong những điểm dễ nhận ra của hình thức lừa đảo này là các token "lạ" thường có tên giống như một website. Giao diện website cũng giống với các sàn phi tập trung như phổ biến như Uniswap, Pancakeswap... nhằm tạo sự tin tưởng.
"Khi hoán đổi, người dùng cần cấp quyền cho sàn truy cập vào tài sản bên trong ví. Nếu vô tình cấp quyền cho các sàn mạo danh, lừa đảo, họ hoàn toàn có thể bị mất hết số tiền điện tử trong ví", ông cảnh báo.
Nhận trợ giúp từ người lạ
Mới đây, chị Nguyễn (Tây Ninh) đã mất 5.000 USD tiền số trong ví do chuyển nhầm token, sau đó mất tiếp 2.000 USD còn lại do tin một người trên mạng. Theo lời kể, chị chuyển nhầm tiền số lên một sàn giao dịch chưa hỗ trợ token này nên lên mạng "cầu cứu". Một người nhắn tin đề nghị giúp đỡ bằng cách yêu cầu chị đưa mã khóa ví (12 ký tự) để kiểm tra, nhưng sau đó lại đánh cắp hết số tiền còn lại.
Các chuyên gia tiền số cảnh báo, chiêu lừa trợ giúp không mới. Kẻ gian thường nhắm mục tiêu là những người ít hiểu biết về giao dịch tiền điện tử và từng giao dịch thất bại. Chúng tìm kiếm các chia sẻ trên mạng xã hội, sau đó nhắn tin trực tiếp đề nghị giúp đỡ, dụ nạn nhân đưa mật khẩu ví, tài khoản hoặc lừa bấm vào liên kết lạ chứa mã độc.
Người chơi tiền số được khuyến cáo không nên tin theo các dịch vụ hỗ trợ lấy lại tiền trên mạng vì thường là lừa đảo. Họ nên giữ kín cụm mã khóa ví bằng cách viết ra giấy hoặc cất giữ ở USB thay vì lưu trên nền tảng trực tuyến và không cung cấp cho bất kỳ ai.
Lừa truy cập website mạo danh
Cuối năm ngoái, anh Vũ Tiến (Hà Nội) cho biết thường truy cập sàn Pancake Swap bằng cách gõ từ "pancake" trên trình duyệt, sau đó bấm vào kết quả trên trang tìm kiếm. Các lần trước đó, đường link đầu của Google Search đều chỉ tới trang Pancake Swap thật. Thế nhưng, vào một ngày anh click nhầm vào website đầu tiên trên Google mà không để ý đó là "pancakeswop". Sau khi kết nối ví, toàn bộ số tiền trong đó đã bị lấy đi.
Theo hãng bảo mật Checkpoint, hacker thường tạo các website mạo danh các ví tiền điện tử như Metamask, Trust Wallet, hoặc sàn DEX như PancakeSwap, Uniswap... sau đó chạy quảng cáo trên Google. Nếu không để ý, người chơi có thể nhầm lẫn nên tải về ứng dụng giả mạo này, khiến kẻ gian có toàn quyền truy cập ví và lấy đi tiền điện tử bên trong.
Cũng theo hãng này, để tránh truy cập website giả mạo, người dùng cần xem kỹ URL của trang web trước khi thực hiện bất cứ giao dịch nào. Khi tìm kiếm trên Google, nên chọn kết quả đầu tiên không phải quảng cáo, đồng thời không nhập cụm từ khôi phục bí mật vào những trang nghi ngờ. Ngoài ra, nên tải ứng dụng ví trực tiếp trên App Store, Google Play, không nên tải file cài đặt từ các website không rõ nguồn gốc.