Thị trường tiền mã hóa (hay tiền số) năm 2025 tiếp tục chứng kiến sự sôi động, nhưng song hành là tình trạng gia tăng đột biến của các rủi ro bảo mật. Trong đó, giới chuyên gia ghi nhận sự chuyển dịch rõ rệt của tội phạm mạng không còn "đánh lưới" đại trà mà đang chuyển sang "săn mồi" với độ chính xác và kỹ thuật rất cao. Mới đây, các nhà bảo mật của Kaspersky đã tổng hợp những cạm bẫy kỹ thuật số mới nhất và khuyến cáo các nhà đầu tư cần cảnh giác.
Ví tiền số và những "bóng ma" trong trình duyệt
Nếu như trước đây, việc mất ví số thường do người dùng sơ ý lộ khóa bí mật (private key), thì nay, tin tặc đã tạo ra những công cụ khiến người dùng tự tay dâng tài sản mà không hề hay biết. Hai vụ việc nổi cộm gần đây minh chứng cho xu hướng này: sự xuất hiện của tiện ích mở rộng độc hại và các chiến dịch APT nhắm vào nhân sự ngành blockchain.
Trang TheHackerNews cho biết giữa tháng 11.2025, cộng đồng bảo mật rúng động trước phát hiện về tiện ích mở rộng (extension) cho trình duyệt Chrome có tên "Safery: Ethereum Wallet". Được ngụy trang dưới vỏ bọc ví Ethereum an toàn và linh hoạt, tiện ích này thực chất là một "cỗ máy hút máu" được thiết kế tinh vi.
Ví tiền số là mục tiêu được tin tặc "thèm khát" trong giai đoạn bùng nổ vừa qua
Ảnh: Chụp màn hình
Các nhà nghiên cứu cho biết Safery không đánh cắp dữ liệu rồi gửi về máy chủ điều khiển (C2) theo cách truyền thống, vốn dễ bị phần mềm an ninh mạng phát hiện. Thay vào đó, nó sử dụng chính công nghệ blockchain để che giấu hành vi phạm tội. Cụ thể, khi người dùng nhập cụm từ khôi phục (seed phrase) vào ví giả mạo này, mã độc sẽ mã hóa cụm từ đó thành nhiều địa chỉ ví trên mạng lưới Sui (Sui blockchain). Tiếp theo, tiện ích thực hiện các giao dịch vi mô với giá trị cực nhỏ (0,000001 SUI) đến những địa chỉ nói trên.
Kẻ tấn công chỉ cần theo dõi và giải mã địa chỉ nhận tiền để khôi phục lại seed phrase ban đầu và âm thầm rút cạn tài sản trong ví tiền số của nạn nhân. Sự nguy hiểm nằm ở chỗ, toàn bộ quá trình đánh cắp dữ liệu trông giống hệt như giao dịch blockchain bình thường, khiến hệ thống giám sát an ninh gần như bị "mù". Safery tồn tại trên Chrome Web Store từ cuối tháng 9.2025 trước khi bị gỡ bỏ.
Tin tặc đóng vai nhà tuyển dụng
Khám phá từ Kaspersky cho thấy tin tặc không chỉ tấn công người dùng phổ thông. Ví dụ, nhóm tội phạm mạng khét tiếng BlueNoroff (còn được gọi Sapphire Sleet hay APT38) đã triển khai hai chiến dịch tấn công có chủ đích mới là GhostCall và GhostHire, nhắm thẳng vào các lập trình viên và giám đốc điều hành trong lĩnh vực Web3.
Trong chiến dịch GhostCall, tin tặc tiếp cận mục tiêu qua Telegram, mạo danh nhà đầu tư mạo hiểm (VC). Chúng đầu tư công phu về kỹ thuật xã hội như mời nạn nhân tham gia cuộc họp video trên những trang web giả mạo Zoom hoặc Microsoft Teams. Tại đây, nạn nhân sẽ thấy video của những người tham gia khác, thực chất là các đoạn ghi âm, ghi hình thật của nạn nhân trước đó bị tin tặc thu thập. Sự "chân thực" này khiến nạn nhân mất cảnh giác và tải xuống bản cập nhật giả mạo chứa mã độc AppleScript (đối với macOS) hoặc tập tin thực thi độc hại (đối với Windows).
Đồng tiền số của vợ chồng Tổng thống Trump có hại cho thị trường?
Song song đó, chiến dịch GhostHire lại đánh vào nhu cầu tìm việc. Tin tặc đóng vai nhà tuyển dụng, yêu cầu lập trình viên tải về dự án trên GitHub để làm bài kiểm tra năng lực. Các dự án này chứa mã độc được thiết kế để tự động nhận diện hệ điều hành của nạn nhân và tải xuống payload phù hợp, từ đó chiếm quyền kiểm soát máy tính và đánh cắp thông tin ví tiền mã hóa.
Cải tiến kỹ thuật lừa đảo qua email, lịch và mã QR
Trong khi các mã độc ví điện tử tấn công vào tầng ứng dụng, thì email phishing (lừa đảo qua thư điện tử) - phương thức tấn công cổ điển nhất lại có những bước tiến hóa trong năm 2025 để vượt qua các bộ lọc bảo mật hiện đại.
Theo báo cáo mới nhất từ Kaspersky về các kỹ thuật phishing năm 2025, tin tặc đã "hồi sinh" chiêu trò khai thác qua Lịch (Calendar phishing) nhưng ở cấp độ doanh nghiệp. Thay vì gửi email rác hàng loạt, chúng gửi lời mời họp giả mạo chứa liên kết độc hại trong phần mô tả sự kiện. Ngay cả khi người dùng không mở email, lời nhắc từ ứng dụng lịch trên điện thoại vẫn có thể khiến họ tò mò click vào liên kết.
Bên cạnh đó, việc sử dụng mã QR đã chuyển sang một hình thức mới: nhúng vào trong tệp đính kèm PDF. Tệp này đôi khi được đặt mật khẩu (gửi kèm hoặc trong một email riêng biệt) để qua mặt các công cụ quét virus tự động. Việc quét mã QR buộc người dùng phải sử dụng thiết bị di động cá nhân, nơi thường thiếu lớp bảo vệ nghiêm ngặt như máy tính công ty để truy cập vào trang giả mạo, lừa đảo.
Vượt rào xác thực đa yếu tố (MFA) và chuỗi xác minh CAPTCHA
Người dùng thường tin rằng xác thực hai lớp (2FA/MFA) là lá chắn an toàn cuối cùng. Tuy nhiên, các chiến dịch phishing năm 2025 đã chứng minh điều ngược lại.
Các nhà nghiên cứu bảo mật tại Kaspersky nhận thấy tin tặc tạo ra trang đăng nhập giả mạo có khả năng tương tác thời gian thực với dịch vụ thật qua API. Khi người dùng nhập thông tin đăng nhập và mã OTP vào trang giả, website này sẽ chuyển tiếp dữ liệu đó đến dịch vụ thật ngay lập tức. Nếu thông tin đúng, tin tặc sẽ chiếm được phiên đăng nhập trước cả khi người dùng nhận ra.
Ngoài ra, để tránh bị bộ lọc an ninh phát hiện và phân tích trang web lừa đảo, tin tặc còn thiết lập các "chuỗi xác minh". Người dùng khi nhấn vào liên kết sẽ phải vượt qua nhiều lớp điền mã chứng thực CAPTCHA hoặc trang kiểm tra giả mạo trước khi đến được trang đích. Điều này vừa lọc bỏ hệ thống kiểm tra tự động, vừa tạo cảm giác tin cậy giả tạo cho người dùng rằng trang web này được bảo mật kỹ lưỡng.
Nền tảng lừa đảo "dịch vụ" (PhaaS) quy mô công nghiệp
Sự nguy hiểm của phishing còn được khuếch đại bởi mô hình "Lừa đảo dưới dạng dịch vụ" (Phishing-as-a-Service). Vụ kiện mới đây của Google nhắm vào nhóm tin tặc đứng sau nền tảng Lighthouse là minh chứng rõ nét.
Các chiến dịch tấn công giờ đã ở quy mô công nghiệp và chuyên biệt hóa thay vì đại trà như trước
Ảnh: chụp màn hình
Lighthouse là nền tảng khổng lồ cung cấp công cụ cho tội phạm mạng thực hiện các vụ lừa đảo qua tin nhắn (smishing) và email quy mô lớn. Với hơn 107 mẫu giao diện giả mạo các thương hiệu lớn và sự tham gia của hàng nghìn tội phạm mạng, nền tảng này thu lợi bất chính hơn 1 tỉ USD. Chúng lợi dụng sự tin tưởng vào các thương hiệu như Google để lừa người dùng cài đặt mã độc hoặc đánh cắp thông tin tài chính. Vụ kiện của Google nhằm triệt phá cơ sở hạ tầng của nhóm cho thấy quy mô công nghiệp hóa của tội phạm mạng hiện nay.
Bảo vệ ví số bằng lá chắn xứng tầm
Năm 2025, ranh giới giữa an toàn và nguy hiểm trong thế giới tiền số trở nên mong manh hơn bao giờ hết. Tội phạm mạng không còn là những kẻ viết mã độc trong bóng tối, chúng là những "nhà tâm lý học" am hiểu hành vi người dùng và những "kỹ sư" biết tận dụng chính công nghệ bảo mật (như blockchain, xác thực 2 lớp) để tấn công ngược lại nạn nhân.
Đối với nhà đầu tư, lời khuyên "không chia sẻ private key" giờ đây là chưa đủ. Các chuyên gia cho rằng việc kiểm tra kỹ lưỡng nguồn gốc tiện ích mở rộng, cảnh giác với mọi lời mời họp trực tuyến hay tuyển dụng bất ngờ và thận trọng trước các yêu cầu đăng nhập từ email (kể cả khi có lớp bảo vệ PDF hay CAPTCHA) là những "kỹ năng sinh tồn" bắt buộc trong kỷ nguyên số đầy cạm bẫy.
Theo chuyên gia Kaspersky, hãy luôn sử dụng công cụ bảo mật với tường lửa trên các thiết bị quan trọng, từ laptop Windows tới MacBook, đừng quên điện thoại thông minh vốn được xem là máy tính thu nhỏ cũng cần ứng dụng để bảo vệ.
