Chiêu lừa đảo mới vượt qua xác thực hai yếu tố, nhắm vào người dùng tiền mã hóa trên X

Một chiến dịch lừa đảo tinh vi mới đây đã nhắm vào các tài khoản X (trước đây là Twitter) của những nhân vật nổi bật trong cộng đồng tiền mã hóa, với mục tiêu đánh cắp quyền kiểm soát tài khoản bằng cách vượt qua hệ thống xác thực hai yếu tố (2FA).

Theo cảnh báo từ nhà phát triển tiền mã hóa Zak Cole ngày 15, thủ thuật lần này không giống với kiểu lừa đảo thông thường như tạo trang đăng nhập giả hoặc đánh cắp mật khẩu. Thay vào đó, nhóm tấn công đã “khai thác chức năng ứng dụng của nền tảng X để vượt qua quy trình xác minh người dùng”, từ đó hoàn toàn chiếm quyền kiểm soát tài khoản mục tiêu. Zak Cole nhấn mạnh vụ việc là “nguy hiểm tức thời” và vẫn đang “diễn ra âm thầm nhưng rất hiệu quả”.

Phương thức tấn công kết hợp giữa sự đơn giản và sự khéo léo. Nạn nhân nhận được một tin nhắn trực tiếp (DM) chứa một đường liên kết có vẻ như dẫn tới trang chính thức của Google Calendar. Thực tế, nhóm tấn công đã khéo léo sử dụng tính năng “hình ảnh xem trước tự động” của X để khiến liên kết này trông đáng tin cậy hơn. Trong vụ việc của Zak Cole, kẻ lừa đảo thậm chí còn giả mạo danh tính của đại diện bên đầu tư mạo hiểm Andreessen Horowitz để tăng độ tin cậy.

Chuyên gia bảo mật của MetaMask, ông Ohm Shah, cũng xác nhận đã ghi nhận nhiều trường hợp tương tự. Ông cảnh báo rằng hiện đã có nhiều tài khoản bị chiếm đoạt, và hình thức tấn công này thậm chí còn được sử dụng để đánh lừa các tài khoản người mẫu trên nền tảng OnlyFans – cho thấy quy mô nạn nhân không còn giới hạn trong cộng đồng tiền mã hóa mà đang lan rộng ra các cá nhân có tầm ảnh hưởng trong giới giải trí.

Việc mất quyền truy cập tài khoản X gây ra các hậu quả nghiêm trọng. Đối với lĩnh vực tiền mã hóa, mạng xã hội này là kênh chính để quảng bá dự án và truyền thông tới nhà đầu tư. Vì vậy, việc bị chiếm dụng không chỉ dừng lại ở rò rỉ thông tin, mà còn dẫn tới những “thiệt hại cấp hai” như việc kẻ xấu lợi dụng uy tín của tài khoản bị đánh cắp để lừa đảo đầu tư, thực hiện các vụ lừa đảo NFT hoặc đánh cắp ví tiền mã hóa.

Trước thực trạng đó, giới chuyên gia kêu gọi cộng đồng người dùng X nói riêng và giới đầu tư tiền mã hóa nói chung nâng cao cảnh giác trước các chiến dịch “giả dạng như tin nhắn chính thức”. Họ khuyến nghị người dùng nên “kiểm tra kỹ nguồn gốc đường dẫn trước khi nhấp”, đồng thời thường xuyên kiểm tra quyền truy cập ứng dụng trong tài khoản của mình. Việc áp dụng nhiều lớp bảo mật cũng là điều cần thiết trong bối cảnh các vụ tấn công ngày càng tinh vi.

Bình luận: Những vụ tấn công lừa đảo kiểu mới này cho thấy mức độ tinh vi đang gia tăng rõ rệt trong không gian tiền mã hóa. Người dùng cần cảnh giác, không chỉ đối với những liên kết đến từ nguồn không đáng tin, mà còn cả với những tin nhắn có vẻ như đến từ đồng nghiệp, tổ chức hay đối tác đáng tin cậy.

Từ: lừa đảo, xác thực hai yếu tố, tiền mã hóa, X, MetaMask

Từ khóa xuất hiện: mở đầu, phần kết luận và nội dung bài viết.