Đệ trình của cộng đồng - Tác giả: WhoTookMyCrypto.com

Năm 2017 là một năm đáng chú ý đối với ngành công nghiệp tiền điện tử khi mức định giá tăng nhanh chóng đã đưa chúng trở thành phương tiện truyền thông chính thống. Không có gì đáng ngạc nhiên, điều này đã thu hút được sự quan tâm to lớn của cả công chúng cũng như tội phạm mạng. Tính ẩn danh tương đối được cung cấp bởi tiền điện tử đã khiến chúng trở thành mục tiêu yêu thích của bọn tội phạm, những kẻ thường sử dụng chúng để vượt qua các hệ thống ngân hàng truyền thống và tránh sự giám sát tài chính từ các cơ quan quản lý.

Do mọi người đang dành nhiều thời gian trên điện thoại thông minh hơn máy tính để bàn, nên không có gì ngạc nhiên khi tội phạm mạng cũng chuyển sự chú ý sang chúng. Cuộc thảo luận sau đây nêu bật cách những kẻ lừa đảo nhắm mục tiêu vào người dùng tiền điện tử thông qua thiết bị di động của họ, cùng với một số bước mà người dùng có thể thực hiện để tự bảo vệ mình.


Ứng dụng tiền điện tử giả mạo

Ứng dụng trao đổi tiền điện tử giả mạo

Ví dụ nổi tiếng nhất về ứng dụng trao đổi tiền điện tử giả mạo có lẽ là ứng dụng của Poloniex. Trước khi ra mắt ứng dụng giao dịch di động chính thức vào tháng 7 năm 2018, Google Play đã liệt kê một số ứng dụng trao đổi Poloniex giả mạo, được thiết kế có chủ ý để hoạt động. Nhiều người dùng tải xuống các ứng dụng lừa đảo đó đã bị xâm phạm thông tin đăng nhập Poloniex và tiền điện tử của họ đã bị đánh cắp. Một số ứng dụng thậm chí còn tiến thêm một bước nữa khi yêu cầu thông tin đăng nhập tài khoản Gmail của người dùng. Điều quan trọng cần nhấn mạnh là chỉ những tài khoản không có xác thực hai yếu tố (2FA) mới bị xâm phạm.

Các bước sau đây có thể giúp bảo vệ bạn khỏi những trò gian lận như vậy.

  • Kiểm tra trang web chính thức của sàn giao dịch để xác minh xem họ có thực sự cung cấp ứng dụng giao dịch trên thiết bị di động hay không. Nếu vậy, hãy sử dụng liên kết được cung cấp trên trang web của họ.

  • Đọc các đánh giá và xếp hạng. Các ứng dụng lừa đảo thường có nhiều đánh giá không tốt và mọi người phàn nàn về việc bị lừa đảo, vì vậy hãy nhớ kiểm tra chúng trước khi tải xuống. Tuy nhiên, bạn cũng nên nghi ngờ những ứng dụng đưa ra xếp hạng và nhận xét hoàn hảo. Bất kỳ ứng dụng hợp pháp nào cũng có những đánh giá tiêu cực.

  • Kiểm tra thông tin nhà phát triển ứng dụng. Hãy tìm xem có công ty, địa chỉ email và trang web hợp pháp nào được cung cấp hay không. Bạn cũng nên thực hiện tìm kiếm trực tuyến về thông tin được cung cấp để xem liệu chúng có thực sự liên quan đến sàn giao dịch chính thức hay không.

  • Kiểm tra số lượng tải xuống. Số lượng tải xuống cũng cần được xem xét. Không chắc rằng một sàn giao dịch tiền điện tử rất phổ biến sẽ có số lượng tải xuống nhỏ.

  • Kích hoạt 2FA trên tài khoản của bạn. Mặc dù không an toàn 100% nhưng 2FA khó vượt qua hơn nhiều và có thể tạo ra sự khác biệt lớn trong việc bảo vệ tiền của bạn, ngay cả khi thông tin đăng nhập của bạn bị lừa đảo.


Ứng dụng ví tiền điện tử giả

Có nhiều loại ứng dụng giả mạo khác nhau. Một biến thể tìm cách lấy thông tin cá nhân từ người dùng như mật khẩu ví và khóa riêng của họ.

Trong một số trường hợp, ứng dụng giả mạo cung cấp địa chỉ công khai được tạo trước đó cho người dùng. Vì vậy, họ cho rằng tiền sẽ được gửi vào các địa chỉ này. Tuy nhiên, họ không có quyền truy cập vào khóa riêng và do đó không có quyền truy cập vào bất kỳ khoản tiền nào được gửi cho họ.

Những ví giả như vậy đã được tạo cho các loại tiền điện tử phổ biến như Ethereum và Neo và thật không may, nhiều người dùng đã bị mất tiền. Dưới đây là một số bước phòng ngừa có thể được thực hiện để tránh trở thành nạn nhân:

  • Các biện pháp phòng ngừa được nêu bật trong phân khúc ứng dụng trao đổi ở trên đều có thể áp dụng được như nhau. Tuy nhiên, một biện pháp phòng ngừa bổ sung mà bạn có thể thực hiện khi xử lý các ứng dụng ví là đảm bảo các địa chỉ hoàn toàn mới được tạo khi bạn mở ứng dụng lần đầu tiên và rằng bạn đang sở hữu các khóa riêng tư (hoặc hạt ghi nhớ). Ứng dụng ví hợp pháp cho phép bạn xuất khóa riêng nhưng điều quan trọng là phải đảm bảo việc tạo cặp khóa mới không bị xâm phạm. Vì vậy bạn nên sử dụng phần mềm uy tín (tốt nhất là mã nguồn mở).

  • Ngay cả khi ứng dụng cung cấp cho bạn khóa riêng tư (hoặc hạt giống), bạn vẫn nên xác minh xem liệu các địa chỉ công khai có thể được lấy và truy cập từ chúng hay không. Ví dụ: một số ví Bitcoin cho phép người dùng nhập khóa riêng hoặc hạt giống của họ để trực quan hóa địa chỉ và truy cập vào tiền. Để giảm thiểu rủi ro khóa và hạt giống bị xâm phạm, bạn có thể thực hiện việc này trên một máy tính có air-gap (ngắt kết nối internet).


Ứng dụng tấn công tiền điện tử

Cryptojacking đã trở thành một trò chơi được tội phạm mạng yêu thích do rào cản gia nhập thấp và chi phí đầu tư thấp. Hơn nữa, nó mang lại cho họ tiềm năng thu nhập định kỳ lâu dài. Mặc dù sức mạnh xử lý thấp hơn so với PC nhưng các thiết bị di động đang ngày càng trở thành mục tiêu của hoạt động tấn công bằng tiền điện tử.

Ngoài việc tấn công bằng mật mã trên trình duyệt web, tội phạm mạng còn đang phát triển các chương trình có vẻ như là các ứng dụng trò chơi, tiện ích hoặc giáo dục hợp pháp. Tuy nhiên, nhiều ứng dụng trong số này được thiết kế để bí mật chạy các tập lệnh khai thác tiền điện tử trong nền.

Ngoài ra còn có các ứng dụng khai thác tiền điện tử được quảng cáo là công cụ khai thác hợp pháp của bên thứ ba nhưng phần thưởng được gửi cho nhà phát triển ứng dụng thay vì người dùng.

Để khiến mọi việc trở nên tồi tệ hơn, tội phạm mạng ngày càng trở nên tinh vi hơn, triển khai các thuật toán khai thác nhẹ để tránh bị phát hiện.

Tấn công bằng tiền điện tử cực kỳ có hại cho thiết bị di động của bạn vì chúng làm giảm hiệu suất và tăng tốc độ hao mòn. Tệ hơn nữa, chúng có khả năng hoạt động như ngựa Trojan cho phần mềm độc hại nguy hiểm hơn.

Các bước sau đây có thể được thực hiện để bảo vệ chống lại chúng.

  • Chỉ tải xuống ứng dụng từ các cửa hàng chính thức, chẳng hạn như Google Play. Các ứng dụng lậu không được quét trước và có nhiều khả năng chứa các tập lệnh mã hóa hơn.

  • Theo dõi điện thoại của bạn xem có bị hao pin quá mức hoặc quá nóng không. Sau khi được phát hiện, hãy chấm dứt các ứng dụng gây ra sự cố này.

  • Luôn cập nhật thiết bị và ứng dụng của bạn để vá các lỗ hổng bảo mật.

  • Sử dụng trình duyệt web bảo vệ chống lại việc mã hóa hoặc cài đặt các plugin trình duyệt có uy tín, chẳng hạn như MinerBlock, NoCoin và Adblock.

  • Nếu có thể, hãy cài đặt phần mềm chống vi-rút di động và cập nhật phần mềm đó.


Tặng miễn phí và các ứng dụng khai thác tiền điện tử giả mạo

Đây là những ứng dụng giả vờ khai thác tiền điện tử cho người dùng nhưng thực tế không làm gì ngoài việc hiển thị quảng cáo. Chúng khuyến khích người dùng tiếp tục mở ứng dụng bằng cách phản ánh sự gia tăng phần thưởng của người dùng theo thời gian. Một số ứng dụng thậm chí còn khuyến khích người dùng xếp hạng 5 sao để nhận phần thưởng. Tất nhiên, không có ứng dụng nào trong số này thực sự khai thác và người dùng của chúng chưa bao giờ nhận được bất kỳ phần thưởng nào.

Để đề phòng trò lừa đảo này, hãy hiểu rằng đối với phần lớn các loại tiền điện tử, việc khai thác đòi hỏi phần cứng chuyên dụng cao (ASIC), nghĩa là không thể khai thác trên thiết bị di động. Dù số tiền bạn khai thác được nhiều nhất cũng chỉ là tầm thường. Tránh xa bất kỳ ứng dụng như vậy.


Ứng dụng cắt xén

Những ứng dụng như vậy thay đổi địa chỉ tiền điện tử mà bạn sao chép và thay thế chúng bằng địa chỉ của kẻ tấn công. Do đó, mặc dù nạn nhân có thể sao chép chính xác địa chỉ người nhận nhưng địa chỉ họ dán để xử lý giao dịch sẽ được thay thế bằng địa chỉ của kẻ tấn công.

Để tránh trở thành nạn nhân của những ứng dụng như vậy, đây là một số biện pháp phòng ngừa bạn có thể thực hiện khi xử lý giao dịch.

  • Luôn kiểm tra kỹ địa chỉ bạn đang dán vào trường người nhận. Các giao dịch trên chuỗi khối là không thể thay đổi được nên bạn phải luôn cẩn thận.

  • Tốt nhất là xác minh toàn bộ địa chỉ thay vì chỉ một phần địa chỉ. Một số ứng dụng đủ thông minh để dán các địa chỉ trông giống với địa chỉ bạn dự định.


Trao đổi SIM

Trong một vụ lừa đảo hoán đổi SIM, tội phạm mạng có quyền truy cập vào số điện thoại của người dùng. Họ thực hiện điều này bằng cách sử dụng các kỹ thuật lừa đảo xã hội để lừa các nhà khai thác điện thoại di động cấp thẻ SIM mới cho họ. Vụ lừa đảo hoán đổi SIM nổi tiếng nhất có liên quan đến doanh nhân tiền điện tử Michael Terpin. Anh ta cáo buộc rằng AT&T đã sơ suất trong việc xử lý thông tin xác thực điện thoại di động của anh ta, dẫn đến việc anh ta mất số token trị giá hơn 20 triệu đô la Mỹ.

Sau khi tội phạm mạng có được quyền truy cập vào số điện thoại của bạn, chúng có thể sử dụng số đó để vượt qua bất kỳ 2FA nào dựa vào đó. Từ đó, chúng có thể xâm nhập vào ví và sàn giao dịch tiền điện tử của bạn.

Một phương pháp khác mà tội phạm mạng có thể sử dụng là giám sát thông tin liên lạc qua SMS của bạn. Các lỗ hổng trong mạng truyền thông có thể cho phép bọn tội phạm chặn tin nhắn của bạn, tin nhắn này có thể bao gồm cả mã pin yếu tố thứ hai được gửi cho bạn.

Điều khiến cuộc tấn công này đặc biệt đáng lo ngại là người dùng không bắt buộc phải thực hiện bất kỳ hành động nào, chẳng hạn như tải xuống phần mềm giả mạo hoặc nhấp vào liên kết độc hại.

Để tránh trở thành nạn nhân của những trò lừa đảo như vậy, dưới đây là một số bước cần cân nhắc.

  • Không sử dụng số điện thoại di động của bạn cho SMS 2FA. Thay vào đó, hãy sử dụng các ứng dụng như Google Authenticator hoặc Authy để bảo mật tài khoản của bạn. Tội phạm mạng không thể truy cập vào các ứng dụng này ngay cả khi chúng có số điện thoại của bạn. Ngoài ra, bạn có thể sử dụng 2FA phần cứng như YubiKey hoặc Khóa bảo mật Titan của Google.

  • Không tiết lộ thông tin nhận dạng cá nhân trên mạng xã hội, chẳng hạn như số điện thoại di động của bạn. Tội phạm mạng có thể lấy những thông tin đó và sử dụng chúng để mạo danh bạn ở nơi khác.

  • Bạn không bao giờ nên thông báo trên mạng xã hội rằng bạn sở hữu tiền điện tử vì điều này sẽ khiến bạn trở thành mục tiêu. Hoặc nếu bạn ở vị trí mà mọi người đều biết bạn sở hữu chúng thì hãy tránh tiết lộ thông tin cá nhân bao gồm sàn giao dịch hoặc ví bạn sử dụng.

  • Hãy sắp xếp với các nhà cung cấp điện thoại di động để bảo vệ tài khoản của bạn. Điều này có thể có nghĩa là đính kèm mã pin hoặc mật khẩu vào tài khoản của bạn và quy định rằng chỉ những người dùng biết về mã pin mới có thể thực hiện các thay đổi đối với tài khoản. Ngoài ra, bạn có thể yêu cầu những thay đổi đó phải được thực hiện trực tiếp và không cho phép thực hiện qua điện thoại.


Wifi

Tội phạm mạng liên tục tìm kiếm các điểm xâm nhập vào thiết bị di động, đặc biệt là thiết bị của người dùng tiền điện tử. Một điểm vào như vậy là truy cập WiFi. WiFi công cộng không an toàn và người dùng nên đề phòng trước khi kết nối với chúng. Nếu không, họ có nguy cơ bị tội phạm mạng truy cập vào dữ liệu trên thiết bị di động của họ. Những biện pháp phòng ngừa này đã được đề cập trong bài viết trên WiFi công cộng.


Bớt tư tưởng

Điện thoại di động đã trở thành một phần thiết yếu trong cuộc sống của chúng ta. Trên thực tế, chúng gắn chặt với danh tính kỹ thuật số của bạn đến mức có thể trở thành điểm yếu lớn nhất của bạn. Tội phạm mạng nhận thức được điều này và sẽ tiếp tục tìm cách khai thác điều này. Bảo mật thiết bị di động của bạn không còn là tùy chọn nữa. Nó đã trở thành một điều cần thiết. Giữ an toàn.