Nội dung bài viết
Kể từ khi công nghệ blockchain ra đời, những kẻ lừa đảo đã tận dụng tính chất phi tập trung và bất biến của công nghệ này để lừa các nhà đầu tư tiền kỹ thuật số.
Theo báo cáo mới nhất của FBI, những kẻ lừa đảo đang sử dụng các ứng dụng tiền kỹ thuật số giả mạo để đánh cắp tiền từ các nhà đầu tư. Báo cáo cho biết các nhà đầu tư Mỹ đã mất khoảng 42,7 triệu USD cho những kẻ lừa đảo qua các ứng dụng giả mạo.
Các mô hình lừa đảo tận dụng sự quan tâm ngày càng cao đối với tiền kỹ thuật số, đặc biệt là trong các giai đoạn thị trường giá lên, để thu hút người dùng tiền điện tử.
Những ứng dụng tiền kỹ thuật số giả mạo sử dụng vô số mánh lới để lôi kéo các nhà đầu tư. Sau đây là vài chiêu trò phổ biến nhất.
Tấn công phi kỹ thuật
Một số mạng lưới ứng dụng tiền kỹ thuật số giả sử dụng các chiến lược tấn công phi kỹ thuật (social engineering) để lôi kéo nạn nhân.
Trong nhiều trường hợp, những kẻ lừa đảo kết bạn với nạn nhân thông qua các nền tảng xã hội, và sau đó lừa họ tải xuống các ứng dụng có vẻ là ứng dụng giao dịch tiền kỹ thuật số.
Sau đó những kẻ lừa đảo thuyết phục người dùng chuyển tiền vào ứng dụng này. Tuy nhiên, các khoản tiền sẽ bị “khóa lại” khi việc chuyển tiền được thực hiện, và nạn nhân không bao giờ rút được tiền ra.
Trong một số trường hợp, những kẻ lừa đảo thu hút nạn nhân bằng cách sử dụng các yêu cầu kỳ lạ. Mưu đồ kết thúc khi nạn nhân nhận ra rằng họ không thể lấy lại tiền của mình.
Tên thương hiệu dễ nhận biết
Một số ứng dụng tiền kỹ thuật số lừa đảo đã sử dụng các tên thương hiệu dễ nhận biết, lợi dụng tự tin tưởng của người dùng với các thương hiệu này để lừa đảo nạn nhân sử dụng các ứng dụng giả mạo.
Báo cáo tội phạm tiền kỹ thuật số gần nhất của FBI đã nêu một ví dụ chứng minh. Các tội phạm trên mạng đã giả danh nhân viên YiBit để lừa đảo các nhà đầu tư số tiền 5,5 triệu USD, sau khi thuyết phục họ tải xuống ứng dụng giao dịch tiền kỹ thuật số YiBit giả.
Các nhà đầu tư không biết rằng công ty giao dịch tiền kỹ thuật số YiBit thật đã ngừng hoạt động vào năm 2018. Các khoản chuyển tiền tới ứng dụng giả mạo kia đã bị đánh cắp.
Trong một trường hợp khác được nêu trong báo cáo của FBI, những kẻ lừa đảo sử dụng tên thương hiệu Supay – thương hiệu liên kết với một công ty tiền kỹ thuật số của Australia và đã lừa đảo hàng triệu USD của 28 nhà đầu tư. Mưu đồ này diễn ra từ ngày 1-26/11/2021 và khiến các nạn nhân bị thiệt hại 3,7 triệu USD.
Các kế hoạch như vậy đã diễn ra trong nhiều năm, nhưng nhiều trường hợp không được báo cáo do thiếu các kênh pháp lý thích hợp, đặc biệt là ở các khu vực không chấp nhận tiền kỹ thuật số.
Bên ngoài nước Mỹ, các cuộc điều tra ở các khu vực pháp lý lớn khác như Ấn Độ gần đây cũng đã phát hiện ra các âm mưu lừa đảo thông qua ứng dụng tiền kỹ thuật số giả.
Theo một báo cáo được công bố bởi công ty an ninh mạng CloudSEK vào tháng 6, một kế hoạch ứng dụng tiền kỹ thuật số giả mạo mới bị phát hiện – liên quan đến nhiều ứng dụng và tên miền, đã khiến các nhà đầu tư Ấn Độ mất ít nhất là 128 triệu USD.
Những kẻ lừa đảo ứng dụng tiền kỹ thuật số đôi khi sử dụng các kho ứng dụng chính thức để phân phối các ứng dụng giả mạo.
Một số ứng dụng được thiết kế để thu thập thông tin đăng nhập của người dùng, sau đó sử dụng chúng để mở khóa các tài khoản tiền kỹ thuật số trên các nền tảng chính thức tương ứng. Một số khác tuyên bố cung cấp các giải pháp ví an toàn có thể được sử dụng để lưu trữ nhiều loại tiền kỹ thuật số khác nhau, nhưng lại đánh cắp sau khi người dùng gửi tiền vào.
Trong khi các nền tảng như Apple App Store, Google Play Store liên tục xem xét các ứng dụng để tìm các vấn đề về tính toàn vẹn, thì một số ứng dụng giả mạo vẫn có thể lọt qua các lỗ hổng.
Một trong những phương pháp mới nhất được những kẻ lừa đảo sử dụng để thực hiện điều này là đăng ký làm nhà phát triển ứng dụng trên các kho ứng dụng dành cho thiết bị di động phổ biến như Apple App Store và Google Play Store, sau đó tải lên các ứng dụng có vẻ hợp lệ.
Vào năm 2021, một ứng dụng Trezor giả mạo – đội lốt một ví do SatoshiLabs tạo ra – đã sử dụng chiến lược này để được xuất hiện trên cả Apple App Store và Google Play Store. Ứng dụng này tuyên bố cung cấp cho người dùng quyền truy cập trực tuyến trực tiếp vào ví cứng Trezor của họ mà không cần kết nối Trezor dongle với máy tính.
Những nạn nhân tải xuống ứng dụng Trezor giả mạo buộc phải gửi mật khẩu khóa (seed phrase) ví của họ để bắt đầu sử dụng dịch vụ. Mật khẩu khóa là một chuỗi từ sử dụng để truy cập ví tiền kỹ thuật số trên blockchain.
Mật khẩu này đã cho phép những kẻ trộm đứng sau ứng dụng giả mạo ăn cắp tiền của người dùng.
Theo một tuyên bố do Apple cung cấp, ứng dụng Trezor giả mạo đã được xuất hiện trên Apple Store thông qua một thủ đoạn lừa đảo ‘treo đầu dê bán thịt chó’ (bait-and-switch). Những kẻ phát triển ứng dụng được cho là đã gửi lên ứng dụng ban đầu dưới dạng một ứng dụng kỹ thuật số được thiết kế để mã hóa các tệp, nhưng sau đó chuyển đổi nó thành một ứng dụng ví tiền kỹ thuật số. Apple nói rằng họ không biết về sự đánh tráo này cho đến khi người dùng báo cáo.
Các ứng dụng tiền kỹ thuật số giả được thiết kế gần như giống hệt các ứng dụng hợp lệ. Một nhà đầu tư tiền kỹ thuật số cần phải phân biệt giữa các ứng dụng thật và giả để tránh những tổn thất không đáng có.
Sau đây là một số điều cần chú ý khi cố gắng xác định tính xác thực của một ứng dụng tiền kỹ thuật số trên thiết bị di động.
Chính tả, biểu tượng đại diện và phần mô tả
Bước đầu tiên để xác định liệu một ứng dụng có hợp lệ hay không là kiểm tra chính tả và biểu tượng đại diện (icon). Các ứng dụng giả mạo thường có tên và biểu tượng giống với tên và biểu tượng của ứng dụng thật, nhưng không phải 100%.
Ví dụ: nếu tên ứng dụng hoặc tên nhà phát triển bị sai chính tả, rất có thể phần mềm đó là giả mạo. Tìm kiếm về ứng dụng đó trên internet sẽ giúp xác nhận tính hợp lệ của ứng dụng.
Điều quan trọng nữa là phải xem xét ứng dụng có nhãn dán lựa chọn của Google Editor hay không. Nhãn dán này là sự phân định do nhóm biên tập của Google Play cung cấp để công nhận các nhà phát triển và ứng dụng có chất lượng vượt trội. Các ứng dụng có nhãn dán này thường không phải là giả mạo.
Quyền truy cập của ứng dụng
Các ứng dụng giả mạo thường yêu cầu nhiều quyền truy cập hơn mức cần thiết. Điều này giúp chúng thu thập được càng nhiều dữ liệu từ thiết bị của nạn nhân càng tốt.
Do đó, người dùng nên cảnh giác với các ứng dụng yêu cầu nhiều quyền truy cập ngoại vi. Các quyền này có thể cung cấp cho tội phạm mạng quyền truy cập không bị kiểm soát vào một thiết bị, và cho phép chúng ăn cắp dữ liệu nhạy cảm có thể được sử dụng để mở khóa các tài khoản tài chính, trong đó có ví tiền kỹ thuật số.
Quyền truy cập của ứng dụng có thể bị chặn thông qua cài đặt quyền riêng tư của hệ thống điện thoại.
Số lượt tải xuống
Số lần một ứng dụng đã được tải xuống thường là một chỉ báo về mức độ phổ biến của ứng dụng đó. Ứng dụng từ các nhà phát triển có uy tín thường có hàng triệu lượt tải xuống và hàng nghìn đánh giá tích cực.
Ngược lại, các ứng dụng chỉ có vài nghìn lượt tải xuống cần phải được kiểm tra kỹ lưỡng hơn.
Xác nhận tính xác thực bằng cách liên hệ với bộ phận hỗ trợ
Nếu không chắc chắn về một ứng dụng, việc liên hệ với bộ phận hỗ trợ thông qua trang web chính thức của công ty có thể giúp tránh thiệt hại tài chính do gian lận.
Hơn nữa, các ứng dụng đích thực có thể được tải xuống từ trang web chính thức của công ty.
Các loại tiền kỹ thuật số được củng cố bởi công nghệ tương đối mới, vì vậy việc sử dụng và tiếp nhận có những vấn đề về kỹ thuật là điều đương nhiên. Thật không may, trong những năm gần đây, những kẻ lừa đảo đã nhắm tới những người đam mê tiền kỹ thuật số ngây thơ bằng cách sử dụng các ứng dụng tiền kỹ thuật số giả mạo.
Mặc dù vấn đề này có thể sẽ tồn tại trong nhiều năm, nhưng việc các công ty công nghệ tăng cường giám sát chặt chẽ sẽ giúp xoa dịu vấn đề này về lâu dài.
Đỗ Hiền – Theo cointelegraph.com
Nhận xét bị đóng