Ví cứng an toàn cần biết: Tiết lộ hai phương thức lừa đảo phổ biến
Trong lĩnh vực tiền điện tử, ví cứng được coi là một công cụ quan trọng để bảo vệ tài sản kỹ thuật số. Thiết bị vật lý này được thiết kế đặc biệt để lưu trữ khóa riêng ngoại tuyến, cho phép người dùng hoàn toàn kiểm soát tiền điện tử của mình. Do thường hoạt động trong môi trường ngoại tuyến, ví cứng giảm thiểu đáng kể nguy cơ bị tấn công mạng.
Mặc dù vậy, do nhiều nhà đầu tư thiếu hiểu biết về ví cứng, vẫn xảy ra không ít vụ lừa đảo nhắm vào người dùng mới, dẫn đến mất mát tài sản được lưu trữ trong ví cứng. Bài viết này sẽ giới thiệu chi tiết về hai thủ đoạn lừa đảo ví cứng phổ biến: lừa đảo thông qua hướng dẫn sử dụng và lừa đảo bằng thiết bị cải tiến.
Thủ đoạn lừa đảo hướng dẫn sử dụng
Hình thức lừa đảo này chủ yếu lợi dụng sự không quen thuộc của nhà đầu tư thông thường với cách sử dụng ví cứng. Kẻ lừa đảo thông qua việc thay thế hướng dẫn giả, dụ dỗ nạn nhân chuyển tiền đến địa chỉ lừa đảo đã được thiết lập sẵn. Cụ thể, khi nạn nhân mua ví cứng từ các kênh không chính thức, theo hướng dẫn "mã Pin ban đầu" trên "hướng dẫn" trong bao bì để kích hoạt thiết bị, và sao lưu lại "cụm từ khôi phục" được in trên đó. Sau đó, họ gửi một lượng lớn tiền vào địa chỉ ví, cuối cùng dẫn đến việc tiền bị đánh cắp.
Tình huống này không phải là do ví tiền bị hack, mà là kẻ lừa đảo đã kích hoạt trước ví tiền để lấy địa chỉ và cụm từ khôi phục, sau đó giả mạo hướng dẫn và đóng gói lại. Những ví cứng đã được kích hoạt này được bán qua các kênh không chính thức, khi nạn nhân chuyển tài sản đến địa chỉ, họ sẽ rơi vào cái bẫy lấy cắp tiền tiêu chuẩn của ví giả.
Thị trường thứ cấp ở khu vực Châu Á cũng tồn tại những rủi ro tương tự. Có nhà sản xuất ví cứng đã cảnh báo người dùng rằng một số cửa hàng không chính thức đang bán ví cứng "đã kích hoạt", đã can thiệp vào hướng dẫn sử dụng, dụ dỗ người dùng gửi tiền vào địa chỉ ví được các thương gia bất hợp pháp tạo sẵn. Do đó, việc nhận diện kênh bán hàng chính thức quan trọng không kém gì việc nhận diện trang web chính thức.
Lừa đảo cải tạo thiết bị
Trong một trường hợp khác, một người dùng bất ngờ nhận được một gói hàng tự xưng đến từ một công ty ví cứng, bên trong có một ví cứng hoàn toàn mới và một bức thư. Bức thư cho biết do công ty bị tấn công mạng dẫn đến việc rò rỉ dữ liệu người dùng, nên đã gửi thiết bị mới đến các khách hàng bị ảnh hưởng, và yêu cầu người dùng thay thế thiết bị để đảm bảo an toàn.
Tuy nhiên, tính xác thực của bức thư này còn gây nghi ngờ. CEO của công ty ví cứng này đã rõ ràng tuyên bố rằng công ty sẽ không cung cấp bất kỳ khoản bồi thường nào cho việc rò rỉ dữ liệu cá nhân bất ngờ. Người dùng nhận được gói hàng cũng chỉ ra rằng đây là một trò lừa đảo và đã chia sẻ thêm hình ảnh cho thấy bên trong bao bì thiết bị có dấu hiệu bị can thiệp rõ ràng.
Ngoài ra, một công ty bảo mật nổi tiếng cũng đã báo cáo về một trường hợp giả mạo ví cứng. Nạn nhân đã mua một chiếc ví cứng từ các kênh không chính thức, nhưng firmware bên trong thiết bị đã bị kẻ tấn công thay thế, cho phép họ truy cập vào tài sản tiền điện tử của người dùng, từ đó thực hiện hành vi đánh cắp.
Đề xuất sử dụng an toàn
Qua các trường hợp trên có thể thấy, tấn công chuỗi cung ứng đối với ví cứng đã trở nên khá phổ biến. Các nhà đầu tư và nhà sản xuất ví cứng nên duy trì sự cảnh giác cao đối với điều này. Dưới đây là một số lời khuyên về việc sử dụng ví cứng đúng cách, giúp giảm thiểu rủi ro bị đánh cắp coin:
Kiên trì mua thiết bị phần cứng từ kênh chính thức. Bất kỳ ví cứng nào được mua từ kênh không chính thức đều có thể tiềm ẩn rủi ro về an ninh.
Đảm bảo ví tiền mua vào ở trạng thái chưa kích hoạt. Thiết bị phần cứng được bán chính thức nhất định phải chưa kích hoạt. Nếu người dùng phát hiện thiết bị đã được kích hoạt sau khi khởi động, hoặc tài liệu hướng dẫn có đề cập đến "mật khẩu ban đầu" hoặc "địa chỉ mặc định", ngay lập tức ngừng sử dụng và liên hệ với dịch vụ khách hàng chính thức.
Đảm bảo địa chỉ ví được người dùng tự tạo. Ngoài việc kích hoạt thiết bị, việc thiết lập mã PIN, tạo mã liên kết, tạo địa chỉ và sao lưu đều nên được người dùng tự thực hiện. Bất kỳ bước nào giao cho bên thứ ba đều có thể mang lại rủi ro về tài chính. Trong điều kiện bình thường, khi lần đầu sử dụng ví cứng, các thao tác như kích hoạt thiết bị, tạo ví, sao lưu cụm từ khôi phục và thiết lập mã PIN đều nên được người dùng tự thực hiện.
Trang này có thể chứa nội dung của bên thứ ba, được cung cấp chỉ nhằm mục đích thông tin (không phải là tuyên bố/bảo đảm) và không được coi là sự chứng thực cho quan điểm của Gate hoặc là lời khuyên về tài chính hoặc chuyên môn. Xem Tuyên bố từ chối trách nhiệm để biết chi tiết.
Tiết lộ hai chiêu trò lừa đảo của ví cứng Làm thế nào để bảo vệ an toàn tài sản mã hóa của bạn
Ví cứng an toàn cần biết: Tiết lộ hai phương thức lừa đảo phổ biến
Trong lĩnh vực tiền điện tử, ví cứng được coi là một công cụ quan trọng để bảo vệ tài sản kỹ thuật số. Thiết bị vật lý này được thiết kế đặc biệt để lưu trữ khóa riêng ngoại tuyến, cho phép người dùng hoàn toàn kiểm soát tiền điện tử của mình. Do thường hoạt động trong môi trường ngoại tuyến, ví cứng giảm thiểu đáng kể nguy cơ bị tấn công mạng.
Mặc dù vậy, do nhiều nhà đầu tư thiếu hiểu biết về ví cứng, vẫn xảy ra không ít vụ lừa đảo nhắm vào người dùng mới, dẫn đến mất mát tài sản được lưu trữ trong ví cứng. Bài viết này sẽ giới thiệu chi tiết về hai thủ đoạn lừa đảo ví cứng phổ biến: lừa đảo thông qua hướng dẫn sử dụng và lừa đảo bằng thiết bị cải tiến.
Thủ đoạn lừa đảo hướng dẫn sử dụng
Hình thức lừa đảo này chủ yếu lợi dụng sự không quen thuộc của nhà đầu tư thông thường với cách sử dụng ví cứng. Kẻ lừa đảo thông qua việc thay thế hướng dẫn giả, dụ dỗ nạn nhân chuyển tiền đến địa chỉ lừa đảo đã được thiết lập sẵn. Cụ thể, khi nạn nhân mua ví cứng từ các kênh không chính thức, theo hướng dẫn "mã Pin ban đầu" trên "hướng dẫn" trong bao bì để kích hoạt thiết bị, và sao lưu lại "cụm từ khôi phục" được in trên đó. Sau đó, họ gửi một lượng lớn tiền vào địa chỉ ví, cuối cùng dẫn đến việc tiền bị đánh cắp.
Tình huống này không phải là do ví tiền bị hack, mà là kẻ lừa đảo đã kích hoạt trước ví tiền để lấy địa chỉ và cụm từ khôi phục, sau đó giả mạo hướng dẫn và đóng gói lại. Những ví cứng đã được kích hoạt này được bán qua các kênh không chính thức, khi nạn nhân chuyển tài sản đến địa chỉ, họ sẽ rơi vào cái bẫy lấy cắp tiền tiêu chuẩn của ví giả.
Thị trường thứ cấp ở khu vực Châu Á cũng tồn tại những rủi ro tương tự. Có nhà sản xuất ví cứng đã cảnh báo người dùng rằng một số cửa hàng không chính thức đang bán ví cứng "đã kích hoạt", đã can thiệp vào hướng dẫn sử dụng, dụ dỗ người dùng gửi tiền vào địa chỉ ví được các thương gia bất hợp pháp tạo sẵn. Do đó, việc nhận diện kênh bán hàng chính thức quan trọng không kém gì việc nhận diện trang web chính thức.
Lừa đảo cải tạo thiết bị
Trong một trường hợp khác, một người dùng bất ngờ nhận được một gói hàng tự xưng đến từ một công ty ví cứng, bên trong có một ví cứng hoàn toàn mới và một bức thư. Bức thư cho biết do công ty bị tấn công mạng dẫn đến việc rò rỉ dữ liệu người dùng, nên đã gửi thiết bị mới đến các khách hàng bị ảnh hưởng, và yêu cầu người dùng thay thế thiết bị để đảm bảo an toàn.
Tuy nhiên, tính xác thực của bức thư này còn gây nghi ngờ. CEO của công ty ví cứng này đã rõ ràng tuyên bố rằng công ty sẽ không cung cấp bất kỳ khoản bồi thường nào cho việc rò rỉ dữ liệu cá nhân bất ngờ. Người dùng nhận được gói hàng cũng chỉ ra rằng đây là một trò lừa đảo và đã chia sẻ thêm hình ảnh cho thấy bên trong bao bì thiết bị có dấu hiệu bị can thiệp rõ ràng.
Ngoài ra, một công ty bảo mật nổi tiếng cũng đã báo cáo về một trường hợp giả mạo ví cứng. Nạn nhân đã mua một chiếc ví cứng từ các kênh không chính thức, nhưng firmware bên trong thiết bị đã bị kẻ tấn công thay thế, cho phép họ truy cập vào tài sản tiền điện tử của người dùng, từ đó thực hiện hành vi đánh cắp.
Đề xuất sử dụng an toàn
Qua các trường hợp trên có thể thấy, tấn công chuỗi cung ứng đối với ví cứng đã trở nên khá phổ biến. Các nhà đầu tư và nhà sản xuất ví cứng nên duy trì sự cảnh giác cao đối với điều này. Dưới đây là một số lời khuyên về việc sử dụng ví cứng đúng cách, giúp giảm thiểu rủi ro bị đánh cắp coin:
Kiên trì mua thiết bị phần cứng từ kênh chính thức. Bất kỳ ví cứng nào được mua từ kênh không chính thức đều có thể tiềm ẩn rủi ro về an ninh.
Đảm bảo ví tiền mua vào ở trạng thái chưa kích hoạt. Thiết bị phần cứng được bán chính thức nhất định phải chưa kích hoạt. Nếu người dùng phát hiện thiết bị đã được kích hoạt sau khi khởi động, hoặc tài liệu hướng dẫn có đề cập đến "mật khẩu ban đầu" hoặc "địa chỉ mặc định", ngay lập tức ngừng sử dụng và liên hệ với dịch vụ khách hàng chính thức.
Đảm bảo địa chỉ ví được người dùng tự tạo. Ngoài việc kích hoạt thiết bị, việc thiết lập mã PIN, tạo mã liên kết, tạo địa chỉ và sao lưu đều nên được người dùng tự thực hiện. Bất kỳ bước nào giao cho bên thứ ba đều có thể mang lại rủi ro về tài chính. Trong điều kiện bình thường, khi lần đầu sử dụng ví cứng, các thao tác như kích hoạt thiết bị, tạo ví, sao lưu cụm từ khôi phục và thiết lập mã PIN đều nên được người dùng tự thực hiện.