Tấn công xã hội đe dọa bảo mật tài sản, người dùng Coinbase trở thành nạn nhân chính

Trong những năm gần đây, tấn công kỹ thuật xã hội đã trở thành mối đe dọa lớn đối với an toàn tài chính của người dùng trong lĩnh vực mã hóa tài sản. Kể từ năm 2025, các sự kiện lừa đảo kỹ thuật xã hội nhắm vào người dùng của một nền tảng giao dịch nhất định đã xảy ra thường xuyên, thu hút sự chú ý rộng rãi. Từ các cuộc thảo luận trong cộng đồng có thể thấy, các sự kiện này không phải là trường hợp đơn lẻ, mà là một loại lừa đảo có đặc điểm bền vững và có tổ chức.

Vào ngày 15 tháng 5, một nền tảng giao dịch đã phát hành thông báo, xác nhận những suy đoán trước đó về việc tồn tại "kẻ phản bội" bên trong nền tảng. Được biết, Bộ Tư pháp Hoa Kỳ đã khởi động cuộc điều tra về sự cố rò rỉ dữ liệu này.

Bài viết này sẽ thông qua việc sắp xếp thông tin do nhiều nhà nghiên cứu an ninh và nạn nhân cung cấp, công bố các thủ đoạn chính của kẻ lừa đảo, và từ hai góc độ của nền tảng và người dùng, thảo luận về cách ứng phó hiệu quả với các trò lừa đảo như vậy.

Phân tích lịch sử

Nhà điều tra trên chuỗi Zach trong bản cập nhật truyền thông ngày 7 tháng 5 cho biết: "Chỉ trong tuần qua, hơn 45 triệu đô la đã bị đánh cắp từ người dùng của một nền tảng giao dịch do lừa đảo kỹ thuật xã hội."

Trong năm qua, Zach đã nhiều lần tiết lộ về sự cố bị đánh cắp của người dùng trên nền tảng này, một số nạn nhân đã mất hàng triệu đô la. Ông đã công bố một cuộc điều tra chi tiết vào tháng 2 năm 2025, cho biết chỉ trong khoảng thời gian từ tháng 12 năm 2024 đến tháng 1 năm 2025, tổng số tiền bị đánh cắp do các trò lừa đảo tương tự đã vượt quá 65 triệu đô la, và tiết lộ rằng nền tảng này đang đối mặt với một cuộc khủng hoảng "lừa đảo xã hội" nghiêm trọng, loại tấn công này đang liên tục xâm phạm bảo mật tài sản của người dùng với quy mô lên tới 300 triệu đô la mỗi năm. Ông cũng chỉ ra:

• Các băng nhóm chủ yếu dẫn dắt loại lừa đảo này được chia thành hai loại: một loại là những kẻ tấn công cấp thấp đến từ các nhóm nhất định, loại còn lại là các tổ chức tội phạm mạng có trụ sở tại Ấn Độ;
• Mục tiêu tấn công của băng nhóm lừa đảo chủ yếu là người dùng Mỹ, phương pháp phạm tội đã được chuẩn hóa, quy trình nói chuyện đã trưởng thành;
• Số tiền thiệt hại thực tế có thể cao hơn nhiều so với thống kê có thể thấy trên chuỗi, vì không bao gồm các thông tin chưa công khai như phiếu yêu cầu dịch vụ khách hàng và biên bản báo cáo cảnh sát không thể có được.

Thủ đoạn lừa đảo

Trong sự kiện này, hệ thống kỹ thuật của nền tảng không bị tấn công, kẻ lừa đảo đã lợi dụng quyền hạn của nhân viên nội bộ để lấy thông tin nhạy cảm của một số người dùng. Những thông tin này bao gồm: tên, địa chỉ, thông tin liên lạc, dữ liệu tài khoản, ảnh chứng minh nhân dân, v.v. Mục đích cuối cùng của kẻ lừa đảo là sử dụng các phương pháp kỹ thuật xã hội để hướng dẫn người dùng chuyển tiền.

Loại hình tấn công này đã thay đổi phương thức lừa đảo truyền thống "đánh bắt bằng lưới" và chuyển sang "tấn công chính xác", được coi là "được thiết kế riêng" cho lừa đảo xã hội. Đường đi điển hình của vụ án như sau:

1. Liên hệ với người dùng với tư cách là "dịch vụ khách hàng chính thức"

Kẻ lừa đảo sử dụng hệ thống điện thoại giả mạo để giả mạo dịch vụ khách hàng của nền tảng, gọi điện cho người dùng nói rằng "tài khoản của họ gặp phải đăng nhập trái phép", hoặc "phát hiện bất thường trong việc rút tiền", tạo ra bầu không khí khẩn cấp. Họ sau đó sẽ gửi email hoặc tin nhắn giả mạo có chứa mã số công việc giả hoặc liên kết "quy trình khôi phục", và hướng dẫn người dùng thao tác. Những liên kết này có thể chỉ đến giao diện nền tảng bị sao chép, thậm chí có thể gửi email có vẻ như đến từ tên miền chính thức, một số email sử dụng công nghệ chuyển hướng để vượt qua bảo vệ an toàn.

2. Hướng dẫn người dùng tải xuống ví cụ thể

Kẻ lừa đảo sẽ lấy lý do "bảo vệ tài sản" để hướng dẫn người dùng chuyển tiền đến "ví an toàn", và còn hỗ trợ người dùng cài đặt ví cụ thể, đồng thời chỉ dẫn họ chuyển tài sản vốn đang được giữ trên nền tảng vào một ví mới được tạo ra.

3. Dẫn dụ người dùng sử dụng cụm từ ghi nhớ do kẻ lừa đảo cung cấp

Khác với việc "lừa đảo bằng cách lấy cắp cụm từ khôi phục" truyền thống, kẻ lừa đảo trực tiếp cung cấp một bộ cụm từ khôi phục do chính họ tạo ra, dụ dỗ người dùng sử dụng nó như là "ví mới chính thức".

4. Kẻ lừa đảo thực hiện việc trộm cắp tài chính

Nạn nhân trong trạng thái căng thẳng, lo âu và tin tưởng vào "dịch vụ khách hàng", rất dễ rơi vào bẫy. Trong mắt họ, ví mới được "cung cấp bởi chính thức" tự nhiên an toàn hơn ví cũ "có dấu hiệu bị xâm nhập". Kết quả là, ngay khi tiền được chuyển vào ví mới này, kẻ lừa đảo có thể ngay lập tức chuyển đi. Quan niệm "không phải của bạn thì không phải là của bạn" lại một lần nữa được chứng minh một cách tàn khốc.

Ngoài ra, một số email lừa đảo tuyên bố "do phán quyết của vụ kiện tập thể, nền tảng sẽ hoàn toàn chuyển sang ví tự quản lý", và yêu cầu người dùng hoàn thành việc di chuyển tài sản trước ngày 1 tháng 4. Người dùng dưới áp lực thời gian khẩn trương và sự gợi ý tâm lý từ "chỉ thị chính thức" sẽ dễ dàng phối hợp thực hiện.

Theo các nhà nghiên cứu an ninh, những cuộc tấn công này thường được lên kế hoạch và thực hiện một cách có tổ chức:

• Mạng lưới công cụ lừa đảo hoàn thiện: Kẻ lừa đảo sử dụng hệ thống cụ thể để giả mạo số điện thoại gọi đến, mô phỏng cuộc gọi từ tổng đài chính thức. Khi gửi email lừa đảo, chúng sẽ lợi dụng robot trên các nền tảng xã hội để giả mạo email chính thức, kèm theo "Hướng dẫn khôi phục tài khoản" để hướng dẫn chuyển tiền.
• Mục tiêu chính xác: Kẻ lừa đảo dựa vào dữ liệu người dùng bị đánh cắp mua từ kênh liên lạc và mạng tối, nhằm vào người dùng khu vực Mỹ làm mục tiêu chính, thậm chí còn sử dụng AI để xử lý dữ liệu bị đánh cắp, phân tách và tái cấu trúc số điện thoại, tạo ra các tệp văn bản hàng loạt, sau đó gửi tin nhắn lừa đảo qua phần mềm bẻ khóa.
• Quy trình lừa đảo liên tục: từ điện thoại, tin nhắn đến email, con đường lừa đảo thường liên kết liền mạch, các cụm từ lừa đảo phổ biến bao gồm "tài khoản đã nhận yêu cầu rút tiền", "mật khẩu đã được đặt lại", "tài khoản có đăng nhập bất thường" và các cụm từ khác, liên tục dẫn dắt nạn nhân thực hiện "xác minh an toàn" cho đến khi hoàn thành việc chuyển tiền.

Phân tích trên chuỗi

Chúng tôi đã phân tích một số địa chỉ của kẻ lừa đảo và phát hiện rằng những kẻ lừa đảo này có khả năng thao tác trên chuỗi khá mạnh, dưới đây là một số thông tin quan trọng:

Các mục tiêu tấn công của kẻ lừa đảo bao gồm nhiều loại tài sản mà người dùng sở hữu, thời gian hoạt động của các địa chỉ này tập trung vào khoảng thời gian từ tháng 12 năm 2024 đến tháng 5 năm 2025, tài sản mục tiêu chủ yếu là BTC và ETH. BTC hiện là mục tiêu lừa đảo chính, nhiều địa chỉ đã thu lợi hàng trăm BTC một lần, với giá trị mỗi giao dịch lên tới hàng triệu đô la.

Sau khi nhận được vốn, kẻ lừa đảo nhanh chóng sử dụng một quy trình rửa tiền để đổi và chuyển tài sản, mô hình chính như sau:

• Tài sản loại ETH thường được trao đổi nhanh chóng thành DAI hoặc USDT qua một số DEX, sau đó phân tán chuyển đến nhiều địa chỉ mới, một phần tài sản được đưa vào nền tảng giao dịch tập trung;

• BTC chủ yếu được chuyển giao qua cầu nối chuỗi sang Ethereum, sau đó đổi thành DAI hoặc USDT để tránh rủi ro bị theo dõi.

Nhiều địa chỉ lừa đảo vẫn ở trạng thái "tĩnh" sau khi nhận DAI hoặc USDT, chưa được chuyển đi.

Để tránh việc địa chỉ của mình tương tác với địa chỉ nghi ngờ, từ đó đối mặt với rủi ro bị đóng băng tài sản, khuyến nghị người dùng thực hiện kiểm tra rủi ro đối với địa chỉ mục tiêu trước khi giao dịch, nhằm hiệu quả phòng ngừa các mối đe dọa tiềm ẩn.

Biện pháp ứng phó

nền tảng

Hiện nay, các biện pháp bảo mật chính chủ yếu là bảo vệ ở "cấp độ kỹ thuật", trong khi lừa đảo xã hội thường lách qua những cơ chế này, trực tiếp tấn công vào tâm lý và hành vi của người dùng. Do đó, khuyến nghị rằng nền tảng nên tích hợp giáo dục người dùng, đào tạo an toàn và thiết kế khả năng sử dụng, xây dựng một hệ thống "hướng về con người" để bảo vệ an toàn.

• Định kỳ gửi nội dung giáo dục phòng chống lừa đảo: Tăng cường khả năng phòng chống lừa đảo của người dùng thông qua cửa sổ bật lên trong ứng dụng, giao diện xác nhận giao dịch, email và các phương tiện khác;
• Tối ưu hóa mô hình quản lý rủi ro, giới thiệu "nhận diện hành vi bất thường tương tác": Hầu hết các cuộc lừa đảo xã hội sẽ dẫn dụ người dùng thực hiện một loạt các thao tác trong thời gian ngắn (như chuyển khoản, thay đổi danh sách trắng, liên kết thiết bị, v.v.). Nền tảng nên dựa trên mô hình chuỗi hành vi để nhận diện các tổ hợp tương tác khả nghi (như "tương tác thường xuyên + địa chỉ mới + rút tiền lớn"), kích hoạt thời gian bình tĩnh hoặc cơ chế xem xét thủ công.
• Quy định kênh dịch vụ khách hàng và cơ chế xác minh: Kẻ lừa đảo thường giả mạo dịch vụ khách hàng để đánh lừa người dùng, nền tảng nên thống nhất số điện thoại, tin nhắn, mẫu email, và cung cấp "cổng xác minh dịch vụ khách hàng", làm rõ kênh giao tiếp chính thức duy nhất, tránh gây nhầm lẫn.

người dùng

• Thực hiện chính sách tách biệt danh tính: Tránh việc nhiều nền tảng chia sẻ cùng một địa chỉ email, số điện thoại, giảm thiểu rủi ro liên đới, có thể sử dụng công cụ kiểm tra rò rỉ để định kỳ kiểm tra xem email có bị rò rỉ hay không.

• Kích hoạt danh sách trắng chuyển khoản và cơ chế làm mát rút tiền: Đặt trước địa chỉ tin cậy, giảm thiểu rủi ro mất mát tài sản trong các tình huống khẩn cấp.

• Theo dõi thông tin an toàn liên tục: Thông qua các kênh như công ty an ninh, truyền thông, nền tảng giao dịch, hiểu biết về những động thái tấn công mới nhất và giữ cảnh giác. Hiện tại, nhiều tổ chức an ninh đang phát triển nền tảng mô phỏng lừa đảo Web3 sẽ ra mắt, nền tảng này sẽ mô phỏng nhiều phương pháp lừa đảo điển hình, bao gồm tiêm độc xã hội, lừa đảo chữ ký, tương tác hợp đồng độc hại, và kết hợp với các trường hợp lịch sử, liên tục cập nhật nội dung cảnh. Giúp người dùng nâng cao khả năng nhận diện và ứng phó trong môi trường không rủi ro.

• Lưu ý rủi ro ngoại tuyến và bảo vệ quyền riêng tư: Việc rò rỉ thông tin cá nhân cũng có thể gây ra vấn đề an toàn cho bản thân.

Đây không phải là lo lắng vô cớ, từ đầu năm đến nay, những người làm trong lĩnh vực mã hóa/ người dùng đã phải đối mặt với nhiều sự kiện đe dọa đến an toàn cá nhân. Do dữ liệu bị rò rỉ lần này bao gồm tên, địa chỉ, thông tin liên lạc, dữ liệu tài khoản, ảnh chứng minh nhân dân, v.v., các người dùng liên quan cũng cần nâng cao cảnh giác và chú ý đến bảo mật tài sản.

Tóm lại, hãy giữ sự nghi ngờ và liên tục xác minh. Đối với mọi hoạt động khẩn cấp, hãy yêu cầu bên kia tự chứng minh danh tính và xác minh độc lập qua các kênh chính thức, tránh đưa ra quyết định không thể đảo ngược dưới áp lực.

Tóm tắt

Sự kiện này một lần nữa phơi bày ra rằng, trước các phương thức tấn công xã hội ngày càng trưởng thành, ngành vẫn còn những điểm yếu rõ rệt trong việc bảo vệ dữ liệu khách hàng và bảo mật tài sản. Điều cần cảnh giác là, ngay cả khi các vị trí liên quan trên nền tảng không có quyền truy cập tài chính, việc thiếu ý thức và năng lực bảo mật đủ sẽ có thể dẫn đến hậu quả nghiêm trọng do vô tình tiết lộ hoặc bị xúi giục. Khi quy mô của nền tảng ngày càng mở rộng, độ phức tạp trong việc kiểm soát an toàn nhân sự cũng tăng lên, đã trở thành một trong những rủi ro khó giải quyết nhất trong ngành. Do đó, trong khi củng cố cơ chế an toàn trên chuỗi, nền tảng cũng phải xây dựng một cách hệ thống "hệ thống phòng thủ xã hội" bao phủ nhân viên nội bộ và dịch vụ thuê ngoài, đưa rủi ro con người vào trong chiến lược an ninh tổng thể.

Ngoài ra, khi phát hiện ra rằng cuộc tấn công không phải là sự cố đơn lẻ, mà là một mối đe dọa liên tục có tổ chức và quy mô, nền tảng nên phản ứng ngay lập tức, chủ động kiểm tra các lỗ hổng tiềm ẩn, nhắc nhở người dùng phòng ngừa và kiểm soát mức độ thiệt hại. Chỉ có ứng phó kép ở cả cấp độ kỹ thuật và tổ chức, mới có thể giữ vững niềm tin và giới hạn trong môi trường an ninh ngày càng phức tạp.