CyRadar cảnh báo chiến dịch lừa đảo thị trường tiền ảo hàng tỷ đồng

Tin tức

Những ngày cuối tháng 2/2018, CyRadar đã ghi nhận chiến dịch lừa đảo vô cùng tinh vi để chiếm đoạt hàng loạt đồng tiền ảo (cryptocurrency) trị giá hàng tỷ VND. Theo phân tích của CyRadar, hacker sẽ sử dụng ví riêng đối với mỗi nạn nhân, nên số tiền bị chiếm đoạt thực tế có thể lớn hơn rất nhiều lần.

Cách thức lừa đảo

Đầu tiên, nạn nhân nhận được 1 email mạo danh sàn giao dịch tiền ảo CoinDesk.

Email mạo danh sàn giao dịch CoinDesk
Email mạo danh sàn giao dịch CoinDesk

Khi click vào link “Read the whole story” để đọc thêm thông tin, nạn nhân sẽ được chuyển đến trang web lừa đảo có tên miền unicode coindeṣk[.]com mạo danh tên miền của sàn Coindesk. (Chữ là kí tự unicode, thực ra là tên miền xn--coindek-873c[.]com).

Lợi dụng đặc điểm của tên miền có ký tự unicode, kẻ xấu đã đăng ký tên miền mạo danh gần như giống hệt tên miền chính gốc, nếu không để ý kỹ, chúng ta rất khó để phân biệt.

Nội dung lừa đảo từ tên miền xn--coindek-873c[.]com
Nội dung lừa đảo từ tên miền xn--coindek-873c[.]com
Nội dung lừa đảo khá hấp dẫn để dụ: Nạn nhân sẽ được nhận thêm 0.5 EOS cho mỗi đồng EOS đang sở hữu và 10 EOS cho mỗi đồng ETH đang sở hữu.

Khi nạn nhân làm theo hướng dẫn, click vào “MyEtherWallet” hoặc “submit your claim” trong hình trên, thì sẽ tiếp tục chuyển sang 1 tên miền unicode khác myetḣerwalleṫ.com mạo danh tên miền myethwallet[dot]com. (chữ và chữ là kí tự unicode, thực ra là tên miền xn--myeterwalle-nl8et7a[.]com)

Nội dung lừa đảo từ tên miền xn--myeterwalle-nl8et7a[.]com
Nội dung lừa đảo từ tên miền xn--myeterwalle-nl8et7a[.]com
Sau khi nạn nhận điền private key và submit, hacker đã có toàn quyền sử dụng ví mà nạn nhân dùng để lưu các đồng ETH, EOS,… Từ đó hacker đã gửi toàn bộ số tiền mà nạn nhân đang có sang tài khoản của hacker.

Theo như ghi nhận của CyRadar, đã có nạn nhân Việt Nam bị lừa hơn $350,000, tương đương gần 8 tỷ VND. Hacker sẽ sử dụng ví riêng đối với mỗi nạn nhân, nên số tiền bị chiếm đoạt thực tế có thể lớn hơn rất nhiều lần.

Các giao dịch đến 1 ví của hacker
Các giao dịch đến 1 ví của hacker

Dựa vào công nghệ Malware Graph của CyRadar, chúng tôi đã phát hiện hacker chuẩn bị tổng cộng 7 tên miền mạo danh liên quan đến chiến dịch lừa đảo này:

Các tên miền được sử dụng trong chiến dịch lừa đảo
Các tên miền được sử dụng trong chiến dịch lừa đảo
  • coindeṣk[.]com (xn--coindek-873c[.]com)
  • coindeṡk[.]com (xn--coindek-s73c[.]com)
  • coindesḳ[.]com (xn--coindes-bx3c[.]com)
  • myetḣerwalleṫ.com (xn--myeterwalle-nl8et7a[.]com)
  • myetherẇalleṫ[.]com (xn--myetheralle-jb9exm[.]com)
  • mẏetherwalleṫ[.]com (xn--metherwalle-jb9ejq[.]com)
  • mẏetherẉallet[.]com (xn--metherallet-ol9eqc[.]com)

CyRadar đã đóng góp các thông tin độc hại trên cho cộng đồng an ninh mạng trên VirusTotal, từ đó các hãng security khác có thể cập nhật để bảo vệ người sử dụng.

CyRadar đã đóng góp các thông tin độc hại trên cho cộng đồng an ninh mạng trên VirusTotal
CyRadar đã đóng góp các thông tin độc hại trên cho cộng đồng an ninh mạng trên VirusTotal

Việc lừa đảo thông qua các tên miền unicode ở trên, đã được CyRadar cảnh báo từ hơn 1 năm trước.

Cách lừa đảo này được lựa chọn vì tính “hiệu quả” của nó, đặc biệt khi nạn nhân sử dụng smartphone để truy cập. Trên điện thoại, do màn hình nhỏ nên nạn nhân rất khó phát hiện các tên miền trên là giả mạo hơn.

Khuyến cáo

  • Cảnh giác và kiểm tra kỹ đối với những thông tin có lợi về tài chính cho bản thân (đặc biệt là các tin liên quan đến thị trường tiền ảo).
  • Kiểm tra thật kĩ các tên miền, đường dẫn trước khi điền hoặc gửi các thông tin quang trọng.
  • Tuyệt đối không để lộ hoặc gửi private key của các ví tiền ảo. Lưu ý cách nhận coin airdrop thông thường chỉ cần điền địa chỉ ví, không cần gửi private key.

Theo CyRadar

Để lại bình luận

Website này sử dụng Akismet để hạn chế spam. Tìm hiểu bình luận của bạn được duyệt như thế nào.