Nền tảng
Gần đây, SlowMist đã được mời để phát biểu tại Ethereum Web3 Security BootCamp, do DeFiHackLabs tổ chức. Thinking, trưởng nhóm kiểm định an ninh của SlowMist, đã hướng dẫn người tham dự qua tám chương chính—“Lừa dối, Cám dỗ, Mồi, Tấn công, Ẩn náu, Kỹ thuật, Nhận dạng, Phòng thủ”—sử dụng các trường hợp thực tế để minh họa các phương pháp và chiến thuật được sử dụng bởi các hacker lừa đảo, cũng như các biện pháp ngăn chặn có thể được triển khai. Lừa đảo vẫn là một trong những mối đe dọa quan trọng nhất trong ngành, và hiểu biết về cả kẻ tấn công và người phòng thủ là cần thiết để tăng cường phòng thủ. Trong bài viết này, chúng tôi trích xuất và chia sẻ thông tin chính từ buổi học để giúp người dùng nhận biết và bảo vệ bản thân khỏi các cuộc tấn công lừa đảo.

Tại sao các cuộc tấn công lừa đảo lại hiệu quả đến vậy?

Trong không gian Web3, các cuộc tấn công lừa đảo đã trở thành một trong những mối đe dọa bảo mật lớn nhất. Hãy cùng nhìn vào lý do tại sao người dùng trở thành nạn nhân của lừa đảo. Ngay cả những người có ý thức bảo mật cao cũng có thể cảm thấy rằng "những người đi qua sông sẽ không tránh khỏi bị ướt chân", bởi vì duy trì sự cảnh giác liên tục rất khó khăn. Kẻ tấn công thường phân tích các dự án hot gần đây, hoạt động cộng đồng và người dùng để xác định mục tiêu nổi bật. Sau đó, họ cẩn thận giả mạo và lôi kéo người dùng bằng những mồi nhử hấp dẫn như airdrop và lợi nhuận cao. Những cuộc tấn công này thường liên quan đến kỹ thuật xã hội, trong đó kẻ tấn công khéo léo điều khiển tâm lý người dùng để đạt được mục tiêu lừa đảo của họ:

• Kích thích:Điều kiện danh sách trắng cho Airdrop, cơ hội đào, mật khẩu của gia sản và nhiều hơn nữa.
• Sự tò mò/Sự tham lam:Không sợ bán đỉnh, đừng bỏ lỡ cơ hội 100x coin, đừng bỏ lỡ buổi họp tối nay lúc 10:00, đường link họphttps://us04-zoom[.]us/(độc hại); $PENGU airdrop whitelist, đừng bỏ lỡ,https://vote-pengu[.]com/ (độc hại).
• Sợ hãi:Cảnh báo khẩn cấp: Dự án XX đã bị hack, vui lòng sử dụng revake[.]cash (độc hại) để thu hồi quyền truy cập để tránh mất tài sản.
• Công cụ hiệu quả:Công cụ thu hoạch Airdrop, công cụ AI quant, công cụ đào một cú nhấp chuột và các công cụ khác.

Lý do tại sao kẻ tấn công cố gắng tạo và triển khai những mồi nhử này là vì chúng rất có lợi nhuận. Thông qua những phương pháp này, kẻ tấn công có thể dễ dàng thu thập thông tin/quyền truy cập nhạy cảm của người dùng và đánh cắp tài sản của họ:

• Đánh cắp Mnemonics/Private Keys:Lừa đảo người dùng để nhập khẩu bí mật hoặc khóa riêng tư của họ.
• Lừa đảo Người Dùng vào Sử Dụng Chữ Ký VíChữ ký ủy quyền, chữ ký chuyển nhượng và nhiều hơn thế nữa.
• Lấy cắp mật khẩu tài khoản:Telegram, Gmail, X, Discord, v.v.
• Truy cập trái phép vào quyền ứng dụng xã hội:X, Discord, etc.
• Cài đặt ứng dụng độc hại theo yêu cầu:Ứng dụng ví giả, ứng dụng mạng xã hội giả, ứng dụng họp giả, v.v.

Chiêu thức lừa đảo

Hãy xem một số chiến thuật lừa đảo phổ biến:
Mất tài khoản/ Mạo danh tài khoản
Gần đây, có nhiều báo cáo về việc các dự án/KOLs liên quan đến Web3 bị hack tài khoản. Sau khi đánh cắp những tài khoản này, kẻ tấn công thường xuyên quảng bá token giả mạo hoặc sử dụng tên miền tương tự trong các bài đăng 'tin vui' để lừa người dùng nhấn vào các liên kết độc hại. Đôi khi, các tên miền có thể thậm chí là thật, khi kẻ tấn công có thể đã chiếm đoạt tên miền của dự án. Một khi nạn nhân nhấp vào một liên kết lừa đảo, ký một giao dịch, hoặc tải xuống phần mềm độc hại, tài sản của họ sẽ bị đánh cắp.

Ngoài việc đánh cắp tài khoản, các kẻ tấn công thường giả mạo các tài khoản thực trên X, để lại những bình luận trên các bài đăng hợp lệ để đánh lừa người dùng. Nhóm bảo mật của SlowMist đã phân tích chiến thuật này: khoảng 80% những bình luận đầu tiên trên các tweet của các dự án nổi tiếng thường bị chiếm đóng bởi các tài khoản lừa đảo. Các kẻ tấn công sử dụng bot để theo dõi các hoạt động của các dự án phổ biến và, khi một tweet được đăng, bot của họ tự động để lại bình luận đầu tiên để đảm bảo khả năng nhìn thấy cao nhất. Vì người dùng đang đọc các bài đăng từ dự án hợp lệ, và tài khoản lừa đảo rất giống với tài khoản thực, người dùng không nghi ngờ có thể nhấp vào các liên kết lừa đảo dưới lời đề nghị của một airdrop, cho phép hoặc ký giao dịch và mất tài sản của họ.

Kẻ tấn công cũng giả mạo các quản trị viên để đăng tin giả, đặc biệt là trên các nền tảng như Discord. Vì Discord cho phép người dùng tùy chỉnh biệt danh và tên người dùng, kẻ tấn công có thể thay đổi hồ sơ của mình để phù hợp với một người quản trị, sau đó đăng tin lừa đảo hoặc nhắn tin trực tiếp cho người dùng. Nếu không kiểm tra hồ sơ, rất khó phát hiện sự lừa dối. Ngoài ra, trong khi tên người dùng Discord không thể trùng lặp, kẻ tấn công có thể tạo tài khoản với tên gần như giống hệt với người quản trị bằng cách thêm các biến thể nhỏ, như gạch dưới hoặc dấu chấm, làm cho người dùng khó phân biệt chúng.

Lừa đảo dựa trên lời mời
Kẻ tấn công thường liên lạc với người dùng trên các nền tảng xã hội, đề xuất các dự án “premium” hoặc mời người dùng tham dự cuộc họp, dẫn họ đến các trang web lừa đảo độc hại để tải xuống các ứng dụng có hại. Ví dụ, một số người dùng đã bị lừa tải xuống một ứng dụng Zoom giả mạo, dẫn đến mất tài sản. Kẻ tấn công sử dụng tên miền như “app[.]us4zoom[.]us” để giả mạo như các liên kết Zoom thực tế, tạo ra một trang gần như giống hệt giao diện Zoom thực tế. Khi người dùng nhấp vào “Bắt đầu cuộc họp,” họ sẽ được yêu cầu tải xuống một chương trình cài đặt độc hại thay vì khởi chạy ứng dụng Zoom. Trong quá trình cài đặt, người dùng được khuyến khích nhập mật khẩu, và kịch bản độc hại thu thập dữ liệu plugin ví và KeyChain (có thể chứa mật khẩu đã lưu trữ). Sau khi thu thập dữ liệu này, kẻ tấn công cố gắng giải mã nó và truy cập vào từ khóa ví hoặc khóa riêng tư của người dùng, cuối cùng là đánh cắp tài sản của họ.

Exploitation của thứ hạng trong công cụ tìm kiếm
Bởi vì thứ hạng của công cụ tìm kiếm có thể được tăng lên một cách giả tạo bằng cách mua quảng cáo, các trang web lừa đảo có thể xếp hạng cao hơn các trang web chính thức. Người dùng không chắc chắn về URL của trang web chính thức có thể khó phát hiện các trang web lừa đảo, đặc biệt là vì các trang web lừa đảo có thể tùy chỉnh URL quảng cáo của họ để khớp với URL chính thức. URL của quảng cáo có thể giống với trang web chính thức, nhưng khi được nhấp vào, người dùng được chuyển hướng đến trang web lừa đảo của kẻ tấn công. Vì các trang web lừa đảo thường trông gần giống với các trang web hợp pháp, nên rất dễ bị đánh lừa. Sẽ an toàn hơn nếu không chỉ dựa vào các công cụ tìm kiếm để tìm các trang web chính thức, vì điều này có thể dẫn đến các trang web lừa đảo.

Quảng cáo TG
Gần đây, có sự tăng đáng kể về các báo cáo từ người dùng về các bot TG giả mạo. Người dùng thường gặp phải các bot mới xuất hiện ở đầu các kênh bot giao dịch chính thức và nhầm tưởng rằng chúng là chính thức. Họ nhấp vào bot mới, nhập khóa riêng tư của họ và ràng buộc ví của họ, chỉ để bị đánh cắp tài sản. Kẻ tấn công sử dụng quảng cáo có mục tiêu trong các kênh Telegram chính thức để lôi kéo người dùng nhấp chuột. Các phương pháp lừa đảo này đặc biệt lén lút vì chúng xuất hiện trong các kênh chính thức, khiến người dùng cho rằng chúng là chính thức. Nếu thiếu cảnh giác đủ, người dùng có thể bị mắc kẹt với bot lừa đảo, nhập khóa riêng tư của họ và mất tài sản của họ.

Ngoài ra, chúng tôi mới phát hiện ra Một chiêu lừa mới: Lừa đảo Telegram giả mạo. Rất nhiều người dùng đã bị lừa để chạy mã độc hại từ hướng dẫn của kẻ tấn công, dẫn đến việc mất tài sản.

Cửa hàng ứng dụng
Không phải phần mềm nào có sẵn trên các cửa hàng ứng dụng (Google Play, Chrome Store, App Store, APKCombo, v.v.) cũng là chính hãng. Các cửa hàng ứng dụng không luôn có khả năng xem xét toàn bộ ứng dụng. Một số kẻ tấn công sử dụng chiến thuật như mua xếp hạng từ khóa hoặc điều hướng lưu lượng để lừa người dùng tải xuống các ứng dụng giả mạo. Chúng tôi khuyến khích người dùng xem xét cẩn thận các ứng dụng trước khi tải xuống. Luôn xác minh thông tin của nhà phát triển để đảm bảo phù hợp với danh tính chính thức. Bạn cũng có thể kiểm tra xếp hạng ứng dụng, số lượt tải xuống và các chi tiết liên quan khác.

Emails Lừa đảo
Email lừa đảo là một trong những chiêu trò cổ xưa nhất, và nó thường đơn giản nhưng hiệu quả. Kẻ tấn công sử dụng các mẫu lừa đảo kết hợp với các máy chủ proxy ngược Evilngins để tạo ra các email như email được hiển thị dưới đây. Khi người dùng nhấp vào “XEM TÀI LIỆU,” họ sẽ được chuyển hướng đến một trang giả mạo của DocuSign (hiện đã không còn hoạt động). Nếu người dùng nhấp vào đăng nhập Google trên trang này, họ sẽ bị chuyển hướng đến trang đăng nhập Google giả mạo. Sau khi nhập tên người dùng, mật khẩu và mã 2FA, kẻ tấn công sẽ chiếm quyền kiểm soát tài khoản của họ.

Email lừa đảo trên không được chăm chút kỹ lưỡng, vì địa chỉ email của người gửi chưa được giấu đi. Hãy xem cách kẻ tấn công đã cố gắng giấu nó trong ví dụ sau: Địa chỉ email của kẻ tấn công khác với địa chỉ chính thức chỉ bằng một dấu chấm nhỏ. Sử dụng công cụ như DNSTwist, kẻ tấn công có thể xác định các ký tự đặc biệt được hỗ trợ bởi Gmail. Nếu không chú ý kỹ, bạn có thể nhầm lẫn nó với màn hình bẩn.

Khai thác tính năng trình duyệt
Để biết thêm chi tiết, xemSlow Mist: Tiết lộ cách các dấu trang trình duyệt độc hại đánh cắp mã thông báo Discord của bạn.

Thách thức về phòng thủ

Các chiến thuật lừa đảo liên tục tiến hóa và trở nên tinh vi hơn. Phân tích trước đây của chúng tôi đã cho thấy những kẻ tấn công có thể tạo ra các trang web giống hệt các trang chính thức của các dự án nổi tiếng, chiếm đoạt tên miền của dự án, thậm chí là tạo ra các dự án giả toàn bộ. Những dự án giả mạo này thường có số lượng lớn người theo dõi giả trên mạng xã hội (người theo dõi mua), thậm chí còn có kho lưu trữ trên GitHub, khiến việc phát hiện mối đe dọa lừa đảo trở nên khó khăn hơn. Hơn nữa, việc kẻ tấn công sử dụng thành thạo các công cụ ẩn danh làm khó khăn hơn trong việc theo dõi hành vi của họ. Để che đậy danh tính, những kẻ tấn công thường dựa vào VPN, Tor hoặc các máy chủ bị xâm phạm để tiến hành các cuộc tấn công của mình.

Một khi kẻ tấn công có một danh tính ẩn danh, họ cũng cần cơ sở hạ tầng cơ bản, như Namecheap, chấp nhận thanh toán bằng tiền điện tử. Một số dịch vụ chỉ cần một địa chỉ email để đăng ký và không yêu cầu xác minh KYC, giúp kẻ tấn công tránh bị theo dõi.

Sau khi đã có những công cụ này, kẻ tấn công có thể khởi động các cuộc tấn công lừa đảo. Sau khi đánh cắp tiền, họ có thể sử dụng các dịch vụ như Wasabi hoặc Tornado để che giấu dòng tiền. Để tăng cường tính vô danh, họ có thể trao đổi số tiền đã đánh cắp thành các loại tiền điện tử tập trung vào quyền riêng tư như Monero.

Để che giấu dấu vết và tránh để lại bằng chứng, kẻ tấn công sẽ loại bỏ việc giải quyết tên miền liên quan, phần mềm độc hại, kho lưu trữ GitHub, tài khoản nền tảng, v.v. Điều này làm cho việc điều tra các sự cố trở nên khó khăn đối với các nhóm an ninh, vì các trang web lừa đảo có thể không còn sẵn có và phần mềm độc hại có thể không còn sẵn để tải xuống.

Chiến lược phòng thủ

Người dùng có thể nhận diện các mối đe dọa lừa đảo bằng cách nhận biết các đặc điểm đã đề cập ở trên và xác minh tính xác thực của thông tin trước khi hành động. Họ cũng có thể nâng cao khả năng phòng ngừa lừa đảo của mình bằng cách sử dụng các công cụ sau:

• Các Plugin Chặn Rủi Ro Lừa Đảo: Công cụ như Scam Sniffer có thể phát hiện rủi ro từ nhiều góc độ khác nhau. Nếu người dùng mở một trang web lừa đảo đáng ngờ, công cụ sẽ cảnh báo họ.
• Ví an toàn cao cấp: Ví như ví quan sát của Rabby (không yêu cầu khóa riêng tư), phát hiện trang web lừa đảo, chức năng "nhìn thấy là ký", phát hiện chữ ký có nguy cơ cao và các tính năng nhận dạng lịch sử lừa đảo.
• Phần mềm diệt virus Nổi tiếng: Các chương trình phổ biến như AVG, Bitdefender và Kaspersky.
• Ví cứng: Các ví cứng cung cấp lưu trữ ngoại tuyến cho các khóa riêng tư, đảm bảo rằng các khóa không bị tiết lộ trực tuyến khi tương tác với DApps, điều này giảm thiểu đáng kể nguy cơ bị đánh cắp tài sản.

Kết luận

Các cuộc tấn công lừa đảo đang lan rộng trong thế giới blockchain. Điều quan trọng nhất là phải cảnh giác và tránh mất cảnh giác. Khi điều hướng không gian blockchain, nguyên tắc cốt lõi là áp dụng tư duy không tin tưởng và liên tục xác minh mọi thứ. Chúng tôi khuyên bạn nên đọc và dần dần nắm vững "Sổ tay tự cứu hộ rừng tối Blockchain" để tăng cường khả năng phòng thủ của bạn: https://github.com/slowmist/Blockchain-dark-forest-selfguard-handbook/.

Tuyên bố:

1. Bài viết này được tái bản từ 【Công nghệ Màn mù】，Bản quyền thuộc về tác giả gốc【đội an ninh của SlowMist】, nếu bạn có bất kỳ ý kiến phản đối nào về việc sao chép, vui lòng liên hệ Học Gate, đội sẽ xử lý nó càng sớm càng tốt theo các thủ tục liên quan.
2. Miễn trừ trách nhiệm: Các quan điểm và ý kiến được đưa ra trong bài viết này chỉ đại diện cho quan điểm cá nhân của tác giả và không tạo thành bất kỳ lời khuyên đầu tư nào.
3. Các phiên bản ngôn ngữ khác của bài viết được dịch bởi đội ngũ Gate Learn. Trừ khi có quy định khác, bài viết đã được dịch có thể không được sao chép, phân phối hoặc đạo văn.