Tác giả gốc: Fairy, ChainCatcher
Biên tập viên gốc: TB, ChainCatcher
“Xin chào, đây là nhóm bảo mật của Coinbase, chúng tôi đã phát hiện những lần đăng nhập bất thường vào tài khoản của bạn…”
Giọng nói ở đầu dây bên kia rất chuyên nghiệp và khẩn cấp, thậm chí có thể báo cáo chính xác tên, địa chỉ email đã đăng ký và hồ sơ giao dịch gần đây của bạn. Bạn sẽ chọn cúp máy ngay lập tức hay làm theo hướng dẫn của dịch vụ khách hàng và chuyển tiền từng bước vào cái gọi là ví an toàn?
Gần đây, rất nhiều người dùng Coinbase đã bị lừa đảo liên tiếp và số tiền mất mát rất lớn. Chỉ riêng trong tháng 3, hơn 46 triệu đô la đã bị đánh cắp và người dùng Coinbase mất tới 300 triệu đô la mỗi năm do lừa đảo kỹ thuật xã hội.
Tuy nhiên, làm sao những tin tặc này có thể nhắm mục tiêu chính xác? Tại sao họ có thể lấy được thông tin cá nhân của người dùng? Cuộc khủng hoảng an ninh này có thể nghiêm trọng hơn người ta tưởng.
Gian lận đang tràn lan và các cuộc tấn công lừa đảo đang trở thành một ngành công nghiệp
Vào ngày 28 tháng 3, thám tử trực tuyến ZachXBT tiết lộ rằng trong hai tuần qua, đã có nhiều trường hợp nghi ngờ người dùng Coinbase bị lừa đảo, nâng tổng số tiền bị đánh cắp trong tháng 3 lên hơn 46 triệu đô la.
Trên thực tế, loại gian lận này đã tồn tại từ lâu. Ngay từ đầu tháng 2, ZachXBT đã tiết lộ rằng từ tháng 12 năm 2024 đến tháng 1 năm 2025, người dùng Coinbase đã mất tới 65 triệu đô la do những chiến thuật tương tự. Con số này khiến Coinbase có nguy cơ gặp phải cuộc khủng hoảng gian lận kỹ thuật xã hội lên tới hơn 300 triệu đô la mỗi năm.
Theo phân tích của ZachXBT, các phương pháp gian lận đã hình thành nên một chuỗi công nghiệp trưởng thành:
Những kẻ lừa đảo mạo danh quan chức Coinbase
Những kẻ lừa đảo sử dụng số điện thoại giả để gọi cho nạn nhân và sử dụng thông tin cá nhân của người dùng để chiếm được lòng tin. Họ khẳng định có những nỗ lực đăng nhập trái phép vào tài khoản người dùng, lừa nạn nhân hợp tác với xác minh bảo mật.
Gửi email lừa đảo
Những kẻ lừa đảo gửi email Coinbase giả mạo có chứa ID vụ việc giả mạo.
Hướng dẫn người dùng chuyển tiền
Những kẻ lừa đảo yêu cầu nạn nhân chuyển tiền vào Ví Coinbase và đưa địa chỉ lừa đảo vào danh sách trắng, với lý do đây là một hình thức xác minh bảo mật tài khoản.
Sao chép trang web Coinbase
Những kẻ lừa đảo đã tạo ra một bản sao gần giống 1:1 của trang web lừa đảo Coinbase và gửi nhiều hướng dẫn thao tác khác nhau cho nạn nhân thông qua email giả mạo và bảng điều khiển lừa đảo Telegram.
Ngoài ra, theo Cointelegraph, một số người dùng tiền điện tử gần đây đã nhận được email lừa đảo mạo danh Coinbase và Gemini. Những email như vậy thường tuyên bố rằng người dùng phải chuyển sang ví tự lưu trữ do các yêu cầu về quy định và đặt thời hạn là ngày 1 tháng 4 để tạo cảm giác cấp bách.
Email cung cấp liên kết để tải xuống Ví Coinbase hoặc Ví Gemini, cùng với cụm từ khôi phục được tạo sẵn. Khi người dùng tạo ví mới và chuyển tài sản bằng những cụm từ này, số tiền trong ví sẽ ngay lập tức bị kẻ lừa đảo rút sạch.
Các vấn đề truy cập dữ liệu nội bộ nổi lên
Cốt lõi của lừa đảo kỹ thuật xã hội nằm ở việc thu thập thông tin chính xác. Trong trường hợp người dùng Coinbase bị lừa đảo, những kẻ tấn công dường như đã lấy được thông tin cá nhân của nạn nhân, bao gồm số điện thoại, địa chỉ email, hồ sơ giao dịch, v.v. Điều này đặt ra một câu hỏi quan trọng: Chính xác thì dữ liệu này đã rơi vào tay kẻ lừa đảo bằng cách nào?
Hôm qua, nhà đồng sáng lập The Block Mike Dudas đã chia sẻ trên nền tảng X rằng ông đã nhận được một email từ Coinbase. Nội dung email này rất đáng lo ngại và chỉ trực tiếp vào vấn đề truy cập dữ liệu nội bộ. Nội dung email như sau:
“Chúng tôi viết thư này để thông báo rằng chúng tôi đã phát hiện dấu hiệu cho thấy một nhân viên của Coinbase có thể đã truy cập vào hồ sơ tài khoản của một số ít khách hàng của Coinbase, bao gồm cả khách hàng của bạn, theo cách không phù hợp với các chính sách nội bộ.”
Mặc dù email nêu rõ rằng tài sản của bạn vẫn an toàn và tài khoản Coinbase của bạn không bị xâm phạm và nhấn mạnh rằng hiện không có bằng chứng nào cho thấy dữ liệu bị rò rỉ ra bên ngoài, nhưng email đã đưa ra cảnh báo rõ ràng cho người dùng: vấn đề truy cập dữ liệu nội bộ đã được xác nhận và không phải là sự cố riêng lẻ.
Dudas cho biết điều này giải thích cho các email lừa đảo và cuộc gọi điện thoại mạo danh Coinbase.
Tuy nhiên, phạm vi rò rỉ dữ liệu vẫn còn là dấu hỏi và có thể liên quan đến nhiều người dùng hơn. Người dùng cộng đồng @ghaiankur cho biết: “Tôi không có bất kỳ khoản tiền nào trên Coinbase và chưa bao giờ sử dụng nó. Nhưng tôi vẫn nhận được những email này vì tôi có một tài khoản. Điều này có thể không chỉ nhắm vào một vài tài khoản mà là toàn bộ cơ sở dữ liệu.”
Rò rỉ dữ liệu trở thành mối nguy hiểm tiềm ẩn trong ngành
Không chỉ Coinbase, nhiều sàn giao dịch khác dường như cũng đang phải đối mặt với những rủi ro bảo mật nội bộ tương tự.
Sau khi Dudas chia sẻ email, nhà giao dịch tiền điện tử Jordan Fish (@Cobie) tiết lộ rằng sàn giao dịch tiền điện tử Kraken gần đây cũng đã phải chịu một cuộc tấn công tương tự. Ông suy đoán: Đây có thể là chiến lược của kẻ tấn công - xâm nhập vào nhóm dịch vụ khách hàng và đánh cắp dữ liệu người dùng từ bên trong.
Cùng lúc đó, vào ngày 27 tháng 3, trang web tin tức dark web Dark Web Informer tiết lộ rằng một tin tặc có mật danh AKM 69 đã tuyên bố đã lấy được thông tin cá nhân của một số lượng lớn người dùng sàn giao dịch tiền điện tử Gemini. Cơ sở dữ liệu chứa 100.000 hồ sơ bao gồm tên đầy đủ, email, số điện thoại và thông tin vị trí của người dùng tại Hoa Kỳ, thậm chí còn bao gồm một số dữ liệu của người dùng ở Singapore và Vương quốc Anh.
Hoặc là học cách bảo vệ người dùng hoặc bị họ bỏ rơi.
Bình luận về sự cố này, nhà đồng sáng lập Solana là Toly cho biết các sàn giao dịch nên triển khai khóa thời gian chuyển tiền do người dùng kiểm soát để giảm nguy cơ tài sản bị đánh cắp nhanh chóng. Tuy nhiên, bản chất của sự việc này còn hơn thế nữa. Nó phơi bày sự thất bại của kiểm soát rủi ro nội bộ trong sàn giao dịch và mức độ công nghiệp hóa cao của các hoạt động gian lận.
Tính bảo mật của một sàn giao dịch không còn chỉ là vấn đề bảo vệ kỹ thuật mà còn là vấn đề quản lý và lòng tin. Trước các phương thức tấn công ngày càng phức tạp, cách thiết lập hệ thống kiểm soát rủi ro hoàn thiện hơn sẽ quyết định chuẩn mực bảo mật tương lai của ngành.