CyRadar phát hiện chiến dịch lừa đảo hàng tỷ đồng trên thị trường tiền ảo

Cuối tháng 2/2018 vừa qua, CyRadar đã ghi nhận chiến dịch lừa đảo vô cùng tinh vi để chiếm đoạt hàng loạt đồng tiền ảo (cryptocurrency) trị giá hàng tỷ VND. Theo phân tích của CyRadar, số tiền bị chiếm đoạt thực tế có thể lớn hơn rất nhiều lần bởi hacker sẽ sử dụng ví riêng đối với mỗi nạn nhân.


Đầu tiên, nạn nhân nhận được 1 email mạo danh sàn giao dịch CoinDesk.


Nội dung email giả mạo

Khi click vào “Read the whole story” để đọc thêm thông tin, nạn nhân sẽ được chuyển đến trang web lừa đảo có tên miền unicode coindeṣk[.]com mạo danh tên miền của sàn Coindesk. (Chữ  là kí tự unicode, thực ra là tên miền xn--coindek-873c[.]com).
Lợi dụng đặc điểm của tên miền có ký tự unicode, kẻ xấu đã đăng ký tên miền mạo danh gần như giống hệt tên miền chính gốc, nếu không để ý kỹ, chúng ta rất khó để phân biệt.


Nội dung lừa đảo từ tên miền xn--coindek-873c[.]com

Nội dung lừa đảo khá hấp dẫn để dụ: Nạn nhân sẽ được nhận thêm 0.5 EOS cho mỗi đồng EOS đang sở hữu và 10 EOS cho mỗi đồng ETH đang sở hữu.
Khi nạn nhân làm theo hướng dẫn, click vào “MyEtherWallet” hoặc “submit your claim” trong hình trên, thì sẽ tiếp tục chuyển sang 1 tên miền unicode khác myetḣerwalleṫ.com mạo danh tên miền myethwallet[dot]com. (chữ ḣ và chữ ṫ là kí tự unicode, thực ra là tên miền xn--myeterwalle-nl8et7a[.]com)


Nội dung lừa đảo từ tên miền xn--myeterwalle-nl8et7a[.]com

Sau khi nạn nhận điền private key và submit, hacker đã có toàn quyền sử dụng ví mà nạn nhân dùng để lưu các đồng ETH, EOS,… Từ đó hacker đã gửi toàn bộ số tiền mà nạn nhân đang có sang tài khoản của hacker.
Theo như ghi nhận của CyRadar, đã có nạn nhân Việt Nam bị lừa hơn $350,000, tương đương gần 8 tỷ VND. Hacker sẽ sử dụng ví riêng đối với mỗi nạn nhân, nên số tiền bị chiếm đoạt thực tế có thể lớn hơn rất nhiều lần.


Các giao dịch đến 1 ví của hacker

Dựa vào công nghệ Malware Graph của CyRadar, chúng tôi đã phát hiện hacker chuẩn bị tổng cộng 7 tên miền mạo danh liên quan đến chiến dịch lừa đảo này:


Các tên miền được sử dụng trong chiến dịch lừa đảo

  • coindeṣk[.]com (xn--coindek-873c[.]com)
  • coindeṡk[.]com (xn--coindek-s73c[.]com)
  • coindesḳ[.]com (xn--coindes-bx3c[.]com)
  • myetḣerwalleṫ.com (xn--myeterwalle-nl8et7a[.]com)
  • myetherẇalleṫ[.]com (xn--myetheralle-jb9exm[.]com)
  • mẏetherwalleṫ[.]com (xn--metherwalle-jb9ejq[.]com)
  • mẏetherẉallet[.]com (xn--metherallet-ol9eqc[.]com)
CyRadar đã đóng góp các thông tin độc hại trên cho cộng đồng an ninh mạng trên VirusTotal, từ đó các hãng security khác có thể cập nhật để bảo vệ người sử dụng.


CyRadar đã đóng góp các thông tin độc hại trên cho cộng đồng an ninh mạng trên VirusTotal

Việc lừa đảo thông qua các tên miền unicode ở trên, đã được CyRadar cảnh báo từ hơn 1 năm trước.
Cách lừa đảo này được lựa chọn vì tính “hiệu quả” của nó, đặc biệt khi nạn nhân sử dụng smartphone để truy cập. Trên điện thoại, do màn hình nhỏ nên nạn nhân rất khó phát hiện các tên miền trên là giả mạo hơn.

Lời Khuyên:

  • Cảnh giác và kiểm tra kỹ đối với những thông tin có lợi về tài chính cho bản thân (đặc biệt là các tin liên quan đến thị trường tiền ảo).
  • Kiểm tra thật kĩ các tên miền, đường dẫn trước khi điền hoặc gửi các thông tin quang trọ
  • Tuyệt đối không để lộ hoặc gửi private key của các ví. Lưu ý cách nhận coin airdrop thông thường chỉ cần điền địa chỉ ví, không cần gửi private key.
CyRadar phát hiện chiến dịch lừa đảo hàng tỷ đồng trên thị trường tiền ảo CyRadar phát hiện chiến dịch lừa đảo hàng tỷ đồng trên thị trường tiền ảo Reviewed by Unknown on tháng 3 06, 2018 Rating: 5

Không có nhận xét nào:

ads
Được tạo bởi Blogger.