Chuyện hy hữu: Chuyên gia bảo mật tốt bụng lấy lại 4.000 USD từ một vụ tấn công giả mạo

Nó nghe có vẻ không thực tế, nhưng đó chính xác là một trải nghiệm thực tế mà một nạn nhân lừa đảo giả mạo đã trải qua. Người sử dụng Twitter Harv gần đây đã chia sẻ rằng những kẻ lừa đảo đã cố quét sạch ứng dụng ví Trust của mình. Cuối ngày hôm đó, nhà nghiên cứu bảo mật Harry Denley đã thông tin cho họ biết rằng, ông đã tìm cách để can thiệp kẻ tấn công và bảo vệ khoảng một nửa số tiền điện tử đã bị đánh cắp.

“Ví Trust của tôi vừa bị tấn công. Họ đã lấy đi của tôi tất cả 10.000 USD. Tôi nghĩ tôi đã xong rồi.” – @punk_cipher

Nạn nhân người sử dụng ví Trust trong vụ lừa đảo giả mạo 10.000 USD

Mặc dù những người khác có thể cảm thấy quá xấu hổ khi công khai những sự việc như thế này thì Harv đã tiết lộ vụ lừa đảo này thông qua Twitter vào sớm ngày 28/6. Với những lợi ích về lâu dài, họ sẽ cảm thấy hài lòng khi đã quyết định làm như vậy. Denley, một chuyên gia bảo mật chống lại tấn công giả mạo cho biết rằng ứng dụng ví Trust của Harv đã bị tấn công và bị cuỗm sạch. Harv đang trong lúc quẫn trí cho biết đã mất đi khoảng 10.000 USD tiền điện tử. Nạn nhân này còn chia sẻ một biểu tượng gương mặt buồn cùng dòng trạng thái:

“Tôi nghĩ là tôi đã xong rồi.”

Kỳ lạ thay, chỉ chưa đến 2 giờ kể từ tweet đầu tiên. Denley đã phản hồi lại với những thông tin tốt ngoài mong đợi mà chắc chắn sẽ làm vui lòng nạn nhân. Denley đã hướng dẫn Harv nhắn tin trực tiếp cho mình, khi mà ông đã cố để hồi phục lại khoảng 4.000 USD nguồn tiền đã bị đánh cắp. Denley đã hứa sẽ tiết lộ về cách làm thế nào mà ông đã giành lại được số tiền bị đánh cắp vào ngày 28/6. Và ông vừa mới thực hiện điều qua thông qua một bài viết trên Medium được xuất bản vào hôm thứ 2 vừa qua.

Đánh lừa kẻ lừa đảo: Cách thức Denley đã khôi phục lại được 4.000 USD của Ether

Gọi nó là một sự kiện đặc biệt, Denley tiết lộ là nạn nhân trong trường hợp này đã cài đặt một phiên bản độc hại của ứng dụng ví Trust. Chuyên gia tiền điện tử này cũng lưu ý là trường hợp tấn công giả mạo này có chút ít khác biệt so với những trường hợp xảy ra trong ngành công nghiệp tiền điện tử những năm qua. Phiên bản giả mạo của phần mềm này thực sự đã được niêm yết trên cửa hàng chính thức của Google Play. Những bức ảnh chụp màn hình của cửa hàng ứng dụng cho thấy người sử dụng đã đánh giá ví Trust hơn 600 lần và xếp hạng sao 3,5 danh giá. Mức độ tinh vi ở đây không được tìm thấy ở trong hầu hết các vụ lừa đảo giả mạo. Những APK độc hại như thế này thường được chứa trên website của bên thứ 3. Denley đã chạy ứng dụng trong một môi trường thử nghiệm riêng biệt và đã phân giải nó. Khi đó, ông đã phát hiện ra là ứng dụng độc hại này đã tải một webview, khiến người dùng nhập khóa ghi nhớ để họ khôi phục lại ví. Được gắn mác là một ứng dụng chính thức và có thể tải xuống từ một nguồn hợp pháp, đó cũng là điều dễ hiểu khi các nạn nhân dễ mắc bẫy những vụ lừa đảo như thế này.

Lần theo dấu vết

Dĩ nhiên là nhập khóa ghi nhớ trên cửa sổ WebView không khôi phục được ví. Thực tế, nó dẫn đến một thông báo lỗi, trong khi gửi thông tin đăng nhập của người sử dụng đến một bản ghi của phía máy chủ. Như Denley mô tả thì đó là một ‘mã kém chất lượng’. Có nghĩa là một cấu hình nghèo nàn với tên miền của kẻ tấn công đã để lại bản ghi lỗi được phơi bày thông qua Telegram. Denley cũng có thể thúc đẩy một lỗi trong ứng dụng nhắn tin bằng cách gửi tin nhắn rác cho nó. Sau khi phá vỡ chìa khóa API của bot Telegram, khi đó nó đã xuất hiện tràn ngập trên giao diện chương trình của ứng dụng Telegram (API). Điều này đã khiến cho chương trình gửi tất cả những tin nhắn trò chuyện riêng tư của những kẻ lừa đảo một cách trực tiếp đến Denley thông qua bản ghi lỗi. Ông khi đó thiết lập một phần mềm quét tùy chỉnh để dọn sách nội dung của ví mà đã bị đánh cắp bằng cách sử dụng đoạn ghi nhớ đã thu được. Ông đã thực hiện điều này theo một khoảng cách 180 giây. Với chỉ thêm một vài điều chỉnh, Denley đã có thể điều khiển được bot riêng của kẻ tấn công báo cáo các cuộc trò chuyện riêng tư của các thành viên kênh Telegram. Ông đã phát hiện ra ID Telegram của kẻ tấn công có biệt danh là ‘George’. Tất cả những kẻ tấn công đều nói tiếng Thổ Nhĩ Kỳ.

Quét nội dung ví

Cuộc phản công của Denley tiếp tục diễn ra mà không bị phát hiện trong khoảng 15 giờ từ giữa 28/6 và 29/6. Cuối cùng, những kẻ lừa đảo đã chú ý đến một loạt các tin nhắn đang được gửi đến các cuộc trò chuyện của họ. Họ được cho là đã điều chỉnh bản ghi lỗi và xóa bỏ bot của Telegram. Denley tin là những kẻ lừa đảo sẽ có những bot khác mà được dùng chủ yếu để gửi những chìa khác riêng tư rác đến các bản ghi của kẻ tấn công trong thời gian đó. Điều này sẽ khiến cho nạn nhân mất một vài khoảng thời gian để bảo vệ các tài sản tiền điện tử của mình.

Theo dõi các nạn nhân

Với thông tin giao dịch đầy đủ, Denley tiếp tục ngăn chặn một vài nỗ lực khác để bòn rút tiền từ các ví. Ông đã cố tìm các địa chỉ ví bị ảnh hưởng và rồi bắt đầu hồi phục lại số tiền bị mất cho những người sử dụng. Ban đầu, ông lướt qua Twitter để tìm kiếm những địa chỉ là nạn nhân lớn nhất, mà cuối cùng đã dẫn ông biết được trường hợp của Harv. Sau khi bắt đầu một cuộc trò chuyện, Denley đã yêu cầu họ xác thực một thông điệp với chìa khóa của mình. Điều này cho phép vị chuyên gia này trả lại nguồn quỹ cho những người sở hữu đã được xác nhận một cách chắc chắn. Harv đã bày tỏ sự hài lòng với kết quả trong hôm thứ 2 vừa qua”

“Cuối tuần vừa qua, tôi đã bị quét sạch bởi một cuộc tấn công giả tạo thông qua ứng dụng ví Trust trên kho ứng dụng của Google Play. Chúng đã lấy đi của tôi 10.000 USD tiền điện tử. Người đàn ông của tôi  @sniko đã đến như một siêu anh hùng, và đã lấy lại gần 4.000 USD trong số đó. Bạn là phù thủy Harry! Xin cảm ơn nhiều!”

Giữ an toàn trước các vụ tấn công tinh vi ngày càng gia tăng

Các vụ tấn công giả mạo thường có những dấu hiệu cảnh báo quan trọng, ngăn ngừa người sử dụng khỏi rơi vào bẫy lừa đảo của chúng. Ngoại trừ đối với những người dễ bị tổn thương nhất. Ví dụ như BeInCrypto đã đưa tin trong tháng 1 về những kẻ lừa đảo đóng giả Ledger, một ví cứng tiền điện tử. Những kênh Youtube giả mạo dưới những cái tên như ‘Ledger’ và ‘Ledger Nano’ đã quảng cáo cho một ví website đã bị xâm phạm với những mời chào về những khoản tiền miễn phí. Dấu hiệu cảnh báo đầu tiên trong trường hợp này là không có khả năng Ledger sẽ quảng cáo một sản phẩm mới chỉ duy nhất trên Youtube. Các doanh nghiệp thường đưa ra thông cáo báo chí, nêu chi tiết về việc công bố của mình. Sẽ không khó để kiểm tra kho lưu trữ công bố của Ledger cho những thông tin liên quan đến vấn đề này. Dấu hiệu cảnh báo thứ 2 là số lượng Bitcoin mà những chương trình khuyến mãi lừa đảo này dành cho những người may mắn chiến thắng. Những video được cho là của Ledger trên Twitter cho thấy phần thưởng lên tới 2.000 BTC. Tại sao Ledger sẽ phải trao thưởng hơn 18 triệu USD chỉ để công bố một ví web tiền điện tử? Vụ lừa đảo phí Trust mặt khác tinh vi hơn nhiều. Ứng dụng độc hại đến từ cửa hàng chính thức của Google. Nó có đánh giá, xếp hạng tích cực và có đủ mọi tiêu chuẩn như một bản phát hành chính thức.

Hãy tự tìm hiểu

Do nó giả mạo là một ví chính thức, nên yêu cầu nhập cụm từ ghi nhớ hầu như không được xem là một dấu hiệu cảnh báo nguy hiểm. Hầu hết các ứng dụng ví điện tử có các tính năng lựa chọn để tải về một ví hiện có từ một khóa riêng tư hoặc cụm từ hạt giống (seedphrase). Hoặc tạo ra một cái mới lúc công bố. Trong khi ví Trust đã thực hiện một hành động giả mạo xuất sắc thì bạn vẫn có thể tự bảo vệ mình khỏi những gian lận như vậy. Cách tốt nhất là luôn tìm đến nguồn của bất kỳ ứng dụng nào trước khi tải, đó website chính thức hoặc GitHub của dự án. Website chính thức của ví Trust có hướng dẫn người sử dụng để tải trực tiếp từ Google Play hoặc cửa hàng của Apple. Dĩ nhiên là nó có liên kết đến sản phẩm chính thức, mà có nhiều đánh giá, lượt tải về và một xếp hạng cao hơn. Một số nạn nhân ở trên nhận thức được là ví Trust đã được hỗ trợ bởi Google Play. Và họ cũng nghĩ là sẽ đỡ tốn thời gian hơn khi đi thẳng vào đây. Nhưng không may là một chút thuận tiện gần như luôn dẫn đến những bất an và thất bại trong bảo vệ an toàn. Khi phải xử lý số lượng lớn tiền, như trường hợp của Harv, an toàn nên luôn được đưa lên làm ưu tiên hàng đầu thay vì thuận tiện.