Chào anh em,

Hôm nay mình xin tóm tắt và chia sẻ lại một bài phân tích rất đáng chú ý trên AdSecVN về các chiến thuật tấn công phi kỹ thuật (Social Engineering) kết hợp mã độc. Đặc biệt, các chiến dịch này đang nhắm thẳng vào túi tiền của các nhà đầu tư và lập trình viên trong mảng tiền mã hóa.

Chắc hẳn anh em còn nhớ vụ sàn Bybit tại Dubai bị bế đi 1,46 tỷ USD. Đã tròn một năm kể từ ngày đó, nhưng nhóm tin tặc đứng sau không hề chùn bước. Chỉ tính riêng năm 2025, chúng đã ẵm trọn 2 tỷ USD, nâng tổng tài sản đánh cắp lên hơn 6 tỷ USD. Số tiền khổng lồ này được cho là để tài trợ cho các chương trình phát triển vũ khí.

1. Điểm yếu chí mạng không nằm ở hệ thống

Theo báo cáo từ tổ chức Elliptic, điểm đột nhập đầu tiên gần như luôn luôn là yếu tố con người. Kẻ tấn công hiện nay còn xài cả trí tuệ nhân tạo (AI) để tạo ra các danh tính và liên lạc giả mạo đầy thuyết phục, khiến việc nhận diện lừa đảo cực kỳ khó khăn. Hệ thống dù bảo mật đến đâu nhưng người dùng mất cảnh giác thì vẫn toang như thường.

2. Hai thủ đoạn lừa đảo khét tiếng nhất hiện nay

Hacker không còn rải mail rác ngẫu nhiên nữa, chúng chuyển sang các kịch bản cực kỳ cá nhân hóa để đánh lừa nạn nhân:

• Kịch bản DangerousPassword (Lừa đảo qua họp trực tuyến): Kẻ gian hack một tài khoản mạng xã hội của người quen, sau đó hẹn mục tiêu gọi video qua Zoom hoặc Microsoft Teams. Khi đang gọi, chúng sẽ giả vờ hệ thống bị lỗi âm thanh. Để sửa lỗi, chúng hướng dẫn nạn nhân cài đặt một bộ công cụ phát triển phần mềm (SDK) thông qua dòng lệnh. Thực chất, đây là mã độc có khả năng vét sạch khóa riêng tư, chuỗi phục hồi (seed phrases) và mật khẩu của nạn nhân.
• Kịch bản Contagious Interview (Tuyển dụng tử thần): Kẻ tấn công đóng giả nhà tuyển dụng, gửi những lời mời chào công việc hấp dẫn. Khi nạn nhân sập bẫy và bước vào giai đoạn làm bài kiểm tra năng lực, chúng sẽ yêu cầu ứng viên tải một kho mã nguồn (repository) về máy. Kho mã nguồn này đã được cấy sẵn mã độc tàng hình. Nếu nạn nhân chạy đoạn mã này trên thiết bị của công ty, toàn bộ tổ chức sẽ bị đặt vào rủi ro cực lớn.

3. Đường đi của dòng tiền bẩn sau khi bị đánh cắp

Sau khi trộm được tiền, chúng rửa tiền thông qua các địa chỉ hoàn tiền, tạo các token vô giá trị và sử dụng các dịch vụ trộn tiền (mixers). Phần lớn số tiền sau đó được tuồn qua các dịch vụ giao dịch qua quầy (OTC) ngầm để hợp thức hóa.

4. Anh em cần làm gì để tự bảo vệ mình?

• Không tải và chạy đoạn mã lạ: Bất kể đối tác, bạn bè hay nhà tuyển dụng yêu cầu bạn cài phần mềm, chạy lệnh trong terminal để sửa lỗi máy tính... hãy từ chối ngay lập tức.
• Kiểm tra chéo danh tính: Nếu một đồng nghiệp hoặc đối tác liên hệ qua một kênh mới và yêu cầu những thao tác kỳ lạ, hãy xác nhận lại qua một kênh độc lập khác (gọi điện thoại trực tiếp).
• Cảnh giác với những lời mời làm việc từ trên trời rơi xuống: Hãy cẩn trọng tuyệt đối với các kho mã nguồn lạ trong quá trình phỏng vấn hoặc thử việc.

Anh em làm lập trình hoặc có lưu trữ tài sản số trên máy cá nhân nhớ cảnh giác cao độ nhé, một cú click chạy lệnh thôi là có thể mất trắng đấy.


​