Ảo ảnh và câu đố: trò chơi kỹ thuật xã hội và bản chất con người trong thế giới tiền điện tử

An ninh giống như một sợi xích, nó phụ thuộc vào mắt xích yếu nhất. Và con người chính là gót chân Achilles trong hệ thống mật mã. Trong khi thị trường vẫn đang ám ảnh với việc xây dựng các cơ chế bảo vệ mật mã phức tạp hơn, những kẻ tấn công đã tìm ra một lối tắt: thay vì phải giải mã mật khẩu, chúng chỉ cần thao túng những người sử dụng mật khẩu.

Con người là mắt xích yếu nhất và cũng là mắt xích ít được coi trọng nhất. Nói cách khác, con người chính là điểm yếu dễ bị tin tặc xâm nhập và khai thác nhất, đồng thời cũng là điểm yếu mà doanh nghiệp đầu tư ít nhất vào bảo mật và cải thiện chậm nhất.

Theo báo cáo mới nhất từ công ty phân tích blockchain Chainalysis, vào năm 2024, tin tặc Triều Tiên đã phát động 47 cuộc tấn công tinh vi, đánh cắp tài sản trị giá 1,3 tỷ đô la từ các nền tảng tài sản tiền điện tử toàn cầu, tăng 21% so với cùng kỳ năm trước. Thậm chí còn gây sốc hơn nữa là vào ngày 21 tháng 2 năm 2025, sàn giao dịch Bybit đã bị tấn công, dẫn đến vụ đánh cắp tài sản tiền điện tử trị giá khoảng 1,5 tỷ đô la, lập kỷ lục mới về một vụ trộm duy nhất trong lịch sử tiền điện tử.

Nhiều cuộc tấn công lớn trong quá khứ không đạt được kết quả thông qua các lỗ hổng kỹ thuật truyền thống. Mặc dù các sàn giao dịch và chủ dự án đầu tư hàng tỷ đô la mỗi năm vào bảo vệ kỹ thuật, nhưng trong thế giới dường như được xây dựng bằng toán học và mã hóa này, nhiều người tham gia thường đánh giá thấp các mối đe dọa do kỹ thuật xã hội gây ra.

Bản chất và sự tiến hóa của kỹ thuật xã hội

Trong lĩnh vực an ninh thông tin, kỹ thuật xã hội luôn là phương pháp tấn công độc đáo và nguy hiểm. Không giống như xâm nhập hệ thống thông qua lỗ hổng kỹ thuật hoặc lỗi trong thuật toán mã hóa, kỹ thuật xã hội chủ yếu khai thác điểm yếu tâm lý và thói quen hành vi của con người để lừa dối và thao túng nạn nhân. Nó không đòi hỏi ngưỡng kỹ thuật quá cao, nhưng thường có thể gây ra tổn thất cực kỳ nghiêm trọng.

Sự ra đời của thời đại kỹ thuật số đã cung cấp những công cụ và giai đoạn mới cho hoạt động tấn công xã hội. Không nơi nào sự tiến hóa này thể hiện rõ ràng hơn trong không gian tiền điện tử. Cộng đồng tiền điện tử ban đầu chủ yếu bao gồm những người đam mê công nghệ và cypherpunk, những người thường cảnh giác và có trình độ hiểu biết kỹ thuật nhất định. Tuy nhiên, khi tài sản tiền điện tử ngày càng trở nên phổ biến, ngày càng có nhiều người dùng mới không thành thạo các công nghệ liên quan tham gia thị trường, tạo ra mảnh đất màu mỡ cho các cuộc tấn công kỹ thuật xã hội.

Mặt khác, đặc điểm giao dịch ẩn danh và không thể đảo ngược khiến tài sản tiền điện tử trở thành mục tiêu lý tưởng để kẻ tấn công kiếm lợi nhuận. Một khi số tiền đã được chuyển vào ví mà họ kiểm soát thì gần như không thể lấy lại được.

Lý do tại sao kỹ thuật xã hội có thể thành công trong lĩnh vực mã hóa phần lớn là do nhiều thành kiến nhận thức trong quá trình ra quyết định của con người. Xu hướng xác nhận sẽ khiến các nhà đầu tư chỉ chú ý đến những thông tin phù hợp với kỳ vọng của họ, tâm lý đám đông có thể dễ dàng dẫn đến bong bóng thị trường và cảm xúc FOMO thường khiến mọi người đưa ra những lựa chọn phi lý khi phải đối mặt với thua lỗ. Những kẻ tấn công khéo léo "vũ khí hóa" những điểm yếu tâm lý này bằng cách khai thác chúng một cách khéo léo.

So với việc cố gắng bẻ khóa các thuật toán mã hóa phức tạp, việc phát động các cuộc tấn công kỹ thuật xã hội rẻ hơn và có tỷ lệ thành công cao hơn. Một email lừa đảo được soạn thảo cẩn thận hoặc một lời mời làm việc trông có vẻ hợp pháp nhưng thực chất là một cái bẫy thường hiệu quả hơn là phải đối mặt trực tiếp với những khó khăn về kỹ thuật.

Các kỹ thuật kỹ thuật xã hội phổ biến

Mặc dù có nhiều loại phương pháp tấn công kỹ thuật xã hội, nhưng logic cốt lõi vẫn xoay quanh việc "lừa dối lòng tin và thông tin của mục tiêu". Sau đây là mô tả ngắn gọn về một số phương pháp phổ biến:

Lừa đảo

Lừa đảo qua email/SMS: Sử dụng các liên kết được ngụy trang dưới dạng sàn giao dịch, nhà cung cấp dịch vụ ví hoặc các tổ chức đáng tin cậy khác để lừa người dùng nhập thông tin nhạy cảm như cụm từ hạt giống, khóa riêng, mật khẩu tài khoản, v.v.

Mạo danh tài khoản mạng xã hội: Ví dụ, mạo danh "dịch vụ chăm sóc khách hàng chính thức", "KOL nổi tiếng" hoặc "project party" trên các nền tảng như Twitter, Telegram, Discord, v.v., đăng bài viết có liên kết giả hoặc thông tin sự kiện giả, lừa người dùng nhấp và nhập khóa hoặc gửi tiền điện tử.

Tiện ích mở rộng trình duyệt hoặc trang web giả mạo: Xây dựng trang web giả mạo cực kỳ giống với trang web trao đổi hoặc ví thật hoặc gây ra việc cài đặt tiện ích mở rộng trình duyệt độc hại. Khi người dùng nhập hoặc ủy quyền trên các trang này, khóa sẽ bị rò rỉ.

Dịch vụ khách hàng/hỗ trợ kỹ thuật giả mạo

Trong các nhóm Telegram hoặc Discord, thường có người giả danh là "quản trị viên" hoặc "bộ phận dịch vụ khách hàng kỹ thuật" và hướng dẫn người dùng giao nộp khóa riêng hoặc chuyển tiền đến một địa chỉ được chỉ định với lý do giúp giải quyết các vấn đề như gửi tiền không thành công, rút tiền không thành công và lỗi đồng bộ hóa ví.

Dịch vụ khách hàng/hỗ trợ kỹ thuật giả mạo

Chúng cũng có thể dụ dỗ nạn nhân thông qua tin nhắn riêng tư hoặc nhóm nhỏ, tuyên bố sai sự thật rằng chúng có thể "giúp lấy lại tiền đã mất", nhưng thực tế chúng đang cố gắng dụ dỗ thêm tiền hoặc lấy chìa khóa.

Đổi SIM

Kẻ tấn công hối lộ hoặc lừa dối bộ phận chăm sóc khách hàng của nhà mạng viễn thông, khiến số điện thoại di động của nạn nhân bị chuyển cho kẻ tấn công trong bóng tối. Sau khi đánh cắp được số điện thoại di động, kẻ tấn công có thể đặt lại mật khẩu của sàn giao dịch, ví hoặc tài khoản mạng xã hội thông qua xác minh qua SMS, xác thực hai yếu tố (2FA), v.v., qua đó đánh cắp tài sản tiền điện tử.

Việc hoán đổi SIM xảy ra thường xuyên hơn ở Hoa Kỳ và những nơi khác, và những trường hợp tương tự cũng xảy ra ở nhiều quốc gia.

Kỹ thuật xã hội kết hợp với tuyển dụng/săn đầu người có ác ý

Kẻ tấn công lấy lý do tuyển dụng để gửi "lời mời làm việc" có chứa các tệp tin hoặc liên kết độc hại đến tài khoản email hoặc mạng xã hội của mục tiêu, lừa mục tiêu tải xuống và chạy Trojan.

Nếu mục tiêu của cuộc tấn công là một nhân viên nội bộ hoặc nhà phát triển cốt lõi của một công ty tiền điện tử, hoặc một "người dùng nhiều" nắm giữ một lượng lớn tiền điện tử, thì có thể dẫn đến hậu quả nghiêm trọng như cơ sở hạ tầng của công ty bị xâm phạm và khóa bị đánh cắp.

Sự cố an ninh cầu Ronin của Axie Infinity năm 2022. Theo The Block, vụ tấn công có liên quan đến một quảng cáo việc làm giả mạo. Theo những người hiểu rõ vấn đề, tin tặc đã liên lạc với một nhân viên của nhà phát triển Axie Infinity là Sky Mavis thông qua LinkedIn và sau nhiều vòng phỏng vấn, anh ta được thông báo rằng mình đã được tuyển dụng với mức lương cao. Sau đó, nhân viên này đã tải xuống một lá thư chấp nhận giả mạo được trình bày trong một tài liệu PDF, khiến phần mềm tin tặc xâm nhập vào hệ thống của Ronin, do đó đã hack và chiếm quyền kiểm soát bốn trong số chín trình xác thực trên mạng Ronin, chỉ để lại một trình xác thực không thể kiểm soát hoàn toàn. Sau đó, tin tặc đã kiểm soát Axie DAO, nơi có quyền chưa bị thu hồi, để thực hiện cuộc xâm nhập cuối cùng.

Airdrop giả/tặng xu giả

Các hoạt động "chính thức" giả mạo xuất hiện trên các nền tảng như Twitter và Telegram, chẳng hạn như "Chỉ cần chuyển x coin đến một địa chỉ nhất định và bạn có thể nhận lại gấp đôi số tiền của mình", thực chất là lừa đảo.

Kẻ tấn công cũng thường sử dụng các tên gọi như "airdrop danh sách trắng" và "airdrop mạng thử nghiệm" để lừa người dùng nhấp vào các liên kết không xác định hoặc kết nối đến ví trên trang web lừa đảo nhằm lừa họ cung cấp khóa hoặc quyền hạn và đánh cắp tiền.

Vào năm 2020, tài khoản Twitter trên mạng xã hội của nhiều người nổi tiếng trong giới chính trị và kinh doanh tại Mỹ, bao gồm Obama, Biden, Buffett, Bill Gates và nhiều công ty nổi tiếng đã bị đánh cắp. Tin tặc đã đánh cắp mật khẩu và chiếm đoạt tài khoản, sau đó đăng tin nhắn, sử dụng hình thức trả lại gấp đôi làm mồi nhử để dụ người dùng gửi tiền điện tử đến các liên kết địa chỉ tài khoản được chỉ định. Trong những năm gần đây, vẫn còn rất nhiều trò lừa đảo "lợi nhuận kép" trên YouTube mạo danh Musk.

Trường hợp nhân viên nội bộ xâm nhập/rời đi

Một số cựu nhân viên của các công ty tiền điện tử hoặc nhóm dự án, hoặc nhân viên hiện tại bị kẻ tấn công hối lộ, lợi dụng sự hiểu biết của họ về hệ thống nội bộ và quy trình vận hành để đánh cắp cơ sở dữ liệu người dùng, khóa riêng hoặc thực hiện các giao dịch trái phép.

Trong loại kịch bản này, các lỗ hổng kỹ thuật thường kết hợp chặt chẽ với kỹ thuật xã hội, thường gây ra tổn thất trên diện rộng.

Ví phần cứng giả đã được cấy "cửa sau" hoặc đã bị giả mạo

Những kẻ tấn công sẽ bán ví phần cứng trên eBay, Xianyu, nhóm Telegram hoặc các nền tảng thương mại điện tử/giao dịch đồ cũ khác với giá thấp hơn giá thị trường hoặc với các mánh khóe như đảm bảo tính xác thực. Trên thực tế, chip hoặc chương trình cơ sở bên trong thiết bị đã bị thay thế. Một số người dùng cũng có thể vô tình mua phải điện thoại tân trang hoặc điện thoại cũ, trong đó người bán đã nhập trước khóa riêng. Sau khi người mua gửi tiền, kẻ tấn công có thể sử dụng cùng khóa riêng để rút tiền bất cứ lúc nào.

Ngoài ra, sau vụ vi phạm dữ liệu, một số người dùng đã nhận được thiết bị thay thế miễn phí hoặc thiết bị nâng cấp bảo mật được ngụy trang giống như của nhà sản xuất (như Ledger) và bao bì cũng đi kèm với thẻ ghi nhớ và hướng dẫn vận hành mới. Khi người dùng sử dụng các phương pháp ghi nhớ được cài đặt sẵn này hoặc di chuyển phương pháp ghi nhớ gốc sang một thiết bị giả, kẻ tấn công sẽ có toàn quyền truy cập vào tài sản trong ví.

Những ví dụ trên chỉ là phần nổi của tảng băng chìm. Tính đa dạng và linh hoạt của kỹ thuật xã hội khiến nó đặc biệt có tính phá hoại trong lĩnh vực tiền điện tử. Đối với hầu hết người dùng thông thường, những cuộc tấn công này thường khó có thể phòng thủ.

Lòng tham và sự sợ hãi

Lòng tham luôn là điểm yếu dễ bị lợi dụng nhất. Khi thị trường cực kỳ sôi động, một số người sẽ vội vã mua một dự án đột nhiên trở nên phổ biến vì hiệu ứng đám đông. Sợ hãi và bất ổn cũng là những điểm đột phá phổ biến trong kỹ thuật xã hội. Khi tiền điện tử có biến động mạnh hoặc khi có vấn đề phát sinh với một dự án, kẻ lừa đảo sẽ đưa ra "thông báo khẩn cấp" tuyên bố rằng dự án đang gặp nguy hiểm nghiêm trọng, dụ dỗ người dùng nhanh chóng chuyển tiền đến một địa chỉ được gọi là an toàn. Nhiều người mới bắt đầu vì sợ thua lỗ nên thấy khó có thể suy nghĩ sáng suốt và thường dễ bị cuốn vào cơn hoảng loạn này.

Ngoài ra, tâm lý FOMO còn phổ biến trong hệ sinh thái tiền điện tử. Nỗi sợ bỏ lỡ đợt tăng giá tiếp theo hoặc đợt tăng giá Bitcoin tiếp theo khiến mọi người vội vã đầu tư tiền và tham gia vào các dự án, nhưng họ lại thiếu khả năng cơ bản để phân biệt giữa rủi ro và tính xác thực. Những kẻ tấn công bằng kỹ thuật xã hội chỉ cần tạo ra một bầu không khí khiến người ta nghĩ rằng cơ hội chỉ là thoáng qua và không có khả năng nhân đôi số tiền khi đã bỏ lỡ, điều này đủ để khiến một số nhà đầu tư rơi vào bẫy.

Nhận dạng và phòng ngừa rủi ro

Lý do khiến kỹ thuật xã hội khó ngăn chặn là vì nó nhắm vào điểm mù nhận thức và điểm yếu tâm lý của con người. Là một nhà đầu tư, bạn nên chú ý đến những điểm chính sau:

Nâng cao nhận thức về an toàn

Không được tiết lộ khóa riêng tư và phương pháp ghi nhớ theo ý muốn. Trong mọi trường hợp, bạn không nên tin tưởng bất kỳ ai và tiết lộ khóa riêng tư, phương pháp ghi nhớ hoặc thông tin nhận dạng nhạy cảm của mình. Một nhóm thực sự chính thức sẽ hiếm khi yêu cầu loại thông tin này qua trò chuyện riêng tư.

Hãy cảnh giác với những "lời hứa lợi nhuận vô lý". Bất kỳ hoạt động nào tuyên bố "không có rủi ro và lợi nhuận cao" hoặc "lợi nhuận gấp nhiều lần vốn đầu tư" rất có thể là lừa đảo.

Xác minh liên kết và nguồn

Sử dụng plugin trình duyệt hoặc kênh chính thức để xác minh URL. Đối với các trang web của sàn giao dịch tiền điện tử, ví hoặc ứng dụng phi tập trung (DApp), bạn cần kiểm tra lại xem tên miền có đúng không.

Không nhấp vào liên kết từ nguồn không xác định. Nếu bên kia khẳng định đó là "lợi ích airdrop" hoặc "bồi thường chính thức", bạn nên xác minh thông tin đó trên phương tiện truyền thông xã hội thông thường hoặc các kênh chính thức càng sớm càng tốt.

Tập trung vào sàng lọc cộng đồng và phương tiện truyền thông xã hội

Xác minh nhãn hiệu chứng nhận của tài khoản chính thức, số lượng người theo dõi và hồ sơ tương tác. Tránh việc thêm bừa bãi vào các nhóm trò chuyện riêng tư không quen thuộc hoặc nhấp vào các liên kết không xác định trong nhóm.

Hãy hoài nghi về thông tin "bữa trưa miễn phí", hãy đọc nhiều hơn, đặt nhiều câu hỏi hơn và xác minh với các nhà đầu tư có kinh nghiệm hoặc các kênh chính thức.

Phát triển tư duy đầu tư lành mạnh

Hãy xem xét những biến động của thị trường một cách hợp lý và tránh bị ảnh hưởng bởi những đợt tăng và giảm ngắn hạn.

Luôn chuẩn bị cho tình huống xấu nhất và đừng bỏ qua những rủi ro tiềm ẩn vì "sợ bỏ lỡ".

Tầm quan trọng lâu dài của yếu tố con người

Bản chất con người là nền tảng để kỹ thuật xã hội liên tục thành công. Kẻ tấn công sẽ thiết kế mọi loại lừa đảo để nhắm vào các đặc điểm như tâm lý đám đông, lòng tham, nỗi sợ hãi, sự bất an và FOMO (sợ bỏ lỡ).

Khi các công nghệ và mô hình kinh doanh trong lĩnh vực blockchain và mã hóa tiếp tục mở rộng, các phương pháp kỹ thuật xã hội cũng sẽ phát triển theo. Sự trưởng thành của công nghệ deepfake có thể gây ra mối đe dọa lớn hơn trong tương lai gần. Kẻ tấn công có thể sử dụng video và âm thanh tổng hợp để đóng giả người lãnh đạo dự án một cách chân thực và kết nối với nạn nhân theo thời gian thực. Kỹ thuật xã hội đa chiều cũng sẽ được nâng cấp. Kẻ tấn công có thể ẩn núp và thu thập thông tin trên nhiều nền tảng xã hội trong thời gian dài, sau đó tấn công mục tiêu của chúng thông qua thao túng cảm xúc được thiết kế cẩn thận.

Sự hiện diện liên tục của kỹ thuật xã hội nhắc nhở chúng ta rằng dù công nghệ có tiên tiến đến đâu thì yếu tố con người vẫn là thành phần cốt lõi của hệ thống. Có thể không thực tế khi loại bỏ hoàn toàn tác động của kỹ thuật xã hội và chỉ bằng cách chú ý đến cả mã và con người, chúng ta mới có thể xây dựng được các hệ thống kiên cường hơn.