Nhà đầu tư tiền số trở thành mục tiêu săn đuổi gắt gao nhất của tội phạm mạng

Thị trường tiền mã hóa (cryptocurrency) năm 2025 tiếp tục chứng kiến sự sôi động, nhưng song hành với đó là sự gia tăng đột biến của các nguy cơ bảo mật.

Trong đó, giới chuyên gia ghi nhận một sự chuyển dịch rõ rệt: tội phạm mạng không còn "đánh lưới" đại trà mà đang chuyển sang "săn mồi" với độ chính xác và kỹ thuật cực cao.

Giới chuyên gia ghi nhận một sự chuyển dịch rõ rệt: tội phạm mạng không còn "đánh lưới" đại trà mà đang chuyển sang "săn mồi" với độ chính xác và kỹ thuật cực cao.

Ví điện tử và những "bóng ma" trong trình duyệt
Nếu như trước đây, việc mất ví số thường do người dùng sơ ý lộ khóa bí mật (private key), thì nay, tin tặc đã tạo ra những công cụ "giúp" người dùng tự tay dâng hiến tài sản mà không hề hay biết.

Hai vụ việc nổi cộm gần đây minh chứng cho xu hướng này: sự xuất hiện của tiện ích mở rộng độc hại và các chiến dịch APT nhắm vào nhân sự ngành Blockchain.

Trang TheHackerNews cho biết giữa tháng 11/2025, cộng đồng bảo mật rúng động trước phát hiện về một tiện ích mở rộng (extension) cho trình duyệt Chrome có tên "Safery: Ethereum Wallet".

Được ngụy trang dưới vỏ bọc một chiếc ví Ethereum an toàn và linh hoạt, tiện ích này thực chất là một "cỗ máy hút máu" được thiết kế tinh vi.

Theo các nhà nghiên cứu bảo mật, "Safery" không đánh cắp dữ liệu rồi gửi về máy chủ điều khiển (C2) theo cách truyền thống, vốn dễ bị các phần mềm an ninh mạng phát hiện.

Thay vào đó, nó sử dụng chính công nghệ Blockchain để che giấu hành vi phạm tội. Cụ thể, khi người dùng nhập cụm từ khôi phục (seed phrase) vào ví giả mạo này, mã độc sẽ mã hóa cụm từ đó thành các địa chỉ ví trên mạng lưới Sui (Sui blockchain). Sau đó, nó thực hiện các giao dịch vi mô với giá trị cực nhỏ (0.000001 SUI) đến các địa chỉ này.

Kẻ tấn công chỉ cần theo dõi và giải mã các địa chỉ nhận tiền để khôi phục lại seed phrase ban đầu và âm thầm rút cạn tài sản trong ví số của nạn nhân.

Sự nguy hiểm nằm ở chỗ, toàn bộ quá trình đánh cắp dữ liệu trông giống hệt như các giao dịch Blockchain bình thường, khiến các hệ thống giám sát an ninh gần như bị "mù". Tiện ích này đã tồn tại trên Chrome Web Store từ cuối tháng 9/2025 trước khi bị gỡ bỏ.

Ông Kent Halliburton, Giám đốc điều hành Sazmining, một công ty đào Bitcoin đã trở thành nạn nhân của một nhóm lừa đảo với kịch bản rất tinh vi.

Để tạo lòng tin ban đầu, chúng giả doanh nhân giàu có, mời gặp gỡ ở nơi rất sang trọng và đề nghị mua các máy đào BTC với trị giá vài triệu USD.

Trong khi trao đổi giao dịch, chúng lừa ông Kent chuyển BTC vào một ví mới tạo bằng ứng dụng Atomic Wallet đã cài sẵn mã độc. Theo đó, ông tự ‘dâng hiến’ một lượng tiền mã hóa Bitcoin trị giá tương đương 200.000 USD.

Khi tin tặc đóng vai nhà tuyển dụng
Khám phá từ Kaspersky cho thấy chúng không chỉ tấn công người dùng phổ thông, nhóm tội phạm mạng khét tiếng BlueNoroff (còn được biết đến với các tên gọi Sapphire Sleet hay APT38) đã triển khai hai chiến dịch tấn công có chủ đích mới là GhostCall và GhostHire, nhắm thẳng vào các lập trình viên và giám đốc điều hành trong lĩnh vực Web3.

Trong chiến dịch GhostCall, tin tặc tiếp cận mục tiêu qua Telegram, mạo danh các nhà đầu tư mạo hiểm (VC).

Điểm đáng sợ là sự đầu tư công phu về mặt kỹ thuật xã hội (social engineering): chúng mời nạn nhân tham gia các cuộc họp video trên những trang web giả mạo Zoom hoặc Microsoft Teams.

Khi tham gia, nạn nhân sẽ thấy video của những người tham gia khác. Thực chất, đây không phải là Deepfake như nhiều người lầm tưởng, mà là các đoạn ghi âm/ghi hình thật của các nạn nhân trước đó đã bị tin tặc thu thập trộm.

Sự "chân thực" này khiến nạn nhân mất cảnh giác và dễ dàng tải xuống các bản "cập nhật" giả mạo chứa mã độc AppleScript (đối với macOS) hoặc các tập tin thực thi độc hại (đối với Windows).

Song song đó, chiến dịch GhostHire lại đánh vào nhu cầu tìm việc. Tin tặc đóng vai nhà tuyển dụng, yêu cầu các lập trình viên tải về các dự án trên GitHub để làm bài kiểm tra năng lực.

Các dự án này chứa mã độc được thiết kế để tự động nhận diện hệ điều hành của nạn nhân và tải xuống payload phù hợp, từ đó chiếm quyền kiểm soát máy tính và đánh cắp thông tin ví tiền mã hóa.

Theo báo cáo mới nhất từ Kaspersky, về các kỹ thuật phishing năm 2025, tin tặc đã "hồi sinh" chiêu trò khai thác qua Lịch (Calendar phishing) nhưng ở cấp độ doanh nghiệp (B2B).

Tấn công qua Calendar và QR Code quay trở lại

Trong khi các mã độc ví điện tử tấn công vào tầng ứng dụng, thì email phishing (lừa đảo qua thư điện tử), phương thức tấn công cổ điển nhất lại đang có những bước tiến hóa trong năm 2025 để vượt qua các bộ lọc bảo mật hiện đại.

Theo báo cáo mới nhất từ Kaspersky, về các kỹ thuật phishing năm 2025, tin tặc đã "hồi sinh" chiêu trò khai thác qua Lịch (Calendar phishing) nhưng ở cấp độ doanh nghiệp (B2B).

Thay vì gửi ‘email rác’ (spam) hàng loạt, chúng gửi các lời mời họp giả mạo chứa liên kết độc hại trong phần mô tả sự kiện. Ngay cả khi người dùng không mở email, lời nhắc từ ứng dụng lịch trên điện thoại vẫn có thể khiến họ tò mò click vào liên kết.

Bên cạnh đó, việc sử dụng mã QR đã chuyển sang một hình thức mới, nhúng mã QR vào trong tệp đính kèm PDF.

Tệp PDF này đôi khi còn được đặt mật khẩu (mật khẩu được gửi kèm trong email hoặc một email riêng biệt) để qua mặt các công cụ quét virus tự động.

Việc quét mã QR buộc người dùng phải sử dụng thiết bị di động cá nhân, nơi thường thiếu các lớp bảo vệ an ninh nghiêm ngặt như máy tính công ty, để truy cập vào trang giả mạo, lừa đảo.

Vượt rào xác thực đa yếu tố và chuỗi xác minh CAPTCHA

Người dùng thường tin rằng xác thực hai lớp (2FA/MFA) là lá chắn an toàn cuối cùng. Tuy nhiên, các chiến dịch phishing năm 2025 đã chứng minh điều ngược lại.

Các nhà nghiên cứu bảo mật tại Kaspersky cho thấy một kỹ thuật đáng chú ý là việc tin tặc tạo ra các trang đăng nhập giả mạo (ví dụ: giả mạo dịch vụ lưu trữ pCloud) có khả năng tương tác thời gian thực với dịch vụ thật qua API.

Khi người dùng nhập thông tin đăng nhập và mã OTP vào trang giả, trang web này sẽ chuyển tiếp dữ liệu đó đến dịch vụ thật ngay lập tức. Nếu thông tin đúng, tin tặc sẽ chiếm được phiên đăng nhập trước cả khi người dùng nhận ra.

Ngoài ra, để tránh bị các bộ lọc an ninh phát hiện và phân tích trang web lừa đảo, tin tặc đã thiết lập các "chuỗi xác minh”.

Người dùng khi click vào liên kết (link) sẽ phải vượt qua nhiều lớp điền mã chứng thực CAPTCHA hoặc các trang kiểm tra giả mạo trước khi đến được trang đích (trang đăng nhập giả mạo Google/Microsoft).

Điều này vừa lọc bỏ các bot kiểm tra tự động, vừa tạo cảm giác tin cậy giả tạo cho người dùng rằng trang web này được bảo mật kỹ lưỡng.

Nền tảng lừa đảo "dịch vụ" quy mô công nghiệp
Sự nguy hiểm của phishing còn được khuếch đại bởi mô hình "Lừa đảo dưới dạng dịch vụ" (Phishing-as-a-Service). Vụ kiện mới đây của Google nhắm vào nhóm tin tặc đứng sau nền tảng Lighthouse là minh chứng rõ nét.

Lighthouse là một nền tảng khổng lồ cung cấp công cụ cho tội phạm mạng thực hiện các vụ lừa đảo qua tin nhắn (smishing) và email quy mô lớn.

Với hơn 107 mẫu giao diện giả mạo các thương hiệu lớn và sự tham gia của hàng nghìn tội phạm mạng, nền tảng này đã thu lợi bất chính hơn 1 tỷ USD.

Chúng lợi dụng sự tin tưởng vào các thương hiệu như Google để lừa người dùng cài đặt mã độc hoặc đánh cắp thông tin tài chính.

Vụ kiện của Google nhằm triệt phá cơ sở hạ tầng của nhóm này cho thấy quy mô công nghiệp hóa của tội phạm mạng hiện nay.

Thái Khang