Các chiêu trò phishing và cách phòng tránh

Phishing là công cụ cực kỳ hiệu quả để khiến bạn tải phần mềm độc hại xuống laptop hoặc smartphone. Ví dụ, một website phishing có thể giả mạo Ledger và thuyết phục bạn tải xuống một virus được ngụy trang thành Ledger Wallet. Từ đó, hacker có thể giành quyền kiểm soát thiết bị Web2 của bạn.

Phổ biến nhất, website phishing sẽ giả mạo các nền tảng quen thuộc để chiếm được lòng tin và đánh cắp thông tin của bạn. Cách thức đơn giản đến mức đáng sợ: chúng yêu cầu bạn đăng nhập vào tài khoản, ghi lại email và mật khẩu bạn nhập, sau đó dùng chính thông tin đó để đăng nhập vào nền tảng thật và đánh cắp tài sản.

Trong một số trường hợp, website phishing còn đi xa hơn bằng cách tạo các cửa sổ pop-up giả mạo nhà cung cấp ví. Khi đó, website sẽ đóng giả làm ví crypto và sử dụng các chiêu trò gây hoang mang để ép bạn giao nộp cụm từ khôi phục bí mật. Ví dụ: “Điều khoản sử dụng đã thay đổi, hãy nhập SRP trong vòng 4 giờ nếu không bạn sẽ mất quyền truy cập crypto!”. Đây là lừa đảo! Bạn tuyệt đối không bao giờ được nhập SRP vào bất kỳ nền tảng nào yêu cầu điều đó.

Cuối cùng, các vụ phishing có thể dẫn dụ bạn ký phê duyệt hoặc giao dịch độc hại. Khi bạn kết nối một tài khoản chứa tài sản giá trị với nền tảng phishing, nó sẽ yêu cầu một phê duyệt nguy hiểm. Chỉ cần ký phê duyệt đó, scammer có thể “rút cạn” ví của bạn trong tích tắc. Và ngay cả việc thu hồi phê duyệt cũng cần tốn phí gas, điều này càng trở nên khó khăn nếu tài khoản của bạn đã bị xâm phạm.

Điều đầu tiên bạn có thể làm là luôn nghi ngờ các liên kết. Nếu ai đó gửi cho bạn một đường link, đừng tin tưởng ngay lập tức. Trên mạng xã hội và email, việc ngụy trang một liên kết là vô cùng dễ dàng. Đáng tiếc là điều này khiến bạn dễ bị đánh lừa và nghĩ rằng mình đang truy cập một website uy tín trong khi thực tế không phải vậy. Việc truy cập một website độc hại có thể là bước khởi đầu cho một vụ lừa đảo nhằm chiếm đoạt “chìa khóa” crypto của bạn, hoặc tải malware xuống máy tính hay smartphone. Vì vậy, đừng nhấp vào bất kỳ liên kết nào mà bạn không chắc chắn 100% là an toàn.

Tiếp theo, bạn có thể giảm thiểu một phần rủi ro phishing bằng cách sử dụng ví cứng. Thiết bị này giúp bảo vệ bạn khỏi malware và spyware có thể đã xâm nhập vào máy tính sau khi bị phishing trên thiết bị Web2. Cụ thể hơn, nếu sử dụng ví mềm, private key của bạn có thể bị lộ cho hacker trên smartphone hoặc máy tính. Ví cứng giúp giảm thiểu rủi ro đó, nhưng điều đó không có nghĩa chúng hoàn toàn miễn nhiễm với phishing.

Trong một số trường hợp, website phishing sẽ cố khiến bạn ký approval trực tiếp trên ví cứng. Khi đó, việc ký phê duyệt chẳng khác nào trao cho scammer một “tấm séc trắng”. Một khi chúng có được chữ ký cho phép di chuyển tài sản, chúng hoàn toàn có thể đánh cắp tài sản của bạn.

Nếu bạn định ký phê duyệt để sử dụng các nền tảng thử nghiệm hoặc chưa đáng tin cậy, hãy tạo thói quen phân tách tài sản. Điều này nghĩa là giữ tài sản giá trị ở một tài khoản riêng biệt với tài khoản dùng để kết nối ứng dụng và dịch vụ.

Khi sử dụng ví cứng, bạn có thể dễ dàng tạo nhiều tài khoản được quản lý bởi cùng một thiết bị. May mắn là mỗi tài khoản đều hoạt động độc lập với nhau. Điều này có nghĩa bạn có thể ký các giao dịch tiềm ẩn rủi ro bằng một tài khoản mà không ảnh hưởng đến các tài khoản khác.

Một mô hình phân tách tài sản hiệu quả thường gồm ba tài khoản. Tài khoản đầu tiên dùng để lưu trữ tài sản giá trị nhất. Đây còn được gọi là ví lạnh và tuyệt đối không được tương tác với bất kỳ ứng dụng hay dịch vụ nào. Tài khoản thứ hai dùng để truy cập các nền tảng đáng tin cậy; cho phép bạn mua bán tài sản số trên những nơi quen thuộc. Tài khoản cuối cùng là “tài khoản khai thác (minting account)”; chỉ dành riêng cho việc tương tác với các ứng dụng và nền tảng tiềm ẩn rủi ro. Tài khoản này không nên chứa nhiều crypto hơn mức cần thiết, để nếu bị lừa đảo, bạn cũng không mất tài sản quan trọng. Một số người dùng thậm chí còn đi xa hơn bằng cách tạo ví dùng một lần (burner wallet) chỉ để thực hiện duy nhất một giao dịch rủi ro.

Lớp bảo vệ cuối cùng chính là bạn. Vì vậy, điều quan trọng nhất bạn có thể làm là kiểm tra kỹ từng giao dịch. Đừng cấp phê duyệt cho các website mới nếu chưa tự nghiên cứu kỹ lưỡng, và hãy chắc chắn website bạn truy cập là website chính thức. Luôn kiểm tra URL chính thức của bất kỳ website nào bạn muốn truy cập và đối chiếu với URL bạn đang mở. Hãy nhớ: chỉ một khác biệt nhỏ cũng có thể đồng nghĩa bạn đang ở trên một website phishing.

Ngoài ra, bạn là người duy nhất có thể “ký trao” tài sản của chính mình. Hãy xác minh địa chỉ contract của mọi ứng dụng blockchain mà bạn cấp phê duyệt. Và cố gắng đừng ký phê duyệt khi chưa hiểu rõ nó thực hiện điều gì.

Việc tìm hiểu về smart contract và cơ chế hoạt động của chúng sẽ giúp bạn phân tích từng phê duyệt trước khi ký. Nhưng nếu điều đó quá kỹ thuật với bạn, tốt hơn hết là nên tránh blind signing. Nếu bạn khám phá Web3 trong hệ sinh thái Ledger, bạn có thể yên tâm rằng mọi giao dịch hoặc phê duyệt sẽ được hiển thị dưới dạng ngôn ngữ dễ hiểu cho con người. Điều này có được nhờ clear signing plugin của Ledger Wallet.