Nhiều người dùng Ledger đang trở thành mục tiêu của các cuộc tấn công lừa đảo (phishing) tinh vi thông qua email và tin nhắn giả mạo, nhằm đánh cắp recovery phrase (24 cụm từ khôi phục). Trước thực trạng này, Ledger đã công bố chi tiết cách thức các cuộc tấn công diễn ra, giúp người dùng nhận diện rủi ro và chủ động phòng tránh nguy cơ mất tài sản số.
Cách một cuộc tấn công diễn ra
Bắt đầu với email/tin nhắn SMS giả mạo
Hacker khởi động chiến dịch bằng cách gửi email hoặc tin nhắn SMS giả mạo, được thiết kế trông như đến từ Ledger. Các địa chỉ gửi thường được ngụy trang rất tinh vi nhằm tạo cảm giác đây là thông báo chính thức. Và nội dung tin nhắn sẽ mang tính khẩn cấp, đánh vào tâm lý lo lắng để dụ người dùng nhấp vào đường link độc hại.
Chuyển hướng đến website/ứng dụng giả được “ngụy trang” như thật
Khi người dùng nhấp vào đường link, trình duyệt sẽ dẫn tới một trang web hoặc gợi ý tải ứng dụng giả mạo, được thiết kế gần như giống hệt website chính thức hoặc giống với Ledger Wallet (trước đây là Ledger Live). Ở bước này, hacker sẽ tìm cách dụ người dùng nhập recovery phrase (24 từ khôi phục) hoặc cài đặt phần mềm độc hại.
Đánh cắp 24 cụm từ khôi phục
Nếu người dùng điền 24 từ khóa phục hồi vào trang giả mạo, thông tin này sẽ được gửi trực tiếp tới tin tặc. Đây chính là “chìa khóa” để truy cập vào các thiết bị ký số của Ledger, cho phép kẻ xấu kiểm soát toàn bộ tài sản số của nạn nhân chỉ trong vài phút.
Chiếm đoạt tài sản trong tích tắc
Khi hacker đã có được 24 cụm từ khôi phục (recovery phrase), việc truy cập vào ví và lấy toàn bộ tài sản giờ chỉ còn là chuyện thời gian. Và với những cụm từ này, chúng có thể tạo lại private keys rồi thực hiện giao dịch chuyển tiền ngay lập tức. Khi đó, toàn bộ tài sản số của người dùng sẽ biến mất và không thể lấy lại được. Đây chính là hậu quả nghiêm trọng nhất của một cuộc tấn công phishing thành công.
Ledger cũng đã nhấn mạnh rằng, dù thiết bị phần cứng của họ vẫn an toàn, nhưng chỉ cần người dùng tự tay nhập 24 từ khôi phục vào một trang giả mạo, mọi lớp bảo vệ đều trở nên vô nghĩa. Đây cũng chính là lý do vì sao phishing được xem là mối đe dọa nguy hiểm nhất đối với người dùng tiền điện tử hiện nay.
Ledger và các trình duyệt đang làm gì để ngăn chặn?
Một điểm khiến việc truy vết các trang phishing trở nên khó khăn là thông tin chủ sở hữu tên miền thường bị che giấu. Nhiều website lừa đảo sử dụng dịch vụ bảo mật như WhoisGuard, cho phép ẩn tên, địa chỉ, số điện thoại và email của người đăng ký tên miền khi bị tra cứu thông tin Whois.
Dù việc truy ra danh tính kẻ đứng sau là không hề dễ dàng, nhưng Ledger vẫn liên tục phối hợp với các bên liên quan như trình duyệt web, nhà đăng ký tên miền và đơn vị lưu trữ (hosting provider) để yêu cầu gỡ bỏ hoặc vô hiệu hóa các website lừa đảo.
Song song đó, các trình duyệt phổ biến như Google Chrome, Mozilla Firefox hay Safari đều tích hợp tính năng Safe Browsing. Khi người dùng truy cập vào một trang web bị xác định là liên quan đến phishing hay mã độc thì trình duyệt sẽ tự động hiển thị cảnh báo, giúp ngăn chặn rủi ro trước khi người dùng nhập bất kỳ thông tin nào.
Khuyến cáo dành cho người dùng Ledger
Ledger phát ra thông báo đến người dùng rằng họ sẽ không bao giờ yêu cầu người dùng cung cấp recovery phrase qua email hoặc trang web. Vì vậy, khi nhận bất kỳ yêu cầu cung cấp thông tin này, bạn nên cảnh giác tối đa. Và khi mỗi người nâng cao cảnh giác, không truy cập vào các đường link lạ, đồng thời chủ động báo cáo các dấu hiệu đáng ngờ, mức độ an toàn chung sẽ được cải thiện đáng kể.
Tấn công phishing nhắm vào người dùng Ledger là một trong những hình thức lừa đảo phổ biến và tinh vi trong thế giới tiền điện tử. Nhưng nhờ việc nắm rõ diễn biến từng bước của cuộc tấn công, người dùng có thể nhận diện và cảnh giác hơn nữa trước mọi dấu hiệu bất thường để không trở thành nạn nhân của các chiêu trò phishing.
