Lừa đảo phần mềm lan rộng, rủi ro an toàn tài sản tiền điện tử gia tăng

Với sự phát triển của ngành Tài sản tiền điện tử, các liên kết lừa đảo xuất hiện tràn lan trên mạng xã hội. Sự gia tăng và tiến hóa nhanh chóng của các cuộc tấn công lừa đảo này phần lớn là nhờ vào một loại phần mềm độc hại có tên là Drainer. Drainer được thiết kế đặc biệt để làm sạch trái phép ví Tài sản tiền điện tử, và các nhà phát triển của nó kiếm lợi bằng cách cho thuê phần mềm này, khiến bất kỳ ai cũng có thể sử dụng công cụ độc hại này.

Bài viết này sẽ giới thiệu một vài loại Drainer điển hình giúp những kẻ bất lương thực hiện các hoạt động lừa đảo, trộm cắp và tống tiền, đồng thời thông qua việc phân tích các trường hợp thực tế, giúp người dùng nâng cao nhận thức về mối đe dọa lừa đảo.

Mô hình hoạt động của Drainer

Mặc dù có nhiều loại Drainer, nhưng nguyên lý cơ bản của chúng tương tự nhau - sử dụng các phương pháp kỹ thuật xã hội, chẳng hạn như giả mạo thông báo chính thức hoặc các hoạt động airdrop, để lừa đảo người dùng.

Lừa đảo nhận airdrop

Một đội ngũ Drainer quảng bá dịch vụ qua kênh Telegram, hoạt động theo mô hình lừa đảo như một dịch vụ. Các nhà phát triển cung cấp cho các kẻ lừa đảo các trang web lừa đảo cần thiết để hỗ trợ hoạt động lừa đảo của họ. Khi nạn nhân quét mã QR trên trang web lừa đảo và kết nối ví, phần mềm sẽ kiểm tra và xác định các tài sản có giá trị nhất và dễ chuyển nhượng trong ví, khởi động giao dịch độc hại. Sau khi nạn nhân xác nhận những giao dịch này, tài sản sẽ được chuyển đến tài khoản của tội phạm. 20% tài sản bị đánh cắp thuộc về các nhà phát triển, 80% thuộc về các kẻ lừa đảo.

Những băng nhóm lừa đảo cung cấp dịch vụ phần mềm độc hại này chủ yếu dụ dỗ các nạn nhân tiềm năng thông qua các trang web lừa đảo giả mạo các dự án Tài sản tiền điện tử nổi tiếng. Họ lợi dụng các tài khoản Twitter giả mạo, đăng tải hàng loạt liên kết yêu cầu airdrop giả mạo trong phần bình luận của tài khoản Twitter chính thức, khiến người dùng bị dụ vào trang web. Một khi người dùng lơ là, họ có thể chịu tổn thất tài chính.

Tấn công mạng xã hội

Ngoài việc bán phần mềm độc hại, tấn công kỹ thuật xã hội cũng là một trong những phương pháp thường được Drainer sử dụng. Hacker thông qua việc đánh cắp tài khoản Discord và Twitter của cá nhân hoặc dự án có lưu lượng truy cập cao, phát tán thông tin sai lệch chứa liên kết lừa đảo nhằm đánh cắp tài sản của người dùng. Họ dẫn dắt quản trị viên Discord mở robot xác thực độc hại hoặc thêm bookmark chứa mã độc để đánh cắp quyền hạn. Sau khi thành công lấy được quyền, hacker còn thực hiện các biện pháp như xóa các quản trị viên khác, thiết lập tài khoản độc hại thành quản trị viên, nhằm kéo dài thời gian tấn công.

Tin tặc đã lợi dụng tài khoản Discord bị đánh cắp để gửi liên kết lừa đảo, dụ dỗ người dùng mở trang web độc hại và ký tên độc hại, từ đó đánh cắp tài sản của người dùng. Tính đến thời điểm hiện tại, một Drainer đã thực hiện việc đánh cắp đối với 21.131 người dùng, với số tiền lên đến 85.290.000 đô la.

Dịch vụ phần mềm ransomware

Một tổ chức cung cấp dịch vụ ransomware cung cấp tên miền, phát triển và duy trì phần mềm độc hại, giữ lại 20% tiền chuộc của các nạn nhân bị mã độc của họ lây nhiễm; người sử dụng dịch vụ ransomware có trách nhiệm tìm kiếm mục tiêu tống tiền, nhận 80% số tiền chuộc cuối cùng được trả cho tổ chức đó.

Theo Bộ Tư pháp Hoa Kỳ, băng nhóm này đã tấn công hàng nghìn nạn nhân trên toàn cầu kể từ khi xuất hiện lần đầu vào tháng 9 năm 2019, đòi tiền chuộc hơn 120 triệu đô la. Gần đây, Hoa Kỳ đã buộc tội một người đàn ông Nga là thủ lĩnh của nhóm phần mềm độc hại này và đã đóng băng hơn 200 tài khoản tiền điện tử được cho là liên quan đến hoạt động của băng nhóm, đồng thời áp đặt các biện pháp trừng phạt đối với tổ chức này.

Mối nguy hiểm của Drainer

Lấy một ví dụ về một vụ án liên quan đến Drainer được ghi nhận trên một nền tảng, nạn nhân đã bị đánh cắp tài sản tiền điện tử trị giá 287.000 USD sau khi nhấp vào trang web lừa đảo và ủy quyền. Trang web lừa đảo này chỉ khác trang web chính thức của một dự án nổi tiếng một chữ cái, người dùng rất dễ bị nhầm lẫn.

Dựa trên hash giao dịch bị đánh cắp mà nạn nhân cung cấp, chúng tôi phát hiện ra rằng người khởi xướng giao dịch bị đánh cắp là một Drainer nào đó. Sau khi thành công, 36.200 coin nào đó đã được chuyển vào địa chỉ tập hợp quỹ của Drainer, 144.900 coin vào địa chỉ của hacker, hai băng nhóm bất hợp pháp đã hoàn thành việc chia sẻ lợi nhuận theo tỷ lệ 80-20. Theo dữ liệu từ một nền tảng nào đó, từ tháng 3 năm 2023 đến nay, lưu lượng giao dịch của địa chỉ tập hợp quỹ của Drainer liên quan đến vụ án này đã lên tới 8143.44 ETH, 910.000 USDT.

Thống kê cho thấy, vào năm 2023, Drainer đã đánh cắp gần 295 triệu USD tài sản từ 324,000 nạn nhân. Phần lớn Drainer chỉ mới bắt đầu hoạt động từ năm ngoái, nhưng đã gây ra tổn thất kinh tế lớn. Chỉ riêng một số Drainer đã đánh cắp hàng trăm triệu USD, cho thấy mức độ phổ biến và mối đe dọa lớn của chúng.

Kết luận

Khi một số băng nhóm Drainer tuyên bố nghỉ hưu, những đội Drainer mới liên tục xuất hiện, hoạt động lừa đảo cũng tăng giảm theo. Các băng nhóm bất hợp pháp hoành hành, việc xây dựng môi trường mã hóa an toàn cần có sự nỗ lực chung từ nhiều phía. Chúng tôi sẽ tiếp tục theo dõi các phương pháp lừa đảo trong các vụ án tài sản tiền điện tử mới, nguồn gốc tài chính và các biện pháp phòng ngừa, nhằm nâng cao nhận thức phòng chống lừa đảo của người dùng. Nếu bạn không may bị thiệt hại, có thể tìm kiếm sự trợ giúp chuyên nghiệp bất cứ lúc nào.