Bảo vệ ví cứng của bạn: Các trò lừa bịp tấn công phổ biến và hướng dẫn phòng ngừa
Trong lĩnh vực tiền điện tử, an ninh luôn là vấn đề được ưu tiên hàng đầu. Để bảo vệ tài sản số, nhiều người chọn sử dụng ví cứng (còn gọi là ví lạnh) - một thiết bị an toàn vật lý có khả năng tạo và lưu trữ khóa riêng ngoại tuyến.
Ví cứng có chức năng chính là lưu trữ "khóa riêng" điều khiển token của bạn ở chế độ ngoại tuyến trong một chip an toàn. Tất cả việc xác nhận và ký giao dịch đều được thực hiện bên trong thiết bị, khóa riêng sẽ không bao giờ tiếp xúc với thiết bị di động hoặc máy tính kết nối mạng. Điều này giảm đáng kể rủi ro bị hacker đánh cắp khóa riêng qua virus mạng, trojan và các phương thức khác.
Tuy nhiên, điều kiện tiên quyết của mức độ an toàn này là: ví cứng mà bạn đang cầm trên tay là đáng tin cậy, chưa bị tấn công. Nếu kẻ tấn công đã thao túng ví cứng trước khi bạn nhận được nó, thì pháo đài an toàn dùng để lưu trữ khóa riêng đã mất đi khả năng bảo vệ ngay từ đầu, ngược lại trở thành "bẫy" mà kẻ lừa đảo sẵn sàng thu hoạch bất cứ lúc nào.
Bài viết này sẽ giới thiệu hai loại trò lừa bịp tấn công ví cứng phổ biến và cung cấp cho bạn một bộ hướng dẫn phòng ngừa an toàn.
Các loại trò lừa bịp tấn công ví cứng
Hiện tại, trò lừa bịp tấn công ví cứng chủ yếu chia thành hai loại: tấn công kỹ thuật và trò lừa bịp từ khóa ghi nhớ đã được thiết lập.
tấn công kỹ thuật
Cốt lõi của cuộc tấn công này nằm ở việc thay đổi cấu trúc vật lý của ví cứng. Kẻ tấn công thông qua các phương pháp kỹ thuật, chẳng hạn như thay thế chip bên trong, cài đặt các chương trình độc hại có thể bí mật ghi lại hoặc gửi từ khóa phục hồi, v.v. Những thiết bị bị tấn công này có thể trông giống như hàng chính hãng, nhưng chức năng cốt lõi của chúng (nghĩa là tạo ra và lưu trữ khóa riêng ngoại tuyến) đã bị chiếm đoạt.
Kẻ tấn công thường giả mạo các dự án nổi tiếng, thương hiệu ví cứng hoặc KOL trên mạng xã hội, với danh nghĩa miễn phí thay thế, chia sẻ quà tặng, v.v., gửi ví cứng đã bị tấn công như là "quà tặng" đến cho nạn nhân.
Vào năm 2021, có người dùng báo cáo đã nhận được một "ví cứng" được gọi là "thay thế miễn phí" từ một thương hiệu nào đó. Khi anh ta sử dụng cụm từ khôi phục của mình để khôi phục ví trên thiết bị, 78.000 đô la tiền mã hóa đã bị đánh cắp. Phân tích sau đó cho thấy, thiết bị này đã bị cài đặt phần mềm độc hại, có thể đánh cắp cụm từ khôi phục khi người dùng nhập vào.
trò lừa bịp cụm từ khôi phục
Đây là trò lừa bịp hiện nay phổ biến nhất và cũng dễ khiến người ta mắc bẫy. Nó không phụ thuộc vào công nghệ cao siêu, mà lợi dụng sự chênh lệch thông tin và tâm lý của người dùng. Cốt lõi của nó là: kẻ lừa đảo đã "cài sẵn" cho bạn một bộ từ khóa trước khi bạn nhận được ví cứng, thông qua hướng dẫn giả mạo và lời nói lừa đảo, dụ dỗ người dùng trực tiếp sử dụng ví đó.
Kẻ lừa đảo thường sẽ bán ví cứng với giá rẻ qua các kênh không chính thức (như mạng xã hội, nền tảng thương mại điện tử trực tiếp hoặc thị trường đồ cũ). Người dùng một khi lơ là xác minh hoặc muốn tiết kiệm, sẽ dễ dàng bị lừa.
Kẻ lừa đảo sẽ mua ví cứng chính hãng từ các kênh chính thức trước, sau đó thực hiện các hành động độc hại khi nhận được ví - kích hoạt thiết bị, tạo và ghi lại cụm từ khôi phục của ví, chỉnh sửa hướng dẫn sử dụng và thẻ sản phẩm. Sau đó, họ sử dụng thiết bị và vật liệu đóng gói chuyên nghiệp để đóng gói lại, ngụy trang thành ví cứng "mới nguyên chưa mở" để bán trên các nền tảng thương mại điện tử.
Hiện tại có hai phương thức lừa đảo với cụm từ gợi nhớ được quan sát thấy:
Cụm từ gợi nhớ được thiết lập sẵn: Trong bao bì có sẵn một thẻ cụm từ gợi nhớ in sẵn và dẫn dắt người dùng sử dụng cụm từ gợi nhớ đó để khôi phục ví.
Mã PIN được thiết lập sẵn (mã mở khóa thiết bị): Cung cấp một thẻ cào, tuyên bố rằng cào lớp phủ có thể thấy mã "PIN" hoặc "mã kích hoạt thiết bị" duy nhất, và nói dối rằng ví cứng không cần cụm từ khôi phục.
Một khi người dùng gặp phải "trò lừa bịp về cụm từ ghi nhớ được định sẵn", bề ngoài người dùng tự cho mình là chủ sở hữu ví cứng, nhưng thực tế lại không nắm giữ quyền kiểm soát ví. Quyền kiểm soát ví này (cụm từ ghi nhớ) vẫn nằm trong tay kẻ lừa đảo. Sau đó, việc người dùng chuyển vào tất cả các token của ví đó chẳng khác nào việc đặt token vào túi của kẻ lừa đảo.
Ví dụ người dùng
Ông Wang đã mua một thiết bị ví cứng trên một nền tảng video ngắn. Khi thiết bị đến tay, bao bì vẫn nguyên vẹn, và nhãn chống giả cũng có vẻ không bị hư hại. Ông Wang mở bao bì ra, phát hiện sách hướng dẫn dẫn dắt ông sử dụng một mã PIN được thiết lập sẵn để mở khóa thiết bị. Ông cảm thấy hơi bối rối: "Tại sao không phải là tôi tự thiết lập mã PIN? Hơn nữa, toàn bộ quá trình không có bất kỳ gợi ý nào để tôi sao lưu cụm từ khôi phục?"
Anh ấy ngay lập tức liên hệ với dịch vụ khách hàng của cửa hàng để hỏi. Nhân viên hỗ trợ giải thích: "Đây là ví cứng thế hệ mới của chúng tôi, sử dụng công nghệ bảo mật mới nhất. Để tiện lợi cho người dùng, chúng tôi đã thiết lập mã PIN an toàn độc nhất cho mỗi thiết bị, sau khi mở khóa có thể sử dụng, thuận tiện và an toàn hơn."
Lời nói này đã xóa bỏ sự nghi ngờ của ông Wang. Ông đã làm theo hướng dẫn trong sách hướng dẫn, sử dụng mã PIN đã được thiết lập để hoàn thành việc ghép nối, và lần lượt chuyển tiền vào Ví tiền mới.
Vào những ngày đầu, việc nhận tiền/chuyển tiền diễn ra bình thường. Tuy nhiên, gần như ngay khi anh ta chuyển vào một khoản tiền lớn bằng token, tất cả các token trong Ví tiền đều đã được chuyển đến một địa chỉ lạ.
Ông Wang vẫn không hiểu, sau khi liên hệ với dịch vụ khách hàng chính thức của thương hiệu thực sự để xác minh, ông mới nhận ra rằng thiết bị mà ông đã mua thực chất là một thiết bị đã được kích hoạt trước và đã được cài đặt cụm từ ghi nhớ. Do đó, ví cứng này từ đầu đã không thuộc về ông, mà luôn ở trong sự kiểm soát của kẻ lừa đảo. Cái gọi là "ví lạnh không cần cụm từ ghi nhớ thế hệ mới" chỉ là lời nói dối mà kẻ lừa đảo sử dụng để đánh lừa người khác.
Cách bảo vệ ví cứng của bạn
Để phòng ngừa rủi ro từ nguồn đến việc sử dụng, vui lòng tham khảo danh sách kiểm tra an toàn dưới đây:
Bước 1: Mua hàng qua kênh chính thức và kiểm tra hàng
Kiên trì mua ví cứng thông qua kênh chính thức.
Sau khi nhận thiết bị, kiểm tra bao bì bên ngoài, niêm phong và nội dung bên trong có hoàn chỉnh và không hư hỏng.
Nhập số sê-ri sản phẩm của thiết bị trên trang web chính thức, xác minh trạng thái kích hoạt của thiết bị. Thiết bị mới nên hiển thị "Thiết bị chưa được kích hoạt".
Bước 2: Tạo và sao lưu cụm từ khôi phục một cách độc lập
Lần đầu sử dụng, bạn phải tự mình hoàn thành việc kích hoạt thiết bị, thiết lập và sao lưu mã PIN và mã liên kết, tạo và sao lưu cụm từ khôi phục.
Sao lưu cụm từ khôi phục bằng cách ghi chép vật lý (chẳng hạn như viết tay trên giấy) hoặc trong hộp nhớ, và lưu trữ nó ở một nơi an toàn tách biệt với ví cứng. Tuyệt đối không chụp ảnh, chụp màn hình hoặc lưu trữ trên bất kỳ thiết bị điện tử nào.
Bước 3: Kiểm tra token nhỏ
Trước khi gửi tiền số lớn, nên hoàn thành một bài kiểm tra nhận và chuyển tiền đầy đủ với một số tiền số nhỏ. Khi kết nối ví mềm để ký chuyển khoản, hãy kiểm tra kỹ thông tin trên màn hình thiết bị cứng (như loại tiền, số lượng chuyển khoản, địa chỉ nhận), đảm bảo nó khớp với hiển thị trên ứng dụng. Sau khi xác nhận tiền số đã chuyển thành công, hãy thực hiện các thao tác lưu trữ số lớn tiếp theo.
Kết luận
An toàn của ví cứng không chỉ phụ thuộc vào thiết kế công nghệ cốt lõi của nó, mà còn phụ thuộc vào kênh mua sắm an toàn và thói quen vận hành đúng đắn của người dùng. An toàn ở cấp độ vật lý là một phần không thể coi thường trong việc bảo vệ token kỹ thuật số.
Trong thế giới tiền điện tử đầy cơ hội và rủi ro, hãy nhất định thiết lập quan niệm an ninh "không tin tưởng" - đừng tin tưởng bất kỳ kênh, người hay thiết bị nào chưa được xác thực chính thức. Hãy duy trì sự cảnh giác cao độ đối với bất kỳ "bữa trưa miễn phí" nào, đây là hàng rào đầu tiên và cũng là hàng rào quan trọng nhất để bảo vệ token của bạn.
Trang này có thể chứa nội dung của bên thứ ba, được cung cấp chỉ nhằm mục đích thông tin (không phải là tuyên bố/bảo đảm) và không được coi là sự chứng thực cho quan điểm của Gate hoặc là lời khuyên về tài chính hoặc chuyên môn. Xem Tuyên bố từ chối trách nhiệm để biết chi tiết.
13 thích
Phần thưởng
13
5
Đăng lại
Chia sẻ
Bình luận
0/400
ZKProofEnthusiast
· 20giờ trước
vẫn hodl là an toàn nhất!
Xem bản gốcTrả lời0
UnluckyMiner
· 08-09 19:34
Ví tiền đều không đáng tin cậy, bây giờ thật thảm hại.
Xem bản gốcTrả lời0
NeverVoteOnDAO
· 08-09 19:30
Ví lạnh cũng không đủ lạnh, vẫn nên giấu giấy ghi chú thôi.
Xem bản gốcTrả lời0
NFTFreezer
· 08-09 19:26
Ví tiền quá phức tạp, vẫn nên lưu trữ tại sàn giao dịch tập trung thôi.
Ví cứng an toàn hướng dẫn: phòng ngừa tấn công kỹ thuật và trò lừa bịp cụm từ ghi nhớ
Bảo vệ ví cứng của bạn: Các trò lừa bịp tấn công phổ biến và hướng dẫn phòng ngừa
Trong lĩnh vực tiền điện tử, an ninh luôn là vấn đề được ưu tiên hàng đầu. Để bảo vệ tài sản số, nhiều người chọn sử dụng ví cứng (còn gọi là ví lạnh) - một thiết bị an toàn vật lý có khả năng tạo và lưu trữ khóa riêng ngoại tuyến.
Ví cứng có chức năng chính là lưu trữ "khóa riêng" điều khiển token của bạn ở chế độ ngoại tuyến trong một chip an toàn. Tất cả việc xác nhận và ký giao dịch đều được thực hiện bên trong thiết bị, khóa riêng sẽ không bao giờ tiếp xúc với thiết bị di động hoặc máy tính kết nối mạng. Điều này giảm đáng kể rủi ro bị hacker đánh cắp khóa riêng qua virus mạng, trojan và các phương thức khác.
Tuy nhiên, điều kiện tiên quyết của mức độ an toàn này là: ví cứng mà bạn đang cầm trên tay là đáng tin cậy, chưa bị tấn công. Nếu kẻ tấn công đã thao túng ví cứng trước khi bạn nhận được nó, thì pháo đài an toàn dùng để lưu trữ khóa riêng đã mất đi khả năng bảo vệ ngay từ đầu, ngược lại trở thành "bẫy" mà kẻ lừa đảo sẵn sàng thu hoạch bất cứ lúc nào.
Bài viết này sẽ giới thiệu hai loại trò lừa bịp tấn công ví cứng phổ biến và cung cấp cho bạn một bộ hướng dẫn phòng ngừa an toàn.
Các loại trò lừa bịp tấn công ví cứng
Hiện tại, trò lừa bịp tấn công ví cứng chủ yếu chia thành hai loại: tấn công kỹ thuật và trò lừa bịp từ khóa ghi nhớ đã được thiết lập.
tấn công kỹ thuật
Cốt lõi của cuộc tấn công này nằm ở việc thay đổi cấu trúc vật lý của ví cứng. Kẻ tấn công thông qua các phương pháp kỹ thuật, chẳng hạn như thay thế chip bên trong, cài đặt các chương trình độc hại có thể bí mật ghi lại hoặc gửi từ khóa phục hồi, v.v. Những thiết bị bị tấn công này có thể trông giống như hàng chính hãng, nhưng chức năng cốt lõi của chúng (nghĩa là tạo ra và lưu trữ khóa riêng ngoại tuyến) đã bị chiếm đoạt.
Kẻ tấn công thường giả mạo các dự án nổi tiếng, thương hiệu ví cứng hoặc KOL trên mạng xã hội, với danh nghĩa miễn phí thay thế, chia sẻ quà tặng, v.v., gửi ví cứng đã bị tấn công như là "quà tặng" đến cho nạn nhân.
Vào năm 2021, có người dùng báo cáo đã nhận được một "ví cứng" được gọi là "thay thế miễn phí" từ một thương hiệu nào đó. Khi anh ta sử dụng cụm từ khôi phục của mình để khôi phục ví trên thiết bị, 78.000 đô la tiền mã hóa đã bị đánh cắp. Phân tích sau đó cho thấy, thiết bị này đã bị cài đặt phần mềm độc hại, có thể đánh cắp cụm từ khôi phục khi người dùng nhập vào.
trò lừa bịp cụm từ khôi phục
Đây là trò lừa bịp hiện nay phổ biến nhất và cũng dễ khiến người ta mắc bẫy. Nó không phụ thuộc vào công nghệ cao siêu, mà lợi dụng sự chênh lệch thông tin và tâm lý của người dùng. Cốt lõi của nó là: kẻ lừa đảo đã "cài sẵn" cho bạn một bộ từ khóa trước khi bạn nhận được ví cứng, thông qua hướng dẫn giả mạo và lời nói lừa đảo, dụ dỗ người dùng trực tiếp sử dụng ví đó.
Kẻ lừa đảo thường sẽ bán ví cứng với giá rẻ qua các kênh không chính thức (như mạng xã hội, nền tảng thương mại điện tử trực tiếp hoặc thị trường đồ cũ). Người dùng một khi lơ là xác minh hoặc muốn tiết kiệm, sẽ dễ dàng bị lừa.
Kẻ lừa đảo sẽ mua ví cứng chính hãng từ các kênh chính thức trước, sau đó thực hiện các hành động độc hại khi nhận được ví - kích hoạt thiết bị, tạo và ghi lại cụm từ khôi phục của ví, chỉnh sửa hướng dẫn sử dụng và thẻ sản phẩm. Sau đó, họ sử dụng thiết bị và vật liệu đóng gói chuyên nghiệp để đóng gói lại, ngụy trang thành ví cứng "mới nguyên chưa mở" để bán trên các nền tảng thương mại điện tử.
Hiện tại có hai phương thức lừa đảo với cụm từ gợi nhớ được quan sát thấy:
Cụm từ gợi nhớ được thiết lập sẵn: Trong bao bì có sẵn một thẻ cụm từ gợi nhớ in sẵn và dẫn dắt người dùng sử dụng cụm từ gợi nhớ đó để khôi phục ví.
Mã PIN được thiết lập sẵn (mã mở khóa thiết bị): Cung cấp một thẻ cào, tuyên bố rằng cào lớp phủ có thể thấy mã "PIN" hoặc "mã kích hoạt thiết bị" duy nhất, và nói dối rằng ví cứng không cần cụm từ khôi phục.
Một khi người dùng gặp phải "trò lừa bịp về cụm từ ghi nhớ được định sẵn", bề ngoài người dùng tự cho mình là chủ sở hữu ví cứng, nhưng thực tế lại không nắm giữ quyền kiểm soát ví. Quyền kiểm soát ví này (cụm từ ghi nhớ) vẫn nằm trong tay kẻ lừa đảo. Sau đó, việc người dùng chuyển vào tất cả các token của ví đó chẳng khác nào việc đặt token vào túi của kẻ lừa đảo.
Ví dụ người dùng
Ông Wang đã mua một thiết bị ví cứng trên một nền tảng video ngắn. Khi thiết bị đến tay, bao bì vẫn nguyên vẹn, và nhãn chống giả cũng có vẻ không bị hư hại. Ông Wang mở bao bì ra, phát hiện sách hướng dẫn dẫn dắt ông sử dụng một mã PIN được thiết lập sẵn để mở khóa thiết bị. Ông cảm thấy hơi bối rối: "Tại sao không phải là tôi tự thiết lập mã PIN? Hơn nữa, toàn bộ quá trình không có bất kỳ gợi ý nào để tôi sao lưu cụm từ khôi phục?"
Anh ấy ngay lập tức liên hệ với dịch vụ khách hàng của cửa hàng để hỏi. Nhân viên hỗ trợ giải thích: "Đây là ví cứng thế hệ mới của chúng tôi, sử dụng công nghệ bảo mật mới nhất. Để tiện lợi cho người dùng, chúng tôi đã thiết lập mã PIN an toàn độc nhất cho mỗi thiết bị, sau khi mở khóa có thể sử dụng, thuận tiện và an toàn hơn."
Lời nói này đã xóa bỏ sự nghi ngờ của ông Wang. Ông đã làm theo hướng dẫn trong sách hướng dẫn, sử dụng mã PIN đã được thiết lập để hoàn thành việc ghép nối, và lần lượt chuyển tiền vào Ví tiền mới.
Vào những ngày đầu, việc nhận tiền/chuyển tiền diễn ra bình thường. Tuy nhiên, gần như ngay khi anh ta chuyển vào một khoản tiền lớn bằng token, tất cả các token trong Ví tiền đều đã được chuyển đến một địa chỉ lạ.
Ông Wang vẫn không hiểu, sau khi liên hệ với dịch vụ khách hàng chính thức của thương hiệu thực sự để xác minh, ông mới nhận ra rằng thiết bị mà ông đã mua thực chất là một thiết bị đã được kích hoạt trước và đã được cài đặt cụm từ ghi nhớ. Do đó, ví cứng này từ đầu đã không thuộc về ông, mà luôn ở trong sự kiểm soát của kẻ lừa đảo. Cái gọi là "ví lạnh không cần cụm từ ghi nhớ thế hệ mới" chỉ là lời nói dối mà kẻ lừa đảo sử dụng để đánh lừa người khác.
Cách bảo vệ ví cứng của bạn
Để phòng ngừa rủi ro từ nguồn đến việc sử dụng, vui lòng tham khảo danh sách kiểm tra an toàn dưới đây:
Bước 1: Mua hàng qua kênh chính thức và kiểm tra hàng
Bước 2: Tạo và sao lưu cụm từ khôi phục một cách độc lập
Bước 3: Kiểm tra token nhỏ
Trước khi gửi tiền số lớn, nên hoàn thành một bài kiểm tra nhận và chuyển tiền đầy đủ với một số tiền số nhỏ. Khi kết nối ví mềm để ký chuyển khoản, hãy kiểm tra kỹ thông tin trên màn hình thiết bị cứng (như loại tiền, số lượng chuyển khoản, địa chỉ nhận), đảm bảo nó khớp với hiển thị trên ứng dụng. Sau khi xác nhận tiền số đã chuyển thành công, hãy thực hiện các thao tác lưu trữ số lớn tiếp theo.
Kết luận
An toàn của ví cứng không chỉ phụ thuộc vào thiết kế công nghệ cốt lõi của nó, mà còn phụ thuộc vào kênh mua sắm an toàn và thói quen vận hành đúng đắn của người dùng. An toàn ở cấp độ vật lý là một phần không thể coi thường trong việc bảo vệ token kỹ thuật số.
Trong thế giới tiền điện tử đầy cơ hội và rủi ro, hãy nhất định thiết lập quan niệm an ninh "không tin tưởng" - đừng tin tưởng bất kỳ kênh, người hay thiết bị nào chưa được xác thực chính thức. Hãy duy trì sự cảnh giác cao độ đối với bất kỳ "bữa trưa miễn phí" nào, đây là hàng rào đầu tiên và cũng là hàng rào quan trọng nhất để bảo vệ token của bạn.