Cảnh báo từ SlowMist: Các kỹ thuật tấn công tiền điện tử không có nhiều tiến bộ về mặt kỹ thuật, nhưng ngày càng trở nên xảo quyệt hơn.
Theo công ty bảo mật blockchain SlowMist, người dùng tiền điện tử phải đối mặt với sự gia tăng các cuộc tấn công “thao túng tâm lý” trong quý hai, khi tin tặc nghĩ ra những cách nâng cao và sáng tạo để cố gắng đánh cắp tiền điện tử.
Lisa, người đứng đầu hoạt động của SlowMist, cho biết trong báo cáo Phân tích quỹ bị đánh cắp MistTrack Q2 của công ty rằng mặc dù không thấy sự tiến bộ trong các kỹ thuật hack, nhưng các vụ lừa đảo đã trở nên tinh vi hơn, với sự gia tăng của các tiện ích mở rộng trình duyệt giả mạo, ví phần cứng bị giả mạo và các cuộc tấn công kỹ nghệ xã hội.
“Nhìn lại quý 2, một xu hướng nổi bật: các phương pháp của kẻ tấn công có thể không trở nên tiên tiến hơn về mặt kỹ thuật, nhưng chúng ngày càng trở nên thao túng tâm lý hơn.”
“Chúng tôi đang thấy một sự thay đổi rõ ràng từ các cuộc tấn công hoàn toàn trên chuỗi sang các điểm vào ngoài chuỗi — tiện ích mở rộng trình duyệt, tài khoản mạng xã hội, luồng xác thực và hành vi của người dùng đều trở thành các bề mặt tấn công phổ biến,” Lisa nói.
TIỆN ÍCH MỞ RỘNG TRÌNH DUYỆT ĐỘC HẠI GIẢ VỜ LÀ PLUGIN BẢO MẬT
Trớ trêu thay, một vectơ tấn công mới nổi liên quan đến các tiện ích mở rộng trình duyệt giả dạng plugin bảo mật, chẳng hạn như tiện ích mở rộng Chrome “Osiris”, tuyên bố phát hiện các liên kết lừa đảo và các trang web đáng ngờ.
Thay vào đó, tiện ích mở rộng chặn tất cả các bản tải xuống tệp .exe, .dmg và .zip, thay thế các tệp đó bằng các chương trình độc hại.
“Thậm chí còn xảo quyệt hơn, những kẻ tấn công sẽ hướng dẫn người dùng truy cập các trang web nổi tiếng, thường được sử dụng như Notion hoặc Zoom,” Lisa nói.
“Khi người dùng cố gắng tải xuống phần mềm từ các trang web chính thức này, các tệp được gửi đã bị thay thế độc hại — nhưng trình duyệt vẫn hiển thị bản tải xuống có nguồn gốc từ nguồn hợp pháp, khiến người dùng gần như không thể phát hiện ra bất kỳ điều gì đáng ngờ.”
Các chương trình này sau đó sẽ thu thập thông tin nhạy cảm từ máy tính của người dùng, bao gồm dữ liệu trình duyệt Chrome và thông tin xác thực macOS Keychain, cho phép kẻ tấn công truy cập vào cụm từ hạt giống, khóa riêng tư hoặc thông tin đăng nhập.
Thông tin nhạy cảm từ máy tính của nạn nhân được gửi đến máy chủ của kẻ tấn công. Nguồn: SlowMist
CÁC CUỘC TẤN CÔNG LỢI DỤNG SỰ LO LẮNG CỦA NGƯỜI DÙNG TIỀN ĐIỆN TỬ
SlowMist cho biết một phương pháp tấn công khác tập trung vào việc lừa các nhà đầu tư tiền điện tử chấp nhận ví phần cứng bị giả mạo.
Trong một số trường hợp, tin tặc sẽ gửi cho người dùng một ví lạnh bị xâm nhập, nói với nạn nhân của họ rằng họ đã trúng một thiết bị miễn phí theo “rút thăm trúng thưởng” hoặc nói với họ rằng thiết bị hiện tại của họ đã bị xâm nhập và họ cần chuyển tài sản của mình.
Trong quý 2, một nạn nhân được báo cáo đã mất 6,5 triệu đô la khi mua một chiếc ví lạnh bị giả mạo mà họ đã thấy trên TikTok, theo Lisa.
Nguồn: Intelligence on Chain
Một kẻ tấn công khác đã bán cho nạn nhân một chiếc ví phần cứng mà họ đã kích hoạt trước, cho phép chúng rút tiền ngay lập tức sau khi người dùng mới chuyển tiền điện tử của họ vào để lưu trữ.
KỸ NGHỆ XÃ HỘI VỚI TRANG WEB REVOKER GIẢ MẠO
SlowMist cho biết họ cũng đã được một người dùng liên hệ trong quý 2, người này không thể thu hồi “ủy quyền rủi ro” trong ví của họ.
Sau khi điều tra, SlowMist cho biết trang web mà người dùng đang sử dụng để cố gắng thu hồi quyền của hợp đồng thông minh là “một bản sao gần như hoàn hảo của giao diện Revoke Cash phổ biến”, yêu cầu người dùng nhập khóa riêng tư của họ để “kiểm tra chữ ký rủi ro”.
“Sau khi phân tích mã giao diện người dùng, chúng tôi xác nhận rằng trang web lừa đảo này đã sử dụng EmailJS để gửi thông tin đầu vào của người dùng — bao gồm khóa riêng tư và địa chỉ — đến hộp thư đến email của kẻ tấn công.”
SlowMist nhận thấy các cuộc tấn công lừa đảo, gian lận và rò rỉ khóa riêng tư là nguyên nhân hàng đầu gây ra trộm cắp trong quý 2. Nguồn: SlowMist
“Những cuộc tấn công kỹ nghệ xã hội này không tinh vi về mặt kỹ thuật, nhưng chúng vượt trội trong việc khai thác tính cấp bách và sự tin tưởng,” Lisa nói.
“Kẻ tấn công biết rằng các cụm từ như ‘đã phát hiện chữ ký rủi ro’ có thể gây ra hoảng loạn, khiến người dùng thực hiện các hành động hấp tấp. Khi trạng thái cảm xúc đó được kích hoạt, sẽ dễ dàng thao túng họ làm những việc mà họ thường không làm — như nhấp vào liên kết hoặc chia sẻ thông tin nhạy cảm.”
CÁC CUỘC TẤN CÔNG KHAI THÁC NÂNG CẤP PECTRA, BẠN BÈ WECHAT
Các cuộc tấn công khác bao gồm các kỹ thuật lừa đảo khai thác EIP-7702, được giới thiệu trong bản nâng cấp Pectra mới nhất của Ethereum, trong khi một cuộc tấn công khác nhắm vào một số người dùng WeChat bằng cách giành quyền kiểm soát tài khoản của họ.
Gần đây, Cointelegraph Magazine đã báo cáo rằng những kẻ tấn công đã sử dụng hệ thống khôi phục tài khoản của WeChat để giành quyền kiểm soát một tài khoản, mạo danh chủ sở hữu thực để lừa đảo các liên hệ của họ bằng Tether (USDT) được chiết khấu.
Dữ liệu Q2 của SlowMist đến từ 429 báo cáo về quỹ bị đánh cắp được gửi đến công ty trong quý hai.
Công ty cho biết họ đã đóng băng và thu hồi khoảng 12 triệu đô la từ 11 nạn nhân đã báo cáo bị đánh cắp tiền điện tử trong quý 2.
