Nội dung chính:
- Công ty bảo mật blockchain SlowMist vừa phát hiện một vụ lừa đảo sử dụng ứng dụng giả Skype nhằm đánh cắp tiền điện tử.
- Theo SlowMist, nhóm tội phạm liên quan đến vụ lừa đảo này chính là những kẻ đứng sau vụ lừa đảo sử dụng ứng dụng giả Binance trước đó.
- Cách thức hoạt động là lừa người dùng cài đặt ứng dụng Skype giả mạo để truy cập vào ví nhằm đánh cắp tiền.
Nạn nhân đã liên hệ trực tiếp với SlowMist và cho biết số tiền đã bị đánh cắp sau khi tải về được cho là ứng dụng Skype từ internet.
Vụ lừa đảo này làm nổi bật nguy cơ mà người dùng, đặc biệt là ở khu vực như Trung Quốc không có cửa hàng ứng dụng chính thức, phải đối mặt khi tải về phần mềm từ nguồn không rõ ràng.
Do Google Play không có ở Trung Quốc, nhiều người dùng phải tải ứng dụng trực tiếp từ mạng.
Nhưng không chỉ ví điện tử và sàn, các ứng dụng mạng xã hội như Telegram, WhatsApp, Skype cũng thường bị làm giả.
Điều tra sau đó của SlowMist phát hiện ra một số dấu hiệu bất thường: chứng chỉ có ngày hiệu lực từ tháng 9 cho thấy nó mới được tạo, thông tin chữ ký liên quan đến Trung Quốc.
Tìm kiếm trên Baidu cũng tìm thấy nhiều nguồn phần mềm giả phù hợp với trường hợp nạn nhân báo cáo.
Ứng dụng giả mạo đã đánh cắp tiền điện tử như thế nào
Ứng dụng giả Skype giấu dưới vỏ bọc của công cụ trò chuyện video thực, nhưng thực chất đã được thêm mã độc.
Vì các ứng dụng như Skype được sử dụng để truyền tệp và thực hiện cuộc gọi nên người dùng thường không nghi ngờ hoạt động này, SlowMist cho biết – cho phép kẻ tấn công lấy được quyền của người dùng để tải tệp lên cũng như thông tin thiết bị, ID người dùng và số điện thoại.
Cụ thể hơn, ứng dụng Skype giả mạo sẽ giám sát các tin nhắn đến và đi để xem chúng có chứa địa chỉ chuỗi khối Ethereum hoặc Tron hay không. SlowMist cho biết, nếu bị phát hiện, những kẻ tấn công sẽ thay thế chúng bằng các địa chỉ độc hại động và được mã hóa cứng nhằm cố gắng định tuyến bất kỳ khoản thanh toán nào cho chính chúng.
Nhóm SlowMist phát hiện một trong các địa chỉ Tron đã nhận gần 200,000 USDT ($200,000) qua 110 giao dịch chuyển tiền, gần đây nhất vào ngày 8/11. Họ cũng xác định được một địa chỉ Ethereum nhận 7,800 USDT qua 10 giao dịch, sau đó được chuyển ra bằng dịch vụ swap của BitKeep, với phí giao dịch được lấy từ OKX..
Tuy nhiên, giao diện lừa đảo hiện đã bị xóa và không còn trả về địa chỉ xấu nữa, theo SlowMist.
Binance fake app connection
Đáng chú ý, tên miền lừa đảo ban đầu mạo danh sàn Binance trước khi chuyển sang mô phỏng backend của Skype vào tháng 5.
Một loạt tên miền giả dùng cấu trúc “bn-download[number].com” đã được sử dụng trong các vụ lừa đảo ứng dụng giả Binance, cho thấy nhóm tập trung vào lĩnh vực web3.
SlowMist khuyên người dùng chỉ nên sử dụng các kênh tải xuống ứng dụng chính thức và nâng cao nhận thức về bảo mật của họ để giảm thiểu nguy cơ trở thành nạn nhân của các cuộc tấn công lừa đảo như vậy.
CryptoViet Info biên dịch và biên soạn,
Trân trọng.