Cuộc tấn công kỹ thuật xã hội Web3 là một phương pháp sử dụng kỹ thuật xã hội để thao túng người dùng tiết lộ thông tin nhạy cảm như tài khoản và mật khẩu người dùng, thuyết phục người dùng ủy quyền và chuyển tài sản tiền điện tử và NFT của người dùng. Điều đó đe dọa tính bảo mật và riêng tư của mạng lưới Web3. Dưới đây, chúng tôi sẽ giới thiệu sáu loại tấn công kỹ thuật xã hội và cung cấp các đề xuất phòng ngừa cụ thể.

1. 1. Lừa đảo bất hòa

Discord đã nổi lên như một trung tâm phát triển sôi nổi cho người dùng được mã hóa, tạo điều kiện cho việc kết nối cộng đồng và chia sẻ tin tức. Tuy nhiên, sự phổ biến của nó không làm cho nó miễn phí khỏi những mối đe dọa tiềm ẩn. Trong không gian chuyển động này, các tác nhân độc hại có thể âm thầm phân phối các liên kết đáng ngờ nhằm vào việc đánh cắp thông tin đăng nhập quý giá của bạn.

Trong cộng đồng Discord, bạn có thể gặp những tin nhắn tuyên bố rằng bạn đã trúng thưởng, nhưng thực tế chúng là các liên kết lừa đảo đã được che đậy.

Nhấp vào liên kết sẽ đưa bạn đến một trang web giống như Discord và yêu cầu xác thực.

Sau khi nhấp vào Cho phép, cửa sổ đăng nhập Discord khác sẽ xuất hiện.

Đầu tiên, chúng tôi không thể kéo cửa sổ đăng nhập này ra ngoài cửa sổ trình duyệt hiện tại.

Thứ hai, có một số dấu hiệu đáng ngờ trong địa chỉ được hiển thị. Địa chỉ “https:\discord.com\login” sử dụng dấu gạch chéo ngược () để kết nối, trong khi địa chỉ đăng nhập chính thức “https://discord.com/loginSử dụng dấu gạch chéo (/) để điều hướng.

Trang cửa sổ trông rất giống cửa sổ đăng nhập Discord chính thức, chỉ khác biệt rất ít. Hình ảnh cửa sổ đăng nhập chính thức như sau:

Khi người dùng nhập tên người dùng và mật khẩu tài khoản của mình trên trang web lừa đảo, tài khoản cá nhân của họ sẽ bị rò rỉ ngay lập tức và thông tin nhạy cảm sẽ bị tiết lộ. Kẻ lừa đảo sau đó có thể sử dụng thông tin này để truy cập không được ủy quyền vào tài khoản người dùng và thực hiện hoạt động gian lận.

Kiểm tra mã nguồn trang web trong chế độ phát triển trình duyệt

Bạn có thể kiểm tra mã nguồn của trang web thông qua chế độ phát triển của trình duyệt.

Trong quá trình lừa đảo ở trên, sau khi nhấp vào Quyền, cửa sổ đăng nhập Discord giả mạo hiện ra không phải là một cửa sổ mới thực sự, mà là một giao diện được nhúng. Làm thế nào bạn có thể phát hiện điều này?

Nhấn phím F12 để nhập chế độ phát triển trình duyệt. Trong tab Elements, bạn có thể xem mã HTML và CSS của trang web hiện tại. Đối với phần của trang mà bạn nghi ngờ, như cửa sổ đăng nhập Discord hiện ra, bạn có thể nhấp chuột vào phần đó và thường thì bạn có thể tìm thấy mã tương ứng trong bảng Elements.

Kiểm tra mã nguồn trang, chúng tôi đã tìm thấy rằng đây là một thẻ , được sử dụng để chèn một hình ảnh vào trang web, và src được sử dụng để chỉ định đường dẫn của hình ảnh.

Nhập chế độ phát triển của trình duyệt từ cửa sổ đăng nhập chính thức của Discord, như được hiển thị trong hình dưới đây:

Do đó, khi chúng ta phát hiện một sự bất thường, chúng ta có thể nhấn F12 để vào chế độ phát triển của trình duyệt và xem mã nguồn trang để xác định xem nghi ngờ của chúng ta có đúng không. Đặc biệt khi bạn nhấp vào các liên kết không quen thuộc để nhận phần thưởng, bạn nên tiếp cận mỗi bước một cách nghi ngờ và cẩn thận.

2. Lừa đảo trên Twitter

Trên Twitter (hiện tại là X), nền tảng phổ biến dành cho các tín đồ tiền điện tử, một mối đe dọa lớn đã xuất hiện - lừa đảo. Các hành động xấu khôn ngoan thao tác người dùng bằng cách hứa hẹn airdrops hấp dẫn và NFTs miễn phí. Bằng cách chuyển hướng họ đến các trang web lừa dối, những kẻ tấn công này cẩn thận lên kế hoạch để người dùng mất tiền điện tử và tài sản NFT quý giá.

Airdrops và NFT miễn phí là những lĩnh vực rất được nhiều người quan tâm. Kẻ lừa đảo tận dụng các tài khoản Twitter đã được xác minh bị chiếm đoạt để triển khai chiến dịch và chuyển hướng người dùng đến các trang web lừa đảo.

Kẻ lừa đảo sử dụng tài sản từ các dự án NFT hợp pháp để tạo ra các trang web lừa đảo.

Họ tận dụng các dịch vụ phổ biến như Linktree để chuyển hướng người dùng đến các trang giả mạo mô phỏng các thị trường NFT như OpenSea và Magic Eden.

Kẻ tấn công sẽ cố gắng thuyết phục người dùng kết nối ví tiền điện tử của họ (như MetaMask hoặc Phantom) với các trang web lừa đảo. Người dùng không nghi ngờ có thể không cố ý cấp quyền truy cập cho các trang web lừa đảo này vào ví của họ. Qua quá trình này, kẻ lừa đảo có thể chuyển đổi các loại tiền điện tử như Ethereum ($ETH) hoặc Solana ($SOL), cũng như bất kỳ NFT nào được lưu trong các ví này.

Hãy cẩn trọng với những liên kết đáng ngờ trên Linktree

Khi người dùng thêm liên kết liên quan trong Linktree hoặc các dịch vụ tương tự khác, họ cần xác minh tên miền của liên kết. Trước khi nhấp vào bất kỳ liên kết nào, hãy kiểm tra xem tên miền liên kết có khớp với tên miền thị trường NFT thực sự hay không. Kẻ lừa đảo có thể sử dụng tên miền tương tự để bắt chước các thị trường thực sự. Ví dụ, thị trường thực có thể là opensea.io, trong khi thị trường giả có thể là openseea.io hoặc opensea.com.co, v.v.

Do đó, người dùng nên chọn thêm liên kết bằng tay. Dưới đây là các bước để thêm liên kết bằng tay:

Đầu tiên, bạn cần tìm địa chỉ trang web chính thức mà bạn muốn liên kết tớihttps://opensea.io/, và sao chép URL.

Nhấn vào “Thêm Liên kết” trong Linktree, nhập URL bạn vừa sao chép và nhấn vào nút “Thêm”.

Sau khi thêm thành công, bạn có thể thấy “Opensea” bên phải. Nhấn vào “Opensea” để chuyển hướng đến trang web chính thức của Opensea.

3. Web Spoofing / Phishing

Ở đây, chúng tôi sẽ giải thích cách mà các kẻ tấn công xây dựng tên miền trang web lừa đảo của họ để giả mạo trang web chính thức của OpenAI và đánh lừa người dùng kết nối với ví tiền điện tử của riêng họ, dẫn đến mất các loại tiền điện tử hoặc NFTs.

Kẻ lừa đảo gửi email lừa đảo và liên kết với các dòng chủ đề như "Đừng bỏ lỡ ưu đãi giới hạn của OpenAI DEFI token airdrop." Email lừa đảo cho biết rằng GPT-4 hiện chỉ dành cho những người sở hữu token OpenAI.

Sau khi nhấp vào nút “Bắt đầu”, bạn sẽ được chuyển hướng đến trang web lừa đảo, openai.com-token.info.

Kết nối ví của bạn với một trang web lừa đảo.

Người dùng được kích thích để nhấp vào nút “Nhấp vào đây để đòi quà”, và sau khi nhấp vào, họ có thể chọn kết nối bằng cách sử dụng ví tiền điện tử phổ biến như MetaMask hoặc WalletConnect.

Sau khi kết nối được thiết lập, các trang web lừa đảo có khả năng tự động chuyển tất cả token tiền điện tử hoặc tài sản NFT từ ví của người dùng sang ví của kẻ tấn công, từ đó lấy cắp tất cả tài sản trong ví.

Nhận dạng Tên Miền Thật và Giả mạo

Nếu bạn biết cách xác định tên miền trong URL, bạn sẽ có thể hiệu quả tránh được các trường hợp lừa đảo/phishing trên web. Dưới đây là các thành phần chính của một tên miền được giải thích.

Thường thì các trang web phổ biến là tên miền cấp hai hoặc tên miền cấp ba.

1. Tên miền cấp hai bao gồm tên miền chính và tên miền cấp cao nhất, chẳng hạn như google.com. Trong đó, “google” là tên miền chính, đó là phần cốt lõi của tên miền và đại diện cho tên của trang web. “.com” là tên miền cấp cao nhất, đó là phần cuối cùng của tên miền và cho biết danh mục hoặc loại của tên miền, chẳng hạn như .com, .net, .org, v.v. “.com” đại diện cho một trang web thương mại.
2. Tên miền cấp ba bao gồm tên miền chính, tên miền con và tên miền cấp cao nhất, ví dụ, mail.google.com. “mail” là tên miền con, “google” là tên miền chính và “.com” là tên miền cấp cao nhất.

Giải thích trang web lừa đảo ở trên, openai.com-token.info.

1. “openai” là tên miền con.
2. "com-token" là tên miền chính.
3. “.info” là một tên miền cấp cao.

Rõ ràng, trang web lừa đảo này đang giả vờ là OpenAI, và tên miền chính thức của OpenAI là openai.com.

1. "openai" là tên miền chính.
2. “.com” là một tên miền cấp cao.

Làm thế nào trang web lừa đảo này giả mạo OpenAI? Kẻ tấn công đã làm cho nửa đầu của URL lừa đảo trông giống như “openai.com” bằng cách sử dụng phụ miền “openai” và miền chính “.com-token”, trong đó “com-token” sử dụng dấu gạch ngang.

4. Lừa đảo Telegram

Lừa đảo trên Telegram là một vấn đề an ninh mạng đáng chú ý. Trong những cuộc tấn công này, các kẻ tấn công độc hại nhằm chiếm quyền kiểm soát trình duyệt web của người dùng để lấy thông tin đăng nhập quan trọng. Để minh họa điều này rõ hơn, hãy cùng nhìn vào một ví dụ từng bước một.

Kẻ lừa đảo gửi tin nhắn riêng tư cho người dùng trên Telegram, chứa một liên kết đến bộ phim “Avatar 2” mới nhất, và địa chỉ dường như rất đơn giản.

Khi bạn mở liên kết, bạn sẽ đến một trang giống như một liên kết thật đến bộ phim, và bạn thậm chí có thể xem video. Tuy nhiên, vào thời điểm này, hacker đã kiểm soát trình duyệt của người dùng.

Từ quan điểm của một hacker, hãy xem cách họ khai thác các lỗ hổng trình duyệt bằng các công cụ khai thác để kiểm soát trình duyệt của bạn.

Sau khi kiểm tra bảng điều khiển của những kẻ hack, trở nên rõ ràng rằng họ đã truy cập vào tất cả thông tin về người dùng duyệt web. Điều này bao gồm địa chỉ IP của người dùng, cookie, múi giờ proxy, v.v.

Kẻ hack có khả năng chuyển sang giao diện lừa đảo Google Mail và tiến hành các cuộc tấn công lừa đảo đối với người dùng Gmail.

Tại điểm này, giao diện phía trước thay đổi thành trang đăng nhập Google Mail. Người dùng nhập thông tin tài khoản của họ và nhấp vào nút đăng nhập.

Ở nền tảng, các hacker đã thành công trong việc nhận tên đăng nhập và mật khẩu. Bằng cách sử dụng phương pháp này, họ lấy thông tin tài khoản và mật khẩu của người dùng một cách độc hại, dẫn đến rò rỉ thông tin người dùng và gây ra thiệt hại tài chính.

Kiểm tra kịch bản JavaScript được tải từ xa trong mã nguồn trang web

Bạn có thể nhập chế độ phát triển trình duyệt và kiểm tra xem có các kịch bản JavaScript được tải từ xa trong mã nguồn của trang web. Kịch bản này là chìa khóa cho kẻ tấn công để kiểm soát trình duyệt của người dùng. Làm thế nào bạn có thể xác định xem có kịch bản lừa đảo như vậy trong liên kết mà bạn đã nhấp vào hay không?

Trong quá trình lừa đảo được đề cập ở trên, khi bạn nhập liên kết cho bộ phim “Avatar 2,” bạn có thể nhấn phím F12 để vào chế độ phát triển của trình duyệt và phát hiện rằng liên kết trỏ đến một đoạn mã JavaScript được tải từ xa. Hacker có thể điều khiển trình duyệt từ xa bằng cách thực thi đoạn mã, từ đó thu được tài khoản và mật khẩu của người dùng.

Khi xem bộ phim "Avatar 2" trên một trang web thông thường, chúng tôi đã vào chế độ phát triển của trình duyệt và không tìm thấy bất kỳ kịch bản JavaScript nào trỏ đến việc tải từ xa.

5. Lừa đảo Metamask

Ở đây, lấy ví dụ về plugin Metamask, chúng tôi sẽ giải thích cách mà kẻ tấn công có thể đánh cắp các khóa riêng của ví của người dùng bằng cách sử dụng plugin này.

Kẻ tấn công có được thông tin liên lạc của người dùng mục tiêu, chẳng hạn như địa chỉ email hoặc tài khoản mạng xã hội. Kẻ tấn công giả mạo các thực thể đáng tin cậy, như đội ngũ chính thức của Metamask hoặc đối tác, và gửi email lừa đảo hoặc tin nhắn trên mạng xã hội đến người dùng mục tiêu. Người dùng nhận được một email giả mạo MetaMask, yêu cầu xác minh ví của họ:

Khi người dùng nhấp vào “Xác minh ví của bạn,” họ sẽ được chuyển hướng đến trang sau. Trang này tuyên bố là trang web chính thức hoặc trang đăng nhập của Metamask. Trong các cuộc tấn công lừa đảo thực tế, chúng tôi đã xác định hai trang lừa đảo khác nhau. Trang đầu tiên yêu cầu người dùng nhập khóa riêng, trong khi trang thứ hai yêu cầu cụ thể về cụm từ khôi phục của người dùng. Cả hai trang này đều được thiết kế để lấy chìa khóa Metamask của người dùng.

Kẻ tấn công thu được khóa riêng tư hoặc cụm từ khôi phục của nạn nhân và có thể sử dụng thông tin này để truy cập và kiểm soát ví Metamask của người dùng mục tiêu và thu lợi bằng cách chuyển hoặc đánh cắp tiền điện tử của người dùng mục tiêu.

Kiểm tra Email và Miền của Metamask

Nếu bạn cần cài đặt tiện ích Metamask trên Chrome, liên kết chính thức là https://metamask.io/

Một liên kết lừa đảo là https://metamaskpro.metamaskglobal.top/#/, vui lòng cẩn thận và xác minh tính xác thực của nó.

Khi bạn nhận được một email có vẻ như là Metamask, bạn cần chú ý đến thông tin của người gửi và người nhận:

Tên và địa chỉ email của người gửi có lỗi chính tả nghiêm trọng: “Metamaks” thay vì “MetaMask”.

Người nhận không bao gồm tên thật của bạn, một số thông tin khác nhận dạng bạn, và mô tả rõ ràng hơn về những gì cần phải làm. Điều này chứng tỏ rằng email này có thể được gửi theo lô và không chỉ đến bạn.

Thứ hai, bạn cũng có thể Kiểm tra tính xác thực của các liên kết này bằng tên miền:

Nhấp vào “Xác minh ví của bạn” để nhập trang web lừa đảo, metamask.authorize-web.org. Phân tích tên miền này:

1. “metamask” là một tên miền phụ
2. "authorize-web" là tên miền chính
3. “.org” là tên miền cấp cao nhất

Nếu bạn biết tên miền chính thức của metamask, metamask.io, bạn sẽ dễ dàng thấy rằng bạn đã bị tấn công lừa đảo:

1. "metamask" là tên miền chính
2. “.io” là tên miền cấp cao nhất

Tên miền của trang web lừa đảo, metamask.authorize-web.org, có chứng chỉ SSL, khiến người dùng nghĩ rằng đó là nơi an toàn để giao dịch. Nhưng bạn cần lưu ý rằng việc sử dụng MetaMask chỉ dưới tên miền phụ của miền cấp cao đã đăng ký.

6. VPN Lừa đảo

Một VPN là một công nghệ mã hóa được sử dụng để bảo vệ danh tính và dữ liệu giao thông của người dùng Internet. Nó mã hóa và truyền dữ liệu người dùng bằng cách thiết lập một đường hầm an toàn giữa người dùng và Internet, làm cho việc xâm nhập và đánh cắp dữ liệu của bên thứ ba trở nên khó khăn. Tuy nhiên, nhiều VPN là VPN lừa đảo, như PandaVPN, letsvpn và LightyearVPN để kể một vài. VPN lừa đảo thường rò rỉ địa chỉ IP của người dùng.

Khi bạn kết nối bằng VPN, thiết bị của bạn sẽ gửi yêu cầu DNS đến máy chủ VPN để lấy địa chỉ IP của trang web bạn muốn truy cập. Lý tưởng nhất là VPN nên xử lý các yêu cầu DNS này và gửi chúng qua đường hầm VPN đến máy chủ VPN, do đó ẩn địa chỉ IP thực của bạn. Nếu bạn đang sử dụng VPN lừa đảo, rò rỉ DNS có thể xảy ra và địa chỉ IP thực của bạn có thể được ghi lại trong nhật ký truy vấn DNS, giúp các hoạt động trực tuyến và hồ sơ truy cập của bạn có thể theo dõi được. Điều này có thể phá hủy quyền riêng tư và ẩn danh của bạn, đặc biệt nếu bạn đang cố gắng ẩn địa chỉ IP thực của mình.

Kiểm tra rò rỉ IP tự kiểm tra

Khi bạn sử dụng VPN để lướt web, bạn có thể kiểm tra xem VPN có rò rỉ địa chỉ IP của bạn thông qua trang web ipleak.net hoặc ip8.com. Những trang web này chỉ có thể hiển thị địa chỉ IP công cộng của bạn, đó là địa chỉ IP được gán cho kết nối Internet của bạn. Nếu bạn đang sử dụng dịch vụ VPN, những trang web này sẽ hiển thị địa chỉ IP của máy chủ VPN mà bạn đang kết nối đến, thay vì địa chỉ IP thực của bạn. Điều này có thể giúp bạn xác minh xem VPN có thành công trong việc ẩn địa chỉ IP thực của bạn hay không.

Bạn có thể kiểm tra xem địa chỉ IP của bạn có bị đe dọa bằng cách làm theo hướng dẫn dưới đây:

Mở trình duyệt của bạn và truy cập vào ipleak.net, nơi sẽ hiển thị địa chỉ IP hiện tại của bạn. Như được hiển thị trong hình ảnh dưới đây, địa chỉ IP của bạn xuất hiện là 114.45.209.20. Và chỉ ra rằng “Nếu bạn đang sử dụng proxy, đó là một proxy trong suốt.” Điều này cho thấy rằng địa chỉ IP của bạn chưa bị rò rỉ và kết nối VPN của bạn đang thành công che giấu địa chỉ IP thực sự của bạn.

Lúc này, bạn cũng có thể truy vấn địa chỉ IP thực của mình thông qua dòng lệnh ipconfig /all. Nếu địa chỉ IP được truy vấn ở đây không khớp với địa chỉ IP được truy vấn thông qua ipleak.net, điều đó có nghĩa là địa chỉ IP của bạn thực sự đã được ẩn. Nếu chúng khớp nhau, địa chỉ IP của bạn đã bị tiết lộ. Như được hiển thị trong hình dưới đây, địa chỉ IP thực của máy được truy vấn thông qua ipconfig /all là 192.168.., mà không nhất quán với 114.45.209.20 được hiển thị trong hình ảnh ở trên, và địa chỉ IP không bị rò rỉ.

Tóm tắt

Tóm lại, chúng tôi đã giới thiệu sáu cuộc tấn công kỹ thuật xã hội Web3 một cách chi tiết và cung cấp các biện pháp nhận diện và ngăn chặn tương ứng. Để tránh hiệu quả các cuộc tấn công kỹ thuật xã hội Web3, bạn cần phải cẩn thận hơn với các liên kết, email và tin nhắn không quen thuộc từ các nền tảng xã hội. Ngoài ra, chúng tôi cũng khuyên bạn nên học cách kiểm tra mã nguồn của trang web trong chế độ phát triển của trình duyệt, cách nhận biết tên miền thật và giả mạo, cách tự kiểm tra xem địa chỉ IP có bị rò rỉ không, và phân tích các rủi ro về an ninh liên quan. Nếu bạn có bất kỳ câu hỏi nào khác về an ninh Web3 hoặc kiểm tra hợp đồng thông minh, hãy liên hệ với chúng tôi một cách thoải mái.kết nối. Một thành viên của đội ngũ của chúng tôi sẽ liên hệ lại với bạn và hỗ trợ bạn ngay khi có thể.

免责声明：

1. Bài viết này được tái bản từ [ ForesighNews]. Tất cả bản quyền thuộc về tác giả gốc [Salus]. Nếu có ý kiến ​​phản đối về việc tái in này, vui lòng liên hệ với Học cửađội ngũ và họ sẽ xử lý nhanh chóng.
2. Chú ý Miễn trách nhiệm: Các quan điểm và ý kiến được thể hiện trong bài viết này chỉ là của tác giả và không cấu thành bất kỳ lời khuyên đầu tư nào.
3. Các bản dịch của bài viết sang các ngôn ngữ khác được thực hiện bởi nhóm Gate Learn. Trừ khi được nêu, việc sao chép, phân phối hoặc đạo văn các bài viết đã được dịch là không được phép.