Gần đây, chúng tôi nhận được nhiều yêu cầu giúp đỡ từ các nạn nhân, tất cả đều liên quan đến vụ lừa đảo "Safeguard giả" trên Telegram. Vì nhiều người dùng không quen với kiểu tấn công này nên họ thường không đủ cảnh giác khi gặp phải trò lừa đảo này. Cả người mới chơi và người chơi có kinh nghiệm đều có thể bị lừa. Bài viết này sẽ cung cấp những phân tích chuyên sâu về phương thức tấn công này. lừa đảo và đưa ra các đề xuất phòng ngừa hiệu quả để giúp người dùng bảo vệ tài sản khỏi bị mất mát.
Phân tích lừa đảo
Có hai loại lừa đảo chính. Một là đánh cắp tài khoản Telegram bằng cách dụ người dùng nhập số điện thoại di động, mã xác minh và thậm chí cả mật khẩu Xác minh hai bước. . , đây cũng là một phương pháp xuất hiện gần đây. Bài viết này sẽ tập trung vào phương pháp thứ hai.
Trong một số hoạt động airdrop token phổ biến, khi tâm lý FOMO của người dùng tăng cao, họ chắc chắn sẽ nhấn Nhấn để xác minh khi nhìn lên Telegram:
Sau khi nhấn Nhấn để xác minh, một bot Safeguard giả mạo sẽ mở ra, có vẻ như đang xác minh. Cửa sổ xác minh này cực kỳ ngắn, tạo cảm giác cấp bách và buộc người dùng phải tiếp tục thao tác.
Tiếp tục nhấn, kết quả “giả vờ” xác minh không thành công và cuối cùng xuất hiện giao diện nhắc nhở người dùng xác minh thủ công:
Kẻ lừa đảo đã cấu hình cẩn thận Step1, Step2 và Step3 Tại thời điểm này, đã có sẵn mã độc trong khay nhớ tạm của người dùng Miễn là người dùng không thực sự làm theo các bước này thì sẽ không có vấn đề gì:
Nhưng nếu người dùng ngoan ngoãn làm theo các bước này thì máy tính sẽ bị nhiễm virus.
Một ví dụ khác - kẻ tấn công giả dạng KOL và sử dụng robot độc hại để tiến hành xác minh và hướng dẫn thực thi mã độc Powershell. Những kẻ lừa đảo tạo tài khoản X giả danh KOL, sau đó đính kèm các liên kết Telegram trong phần bình luận để mời người dùng tham gia các nhóm Telegram “độc quyền” để lấy thông tin đầu tư. Ví dụ: tài khoản Scam xuất hiện trong khu vực bình luận của @BTW0205. Nhiều người dùng sẽ thấy "tin tức thú vị" trong khu vực bình luận:
Sau đó nhập Kênh Telegram tương ứng và hướng dẫn người dùng xác minh.
Khi người dùng nhấn xác minh, một Biện pháp bảo vệ giả mạo sẽ xuất hiện. Tương tự như quy trình trên, Bước 1, Bước 2 và Bước 3 sẽ xuất hiện để hướng dẫn thao tác xác minh.
Lúc này, clipboard của người dùng đã bị cấy nội dung mã độc một cách bí mật. Nếu người dùng thực sự mở hộp chạy theo hướng dẫn và dán nội dung mã độc vào hộp chạy bằng Ctrl + V thì trạng thái lúc này sẽ như hình dưới . , phía trước có một khoảng trống lớn có chữ Telegram và mã độc.
Các mã độc này thường là các lệnh Powershell sau khi thực thi, chúng sẽ âm thầm tải xuống các mã độc phức tạp hơn, cuối cùng lây nhiễm vào máy tính các Trojan điều khiển từ xa (chẳng hạn như Remcos). Sau khi máy tính bị Trojan điều khiển, tin tặc có thể đánh cắp từ xa các thông tin nhạy cảm như tệp ví, Cụm từ hạt giống, private key, mật khẩu, v.v. trong máy tính và thậm chí thực hiện hành vi trộm cắp tài sản. (PS. Về hành vi của Trojan "Safeguard giả", bạn có thể tham khảo phân tích của Jose Mũ trắng trong vùng SlowMist để được hướng dẫn: https://jose.wang/2025/01/17/%E4%BC% AABảo vệ%E7%97%85 %E6%AF%92%E5%88%86%E6%9E%90/)
Khu vực bình luận của tài khoản Ethereum Foundation @ethereumfndn cũng đã bị lây nhiễm bởi trò lừa đảo này, cho thấy mô hình thu hoạch quy mô lớn.
Những bình luận mới nhất như Trump's X cũng bị ô nhiễm bởi trò lừa đảo này:
Nếu bạn mở nó trên điện thoại di động của mình, kẻ lừa đảo sẽ từng bước lấy được quyền Telegram của bạn. Nếu bạn phát hiện kịp thời, bạn cần truy cập Quyền riêng tư và Bảo mật -> Phiên hoạt động -> Chấm dứt tất cả các phiên khác trong cài đặt Telegram ngay. càng tốt, sau đó thêm hoặc sửa đổi Xác minh hai bước.
Nếu bạn có máy tính Mac thay vì máy tính Windows, cũng có những cách tương tự để khiến máy tính của bạn bị nhiễm vi-rút. Quy trình tương tự. Khi hình ảnh sau xuất hiện trên Telegram, khay nhớ tạm của bạn đã bị cấy nội dung mã độc một cách bí mật.
Chưa có rủi ro, nhưng nếu bạn làm theo các bước được đưa ra, những hậu quả sau sẽ xảy ra:
Phân tích theo dõi sương mù
Chúng tôi đã chọn một số địa chỉ hacker và sử dụng nền tảng chống rửa tiền và theo dõi trên Chuỗi MistTrack để phân tích.
Địa chỉ hacker Solana :
HVJGvGZpREPQZBTScZMBMmVzwiaVNN2MfSWLgeP6CrzV
2v1DUcjyNberUcYcmjrDZNpxfFuQ2Nj28kZ9mea3T36W
D8TnJAXML7gEzUdGhY5T7aNfQQXxfr8k5huC6s11ea5R
Theo phân tích của MistTrack, ba địa chỉ hacker nói trên hiện đã kiếm được tổng lợi nhuận hơn 1,2 triệu đô la Mỹ, bao gồm SOL và nhiều Token SPL.
Trước tiên, hacker sẽ trao đổi hầu hết Mã thông báo SPL thành SOL:
SOL sau đó được phân tán và chuyển đến nhiều địa chỉ, đồng thời địa chỉ hacker cũng tương tác với các nền tảng Binance, Huobi và FixFloat:
Ngoài ra, địa chỉ hiện tại HVJGvGZpREPQZBTScZMBMmVzwiaVNN2MfSWLgeP6CrzV vẫn có số dư 1.169,73 SOL và token trị giá hơn 10.000 USD.
Hãy cùng phân tích một trong đó những địa chỉ hacker Ethereum 0x21b681c98ebc32a9c6696003fc4050f63bc8b2c6. Thời gian giao dịch đầu tiên của địa chỉ này là vào tháng 1 năm 2025, liên quan đến nhiều Chuỗi và số dư khoảng 130.000 USD.
Địa chỉ này chuyển đến nhiều nền tảng như: ChangeNOW, eXch, Cryptomus.com:
Làm thế nào để ngăn chặn
Nếu máy tính của bạn bị nhiễm virus, bạn cần thực hiện ngay việc này:
1. Tất cả các ví và tiền được sử dụng trên máy tính này đều được chuyển kịp thời. Đừng cho rằng mở rộng ví bằng mật khẩu là được;
2. Mật khẩu được lưu bởi mỗi trình duyệt hoặc tài khoản đăng nhập, mật khẩu hoặc 2FA phải được sửa đổi nhiều nhất có thể;
3. Các tài khoản khác trên máy tính, chẳng hạn như Telegram, v.v., có thể được thay đổi.
Chỉ cần đưa ra giả định cực đoan nhất Dù sao đi nữa, nếu máy tính của bạn bị nhiễm virus, máy tính của bạn sẽ trở nên trong suốt đối với những kẻ lừa đảo. Vậy hãy nghĩ ngược lại, bạn sẽ làm gì nếu bạn là một kẻ lừa đảo và hoàn toàn điều khiển một máy tính đang hoạt động trong thế giới Web3/Crypto. Cuối cùng, sau khi sao lưu dữ liệu máy tính quan trọng, bạn có thể cài đặt lại, nhưng sau khi cài đặt lại, tốt nhất bạn nên cài đặt phần mềm chống vi-rút có tiếng quốc tế như AVG, Bitdefender, Kaspersky, v.v. Trong chế độ chống vi-rút đầy đủ, vấn đề sẽ không xảy ra. lớn sau khi quá trình xử lý hoàn tất.
Tóm tắt
Trò lừa đảo Safeguard giả mạo đã phát triển thành một mô hình tấn công hoàn thiện hacker. Toàn bộ quá trình từ thu hút người dùng đánh giá giả mạo đến việc cấy vi-rút Trojan cho đến đánh cắp tài sản đều diễn ra bí mật và hiệu quả. Khi các phương thức tấn công ngày càng trở nên tinh vi, người dùng cần cảnh giác hơn với các liên kết quy nạp và quy trình hoạt động khác nhau trên Internet. Chỉ bằng cách tăng cường cảnh giác, tăng cường bảo vệ và kịp thời phát hiện và xử lý các mối đe dọa tiềm ẩn, chúng ta mới có thể ngăn chặn những trò gian lận đó một cách hiệu quả.
