Con người là điểm yếu nhất trong hệ thống an ninh.
Tác giả: ChandlerZ, Foresight News
An ninh giống như một chuỗi, phụ thuộc vào điểm yếu nhất. Và con người, chính là gót chân Achilles trong hệ thống mật mã. Trong khi thị trường vẫn say mê xây dựng các cơ chế bảo vệ mật mã phức tạp hơn, các kẻ tấn công đã tìm ra một lối tắt: không cần phá vỡ mật mã, chỉ cần thao túng những người sử dụng mật mã.
Nhân sự là điểm yếu nhất, đồng thời cũng là điểm bị忽视nhất. Nói cách khác, nhân sự là lỗ hổng dễ bị các hacker khai thác và lợi dụng nhất, đồng thời cũng là điểm yếu được đầu tư ít nhất và cải thiện chậm nhất của các doanh nghiệp.
Theo báo cáo mới nhất của công ty phân tích Blockchain Chainalysis, vào năm 2024, các hacker Triều Tiên đã tiến hành 47 cuộc tấn công phức tạp, đánh cắp tài sản trị giá 1,3 tỷ USD từ các nền tảng tài sản kỹ thuật số toàn cầu, tăng 21% so với cùng kỳ. Điều đáng kinh ngạc hơn là, vào ngày 21 tháng 2 năm 2025, sàn giao dịch Bybit đã bị tấn công, dẫn đến mất trộm tài sản kỹ thuật số trị giá khoảng 1,5 tỷ USD, lập kỷ lục mới về vụ trộm lớn nhất trong lịch sử tiền kỹ thuật số.
Trong nhiều vụ tấn công lớn trước đây, nhiều vụ không được thực hiện thông qua các lỗ hổng kỹ thuật truyền thống. Mặc dù các sàn giao dịch và dự án đầu tư hàng tỷ USD mỗi năm vào bảo vệ kỹ thuật, nhưng trong một thế giới dường như được xây dựng bằng toán học và mã, nhiều người tham gia thường xem nhẹ mối đe dọa từ kỹ thuật xã hội.
Bản chất và sự tiến hóa của kỹ thuật xã hội
Trong lĩnh vực an ninh thông tin, kỹ thuật xã hội luôn là một phương thức tấn công độc đáo và nguy hiểm. Khác với việc xâm nhập hệ thống thông qua các lỗ hổng kỹ thuật hoặc khuyết điểm của thuật toán mã hóa, kỹ thuật xã hội chủ yếu lợi dụng điểm yếu tâm lý và thói quen hành vi của con người để lừa gạt và thao túng nạn nhân. Nó không đòi hỏi kỹ năng kỹ thuật quá cao, nhưng lại có thể gây ra thiệt hại nghiêm trọng.
Sự xuất hiện của kỷ nguyên số đã mang lại cho kỹ thuật xã hội những công cụ và sân khấu mới. Trong lĩnh vực tiền kỹ thuật số, sự tiến hóa này đặc biệt rõ ràng. Ban đầu, cộng đồng tài sản kỹ thuật số chủ yếu bao gồm những người đam mê kỹ thuật và hacker, họ thường có tính cảnh giác cao và một số kiến thức kỹ thuật. Nhưng khi tài sản kỹ thuật số trở nên phổ biến hơn, ngày càng có nhiều người dùng mới không am hiểu kỹ thuật tham gia thị trường, tạo ra một môi trường màu mỡ cho các cuộc tấn công kỹ thuật xã hội.
Mặt khác, đặc điểm giao dịch ẩn danh và không thể đảo ngược của tài sản kỹ thuật số khiến chúng trở thành mục tiêu lý tưởng để các kẻ tấn công thu lợi nhuận. Một khi tiền được chuyển đến ví do chúng kiểm soát, gần như không thể thu hồi lại.
Lý do kỹ thuật xã hội có thể dễ dàng thành công trong lĩnh vực tiền kỹ thuật số là do các sai lệch nhận thức trong quá trình ra quyết định của con người. Sai lệch xác nhận khiến nhà đầu tư chỉ chú ý đến thông tin phù hợp với kỳ vọng của họ, tâm lý đám đông dễ dẫn đến bong bóng thị trường, và cảm giác FOMO thường khiến mọi người đưa ra lựa chọn không hợp lý khi đối mặt với thua lỗ. Các kẻ tấn công tinh vi lợi dụng thành thạo những điểm yếu tâm lý này.
So với cố gắng phá vỡ các thuật toán mã hóa phức tạp, phát động các cuộc tấn công kỹ thuật xã hội có chi phí thấp hơn và tỷ lệ thành công cao hơn. Một email giả mạo tinh vi, một lời mời phỏng vấn việc làm có vẻ chính thức nhưng ẩn chứa bẫy, thường hiệu quả hơn đối mặt với các thách thức kỹ thuật.
Các kỹ thuật xã hội phổ biến
Mặc dù có nhiều loại hình tấn công kỹ thuật xã hội, nhưng chúng đều xoay quanh việc "lừa đảo lòng tin và thông tin của mục tiêu". Dưới đây là một số phương thức phổ biến:
Lừa đảo (Phishing)
Lừa đảo qua email/tin nhắn: Sử dụng các liên kết giả mạo các sàn giao dịch, nhà cung cấp ví hoặc các tổ chức đáng tin cậy khác, nhằm lừa người dùng nhập thông tin nhạy cảm như cụm từ khôi phục, private key, tên đăng nhập và mật khẩu.
Giả mạo tài khoản trên các nền tảng xã hội: Như giả mạo "nhân viên chăm sóc khách hàng chính thức", "KOL nổi tiếng" hoặc "đại diện dự án" trên Twitter, Telegram, Discord, v.v., đăng các bài viết có liên kết giả hoặc thông tin về sự kiện giả, nhằm lừa người dùng nhấp vào và cung cấp khóa hoặc gửi tiền kỹ thuật số.
Trình duyệt giả mạo hoặc trang web giả mạo: Xây dựng các trang web giả mạo cực kỳ giống với các trang web sàn giao dịch hoặc ví thực, hoặc lừa người dùng cài đặt tiện ích trình duyệt độc hại, để khi người dùng nhập hoặc ủy quyền trên những trang này, sẽ bị lộ private key.
Giả mạo bộ phận hỗ trợ kỹ thuật
Phổ biến trong các nhóm Telegram hoặc Discord, kẻ tấn công giả mạo "quản trị viên" hoặc "nhân viên hỗ trợ kỹ thuật", với lý do giúp đỡ các vấn đề như nạp tiền không thành công, rút tiền thất bại, đồng bộ ví bị lỗi, v.v., để dẫn dắt nạn nhân cung cấp private key hoặc chuyển tiền vào địa chỉ do chúng chỉ định.
Chúng cũng có thể tiếp cận nạn nhân qua tin nhắn riêng hoặc các nhóm nhỏ, với lời hứa "giúp tìm lại tiền bị mất", nhưng thực chất là để lừa thêm tiền hoặc lấy được private key.
Hoán đổi SIM (SIM Swap)
Kẻ tấn công thông qua việc hối lộ hoặc lừa gạt nhân viên nhà cung cấp dịch vụ viễn thông, khiến số điện thoại của nạn nhân bị chuyển sang thiết bị do chúng kiểm soát. Một khi số điện thoại bị đánh cắp, chúng có thể sử dụng xác thực bằng tin nhắn, xác thực hai yếu tố (2FA) để đặt lại mật khẩu các tài khoản sàn giao dịch, ví hoặc mạng xã hội, từ đó đánh cắp tài sản kỹ thuật số.
Hoán đổi SIM xảy ra nhiều ở Mỹ và một số quốc gia khác.
Kỹ thuật xã hội kết hợp với tuyển dụng/săn đầu người độc hại
Kẻ tấn công giả danh tuyển dụng, gửi "lời mời phỏng vấn" có chứa tệp tin hoặc liên kết độc hại đến hộp thư hoặc tài khoản mạng xã hội của mục tiêu, nhằm lừa họ tải xuống và chạy mã độc.
Nếu mục tiêu là nhân viên bên trong các công ty tiền kỹ thuật số hoặc nhà phát triển cốt lõi, hoặc là "người dùng nặng" sở hữu lượng tiền kỹ thuật số lớn, hậu quả có thể nghiêm trọng như xâm nhập cơ sở hạ tầng công ty, đánh cắp private key, v.v.
Vụ việc an ninh Ronin của Axie Infinity vào năm 2022, theo báo cáo của The Block, liên quan đến một quảng cáo tuyển dụng giả. Nguồn tin cho biết, hacker đã liên hệ với một nhân viên của Sky Mavis (nhà phát triển Axie Infinity) thông qua LinkedIn, thông báo đã được tuyển dụng với mức lương cao. Sau đó, nhân viên này đã tải xuống thư nhận việc giả mạo dưới dạng tệp PDF, dẫn đến phần mềm độc hại xâm nhập vào hệ thống Ronin và kiểm soát 4 trong số 9 bộ xác thực, chỉ thiếu 1 bộ xác thực để hoàn toàn kiểm soát mạng Ronin, sau đó cũng kiểm soát được Axie DAO chưa thu hồi quyền hạn để hoàn thành cuộc tấn công.
Không gian không chính thức / Hoạt động tặng tiền giả
Trên các nền tảng như Twitter, Telegram, xuất hiện các hoạt động "chính thức" giả mạo, như "chỉ cần chuyển x coin đến địa chỉ này, sẽ nhận lại gấp đôi", đều là các trò lừa đảo.
Kẻ tấn công cũng thường sử dụng các cái tên như "airdrop danh sách trắng", "airdrop mạng thử nghiệm" để lừa người dùng nhấp vào các liên kết không rõ nguồn gốc hoặc kết nối ví giả mạo, từ đó đánh cắp private key hoặc được ủy quyền.
Vào năm 2020, các tài khoản Twitter của nhiều nhân vật nổi tiếng như Obama, Biden, Buffett, Bill Gates và nhiều doanh nghiệp nổi tiếng khác ở Mỹ bị hack, hacker đã đánh cắp mật khẩu, chiếm quyền kiểm soát tài khoản và đăng tin nhắn, dùng lời hứa hoàn trả gấp đôi tiền kỹ thuật số để lừa
Ví dụ trên chỉ là phần nổi của tảng băng, sự đa dạng và linh hoạt của kỹ thuật kỹ thuật xã hội khiến nó gây ra nhiều thiệt hại đáng kể trong lĩnh vực tiền điện tử. Đối với hầu hết người dùng thông thường, những cuộc tấn công này thường khó phòng ngừa.
Tham lam và sợ hãi
Tâm lý tham lam luôn là điểm yếu dễ bị lợi dụng nhất. Khi thị trường hoạt động sôi nổi, một số người do Hiệu ứng đoàn tàu, sẽ đổ xô vào các dự án bất ngờ nổi lên. Nỗi sợ hãi và cảm giác không chắc chắn cũng là lối mòn thường được kẻ lừa đảo lợi dụng. Khi thị trường tiền điện tử biến động mạnh hoặc dự án gặp vấn đề, những kẻ lừa đảo sẽ đăng "thông báo khẩn cấp", tuyên bố dự án đang ở trong tình trạng nguy hiểm cực độ, lôi kéo người dùng chuyển tiền ngay đến địa chỉ an toàn. Nhiều người mới bắt đầu do sợ mất mát, khó duy trì suy nghĩ tỉnh táo, thường dễ bị cuốn vào tâm lý hoảng loạn này.
Ngoài ra, tâm lý Hội chứng sợ bỏ lỡ (FOMO) cũng rất phổ biến trong hệ sinh thái tiền điện tử. Sợ bỏ lỡ chu kỳ tăng giá tiếp theo hoặc Bitcoin tiếp theo, khiến mọi người vội vã đầu tư và tham gia dự án, nhưng lại thiếu khả năng phân biệt rủi ro và tính xác thực cơ bản. Kẻ tấn công kỹ thuật xã hội chỉ cần tạo ra không khí cơ hội chỉ thoáng qua, một khi bỏ lỡ sẽ không còn cơ hội tăng gấp đôi, là đủ để một số nhà đầu tư tự đưa mình vào bẫy.
Nhận diện và phòng ngừa rủi ro
Lý do kỹ thuật xã hội khó phòng ngừa là vì nó nhắm vào các điểm mù nhận thức và điểm yếu tâm lý của con người. Với tư cách là nhà đầu tư, cần lưu ý các điểm then chốt sau:
Nâng cao ý thức an toàn
Không tùy tiện tiết lộ private key và cụm từ hạt giống. Trong bất kỳ trường hợp nào, cũng không nên tin tưởng người khác và tiết lộ private key, cụm từ hạt giống hoặc thông tin nhận dạng nhạy cảm của mình. Đội ngũ chính thức hầu như không bao giờ yêu cầu thông tin này qua trò chuyện riêng.
Cảnh giác với "lời hứa lợi nhuận không hợp lý". Bất kỳ hoạt động nào tuyên bố "rủi ro không có, lợi nhuận cao" hoặc "hoàn vốn nhiều lần" đều rất có thể là lừa đảo.
Xác minh liên kết và nguồn gốc
Sử dụng tiện ích mở rộng trình duyệt hoặc kênh chính thức để kiểm tra địa chỉ web. Đối với các trang web của sàn giao dịch tiền điện tử, ví hoặc ứng dụng phi tập trung (DApp), cần xác nhận lại tên miền có chính xác không.
Không nhấn vào các liên kết nguồn gốc không rõ ràng. Nếu họ tuyên bố là "phần thưởng airdrop" hoặc "bồi thường chính thức", cần kiểm tra ngay trên các phương tiện truyền thông xã hội chính thức hoặc kênh chính thức.
Chú trọng đến sàng lọc cộng đồng và truyền thông xã hội
Kiểm tra dấu hiệu xác thực của tài khoản chính thức, số lượng người theo dõi và lịch sử tương tác. Tránh mù quáng thêm vào các nhóm trò chuyện riêng lẻ, nhấn vào các liên kết không rõ nguồn gốc trong nhóm.
Đối với thông tin "bữa trưa miễn phí", cần giữ thái độ nghi ngờ, tìm hiểu kỹ và xác minh với những nhà đầu tư có kinh nghiệm hoặc kênh chính thức.
Xây dựng tâm lý đầu tư lành mạnh
Nhìn nhận khách quan diễn biến thị trường, tránh bị cuốn vào cảm xúc do biến động ngắn hạn.
Bất cứ lúc nào cũng phải chuẩn bị cho kịch bản xấu nhất, không được bỏ qua các rủi ro tiềm ẩn chỉ vì "sợ bỏ lỡ".
Tầm quan trọng vĩnh cửu của yếu tố con người
Bản chất con người là nền tảng để kỹ thuật xã hội liên tục thành công. Kẻ tấn công sẽ nhắm vào các đặc điểm như Hiệu ứng đoàn tàu, tham lam, sợ hãi, cảm giác không an toàn và Hội chứng sợ bỏ lỡ (FOMO) để thiết kế đủ loại trò lừa đảo.
Công nghệ blockchain và lĩnh vực tiền điện tử không ngừng cải tiến về mặt kỹ thuật và mô hình kinh doanh, kỹ thuật xã hội cũng sẽ tiến hóa theo. Sự phát triển của công nghệ giả lập sâu (Deepfake) có thể sẽ gây ra mối đe dọa lớn hơn trong tương lai gần, kẻ tấn công có thể giả mạo video và âm thanh của người quản lý dự án một cách chân thực, liên lạc trực tiếp với nạn nhân. Kỹ thuật xã hội đa chiều cũng sẽ được nâng cấp, kẻ tấn công có thể hoạt động trên nhiều nền tảng truyền thông xã hội, âm thầm thu thập thông tin trong thời gian dài, sau đó sử dụng các kỹ thuật điều khiển cảm xúc tinh vi để nhắm vào mục tiêu.
Sự tồn tại liên tục của kỹ thuật xã hội nhắc nhở chúng ta rằng, bất kể công nghệ tiến bộ đến đâu, yếu tố con người vẫn là thành phần cốt lõi của hệ thống. Loại bỏ hoàn toàn ảnh hưởng của kỹ thuật xã hội có thể là không thực tế, chỉ khi chú trọng cả mã nguồn và con người, chúng ta mới có thể xây dựng được hệ thống bền vững hơn.
