Được viết bởi Daii
Tóm lại
Blue Hook "Phó biên tập của CoinDesk" đã mời tôi ghi âm một podcast → Tôi gần như đã cài đặt Phishing → Tôi đã do dự trong 5 giây để cứu ví của mình.
Lỗ hổng 0 thực sự nằm ở bản chất con người: tôn thờ quyền lực + áp lực thời gian = lỗ hổng có thể tái sử dụng vô hạn; Hơn 40% tổn thất crypto toàn cầu là do tấn công khai thác tập lệnh.
Lằn phòng thủ tối thiểu = đếm ngược "5-4-3-2-1": dừng lại trong 5 giây, nêu 1 câu hỏi, kiểm tra nguồn lần- dù bạn có kỹ năng đến đâu, bạn cũng phải dựa vào giây phút này để tỉnh táo.
Hôm nay tôi định nói với các bạn về phần thứ ba của "Bộ ba phi phi tập trung", nhưng rất tiếc là phải hoãn lại. Bởi vì trong mấy ngày qua, tôi đã gặp phải một sự kiện lớn gần như thay đổi vận mệnh của tôi——
Tôi gần như đã bị lừa mà thậm chí còn không hề nhận ra điều đó.
Sáng sớm thứ sáu tuần trước, tôi bật máy tính như thường lệ. X (trước đây là Twitter) nhắc nhở tôi rằng tôi đã nhận được thông báo tin nhắn riêng tư. Khi tôi nhấp vào đó, danh tính của đối phương ngay lập tức thu hút tôi:
Ảnh đại diện trang trọng, có dấu tích màu xanh và ID là: Dionysios Markou, người tự nhận là phó tổng biên tập của CoinDesk.
Trong cuộc trò chuyện, anh ấy nói với tôi:
Tôi làm việc tại @CoinDesk và hiện tại chúng tôi muốn thực hiện sê-ri cuộc phỏng vấn với nhiều thành viên khác nhau của cộng đồng web3 về cộng đồng crypto ở Châu Á. Nếu bạn không phiền, chúng tôi xin mời bạn tham gia buổi phỏng vấn với tư cách là khách mời.
Chúng tôi dự định ghi âm một podcast và đăng lên trang web, Spotify và các nền tảng khác.
Tập này sẽ đi sâu vào các chủ đề như thị trường tương lai của Bitcoin/ ETH/ Solcoin, thị trường MEME , DeFi và các dự án web3 Châu Á.
Bạn vui lòng cho chúng tôi biết nếu bạn có thời gian nhé?
Nội dung súc tích và chuyên nghiệp, định dạng hoàn toàn phù hợp với các lời mời bên ngoài phổ biến trong giới truyền thông crypto. Một ý nghĩ chợt lóe lên trong đầu tôi: CoinDesk? Đây là một đơn vị truyền thông kỳ cựu trong ngành, tôi rất quen thuộc với đơn vị này.
Tôi đồng ý gần như không chút do dự. Đây không phải là kịch bản lý tưởng để tôi có thể trở thành người được phỏng vấn và nói về các dự án Bitcoin, Ethereum, Web3 và meme ?
Chúng tôi đã thống nhất sẽ kết nối trực tuyến vào thứ Hai tuần này (ngày 12 tháng 5) lúc 10 giờ tối.
Hãy chú ý hình ảnh ở trên. Người kia gửi cho tôi tin nhắn: "Khả năng nói tiếng Anh của bạn thế nào?" Câu này sẽ trở thành tiền đề quan trọng khiến tôi bị lừa dối.
Vào lúc 9:42 tối thứ Hai, người bên kia chào tôi tại X và đã sẵn sàng bắt đầu cuộc gọi video.
Tôi đề xuất sử dụng Teams, nhưng bên kia nói rằng Teams không có trí tuệ nhân tạo dịch thuật và đề xuất sử dụng LapeAI, công nghệ cho phép giao tiếp tiếng Trung-Anh không gặp rào cản. Họ cũng chụp ảnh màn hình để thông báo với tôi rằng mọi thứ đã sẵn sàng và gửi cho tôi số phòng cùng liên kết thư mời, như hiển thị ở trên.
Mặc dù tôi chưa sử dụng LapeAI nhưng lý do của bên kia cũng rất hợp lý. Để an toàn, tôi không nhấn liên kết do bên kia cung cấp mà trực tiếp vào Google để tìm kiếm LapeAI và tìm thấy trang web bên dưới.
Tôi đã bị sốc khi mở nó ra. Trình duyệt Chrome ngay lập tức báo động, cho biết đây là trang web Phishing.
Nhưng khi tôi xem kỹ tên miền thì tên miền họ đưa cho tôi là LapeAI.io, nhưng tên miền hiện ra khi tôi tìm kiếm trên Google lại là Lapeai.app. Các hậu tố khác nhau nên chúng là hai trang web khác nhau. Tôi trực tiếp nhập Lapeai.io vào thanh địa chỉ và quả nhiên không có cảnh báo nào xuất hiện, như hình bên dưới.
Mọi thứ có vẻ bình thường nên tôi đã đăng ký tài khoản và điền mã mời của bên kia. Lưu ý rằng LapeAI.app và LapeAI.io thực chất là cùng một trang web. Chỉ là tên miền .app đã được phát hiện nên họ đã đăng ký tên miền .io mới. Bạn sẽ hiểu nếu bạn đọc tiếp.
Sau khi nhấn nút Đồng bộ hóa ở hình trên, trang sau sẽ xuất hiện thay vì cửa sổ hộp thoại.
Hãy chú ý đến nội dung trong ô màu đỏ ở hình trên, mặc dù đối phương không yêu cầu tôi nhấn để tải App. Tuy nhiên, văn bản trên nêu rõ rằng bạn cần nhấn nút Đồng bộ hóa trên cả trang web và Ứng dụng.
Tại sao nên tải ứng dụng? Không có phiên bản web sao?
Mặc dù có chút do dự nhưng tôi vẫn tải nó xuống. Tuy nhiên, khi vào trang cài đặt bên dưới, tôi lại do dự.
Lý do khiến tôi do dự là vì ứng dụng này không được cài đặt trực tiếp mà phải chạy thông qua thiết bị đầu cuối, đây là điều tôi chưa từng gặp trước đây. Vì vậy, tôi dừng lại và muốn ChatGPT o3 giúp tôi xác định nó. Bạn sẽ không biết kết quả cho đến khi kiểm tra. Một khi bạn làm được điều đó, bạn sẽ bị sốc. Xem hình ảnh bên dưới.
Kiểm tra này thực sự khiến tôi nhận ra mình đang ở gần nguy hiểm đến mức nào.
Tên miền lapeAI.io được đăng ký vào ngày 9 tháng 5 năm 2025, chỉ ba ngày trước;
Thông tin chủ sở hữu của tên miền này được ẩn;
Thậm chí còn có một lỗi chính tả rõ ràng trong tiêu đề của trang: “Chuyển đổi hội nghị của bạn” (tiêu đề đúng phải là hội nghị). Xin lưu ý rằng đây là tiêu đề trang giống với trang web LapeAI.app đã bị đánh dấu là trang web Phishing.
Bất kỳ điểm nào trong 3 điểm trên cũng đủ để ngăn tôi cài đặt chương trình đáng ngờ đó.
1. Tôi chắc chắn tôi đã gặp phải một kẻ lừa đảo
Tôi nhận ra rằng đây không phải là lời mời phỏng vấn từ CoinDesk mà là một cuộc tấn công kỹ thuật xã hội được chuẩn bị cẩn thận.
Nhìn lại tài khoản X (Twitter), mặc dù có chứng nhận màu xanh lam, nhưng khi xem kỹ hơn sẽ thấy tài khoản này thực ra đã sử dụng tiếng Indonesia vào những ngày đầu (xem hình trên) và chỉ mới gần đây, tài khoản này đột nhiên đổi danh tính để trở thành biên tập viên truyền thông crypto của Thụy Điển. Hơn nữa, số lượng người hâm mộ này lại quá ít, chỉ có 774 người - hoàn toàn không phù hợp với hàng chục nghìn người hâm mộ của các biên tập viên CoinDesk thực sự.
Tôi nhận ra rằng đối phương không phải là phóng viên mà là kẻ nói dối. Nghĩ lại về quá trình giao tiếp, nó thực sự đáng sợ.
Từ phản hồi tin nhắn riêng tư ban đầu, xác nhận thời gian, đăng ký tài khoản, cho đến gần như nhấn để chạy gói cài đặt, bạn chỉ cách bị lừa một bước.
Đối phương biết tôi nói tiếng Trung nên chủ động nhắc đến dịch thuật AI; anh ấy biết rằng tôi đã viết về Web3 và đặc biệt nhấn mạnh rằng tập podcast này nói về Bitcoin, MEME và các dự án châu Á; anh ta chắc chắn biết sức ảnh hưởng của CoinDesk trong vòng tròn này - anh ta đã dùng nó như một mồi nhử.
Tôi sinh ra là để bị lừa dối.
Tôi bắt đầu nhận ra rằng đây không phải là một "trò lừa đảo ngẫu nhiên" mà là một cuộc tấn công kỹ thuật xã hội có chủ đích.
Nó không sử dụng bất kỳ kỹ thuật hacker nào, không viết một dòng mã nào và không gửi liên kết vi-rút. Nó xâm phạm đến lòng tin, ý thức về bản sắc nghề nghiệp và mong muốn được phỏng vấn của tôi.
Vào lúc đó, một từ xuất hiện trong đầu tôi - lỗ hổng 0 ngày.
2. Humanity 0-Day: Các lỗ hổng không bao giờ hết hạn, các cuộc tấn công luôn trực tuyến
Bạn có thể đã nghe đến thuật ngữ “lỗ hổng 0-Day” — nó đại diện cho mức độ đe dọa cao nhất trong lĩnh vực an ninh mạng.
"0-Day" ban đầu là một thuật ngữ hoàn toàn mang tính kỹ thuật. Lần đầu tiên nó xuất hiện trên các BBS ngầm vào những năm 1980 và 1990: hacker sử dụng "phần mềm zero-day" để chỉ "một chương trình hoàn toàn mới đã được phát hành chính thức trong 0 ngày, vẫn chưa được công bố và không ai có bản vá để áp dụng".
Bởi vì các nhà phát triển vẫn chưa biết lỗ hổng này tồn tại nên hacker có thể sử dụng nó để xâm nhập vào “ngày thứ 0”; sau đó, thuật ngữ này chỉ đơn giản phát triển thành “lỗ hổng zero-day” và “cuộc tấn công zero-day” vào nó. Các kết hợp phổ biến của 0-day là:
Lỗ hổng bảo mật 0 ngày: Nhà cung cấp hoàn toàn không biết về lỗ hổng này và vẫn chưa có bản vá.
Lỗ hổng 0 ngày: Mã tấn công được viết cho lỗ hổng bảo mật.
Tấn công ngày thứ 0: Hoạt động xâm nhập được thực hiện bằng cách khai thác lỗ hổng bảo mật.
Vì không có bản vá hay quy tắc nào để ngăn chặn chúng nên các cuộc tấn công zero-day luôn được coi là "mức độ đe dọa cao nhất".
Nhưng bạn có thể chưa bao giờ nghĩ rằng con người cũng có "lỗ hổng 0-Day".
Nó không ẩn trong một đoạn mã nào đó trên máy chủ mà ẩn sâu trong những phản ứng bản năng mà con người đã tiến hóa qua hàng ngàn năm. Bạn nghĩ rằng mình đang lướt Internet, làm việc và tìm kiếm thông tin, nhưng thực tế là bạn đã tiếp xúc với vô số lỗ hổng tâm lý được kích hoạt theo mặc định.
Ví dụ:
Khi bạn nhìn thấy tài khoản có dấu tích màu xanh, bạn có cho rằng đó là tài khoản “chính thức” không?
Bạn có cảm thấy lo lắng ngay khi nghe "số lượng có hạn" hoặc "sự kiện sắp kết thúc" không?
Khi bạn gặp phải tình trạng "đăng nhập tài khoản bất thường" hoặc "tài sản đóng băng", bạn không thể không nhấp chuột để kiểm tra?
Đây không phải là sự ngu ngốc hay sự cẩu thả, mà là cơ chế sinh tồn được con người tiến hóa. Nói chính xác hơn, đây chính là lỗ hổng bảo mật 0-Day của bản chất con người đã được những kẻ lừa đảo và hacker xác minh và tinh chỉnh nhiều lần.
2.1 Humanity 0-Day là gì?
Chúng ta có thể hiểu khái niệm này như sau:
Lỗi Human 0-Day đề cập đến những lỗ hổng tâm lý của con người có thể bị khai thác nhiều lần bởi các cuộc tấn công kỹ thuật xã hội nhưng không thể sửa chữa hoàn toàn bằng các biện pháp kỹ thuật.
Lỗ hổng bảo mật 0-Day ở cấp độ kỹ thuật có thể bị chặn chỉ bằng cách áp dụng bản vá. Nhưng bản chất ngày 0 của con người gần như không thể chữa khỏi. Nó được viết ra trong mong muốn của chúng ta về cảm giác an toàn, trong lòng tin tự nhiên của chúng ta vào thẩm quyền, và trong bản năng thôi thúc "tận dụng" và "không tụt hậu so với người khác".
Nó không đòi hỏi công nghệ hay mã phức tạp, chỉ cần một câu, một biểu tượng quen thuộc và một email "trông giống như thật". Nó không yêu cầu phải hack vào thiết bị của bạn; nó chỉ đòi hỏi phải bỏ qua bộ não của bạn — hay chính xác hơn là thời gian bạn dành để suy nghĩ.
Hơn nữa, nó không có cơ chế "cập nhật" và không có phần mềm diệt vi-rút nào có thể ngăn chặn nó. Bất kỳ ai trực tuyến đều có nguy cơ bị tấn công.
2.2 Ba đặc điểm của bản chất con người Ngày 0
Lý do khiến "Humanity 0-Day" trở nên đáng sợ như vậy là vì nó có ba đặc điểm cốt lõi vượt qua các lỗ hổng kỹ thuật.
Đầu tiên, nó vượt qua thời gian. Những cơ chế phản ứng tâm lý này gần như đã được ghi vào gen tiến hóa của con người. Vào thời đại ăn thịt sống và uống máu, phản ứng sợ hãi theo bản năng của chúng ta (như nhìn thấy lửa hoặc rắn) là cần thiết để sinh tồn; sự tuân thủ tuyệt đối đối với "thủ lĩnh" của bộ lạc là nền tảng của sự gắn kết nhóm. Hàng ngàn năm sau, những cơ chế này vẫn nằm trong vòng lặp ra quyết định của bạn và tôi.
Thứ hai, nó vượt qua ranh giới văn hóa. Không quan trọng bạn đến từ quốc gia nào, bạn đã theo học ngành gì hay có bối cảnh kỹ thuật hay không. Nhóm hacker Lazarus nổi tiếng của Triều Tiên có thể sử dụng tiếng Anh để dụ dỗ nhân viên Bybit , lừa đảo những người đào tẩu Triều Tiên bằng tiếng Hàn và lừa các KOL crypto trên Telegram bằng tiếng Trung. Ngôn ngữ có thể dịch được, nhưng bản chất con người thì không cần phải dịch.
Cuối cùng, nó có thể được tái sử dụng theo từng đợt. Có thể bạn vẫn đang thắc mắc liệu mình có đang bị “nhắm mục tiêu” hay không. Trên thực tế, kẻ tấn công không còn cần phải "nhắm mục tiêu" vào bất kỳ ai nữa. Một kịch bản hoặc một đoạn hội thoại có thể được gửi đến hàng chục ngàn người bằng cách sao chép và dán. Tại các công viên lừa đảo ở Campuchia và miền bắc Myanmar, những kẻ lừa đảo có thể "bắt đầu làm việc" sau 8 giờ "đào tạo nói", với "giá trị sản phẩm" lên tới hàng triệu đô la mỗi tháng - gần như không mất phí và tỷ lệ thành công vượt xa các email Phishing truyền thống.
Đây không phải là kẽ hở, đây là một ngành công nghiệp.
2.3 Bộ não của bạn đang chạy một "giao diện xã hội" được mở theo mặc định
Nếu chúng ta so sánh bộ não con người với một hệ điều hành, thì nhiều phản ứng suy nghĩ của con người thực chất là một tập hợp các API luôn chạy - các chức năng giao diện tâm lý.
Các API này không có mã và không thể tắt được. Miễn là bạn còn là con người, bạn sẽ mặc định là cởi mở. Ví dụ:
Gửi tin nhắn riêng tư đến một tài khoản được đánh dấu xanh có thể kích hoạt cơ chế tin cậy của bạn trong "quyền hạn";
Việc sử dụng "có thể có những hoạt động bất thường trong tài khoản của bạn" làm câu mở đầu có thể gây ra phản ứng sợ hãi của bạn đối với rủi ro tài sản ;
Thêm một câu như "300.000 người đã tham gia" và bạn sẽ cảm thấy "Tôi không thể bỏ lỡ";
Nếu bạn được thông báo "thời gian có hạn, chỉ còn 20 phút", khả năng phán đoán lý trí của bạn sẽ bị hạn chế đến mức tối đa.
Trong suốt quá trình, họ không cần phải kìm hãm bạn, dọa bạn hay thậm chí nói dối bạn. Tất cả những gì họ phải làm là đưa ra một kịch bản phù hợp với kỳ vọng của bạn và họ sẽ yêu cầu bạn nhấp vào liên kết, đăng ký trên nền tảng và tự tải ứng dụng xuống - giống như mọi bước tôi đã thực hiện trong trải nghiệm bị lừa đảo, tất cả đều tự nguyện và chủ động.
Vậy thì điều thực sự đáng sợ là:
Bạn nghĩ rằng bạn đang "vận hành phần mềm", nhưng thực tế bạn mới là người được "chương trình" gọi đến.
Đây không còn là trò " Phishing" của kẻ lừa đảo nữa mà là mạng lưới Phishing theo hình thức dịch vụ bao gồm toàn bộ nhà máy sản xuất tập lệnh, hệ thống dịch vụ khách hàng và quy trình rửa tiền.
Không có lỗ hổng "có thể sửa được" nào trong loại tấn công này, chỉ có bản chất con người "có thể khai thác mãi mãi".
3. Đây không phải là cuộc khủng hoảng chỉ dành cho bạn mà là cuộc chiến nhận thức toàn cầu
Sau khi hiểu được khái niệm "Ngày 0 của nhân loại", tôi nhận ra sâu sắc rằng mình không phải là trường hợp cá biệt hay đặc biệt.
Tôi chỉ là một quân cờ trong cuộc tấn công tâm lý toàn cầu được nhắm mục tiêu chính xác này - giống như hàng triệu người bình thường khác, tôi đang bị thao túng hàng loạt bằng cùng một "kịch bản kỹ thuật xã hội".
Vũ khí của hacker không còn là bàn phím và mã nữa mà là "thiết kế kịch bản, ngụy trang thẩm quyền và kịch bản tin cậy"; và toàn bộ hệ sinh thái tấn công từ lâu đã phát triển từ "tội phạm cá nhân" thành mô hình công nghiệp hóa "nhà máy nội dung + dây chuyền lắp ráp kịch bản".
3.1 “Hố đen” của tài sản crypto : 43% tổn thất không phải do hack mà do gian lận
Theo "Báo cáo về tội phạm tiền điện tử năm 2025" do Chainalysis công bố: Vào năm 2024, tổn thất trực tiếp trên toàn cầu do trộm cắp tài sản crypto sẽ lên tới 2,2 tỷ đô la Mỹ và rò rỉ private key(thường do Phishing, kỹ thuật xã hội, v.v.) chiếm tỷ lệ 43,8%, tương đương khoảng 960 triệu đô la Mỹ.
Điều này có nghĩa là cứ mỗi 5 đô la thì có gần 2 đô la bị mất không phải do lỗ hổng kỹ thuật hoặc tập lệnh tấn công, mà là do bản chất con người bị thao túng một cách chính xác và người dùng tự nguyện "giao nộp chìa khóa".
Các cuộc tấn công này không xâm nhập vào ví, phá vỡ hợp đồng hoặc chiếm đoạt nút. Họ chỉ cần gửi một email, một tin nhắn riêng, một danh tính giả và một "bài phát biểu thuyết phục được thiết kế riêng".
Sự mất mát thường xảy ra ngay khi bạn nhấp vào liên kết hoặc nhập Cụm từ hạt giống.
Đây không phải là sự sụp đổ của hệ thống, nhưng mỗi chúng ta, dưới chế độ nhận thức "niềm tin mặc định", đã liên lần mở cửa sau.
3.2 Hacker Script Factory: Vụ trộm nhận thức trị giá 1,3 tỷ đô la của Lazarus Group
Nếu bạn nghĩ những cuộc tấn công này là ngẫu nhiên và không có hệ thống, thì bạn cần phải tìm hiểu về đội ngũ kỹ thuật xã hội "chuyên nghiệp nhất" thế giới - Lazarus Group, đến từ Triều Tiên, được hỗ trợ cấp nhà nước và hoạt động trên toàn cầu.
Theo dữ liệu được theo dõi bởi một số công ty bảo mật:
Vào năm 2024, Lazarus đã thực hiện hơn 20 cuộc tấn công kỹ thuật xã hội lớn;
Mục tiêu tấn công bao gồm: Bybit, Stake, Atomic Wallet và các nền tảng crypto chính thống khác;
Các phương thức phạm tội bao gồm: tuyển dụng giả (sơ yếu lý lịch + phần mềm phỏng vấn), ngụy trang là nhà cung cấp, email hợp tác, lời mời tham gia podcast, v.v.;
Tổng tài sản bị đánh cắp hàng năm vượt quá 1,34 tỷ đô la, chiếm gần 61% tổng số các cuộc tấn công crypto toàn cầu.
Điều thậm chí còn gây sốc hơn là các cuộc tấn công này hầu như không khai thác bất kỳ lỗ hổng nào ở cấp độ hệ thống và hoàn toàn dựa vào "kịch bản + đóng gói + Phishing tâm lý".
Bạn không phải là mục tiêu kỹ thuật của họ mà là giao diện nhận thức của họ.
Họ nghiên cứu ngôn ngữ, thói quen và thông tin nhận dạng của bạn; chúng bắt chước các công ty, bạn bè và nền tảng mà bạn quen thuộc; họ không phải là hacker, mà giống một đội ngũ chuyên thao túng tâm lý hơn.
3.3 Hacker không tấn công ví, nhưng chiếm lấy “hệ thống tin cậy” của não bạn
Chúng ta hãy khôi phục lại bức tranh cốt lõi của toàn bộ tình hình:
Về cơ bản, tất cả những điều này không phải là thảm họa ở cấp độ hệ thống, mà là sự sụp đổ lòng tin mặc định ở cấp độ người dùng.
Kẻ tấn công không bẻ khóa được mật khẩu ví của bạn, nhưng chúng đã vượt qua được vài giây do dự trong hệ thống nhận thức của bạn.
Không phải vi-rút giết chết bạn, mà chính là bạn, trong một kịch bản được chuẩn bị kỹ lưỡng, từng bước tiến tới nút "xác nhận" sai.
Có thể bạn đang nghĩ: "Tôi không phải là nhân viên sàn giao dịch, tôi không phải là KOL và tôi cũng không có nhiều tiền trong ví, nên không ai theo dõi tôi phải không?"
Nhưng thực tế là:
Cuộc tấn công không còn "được thiết kế riêng cho bạn" nữa mà "miễn là bạn phù hợp với khuôn mẫu, kịch bản sẽ đánh trúng bạn một cách chính xác".
Bạn đã công khai địa chỉ của mình chưa? Họ đến để "giới thiệu công cụ";
Bạn đã nộp hồ sơ chưa? Họ chỉ đến và "gửi liên kết phỏng vấn";
Bạn đã viết bài viết chưa? Họ đến để “mời hợp tác”;
Bạn đã nói trong nhóm rằng ví của bạn bị lỗi phải không? Họ đến ngay để "hỗ trợ sửa chữa".
Họ không xem xét bạn có tiền hay không mà xem bạn có nhập điều kiện kích hoạt tập lệnh hay không.
Bạn không phải là trường hợp đặc biệt, bạn chỉ tình cờ "kích hoạt hệ thống phân phối tự động".
Bạn không ngây thơ, bạn chỉ chưa nhận ra rằng bản chất con người chính là chiến trường trung tâm nhất của thời đại này.
Tiếp theo, tôi sẽ giải thích vũ khí chiến thuật quan trọng nhất trong cuộc chiến này—chính là kịch bản tấn công. Bạn sẽ thấy chúng được hoàn thiện từng bước một, mỗi bước đều hướng đến "hệ điều hành mặc định" sâu thẳm trong trái tim bạn.
4. Tấn công theo kịch bản: gọi "API của con người" của bạn từng bước
Trong 99% các cuộc tấn công kỹ thuật xã hội, không phải là do bạn vô tình nhấp nhầm nút, mà là do bạn được "hướng dẫn nhấp đúng nút" từng bước.
Điều này có vẻ như là một điều viển vông, nhưng thực tế là -
Trong khi bạn nghĩ rằng mình "chỉ trả lời tin nhắn" hoặc "chỉ đăng ký trên nền tảng nào đó", thì thực ra bạn đã rơi vào kịch bản tâm lý được đối phương dàn dựng kỹ lưỡng. Mỗi bước đi không bị điều khiển bằng vũ lực mà được thiết kế khéo léo để khiến bạn tự nguyện bước đi đến chỗ bị tấn công.
4.1 Quá trình tấn công là một Chuỗi thao túng nhận thức
Đừng nghĩ rằng bạn đã bị “lừa” vì đã nhấp vào liên kết hoặc tải xuống ứng dụng. Một cuộc tấn công kỹ thuật xã hội thực sự không bao giờ là vấn đề hành động mà là vấn đề quá trình tâm lý.
Mỗi nhấn, mỗi lần nhập liệu và mỗi lần xác nhận thực chất là bên kia đang thực hiện "phím tắt hành vi" đã được ghi sẵn trong não bạn.
Hãy cùng khôi phục lại năm kịch bản tấn công phổ biến nhất hacker:
[Bước 1] Chuẩn bị bối cảnh
Đầu tiên, hacker sẽ thiết kế một kịch bản mà bạn "sẵn sàng tin".
Bạn có phải là người làm trong ngành truyền thông không? Họ tự nhận là biên tập viên của CoinDesk và mời bạn đến phỏng vấn;
Bạn có làm việc trong lĩnh vực kinh doanh không? Họ nói rằng bạn đã được chọn để "kiểm tra nâng cao";
Bạn có phải là nhà phát triển Web3 không? Họ giả vờ là bên thực hiện dự án và mời chúng tôi hợp tác;
Bạn có phải là người dùng thường xuyên không? Họ dọa bạn bằng những từ "bất thường về tài khoản" hoặc "đóng băng giao dịch".
Những cảnh này không hề cứng nhắc mà rất phù hợp với bản sắc, nhân vật và nhu cầu hàng ngày của bạn. Cho phép bạn đắm mình một cách tự nhiên mà không cần suy nghĩ. Đây là cái móc và cái neo.
▶ Trường hợp một nhà báo bị lừa đảo mà tôi đã từng phân tích sâu là một ví dụ điển hình. Anh ấy chỉ yêu cầu sự trợ giúp từ bộ phận chăm sóc khách hàng của Ledger trên Twitter, nhưng thông điệp "hợp lý" đó đã trở thành điểm khởi đầu cho hacker nhắm mục tiêu chính xác vào anh ấy.
【Bước 2】Khung thẩm quyền
Một khi đã có lối vào, chúng ta cũng cần xây dựng lòng tin.
Kẻ tấn công sẽ sử dụng các biểu tượng trực quan mà bạn quen thuộc - dấu tích màu xanh, logo thương hiệu, giọng điệu chính thức.
Họ thậm chí sẽ sao chép tên miền chính thức (ví dụ, thay thế coindesk.com bằng coindesk.press) và thêm các chủ đề podcast xác thực, ảnh chụp màn hình hoặc mẫu để làm cho toàn bộ cốt truyện trông "giống hệt như thật".
▶ Trong trường hợp của tôi, bên kia đã viết về vị thế của CoinDesk trong hồ sơ và các chủ đề bao gồm Web3, MEME và thị trường Châu Á - hoàn toàn đúng với tâm lý của tôi với tư cách là người sáng tạo nội dung.
Mẹo này là kích hoạt hàm "trust_authority()" trong đầu bạn - bạn nghĩ rằng mình đang đánh giá thông tin, nhưng thực tế là bạn chỉ tin tưởng vào thẩm quyền theo mặc định.
【Bước 3】Áp lực thời gian (Sự khan hiếm và cấp bách)
Trước khi bạn kịp bình tĩnh lại hoàn toàn, đối phương đã lập tức tăng tốc độ.
"Cuộc họp sẽ sớm bắt đầu."
"Liên kết sẽ sớm hết hạn"
"Tài khoản sẽ đóng băng nếu không được xử lý trong vòng 24 giờ"
——Cách diễn đạt như vậy chỉ có một mục đích duy nhất: không cho bạn có thời gian xác minh và buộc bạn phải làm theo những gì nó nói.
▶ Trong trường hợp kinh điển là Lazarus hack vào Bybit , chúng cố tình chọn cách gửi "tài liệu phỏng vấn" thông qua LinkedIn trước khi nhân viên tan làm, tạo ra áp lực tâm lý kép là "vội vã thời gian + cám dỗ cao độ" và đánh chính xác vào điểm yếu của đối thủ.
【Bước 4】Bước hành động
Bước này rất quan trọng. Hacker sẽ không yêu cầu tất cả các quyền cùng một lúc mà sẽ hướng dẫn bạn thực hiện từng bước hành động chính:
Nhấn liên kết → Đăng ký tài khoản → Cài đặt ứng dụng máy trạm → Cho phép truy cập → Nhập Cụm từ hạt giống.
Mỗi bước dường như là "hoạt động bình thường", nhưng đây chính là thiết kế nhịp điệu của kịch bản.
▶ Theo kinh nghiệm của tôi, đối phương không trực tiếp gửi gói nén mà dùng phương pháp "đăng ký mã mời + cài đặt đồng bộ" để phân tán sự cảnh giác vào nhiều liên kết, khiến bạn có ảo tưởng "sẽ không có vấn đề gì" ở mọi bước.
【Bước 5】Ủy quyền khóa (Trích xuất)
Khi bạn nhận ra có điều gì đó không ổn thì thường đã quá muộn.
Ở giai đoạn này, kẻ tấn công sẽ lừa bạn nhập Cụm từ hạt giống hoặc private key, hoặc âm thầm lấy được phiên làm việc, cookie hoặc tệp bộ nhớ đệm ví của bạn thông qua phần mềm gián điệp.
Sau khi hoàn tất hoạt động, họ sẽ chuyển giao tài sản ngay lập tức và hoàn tất các quy trình pha trộn, rút và rửa tiền trong thời gian ngắn nhất có thể.
▶ Trong vụ trộm 1,5 tỷ đô la của Bybit , toàn bộ quá trình xin phép, chia nhỏ giao dịch và trộn coin đều được hoàn thành trong thời gian rất ngắn, gần như không có cơ hội phục hồi.
4.2 Tại sao quá trình này hầu như không bao giờ thất bại?
Điều quan trọng là: nó không phá hủy hệ thống kỹ thuật của bạn, nhưng khiến bạn chủ động "ngắt kết nối" hệ thống phòng thủ của mình.
Từ bước đầu tiên "Bạn là ai", đến bước thứ hai "Bạn tin ai", đến bước thứ ba "Bạn không có thời gian để suy nghĩ", đến bước cuối cùng "Bạn tự nhấn nút thực hiện" - quá trình này không hề bạo lực mà chính xác ở mọi cấp độ, và mỗi bước đều hướng đến một "lò phản ứng tự động" trong tâm trí bạn.
Trong tâm lý học, trạng thái này được gọi là Tư duy nhanh. Điều này có nghĩa là khi một người lo lắng, phấn khích hoặc trong trạng thái cấp bách, não sẽ bỏ qua quá trình phân tích logic và đưa ra quyết định trực tiếp dựa trên tâm lý và kinh nghiệm. Nếu bạn muốn hiểu các nguyên tắc và cơ chế đằng sau điều này, tôi khuyên bạn nên đọc cuốn sách "Tư duy nhanh và chậm".
Hacker giỏi nhất là tạo ra một hoàn cảnh giúp bạn suy nghĩ nhanh.
Vì vậy hãy nhớ câu quan trọng nhất này:
Các cuộc tấn công kỹ thuật xã hội không phá vỡ được hàng phòng thủ của bạn mà chỉ mời bạn "chủ động mở cửa" từng bước.
Nó không phá vỡ thuật toán crypto blockchain của bạn, nhưng nó đã vượt qua hoàn toàn "tường lửa cấp người dùng" quan trọng nhất - chính là bạn.
Vậy, nếu "Ngày 0 của nhân loại" không thể sửa chữa được bằng công nghệ, liệu vẫn còn thói quen, một quy tắc sắt đá nào đó cho phép bạn nhấn nút tạm dừng trước khi kịch bản được kích hoạt không?
Câu trả lời là: Có.
Nó được gọi là "quy tắc 5 giây".
5. Quy tắc 5 giây: phương án hành động tối thiểu để phá vỡ ngày 0 của bản chất con người
Chúng ta có thể thấy rõ điều đó ở đây:
Mục tiêu của các cuộc tấn công kỹ thuật xã hội không bao giờ là ví tiền hay điện thoại di động của bạn - mục tiêu thực sự của nó là hệ thống phản ứng não của bạn.
Đây không phải là một cuộc tấn công dữ dội dùng búa đập tan hàng phòng thủ, mà là một trò chơi thao túng nhận thức bằng cách hội chứng ếch luộc: một tin nhắn riêng tư, một liên kết, một cuộc trò chuyện có vẻ chuyên nghiệp, dẫn bạn "tự nguyện" bước vào bẫy từng bước một.
Vậy, nếu kẻ tấn công đang "điều chỉnh chương trình của bạn", làm thế nào để bạn có thể ngắt quãng quá trình tự động này?
Câu trả lời thực ra rất đơn giản, bạn chỉ cần làm một điều:
Bất cứ khi nào ai đó yêu cầu bạn nhập Cụm từ hạt giống, nhấn liên kết, tải xuống phần mềm hoặc tuyên bố mình là người có thẩm quyền - bạn phải dừng lại và đếm đến 5 giây.
Quy tắc này nghe có vẻ tầm thường, nhưng khi thực hiện thì:
"Miếng vá nhân đạo" có chi phí tối thiểu và lợi nhuận cao nhất.
5.1 Dù phòng thủ kỹ thuật có mạnh đến đâu cũng không thể ngăn cản đôi tay nhanh nhẹn của bạn
Bạn có thể hỏi: "Tôi không phải là người mới. Tôi cũng sử dụng ví lạnh, đa chữ ký và xác thực hai yếu tố. Tại sao tôi vẫn cần 'quy tắc 5 giây'?"
Thật vậy, thế giới Web3 ngày nay đã xây dựng được một bộ công nghệ bảo mật tiên tiến hoàn chỉnh:
Đăng nhập vào tài khoản của bạn bằng Passkey;
Ký giao dịch ngoại tuyến bằng Ledger hoặc Trezor;
Mở các liên kết đáng ngờ bằng hộp cát Chrome;
Xác minh từng gói cài đặt bằng macOS Gatekeeper;
Sử dụng hệ thống SIEM để theo dõi hành vi kết nối thiết bị.
Những công cụ này rất mạnh mẽ, nhưng vấn đề lớn nhất là: bạn thường không có thời gian để sử dụng chúng.
Bạn có kiểm tra chữ ký khi tải ứng dụng xuống không?
Bạn đã kiểm tra chính tả tên miền trước khi nhập Cụm từ hạt giống chưa?
Khi bạn nhấp vào tin nhắn riêng "Hệ thống bất thường, vui lòng sửa chữa", bạn đã bao giờ nghĩ đến việc kiểm tra lịch sử tài khoản trước chưa?
Hầu hết mọi người không phải không có khả năng phòng thủ, mà chỉ đơn giản là không có thời gian để kích hoạt khả năng phòng thủ.
Đó là lý do tại sao chúng ta cần “quy tắc 5 giây”. Nó không chống lại công nghệ, nhưng nó giúp kéo dài thời gian cho công nghệ.
Nó sẽ không giết kẻ thù thay bạn, nhưng nó có thể gọi bạn trở lại trước khi bạn "buông tay".
Hãy để bạn suy nghĩ một chút: "Liên kết này có đáng tin cậy không?"
Kiểm tra: "Ai đã gửi cái này?"
Tạm dừng: “Tại sao tôi phải vội vàng?”
5 giây ngắn ngủi này là thời gian cần thiết để hệ thống nhận thức của bạn ra mắt và cũng là điều kiện tiên quyết để mọi biện pháp phòng thủ kỹ thuật của bạn có hiệu lực.
5.2 Logic khoa học hành vi đằng sau “quy tắc 5 giây”
Tại sao lại là 5 giây mà không phải 3 giây hoặc 10 giây?
Điều này xuất phát từ bằng chứng thực nghiệm và lời giải thích về khoa học thần kinh được nhà văn hành vi Mel Robbins trình bày trong cuốn sách The 5 Second Rule và bài nói chuyện TEDx.
Robbins phát hiện ra rằng:
Khi bạn đếm ngược 5-4-3-2-1 trong vòng 5 giây đầu tiên khi có nhu cầu hành động và thực hiện ngay bước đầu tiên, vỏ não trước trán sẽ bị kích hoạt mạnh mẽ, do đó "chiếm giữ" các mạch trì hoãn và thoát khỏi của não bộ tâm lý, cho phép tư duy lý trí tạm thời tiếp quản việc ra quyết định.
Đếm ngược về cơ bản là một quá trình siêu nhận thức (“khởi đầu siêu nhận thức”):
Ngắt quán tính - đếm ngược vài giây tương đương với việc nhấn "nút tạm dừng" cho não, ngắt quãng sự trì hoãn tự động hoặc hành vi bốc đồng;
Kích hoạt lý trí - Đếm ngược buộc bạn phải tập trung vào hiện tại, đánh thức vỏ não trước trán và đưa bạn vào chế độ "suy nghĩ chậm";
Kích hoạt hành động nhỏ - Di chuyển hoặc nói điều gì đó ngay khi thời gian đếm ngược kết thúc. Bộ não sẽ coi bước này là việc đã rồi và sức đề kháng đối với các hành động tiếp theo sẽ giảm mạnh.
Các thí nghiệm tâm lý đã chỉ ra rằng chỉ với kỹ thuật đơn giản này, tỷ lệ thành công của các đối tượng trong việc tự chủ, vượt qua sự trì hoãn và các tình huống lo lắng xã hội đã tăng lên đáng kể; Trường hợp của Robbins và hàng triệu độc giả đã nhiều lần xác nhận điều này.
Việc đếm ngược 5 giây không phải để bạn phải chờ đợi mà là để lý trí của bạn "đi đúng hướng".
Trong các vụ lừa đảo kỹ thuật xã hội, 5 giây này đủ để bạn chuyển từ "tự động nhấp" sang "hỏi và xác minh", qua đó phá vỡ áp lực thời gian của kịch bản từ phía đối phương.
Do đó, "quy tắc 5 giây" không phải là siêu hình học, mà là "phanh khẩn cấp nhận thức" được hỗ trợ bởi nghiên cứu về khoa học thần kinh và siêu nhận thức.
Chi phí gần như bằng không, nhưng có thể đưa tất cả các phương tiện kỹ thuật tiếp theo (xác thực hai yếu tố, ví lạnh, hộp cát trình duyệt, v.v.) lên hàng đầu tại lối vào hành vi quan trọng nhất.
5.3 Các tình huống rủi ro cao: Dừng lại trong cả ba tình huống mà không do dự
Tôi đã tóm tắt các tình huống xảy ra hơn 80% các cuộc tấn công kỹ thuật xã hội. Nếu bạn gặp phải bất kỳ tình huống nào sau đây trong cuộc sống thực, hãy ngay lập tức áp dụng quy tắc 5 giây:
Tình huống 1: “Bạn có vấn đề với ví của mình, hãy để tôi sửa giúp bạn”
Bạn yêu cầu trợ giúp trên một nền tảng xã hội và vài phút sau, một tài khoản có dấu tích xanh tự nhận là "dịch vụ khách hàng chính thức" gửi cho bạn một tin nhắn riêng và vui lòng đính kèm "liên kết sửa chữa" hoặc "công cụ đồng bộ hóa".
Dừng lại: không trả lời, không nhấp chuột.
Hãy nghĩ về điều này: Lịch sử của tài khoản này là gì? Hình đại diện đã được thay đổi chưa?
Hãy kiểm tra: Truy cập trang web chính thức để kiểm tra các kênh dịch vụ khách hàng hoặc tìm kiếm tên miền này trên Google.
Nhiều vụ lừa đảo bắt đầu bằng "sự trợ giúp tức thời" này. Bạn nghĩ rằng đối phương đang giúp bạn lúc cần, nhưng thực ra đó chỉ là một kịch bản được thiết lập sẵn.
Cảnh 2: "Xin chúc mừng bạn đã được chọn vào vòng kiểm tra/phỏng vấn/phỏng vấn nội bộ"
Bạn nhận được email mời được định dạng đầy đủ từ một người có vẻ là một nhân vật quan trọng trong ngành. Giọng điệu trang trọng và có đính kèm liên kết tải xuống phần mềm hoặc PDF.
Dừng lại: Đừng nhấp vào tệp vội vàng, hãy kiểm tra tên miền của người gửi trước.
Hãy nghĩ xem: Coinbase có thực sự sử dụng tệp đính kèm zip không? Tại sao CoinDesk phải sử dụng LapeAI?
Hãy xem: Trang web này được đăng ký khi nào? Có lỗi chính tả không?
▶ Trường hợp của tôi là một ví dụ điển hình cho tình huống này. Đối phương không dùng thủ đoạn gian lận kém chất lượng mà là ngụy trang tinh vi. Anh ta không đến đây để lừa tiền ăn của bạn, mà là để lấy cắp ví của bạn.
Tình huống 3: "Tài khoản đăng nhập của bạn không bình thường, vui lòng xác minh danh tính của bạn"
Đây là loại lừa đảo phổ biến nhất. Nó bao gồm một "email cảnh báo" hoặc tin nhắn văn bản có tiêu đề giật gân, đính kèm liên kết khẩn cấp và giọng điệu đe dọa ám chỉ "nếu không xử lý, tài khoản của bạn sẽ bị đóng băng".
Dừng lại: Không nhấp vào liên kết SMS, hãy mở trực tiếp trang web chính thức để đăng nhập và xác minh.
Hãy nghĩ xem: Thông báo chính thức có khẩn cấp đến vậy không? Giọng điệu này có giống như một bản mẫu không?
Kiểm tra: Địa chỉ email của người gửi có kết thúc bằng google.com hay g00gle.co không?
Những tình huống như thế này sẽ tác động đến nỗi sợ hãi và ý thức trách nhiệm của bạn, và một khi bạn nhấn, hậu quả sẽ đến ngay lập tức.
5.4 Tại sao quy tắc sắt này lại áp dụng cho tất cả mọi người?
Bạn không cần phải là một thợ hacker, bạn không cần phải học chữ ký lạnh và ví lạnh, và bạn không cần phải cài đặt một loạt các trình chặn và plug-in. Bạn chỉ cần:
Đếm ngược 5 giây
Hãy tự hỏi mình một câu hỏi
Kiểm tra nguồn (Google / tên miền/ bản ghi tweet)
Đây là “miếng dán hành vi” mà bạn dán vào “Ngày 0 của nhân loại”.
Quy tắc sắt đá này không có ngưỡng, không tốn kém và không phụ thuộc vào sự cập nhật công nghệ. Điều duy nhất phụ thuộc vào việc liệu bạn có sẵn lòng dừng lại và suy nghĩ tại nút quan trọng hay không.
Đây là "tường lửa của con người" đơn giản nhất, thiết thực nhất và phổ biến nhất để phá vỡ các cuộc tấn công bằng tập lệnh.
Kết luận: Hãy cẩn thận trong 5 giây, bạn sẽ được tự do trọn đời
Lúc đầu, tôi chỉ muốn ghi lại trải nghiệm "suýt bị lừa".
Khi tôi nhìn thấy trang web lừa đảo được sao chép, cùng tiêu đề trang web viết sai chính tả và tên miền Phishing vừa được đăng ký cách đây ba ngày... Tôi nhận ra rằng:
Đây không phải là sự đánh giá sai lầm của một cá nhân, mà là toàn bộ dây chuyền lắp ráp kịch bản đang thu thập lòng tin theo từng đợt trên toàn thế giới.
Nó không dựa vào các đòn tấn công kỹ thuật mà dựa vào sự do dự khi bạn "nhấp chuột".
Bạn nghĩ rằng ví lạnh của mình là bất khả chiến bại, nhưng cuối cùng bạn lại tự tay trao đi Cụm từ hạt giống; bạn nghĩ rằng dấu kiểm màu xanh là đáng tin cậy, nhưng hóa ra đó chỉ là một sự ngụy trang với giá 8 đô la; bạn nghĩ mình không quan trọng, nhưng bạn tình cờ rơi vào kịch bản của họ.
Các cuộc tấn công kỹ thuật xã hội không đột nhập vào hệ thống mà sẽ từng bước chiếm đoạt nhận thức của bạn.
Bạn không cần phải thành thạo chữ ký lạnh hoặc nghiên cứu về ủy quyền địa chỉ, bạn chỉ cần một thói quen nhỏ:
Vào những thời điểm quan trọng, hãy ép bản thân dừng lại trong 5 giây.
Hãy xem thử tài khoản này, liên kết này và lý do này có đáng tin cậy không.
5 giây này không hề chậm mà rất tỉnh táo; họ không hề nghi ngờ mà rất nghiêm trang.
Khi nhận thức trở thành chiến trường, mỗi nhấn của bạn đều là một phiếu bầu.
Hãy cẩn thận trong 5 giây và bạn sẽ được tự do trọn đời.
Tôi hy vọng bạn không phải là nạn nhân tiếp theo và tôi hy vọng bạn sẽ chuyển tiếp tin nhắn này đến người tiếp theo, những người có thể không có thời gian để do dự.
