Có "bóng ma" nào ở Coinbase không? Đằng sau vụ lừa đảo 300 triệu đô la, dữ liệu người dùng đã bị rò rỉ chính xác

Tiêu đề gốc: "Người dùng Coinbase thường xuyên bị lừa đảo có chủ đích, mất 300 triệu đô la trong một năm. Có "người trong cuộc" nào đứng sau rò rỉ thông tin không? 》

Tác giả gốc: Fairy, ChainCatcher

"Xin chào, đây là nhóm bảo mật Coinbase, chúng tôi phát hiện thấy có sự đăng nhập bất thường vào tài khoản của bạn..."

Giọng nói ở đầu dây bên kia rất chuyên nghiệp và khẩn cấp, thậm chí có thể báo cáo chính xác tên, địa chỉ email đã đăng ký và hồ sơ giao dịch gần đây của bạn. Bạn sẽ chọn cúp máy ngay lập tức hay làm theo hướng dẫn của "dịch vụ khách hàng" và chuyển tiền từng bước vào cái gọi là "ví an toàn"?

Gần đây, rất nhiều người dùng Coinbase đã bị lừa đảo liên tiếp và số tiền mất mát là rất lớn. Chỉ riêng trong tháng 3, hơn 46 triệu đô la đã bị đánh cắp và người dùng Coinbase mất tới 300 triệu đô la mỗi năm do kỹ thuật xã hội lừa đảo.

Tuy nhiên, những tin tặc này nhắm mục tiêu chính xác như thế nào? Tại sao họ có thể lấy được thông tin cá nhân của người dùng? Cuộc khủng hoảng an ninh này có thể nghiêm trọng hơn người ta tưởng.

Gian lận tràn lan và các cuộc tấn công lừa đảo đang được công nghiệp hóa

Vào ngày 28 tháng 3, thám tử trực tuyến ZachXBT đã tiết lộ rằng trong hai tuần qua, đã có nhiều trường hợp người dùng Coinbase bị nghi ngờ bị lừa đảo, nâng tổng số tiền bị đánh cắp trong tháng 3 lên hơn 46 triệu đô la Mỹ.

Thực tế, loại gian lận này đã được biết đến từ lâu. Ngay từ đầu tháng 2, ZachXBT đã tiết lộ rằng từ tháng 12 năm 2024 đến tháng 1 năm 2025, người dùng Coinbase đã mất tới 65 triệu đô la do những chiến thuật tương tự. Con số này khiến Coinbase có nguy cơ gặp phải cuộc khủng hoảng gian lận kỹ thuật xã hội lên tới hơn 300 triệu đô la mỗi năm.

Theo phân tích của ZachXBT, các phương pháp gian lận đã hình thành nên một chuỗi công nghiệp trưởng thành:

1. Kẻ lừa đảo mạo danh nhân viên của Coinbase

Kẻ lừa đảo sử dụng số điện thoại giả để gọi cho nạn nhân và sử dụng thông tin cá nhân của người dùng để chiếm được lòng tin. Họ khẳng định đã có những nỗ lực đăng nhập trái phép vào tài khoản người dùng, khiến nạn nhân phải hợp tác xác minh bảo mật.

2. Gửi email lừa đảo

Kẻ lừa đảo gửi email Coinbase giả mạo có chứa số vụ án giả mạo (ID vụ án).

3. Hướng dẫn người dùng chuyển tiền

Kẻ lừa đảo yêu cầu nạn nhân chuyển tiền vào Ví Coinbase và đưa địa chỉ lừa đảo vào danh sách trắng, tuyên bố rằng đây là cách để xác minh tính bảo mật của tài khoản.

4. Sao chép trang web Coinbase

Những kẻ lừa đảo đã tạo ra một bản sao gần như giống hệt 1:1 của trang web lừa đảo Coinbase và gửi nhiều lời nhắc thao tác khác nhau cho nạn nhân thông qua email giả mạo và bảng điều khiển lừa đảo Telegram.

Ngoài ra, theo Cointelegraph, một số người dùng tiền điện tử gần đây đã nhận được email lừa đảo mạo danh Coinbase và Gemini. Những email này thường tuyên bố rằng người dùng phải chuyển sang ví tự lưu trữ do các yêu cầu về quy định và đặt thời hạn là ngày 1 tháng 4 để tạo cảm giác cấp bách.

Email cung cấp liên kết để tải xuống Ví Coinbase hoặc Ví Gemini, cùng với cụm từ khôi phục được tạo sẵn. Khi người dùng tạo ví mới bằng những cụm từ này và chuyển tài sản, số tiền trong ví sẽ ngay lập tức bị kẻ lừa đảo rút sạch.

Vấn đề truy cập dữ liệu nội bộ đã xuất hiện

Cốt lõi của gian lận kỹ thuật xã hội nằm ở việc thu thập thông tin chính xác và trong trường hợp người dùng Coinbase bị lừa đảo, kẻ tấn công dường như đã nắm được thông tin cá nhân của nạn nhân, bao gồm số điện thoại, địa chỉ email, hồ sơ giao dịch, v.v. Điều này đặt ra một câu hỏi quan trọng: Chính xác thì dữ liệu này đã rơi vào tay kẻ gian như thế nào?

Hôm qua, nhà đồng sáng lập The Block Mike Dudas đã nói trên nền tảng X rằng ông đã nhận được một email từ Coinbase. Nội dung email này rất đáng lo ngại và chỉ trực tiếp vào vấn đề truy cập dữ liệu nội bộ. Email có nội dung:

“Chúng tôi viết thư này để thông báo với bạn rằng chúng tôi đã phát hiện ra dấu hiệu cho thấy một nhân viên của Coinbase có thể đã xem hồ sơ tài khoản của một số ít khách hàng của Coinbase, bao gồm cả tài khoản của bạn, theo cách không phù hợp với chính sách nội bộ.”

Mặc dù email nêu rõ, “Tài sản của bạn vẫn an toàn và tài khoản Coinbase của bạn không bị xâm phạm” và nhấn mạnh rằng hiện không có bằng chứng nào về việc rò rỉ dữ liệu ra bên ngoài, nhưng email đã đưa ra cho người dùng một cảnh báo rõ ràng: vấn đề truy cập dữ liệu nội bộ đã được xác nhận và không phải là sự cố riêng lẻ.

Dudas cho biết điều này giải thích cho các email lừa đảo và cuộc gọi điện thoại mạo danh Coinbase.

Tuy nhiên, phạm vi rò rỉ dữ liệu vẫn còn chưa rõ ràng và có thể liên quan đến nhiều người dùng hơn. Người dùng cộng đồng @ghaiankur cho biết: "Tôi không có bất kỳ khoản tiền nào trên Coinbase và chưa bao giờ sử dụng nó. Nhưng tôi vẫn nhận được những email này vì tôi có một tài khoản. Điều này có thể không chỉ nhắm vào một vài tài khoản mà là toàn bộ cơ sở dữ liệu."

Rò rỉ dữ liệu trở thành mối nguy hiểm tiềm ẩn trong ngành

Không chỉ Coinbase, các nền tảng giao dịch khác dường như cũng đang phải đối mặt với những rủi ro bảo mật nội bộ tương tự.

Sau khi Dudas chia sẻ email, nhà giao dịch tiền điện tử Jordan Fish (@Cobie) tiết lộ rằng nền tảng giao dịch tiền điện tử Kraken gần đây cũng đã phải chịu một cuộc tấn công tương tự. Ông suy đoán: "Đây có thể là chiến lược của kẻ tấn công - xâm nhập vào nhóm dịch vụ khách hàng và đánh cắp dữ liệu người dùng từ bên trong."

Cùng thời điểm đó, vào ngày 27 tháng 3, trang web tin tức dark web Dark Web Informer tiết lộ rằng một tin tặc có mật danh AKM69 tuyên bố đã nắm giữ thông tin cá nhân của một số lượng lớn người dùng của nền tảng giao dịch tiền điện tử Gemini. Cơ sở dữ liệu chứa 100.000 hồ sơ bao gồm tên đầy đủ, email, số điện thoại và thông tin vị trí của người dùng tại Hoa Kỳ, thậm chí còn bao gồm một số dữ liệu của người dùng ở Singapore và Vương quốc Anh.

Hoặc là học cách bảo vệ người dùng hoặc bị người dùng bỏ rơi.

Bình luận về sự cố này, nhà đồng sáng lập Solana là Toly cho biết các nền tảng giao dịch nên triển khai khóa thời gian chuyển tiền do người dùng kiểm soát để giảm nguy cơ tài sản bị đánh cắp nhanh chóng. Tuy nhiên, bản chất của sự việc này còn hơn thế nữa. Nó phơi bày sự thất bại trong kiểm soát rủi ro nội bộ trên nền tảng giao dịch và mức độ công nghiệp hóa cao của các hoạt động gian lận.

Tính bảo mật của các nền tảng giao dịch không còn chỉ là vấn đề bảo vệ kỹ thuật mà còn là vấn đề quản lý và lòng tin. Trước các phương thức tấn công ngày càng phức tạp, cách thiết lập hệ thống kiểm soát rủi ro hoàn thiện hơn sẽ quyết định chuẩn mực bảo mật tương lai của ngành.

Liên kết gốc

Chào mừng bạn tham gia cộng đồng chính thức của BlockBeats:

Nhóm Telegram đăng ký: https://t.me/theblockbeats

Nhóm Telegram thảo luận: https://t.me/BlockBeats_App

Tài khoản Twitter chính thức: https://twitter.com/BlockBeatsAsia