Tom lược

Tổng hợp gốc: ChinaDeFi

Tom lược

Lừa đảo trên Web3 đang gia tăng, một số kỹ thuật lừa đảo chính bao gồm:

• Sử dụng bot Discord không an toàn để đăng liên kết lừa đảo trên một số máy chủ Discord chính thức;

• Gửi liên kết lừa đảo trực tiếp;

• Quảng cáo các trang web giả mạo thông qua quảng cáo trên các công cụ tìm kiếm;

• Gửi tin nhắn trực tiếp qua bot Discord giả mạo;

• Tên miền và nội dung có tính tương đồng cao với tên miền chính thức;

• Sử dụng các nền tảng giao dịch NFT như Opensea để quảng bá các dự án giả mạo;

• Sử dụng một địa chỉ hợp đồng giả.

gợi ý:

• Thường xuyên kiểm tra thông tin qua nhiều kênh và không dễ dàng tin tưởng "bot" hoặc "liên kết chính thức";

• Hãy cảnh giác với các tin nhắn trực tiếp: các bot chính thức sẽ không yêu cầu xác minh trong DM;

• Kiểm tra kỹ tên miền hoặc địa chỉ hợp đồng;

• Giảm thiểu số lượng bot trong Discord;

• Không đánh dấu một số trang web nhạy cảm trong trình duyệt của bạn.

Định nghĩa lừa đảo

Trong thế giới Web3, lừa đảo chủ yếu đạt được thông qua một loạt các phương pháp như Discord và giả mạo trang web.

Trong thế giới Web3, lừa đảo chủ yếu đạt được thông qua một loạt các phương pháp như Discord và giả mạo trang web.

Các trường hợp lừa đảo điển hình của Web3

Bài viết này sẽ tiết lộ một số phương thức lừa đảo phổ biến trong thế giới Web3:

1. Bot bất hòa

Vào ngày 23 tháng 5 năm 2022, bot MEE6 của Discord đã bị tấn công, dẫn đến việc đăng thông tin lừa đảo về việc đúc tiền trong một số máy chủ Discord chính thức.

Vào ngày 6 tháng 5 năm 2022, Discord chính thức của Opensea đã bị tấn công. Hacker đã sử dụng tài khoản rô bốt để đăng một liên kết giả mạo trên kênh, tuyên bố rằng "Opensea đã hợp tác với YouTube và nhấp vào liên kết để tạo 100 NFT pass phiên bản giới hạn."

Gần đây, ngày càng có nhiều cuộc tấn công vào các máy chủ Discord chính thức và nguyên nhân có thể như sau:

• Tấn công lừa đảo vào nhân viên của bên dự án, dẫn đến tài khoản bị đánh cắp;

• Bên dự án đã tải xuống phần mềm độc hại, dẫn đến bị đánh cắp tài khoản;

• Bên dự án không thiết lập xác thực hai yếu tố và sử dụng mật khẩu yếu dẫn đến bị đánh cắp tài khoản;

• Bên dự án đã bị một cuộc tấn công lừa đảo và thêm các dấu trang độc hại để bỏ qua các quy tắc đăng nhập của trình duyệt, dẫn đến việc đánh cắp mã thông báo Discord.

Lời khuyên:

• Các bên tham gia dự án nên áp dụng các hoạt động bảo mật được đề xuất chính thức, chẳng hạn như xác thực hai yếu tố, đặt mật khẩu mạnh, v.v., để bảo vệ tài khoản của họ; cảnh giác với các cuộc tấn công mạng truyền thống và tấn công kỹ thuật xã hội, đồng thời tránh tải xuống phần mềm độc hại hoặc truy cập các trang web lừa đảo.

• Người dùng Web3 nên lưu ý rằng phiên bản chính thức do Discord phát hành cũng có thể là thông tin lừa đảo và bản chính thức không đảm bảo tính bảo mật tuyệt đối. Ngoài ra, bất cứ nơi nào chúng ta cần ủy quyền hoặc tự giao dịch, chúng ta cần thận trọng hơn và cố gắng kiểm tra chéo thông tin từ nhiều nguồn.

2. NFT của Jay Chou đã bị đánh cắp bởi một cuộc tấn công lừa đảo trên Discord

Vào ngày 1 tháng 4 năm 2022, ca sĩ nhạc pop Châu Kiệt Luân đã tiết lộ trên Instagram rằng Bored Ape NFT của anh ấy đã bị một trang web lừa đảo đánh cắp.

Chúng tôi thấy rằng Jay Chou đã ký địa chỉ ví bắt đầu bằng 0x71de2 để phê duyệt giao dịch vào khoảng 11 giờ, do đó cấp phê duyệt NFT cho ví của kẻ tấn công. Lúc này Châu Kiệt Luân không biết rằng NFT của mình đã gặp nguy hiểm.

Vài phút sau, những kẻ tấn công đã chuyển Bored Ape bayc# 3738 NFT đến địa chỉ ví của chúng lúc 11:07, sau đó bán NFT bị đánh cắp trên LookRare và OpenSea với giá khoảng 169,6 ETH.

Lời khuyên:

• Đừng tin tưởng tin nhắn cá nhân một cách dễ dàng. Những kẻ tấn công thường dụ chúng tôi nhấp vào liên kết đến các trang web lừa đảo thông qua tin nhắn hoặc email riêng tư. Trước tiên, tất cả thông tin phải được xác minh trên trang web chính thức và tính xác thực của thông tin đó phải được xác minh thông qua nhiều kênh.

• Trường hợp Châu Kiệt Luân bị lừa đảo là sau khi casting một dự án mới, có thể lúc đó anh ấy đã bớt cảnh giác hơn với các cuộc tấn công lừa đảo. Vì vậy, người dùng phải luôn cảnh giác để đảm bảo rằng mọi bước đều an toàn.

3. Trang web lừa đảo trên Google Ads

Vào ngày 10 tháng 5 năm 2022, @Serpent đã tweet rằng kết quả tìm kiếm đầu tiên trên trang tìm kiếm của Google cho nền tảng giao dịch NFT X2Y2 là một trang web lừa đảo đã khai thác kẽ hở trong Google Ads để làm cho trang web thực và URL lừa đảo trông giống nhau, về 100 ETH đã bị đánh cắp.

Lời khuyên:

• Công cụ tìm kiếm thuận tiện, nhưng không nhất thiết phải đúng và hệ thống quảng cáo của công cụ tìm kiếm dễ dàng bị khai thác bởi các trang web độc hại. Cố gắng nhập thông qua twitter chính thức hoặc lối vào trang web chính thức được Google chứng nhận và kiểm tra chéo khi xác nhận thông tin chính thức.

• Sự chú ý đến chi tiết. Kết quả từ công cụ tìm kiếm nếu là quảng cáo sẽ có từ quảng cáo. Tránh nhấp vào các liên kết có từ "quảng cáo".

4. Gửi tin nhắn thông qua robot giả

Gần đây, một người dùng đã tham gia cộng đồng Discord chính thức và sau khi tham gia máy chủ, một bot đã gửi một tin nhắn trực tiếp yêu cầu xác minh.

Tuy nhiên, khi nhấp vào liên kết, ví Metamask sẽ tự động bật lên và yêu cầu nhập mật khẩu, lúc đó người dùng gần như chắc chắn rằng có điều gì đó không ổn với trang web. Sau khi gỡ lỗi và phân tích, người ta thấy rằng thứ xuất hiện trên trang web không phải là Metamask thật mà là giao diện ví Metamask giả. Nếu ai đó nhập mật khẩu, nó sẽ yêu cầu trợ lý xác minh và cuối cùng, cả mật khẩu và trợ lý sẽ được gửi đến máy chủ phụ trợ của kẻ tấn công và ví sẽ bị đánh cắp.

Lời khuyên:

• Hãy cảnh giác với các tin nhắn riêng tư trên Discord: các bot chính thức không yêu cầu xác minh trong DM.

• Quá trình xác thực không yêu cầu ví được kết nối.

• Hãy chắc chắn để ý hành vi kỳ quặc hoặc bất thường và đảm bảo xác thực chéo để biết thêm thông tin.

5. Tên miền có độ tương đồng cao với nội dung

Hiện tại, có rất nhiều trang web giả mạo trên thị trường, hầu hết đều bắt chước các trang web chính thức với tên miền và nội dung có độ tương đồng cao. Đây là hình thức lừa đảo phổ biến nhất và các hình thức chính của nó như sau.

• Thay đổi tên miền cấp cao nhất, tên miền chính giữ nguyên. Ví dụ: tên miền cấp cao nhất của trang web chính thức trong hình bên dưới là .com và tên miền cấp cao nhất của trang web lừa đảo là .fun;

• Thêm một số từ trong tên miền chính, chẳng hạn như openesa-office, xxxmint, v.v.

• Thêm miền cấp hai để che giấu và lừa đảo:

Lời khuyên:

• Khi vào một trang web, trước tiên hãy tìm twitter chính thức hoặc bất hòa và so sánh từng liên kết để xem chúng có đúng không.

• Luôn cảnh giác: Mặc dù các loại trang web lừa đảo này dễ xác định nhất, nhưng chúng rất nhiều và có thể dễ dàng lừa người dùng nếu họ không cẩn thận.

• Một plug-in chống lừa đảo được thêm vào để hỗ trợ hiệu quả trong việc xác định một số trang web độc hại.

6. Vật dụng câu cá trên biển khơi

Trước đây, chúng tôi đã tìm thấy một dự án trên Opensea chưa chính thức mở bán nhưng đã có 10.000 mặt hàng được liệt kê. Sau khi phân tích cẩn thận, chúng tôi đã phát hiện ra một phương thức lừa đảo mới. Dự án đầu tiên giả mạo một trang web chính thức tương tự và một tên miền tương tự bằng cách sử dụng phương pháp trên, sau đó liệt kê một dự án tương tự trên Opensea, sử dụng các từ như "tiền miễn phí" để thu hút sự chú ý.

Ngoài ra, còn có các trang web lừa đảo và các tweet lừa đảo khuyến khích lừa đảo:

Lời khuyên:

• Cẩn thận xác định tài khoản Twitter. Đôi khi các tài khoản lừa đảo cũng có lượng người theo dõi lớn nhưng hầu hết các bình luận đều là giả mạo. Hoặc tài khoản đã được tạo với ngày trước đó, nhưng chỉ mới hoạt động gần đây, v.v.

• Các dự án trên Opensea không phải lúc nào cũng là các dự án thực trên trang web chính thức. Vẫn còn rất nhiều mặt hàng giả mạo và lừa đảo trên trang web, vì vậy người dùng cần sàng lọc chúng cẩn thận.

• Luôn lấy thông tin từ nhiều nguồn. Kiểm tra chéo thông tin từ trang web chính thức, dự án opensea, twitter, discord, v.v. Bạn cũng có thể liên hệ trực tiếp với quan chức để xác minh tính xác thực.

7. Địa chỉ hợp đồng giả

Một vụ lừa đảo mới xuất hiện vào tháng 3 cũng rất đáng chú ý. Kẻ tấn công giả mạo một hợp đồng có cùng số chữ số trước và sau, đồng thời sử dụng các liên kết lừa đảo để lừa đảo.

Địa chỉ hợp đồng APEcoin thực là: 0x4d224452801ACEd8B2F0aebE155379bb5D594381.

Hợp đồng giả là: 0x4D221B9c0EE56604186a33F4f2433A3961C94381

Kiểu tấn công này không phổ biến, nhưng khó hiểu. Thông thường mọi người sẽ kiểm tra mặt trước và mặt sau của địa chỉ hợp đồng để đánh giá xem nó có bình thường hay không, nhưng ít người sẽ kiểm tra địa chỉ đầy đủ.

Lời khuyên:

• Đối với các giao dịch chuyển khoản trực tiếp, tốt nhất bạn nên kiểm tra xem địa chỉ hợp đồng đầy đủ có chính xác không.

• Giải pháp

Giải pháp

Trên đây chỉ liệt kê các thủ đoạn lừa đảo phishing thường được sử dụng, tuy nhiên, với sự phổ biến ngày càng tăng của Web3, ngày càng có nhiều cách lừa đảo phishing. Người dùng cần ghi nhớ các mẹo trên. Tuy nhiên, trong trường hợp không chắc là bị lừa đảo, bạn có thể thực hiện các bước sau để cố gắng khắc phục nó một cách tốt nhất có thể:

• Cô lập ngay tài sản và di chuyển số tài sản còn lại đến nơi an toàn càng sớm càng tốt để tránh thiệt hại lớn hơn.

• Đăng chủ động để thông báo cho người khác về các tài khoản lừa đảo để bạn không gây nguy hiểm cho bạn bè và cộng đồng của mình.

• Bảo quản bằng chứng càng nhiều càng tốt và tìm kiếm sự trợ giúp tiếp theo từ bên dự án hoặc tổ chức.

• Tìm một công ty chuyên nghiệp để theo dõi quỹ.

Cuối cùng, nếu bạn không may bị lừa đảo hoặc lừa đảo, bạn nên ghi lại và chia sẻ trải nghiệm của mình với những người khác trên mạng xã hội.