Nếu như trước đây, việc mất ví số thường do người dùng sơ ý lộ khóa bí mật (private key), thì nay tin tặc đã tạo ra những công cụ "giúp" người dùng tự tay dâng hiến tài sản mà không hề hay biết.
Hai vụ việc nổi cộm gần đây minh chứng cho xu hướng này là sự xuất hiện của tiện ích mở rộng độc hại và các chiến dịch APT nhắm vào nhân sự ngành Blockchain.
Trang TheHackerNews cho biết giữa tháng 11-2025, cộng đồng bảo mật rúng động trước phát hiện về một tiện ích mở rộng (extension) cho trình duyệt Chrome có tên "Safery: Ethereum Wallet". Được ngụy trang dưới vỏ bọc một chiếc ví Ethereum an toàn và linh hoạt, tiện ích này thực chất là một "cỗ máy hút máu" được thiết kế tinh vi.
Theo các nhà nghiên cứu bảo mật, "Safery", các đối tượng tấn công mạng sử dụng chính công nghệ Blockchain để che giấu hành vi phạm tội. Cụ thể, khi người dùng nhập cụm từ khôi phục (seed phrase) vào ví giả mạo này, mã độc sẽ mã hóa cụm từ đó thành các địa chỉ ví trên mạng lưới Sui (Sui blockchain).
Kẻ tấn công chỉ cần theo dõi và giải mã các địa chỉ nhận tiền để khôi phục lại seed phrase ban đầu và âm thầm rút cạn tài sản trong ví số của nạn nhân. Sự nguy hiểm nằm ở chỗ, toàn bộ quá trình đánh cắp dữ liệu trông giống hệt như các giao dịch Blockchain bình thường, khiến các hệ thống giám sát an ninh gần như bị "mù".
Khám phá từ Kaspersky cho thấy chúng không chỉ tấn công người dùng phổ thông, nhóm tội phạm mạng khét tiếng BlueNoroff (còn được biết đến với các tên gọi Sapphire Sleet hay APT38) đã triển khai hai chiến dịch tấn công có chủ đích mới là GhostCall và GhostHire, nhắm thẳng vào các lập trình viên và giám đốc điều hành trong lĩnh vực Web3.
Trong chiến dịch GhostCall, tin tặc tiếp cận mục tiêu qua Telegram, mạo danh các nhà đầu tư mạo hiểm (VC). Điểm đáng sợ là sự đầu tư công phu về mặt kỹ thuật xã hội (social engineering): chúng mời nạn nhân tham gia các cuộc họp video trên những trang web giả mạo Zoom hoặc Microsoft Teams.
Khi tham gia, nạn nhân sẽ thấy video của những người tham gia khác. Thực chất, đây không phải là Deepfake như nhiều người lầm tưởng, mà là các đoạn ghi âm/ghi hình thật của các nạn nhân trước đó đã bị tin tặc thu thập trộm.
Sự "chân thực" này khiến nạn nhân mất cảnh giác và dễ dàng tải xuống các bản "cập nhật" giả mạo chứa mã độc AppleScript (đối với macOS) hoặc các tập tin thực thi độc hại (đối với Windows).
Theo báo cáo mới nhất từ Kaspersky, về các kỹ thuật phishing năm 2025, tin tặc đã "hồi sinh" chiêu trò khai thác qua Lịch (Calendar phishing) nhưng ở cấp độ doanh nghiệp (B2B).
Thay vì gửi “email rác” (spam) hàng loạt, chúng gửi các lời mời họp giả mạo chứa liên kết độc hại trong phần mô tả sự kiện. Ngay cả khi người dùng không mở email, lời nhắc từ ứng dụng lịch trên điện thoại vẫn có thể khiến họ tò mò click vào liên kết.
Bên cạnh đó, việc sử dụng mã QR đã chuyển sang một hình thức mới, nhúng mã QR vào trong tệp đính kèm PDF. Tệp PDF này đôi khi còn được đặt mật khẩu (mật khẩu được gửi kèm trong email hoặc một email riêng biệt) để qua mặt các công cụ quét virus tự động.
Việc quét mã QR buộc người dùng phải sử dụng thiết bị di động cá nhân – nơi thường thiếu các lớp bảo vệ an ninh nghiêm ngặt như máy tính công ty – để truy cập vào trang giả mạo, lừa đảo.
Các nhà nghiên cứu bảo mật tại Kaspersky cho thấy một kỹ thuật đáng chú ý là việc tin tặc tạo ra các trang đăng nhập giả mạo (ví dụ: giả mạo dịch vụ lưu trữ pCloud) có khả năng tương tác thời gian thực với dịch vụ thật qua API.
Khi người dùng nhập thông tin đăng nhập và mã OTP vào trang giả, trang web này sẽ chuyển tiếp dữ liệu đó đến dịch vụ thật ngay lập tức. Nếu thông tin đúng, tin tặc sẽ chiếm được phiên đăng nhập trước cả khi người dùng nhận ra.
Ngoài ra, để tránh bị các bộ lọc an ninh phát hiện và phân tích trang web lừa đảo, tin tặc đã thiết lập các "chuỗi xác minh”. Người dùng khi click vào liên kết (link) sẽ phải vượt qua nhiều lớp điền mã chứng thực CAPTCHA hoặc các trang kiểm tra giả mạo trước khi đến được trang đích (trang đăng nhập giả mạo Google/Microsoft). Điều này vừa lọc bỏ các bot kiểm tra tự động, vừa tạo cảm giác tin cậy giả tạo cho người dùng rằng trang web này được bảo mật kỹ lưỡng.
Sự nguy hiểm của phishing còn được khuếch đại bởi mô hình "Lừa đảo dưới dạng dịch vụ" (Phishing-as-a-Service). Vụ kiện mới đây của Google nhắm vào nhóm tin tặc đứng sau nền tảng Lighthouse là minh chứng rõ nét.
Năm 2025, ranh giới giữa an toàn và nguy hiểm trong thế giới tiền số trở nên mong manh hơn bao giờ hết.
Tội phạm mạng không chỉ còn là những kẻ viết mã độc trong bóng tối, chúng là những "nhà tâm lý học" am hiểu hành vi người dùng và những "kỹ sư" biết tận dụng chính công nghệ bảo mật (như blockchain, xác thực 2 lớp) để tấn công ngược lại nạn nhân.
Đối với nhà đầu tư, lời khuyên "không chia sẻ private key" giờ đây là chưa đủ. Các chuyên gia Kaspersky cho rằng việc kiểm tra kỹ lưỡng nguồn gốc tiện ích mở rộng, cảnh giác với mọi lời mời họp trực tuyến hay tuyển dụng bất ngờ, và thận trọng trước các yêu cầu đăng nhập từ email (kể cả khi có lớp bảo vệ PDF hay CAPTCHA) là những kỹ năng sinh tồn bắt buộc trong kỷ nguyên số đầy rẫy cạm bẫy này.
Theo chuyên gia Kaspersky, hãy luôn sử dụng công cụ bảo mật với tường lửa trên các thiết bị quan trọng, từ laptop Windows hay cả MacBook, và thậm chí đừng quên chiếc điện thoại thông minh vốn được xem là máy tính thu nhỏ cũng cần ứng dụng bảo vệ.
Chiếc ví số chứa tài sản đầu tư rất cần một ứng dụng bảo vệ "xứng tầm" trao gửi niềm tin.
