Đầu độc địa chỉ - chiêu lừa tiền số kiểu mới

Mánh khóe được đặt tên là "đầu độc địa chỉ", lợi dụng thói quen copy - paste của người dùng khi giao dịch, có thể rộ lên thời gian tới.

Tuần trước, hai dịch vụ lưu trữ tiền điện tử phổ biến là Metamask và Ledger đã phải cùng lên tiếng cảnh báo người dùng về thủ đoạn mới. Address Poisoning - đầu độc địa chỉ là phương thức lợi dụng đặc thù của địa chỉ ví tiền số cũng như thói quen người dùng, để khiến nạn nhân chuyển nhầm tiền sang địa chỉ của kẻ gian.

Cụ thể, trong giao dịch tiền số, người dùng sẽ chuyển thông tin qua địa chỉ ví, vốn là dãy số hệ thập lục phân, được hiển thị dưới dạng một chuỗi số và chữ dài hàng chục ký tự. Theo Metamask, do địa chỉ quá dài, chúng được rút gọn bằng cách hiển thị 5-10 ký tự đầu và cuối. Người dùng cũng thường có thói quen kiểm tra địa chỉ ví của mình bằng cách xem các ký tự này, thay vì kiểm tra toàn bộ dãy số. Đây là điểm sơ hở hacker đang nhắm tới và thực hiện quy trình ba bước để lừa nạn nhân.

Đầu tiên, chúng tạo một địa chỉ ví "nhái" theo ví của mục tiêu. Thực tế, các địa chỉ ví tiền số vốn được tạo ngẫu nhiên và không bao giờ trùng nhau. Tuy nhiên hiện nay, đã có công cụ cho phép tạo địa chỉ ví chứa một số ký tự mong muốn chỉ với vài thao tác đơn giản. Theo các chuyên gia, kẻ gian đã sử dụng các công cụ này lập địa chỉ với phần đầu, phần cuối, hoặc cả hai trùng địa chỉ ví của mục tiêu.

Sau đó, chúng "đầu độc" ví của nạn nhân bằng cách thực hiện giao dịch chuyển tiền, thường là lượng nhỏ token với giá trị gần như bằng 0. Mục đích là đưa địa chỉ ví "nhái" xuất hiện trong lịch sử giao dịch của người dùng.

Không ít người chơi tiền số có thói quen tìm lại địa chỉ ví của mình bằng cách xem lại các giao dịch trước. "Kẻ lừa đảo sẽ đợi bạn sử dụng địa chỉ này và gửi nhầm tiền vào tài khoản của chúng", Ledger cho biết.

Theo chuyên gia, thủ đoạn này không đánh cắp tiền trong ví người dùng, nhưng có thể khiến nạn nhân mất đi số tiền đáng lẽ họ được nhận. Ví dụ, khi cần nhận tiền, thay vì gửi cho đối tác tài khoản của mình, người dùng lại gửi địa chỉ tài khoản mà hacker đang kiểm soát, thông qua thao tác copy - paste mà không xem kỹ từng ký tự.

Hiện chưa có thống kê về số nạn nhân của chiêu lừa này. Tuy nhiên, Metamask và Ledger đều đánh giá hình thức lừa đảo này có thể nở rộ thời gian tới. Trước đó, không ít người cũng mất tiền vì hacker lợi dụng thói quen copy - paste địa chỉ, từ đó tấn công vào bộ nhớ đệm (clipboard) để thay đổi địa chỉ nhận tiền thành của chúng.

Theo Metamask, người dùng có thể hạn chế rủi ro bằng một số cách như: lưu địa chỉ của mình vào danh bạ để sử dụng khi cần; thực hiện các giao dịch thử nghiệm trước khi chuyển tiền giá trị cao; luôn kiểm tra kỹ từng ký tự trong địa chỉ ví trước khi giao dịch.