Cảnh báo bảo mật Web3 - Ứng dụng giả mạo

Trong không gian tiền điện tử, những kẻ lừa đảo liên tục phát triển chiến thuật của họ. Một mối đe dọa rủi ro cao đang quay trở lại: các ứng dụng Bitget giả mạo. Những ứng dụng độc hại này được ngụy trang khéo léo để trông giống hệt ứng dụng Bitget chính thức - từ logo đến mô tả ứng dụng - khiến chúng gần như không thể phân biệt. Tội phạm mạng sử dụng nhiều thủ đoạn để dụ người dùng tải xuống những bản sao này, nhằm đánh cắp thông tin cá nhân và tài sản kỹ thuật số.

Ứng dụng giả mạo là gì?

Ứng dụng giả mạo (còn được gọi là ứng dụng lừa đảo hoặc ứng dụng bắt chước) là các ứng dụng bất hợp pháp được tạo ra để bắt chước gần giống như các nền tảng hợp pháp phổ biến - như sàn giao dịch tiền điện tử, ví hoặc mạng xã hội. Chúng sao chép tên, logo, giao diện và thậm chí cả chức năng để trông có vẻ uy tín. Khi được cài đặt, những ứng dụng này thường gây ra vi phạm quyền riêng tư hoặc tổn thất tài chính.

Tính năng chính

● Hình ảnh giống nhau: Tên ứng dụng, logo và bố cục rất giống với phiên bản chính thức, chỉ có sự khác biệt nhỏ (ví dụ: bảng màu logo hoặc chi tiết phông chữ).

● Tính năng giả mạo: Ứng dụng giả mạo có thể sao chép các chức năng cốt lõi của ứng dụng thật hoặc chỉ đơn giản là chuyển hướng người dùng đến các trang giả mạo.

● Quyền độc hại: Thường yêu cầu quyền truy cập quá mức vào các chức năng điện thoại như danh bạ, SMS, camera hoặc microphone - vượt quá mức cần thiết - để theo dõi hành vi người dùng hoặc đánh cắp dữ liệu.

● Phân phối không chính thức: Thường được tìm thấy trong các cửa hàng ứng dụng bên thứ ba, website lừa đảo, liên kết được gửi qua SMS hoặc email, hoặc chia sẻ trong cộng đồng trực tuyến.

● Thiếu thông tin xác thực chính thức: Thông tin nhà phát triển mơ hồ hoặc bị thiếu và thông tin liên hệ hoặc chính sách bảo mật thường là giả mạo hoặc không có.

● Lỗi chính tả, ngữ pháp hoặc mô tả: Ứng dụng lừa đảo thường chứa lỗi cơ bản, vì các nhà phát triển hợp pháp thường xem xét kỹ văn bản trước khi xuất bản.

● Đánh giá đáng ngờ: Số lượt tải xuống thấp, đánh giá phân cực (tất cả 5 sao hoặc tất cả 1 sao) và sự không phù hợp giữa ngày phát hành và số lượng đánh giá.

Các kịch bản tấn công phổ biến

1. Thay thế địa chỉ ví:

● Người dùng cố gắng gửi hoặc rút tiền bằng ứng dụng sàn giao dịch giả mạo.

● Ứng dụng bí mật thay thế địa chỉ người nhận bằng địa chỉ do kẻ tấn công kiểm soát.

● Tiền được gửi vào ví của kẻ lừa đảo mà không hề hay biết và không thể lấy lại được.

2. Đánh cắp thông tin đăng nhập:

● Người dùng nhập thông tin đăng nhập và mã 2FA vào ứng dụng giả mạo.

● Kẻ lừa đảo sử dụng dữ liệu này để truy cập nền tảng thật.

● Tài sản nhanh chóng bị chuyển đi hoặc sử dụng sai mục đích.

3. Lừa đảo SMS:

● Nạn nhân nhận được cảnh báo qua tin nhắn SMS như “cảnh báo bảo mật khẩn cấp” hoặc “hoạt động bất thường của tài khoản” kèm theo link để tải xuống ứng dụng giả mạo.

● Cảm thấy bị áp lực, người dùng cài đặt ứng dụng và cấp quyền.

● Sau đó, ứng dụng đánh cắp thông tin nhạy cảm, bao gồm cụm từ khôi phục hoặc chặn mã xác minh SMS, cho phép truy cập trái phép.

4. Chèn mã độc:

● Ứng dụng giả mạo cài đặt phần mềm độc hại bổ sung trong nền.

● Triển khai keylogger (ghi phím) để ghi lại thông tin đầu vào từ các ứng dụng khác.

● Các tệp như khóa riêng tư hoặc cụm từ hạt giống có thể bị truy cập và tải lên một cách thầm lặng.

5. Giám sát liên tục:

● Ứng dụng chạy trong nền, theo dõi hoạt động của người dùng.

● Ghi lại nội dung màn hình, đặc biệt là khi các ứng dụng tài chính đang được sử dụng.

● Kẻ tấn công chờ đợi thời điểm để chặn hoặc thay đổi dữ liệu giao dịch.

Ứng dụng giả mạo hoạt động như thế nào?

Các ứng dụng giả mạo kết hợp lừa đảo kỹ thuật với kỹ thuật xã hội:

1. Lừa đảo kỹ thuật

○ Sao chép giao diện và mã:

■ Sao chép giao diện, chức năng hoặc thậm chí mã nguồn của ứng dụng chính thức, làm cho ứng dụng giả mạo có giao diện và chức năng giống hệt.

■ Sửa đổi tệp APK hợp pháp bằng cách tiêm mã độc hại hoặc thay thế địa chỉ chuyển tiền để tạo ra phiên bản đã thay đổi.

○ Lạm dụng quyền:

■ Yêu cầu quyền quá mức (ví dụ: đọc SMS, truy cập danh bạ, theo dõi vị trí) để có thể đánh cắp dữ liệu hoặc điều khiển từ xa.

○ Chặn và mã hóa giao tiếp:

■ Chặn API được sử dụng để chặn và sửa đổi dữ liệu giao tiếp giữa ứng dụng và máy chủ của nó.

■ Truyền thông tin nhạy cảm, chẳng hạn như địa chỉ giao dịch hoặc mật khẩu qua các kênh được mã hóa.

○ Tránh phát hiện:

■ Làm rối mã: Sửa đổi mã để làm cho nó không thể đọc được hoặc khó phân tích hơn, giúp nó bị tránh phát hiện tự động.

■ Kích hoạt trễ: Mã độc chỉ kích hoạt sau khi cài đặt hoặc trong một số điều kiện nhất định.

■ Tải động: Mã độc được tải xuống sau khi cài đặt thay vì được đóng gói với ứng dụng.

■ Yêu cầu cấp quyền theo từng giai đoạn: Các quyền nhạy cảm được yêu cầu dần dần, làm giảm cảnh giác của người dùng.

2. Tấn công phi kỹ thuật

○ Lợi dụng sự tin tưởng:

■ Bằng cách bắt chước các nền tảng đáng tin cậy (ví dụ: Bitget), các ứng dụng lừa đảo chiếm được sự tin tưởng của người dùng và khiến người dùng hạ thấp phòng thủ của họ.

○ Tạo cảm giác cấp bách:

■ Sử dụng chiến thuật đe dọa (ví dụ: “Tài khoản của bạn đang gặp rủi ro” hoặc “Phát hiện mất tài sản”) qua SMS hoặc thông báo đẩy để giảm cảnh giác của người dùng và kích hoạt các hành động nhanh chóng, chưa được xác minh.

○ Thủ thuật đánh lừa thị giác:

■ Khai thác khả năng không nhận thấy sự khác biệt nhỏ về hình ảnh của người dùng, sử dụng các yếu tố hình ảnh tương tự để đánh lừa.

■ Thổi phồng tính hợp pháp bằng các đánh giá giả và số lượt tải xuống bị thao túng.

○ Phân phối có mục tiêu:

■ Nhắm vào các nhóm cụ thể, chẳng hạn như cộng đồng nhà đầu tư tiền điện tử, để tăng tỷ lệ thành công của các cuộc tấn công.

○ Đổi thương hiệu thường xuyên:

■ Liên tục thay đổi tên ứng dụng, biểu tượng và mô tả để tránh bị phát hiện và kéo dài thời gian tồn tại của trò lừa đảo.

Cách phát hiện ứng dụng giả mạo

Hãy chú ý đến những dấu hiệu cảnh báo sau:

● Biểu tượng bất thường: Có sự khác biệt nhỏ nhưng đáng chú ý so với biểu tượng ứng dụng chính thức.

● Yêu cầu quyền quá mức: Yêu cầu cấp quyền không cần thiết sau khi cài đặt.

● Đánh giá đáng ngờ: Quá tích cực hoặc quá tiêu cực.

● Lỗi ngữ pháp và chính tả: Có lỗi rõ ràng trong tên ứng dụng hoặc mô tả.

● Khối lượng tải xuống bất thường: Ứng dụng Bitget hợp pháp phải có số lượng tải xuống lớn.

● Thông tin nhà phát triển đáng ngờ: Thiếu hoặc gian lận thông tin chi tiết công ty.

● Thời gian phát hành không rõ ràng: Hãy thận trọng với các ứng dụng mới ra mắt có số lượng đánh giá cao bất thường.

● Nguồn không đáng tin cậy: Link ứng dụng được chia sẻ qua mạng xã hội, SMS hoặc email thay vì kênh chính thức.

Các biện pháp bảo mật của Bitget

Bitget cam kết giúp bạn luôn cập nhật thông tin và nắm rõ mọi hoạt động diễn ra trên tài khoản của mình.

Email cảnh báo

Nếu bạn đã liên kết email, bạn sẽ nhận được thông báo qua email mỗi khi đăng nhập từ thiết bị mới. Những email này bao gồm mã chống lừa đảo của bạn, mã xác minh, vị trí đăng nhập, địa chỉ IP và thông tin thiết bị. Luôn dành chút thời gian để kiểm tra xem các thông tin này có khớp với hoạt động của bạn hay không.

Nếu tài khoản của bạn được truy cập từ vị trí khác, bạn sẽ nhận được email thông báo về lần đăng nhập đó. Vui lòng xác minh quyền truy cập này.

Khi rút tiền, bạn sẽ nhận được email có chứa mã xác minh và thông tin chi tiết đầy đủ về giao dịch. Luôn xác nhận rằng tất cả thông tin đều khớp với yêu cầu rút tiền của bạn.

Thời gian chờ (1 giờ hoặc 24 giờ)

Để ngăn chặn các hành động bốc đồng do lừa đảo gây ra, Bitget đã triển khai thời gian chờ - một biện pháp bảo vệ tạm thời được kích hoạt khi hệ thống phát hiện các rủi ro tiềm ẩn đối với tài khoản (như đăng nhập ở vị trí bất thường, giao dịch đáng ngờ hoặc nghi ngờ gian lận):

Thời gian chờ: Tùy thuộc vào mức độ rủi ro (1 giờ hoặc 24 giờ).

● Thời gian chờ 1 giờ: Áp dụng cho các tình huống rủi ro thấp hơn (ví dụ: đăng nhập từ xa), khoảng thời gian ngắn này sẽ tạm dừng việc rút tiền để người dùng có thể kiểm tra lại hoạt động tài khoản.

● Thời gian chờ 24 giờ: Áp dụng cho các tình huống rủi ro cao (ví dụ: thay đổi phương thức xác minh hoặc nguy cơ lừa đảo), tất cả các giao dịch rút tiền sẽ bị tạm ngưng, giúp người dùng có thời gian đánh giá lại tính an toàn của tài khoản.

Kênh xác minh chính thức

Nếu bạn không chắc về danh tính của ai đó, bạn luôn có thể xác minh qua kênh xác thực chính thức của Bitget.

Các phương pháp tốt nhất để bảo mật tài khoản

Bật nhiều phương pháp 2FA

Xác thực hai yếu tố (2FA) là một lớp bảo vệ quan trọng, yêu cầu hai phương thức xác minh danh tính riêng biệt. Điều này có thể bao gồm sự kết hợp giữa email, mật khẩu, SMS, Google Authenticator, khóa bảo mật hoặc các phương pháp khác. Sử dụng nhiều tùy chọn 2FA giúp tăng cường đáng kể độ bảo mật và độ tin cậy cho tài khoản của bạn.

Đặt mã chống lừa đảo

Mã chống lừa đảo là tính năng bảo mật được cung cấp bởi Bitget để giúp người dùng xác định các website lừa đảo. Khi kích hoạt, tất cả email và tin nhắn SMS chính thức từ Bitget (ngoại trừ mã xác minh SMS) sẽ bao gồm mã chống lừa đảo riêng biệt của bạn. Các email và tin nhắn SMS lừa đảo sẽ không chứa mã chống lừa đảo, giúp người dùng dễ dàng nhận biết liệu chúng có phải đến từ kênh chính thức của Bitget hay không.

Để thiết lập, hãy vào Hồ sơ > Bảo mật > Mã chống lừa đảo và làm theo hướng dẫn.

Truy cập link này để biết thêm chi tiết về mã chống lừa đảo.

Kích hoạt xác nhận địa chỉ rút tiền

Khi rút tiền qua website Bitget, có nguy cơ xảy ra các hoạt động độc hại như chiếm đoạt lưu lượng truy cập, có thể làm thay đổi địa chỉ rút tiền của bạn. Để ngăn chặn điều này, Bitget cung cấp tính năng chuyển đổi xác minh đa thiết bị. Bạn sẽ được yêu cầu quét mã QR bằng ứng dụng di động Bitget để xác nhận địa chỉ rút tiền trước khi yêu cầu được xử lý.

Thực hiện thói quen tốt để bảo vệ tài khoản

Cài đặt phần mềm chống virus. Luôn tải xuống ứng dụng và phần mềm từ các nguồn chính thức đáng tin cậy, và tránh nhấp vào các link nhận được qua SMS. Để tăng cường bảo mật tài khoản, bạn nên cân nhắc sử dụng một thiết bị riêng biệt để truy cập các tài khoản nhạy cảm hoặc chứa thông tin mật. Đừng bao giờ đặt tất cả trứng vào một giỏ. Tránh đăng nhập vào email, lắp thẻ SIM và lưu trữ Google Authenticator trên cùng một điện thoại. Nếu thiết bị của bạn bị mất hoặc bị xâm phạm, việc để tất cả trên một thiết bị duy nhất có thể khiến bạn mất hết mọi thứ. Phân tán rủi ro sẽ giúp giảm thiểu đáng kể tổn thất có thể xảy ra.

Kết luận: Bảo mật bắt đầu từ nhận thức - và nó bắt đầu từ bạn

Công nghệ có thể xây dựng hàng rào phòng thủ trong lĩnh vực an ninh mạng, nhưng nhận thức và sự cảnh giác của bạn mới là lá chắn bảo vệ cuối cùng. Kẻ lừa đảo lợi dụng sự bối rối và gấp gáp, nhưng khi bạn có kiến thức, bạn sẽ nhận ra được bẫy và phản ứng một cách tự tin. Bitget cung cấp một khung bảo mật đa lớp để bảo vệ người dùng, nhưng biện pháp bảo vệ mạnh mẽ nhất chính là sự hiểu biết của bạn về rủi ro. Mỗi chút kiến thức về lừa đảo bạn có được chính là một lớp khiên bảo vệ tài sản của bạn.

Kiến thức là sức mạnh. Hành động là sự bảo vệ. Bitget sẽ tiếp tục cập nhật các nguồn thông tin chống lừa đảo và cảnh báo rủi ro. Mỗi lần bạn kiểm tra kỹ thông tin hoặc đưa ra quyết định thận trọng, bạn lại đóng cửa trước những kẻ lừa đảo. Hãy cùng nhau tạo sự an toàn làm nền tảng chung của chúng ta.

Tìm hiểu thêm: Các biện pháp bảo mật tốt nhất của Bitget

Bài viết liên quan:

Cảnh báo bảo mật Web3 - Giả mạo tin nhắn SMS

Cảnh báo bảo mật Web3 - Payzero

Cảnh báo bảo mật Web3 - Token rủi ro cao

Cảnh báo bảo mật Web3 - Ứng dụng giả mạo

Cảnh báo bảo mật Web3 - Phê duyệt độc hại