Năm 2025, nhà đầu tư tiền mã hóa đối mặt với nguy cơ bị đánh cắp tài sản qua ví điện tử và các chiến dịch lừa đảo tinh vi, từ tiện ích trình duyệt đến email phishing và PhaaS.
Năm 2025 ghi dấu sự gia tăng mạnh mẽ của các cuộc tấn công mạng nhắm trực tiếp vào người đầu tư tiền mã hóa. Thay vì sử dụng những chiêu trò lừa đảo sơ sài như trước, tin tặc đang triển khai các hình thức tấn công tinh vi hơn, được xây dựng với kỹ thuật phức tạp, nhúng sâu vào trình duyệt hoặc tận dụng các chiến dịch APT (Advanced Persistent Threat) để khai thác điểm yếu về tâm lý và hành vi người dùng.
Theo tổng hợp từ các chuyên gia an ninh mạng, đặc biệt là Kaspersky, nhiều mối đe dọa mới đang xuất hiện với đặc điểm chung: nhắm trúng những người đang sở hữu tài sản kỹ thuật số và tấn công bằng phương thức ngày càng khó lường.
Khi ví điện tử bị “điều khiển” ngay từ trình duyệt
Trong các năm trước, phần lớn thiệt hại liên quan đến ví tiền số xuất phát từ việc người dùng để lộ private key – sai sót dễ gặp trong cộng đồng mới tham gia thị trường. Tuy nhiên, các chiến dịch tấn công gần đây cho thấy cái bẫy đã thay đổi: người dùng không còn bị đánh cắp thông tin, mà chính họ bị dẫn dắt để tự gửi thông tin nhạy cảm cho tin tặc mà không hề nhận ra.
Hai xu hướng nổi bật là tiện ích mở rộng độc hại và các chiến dịch APT nhắm vào nhân sự thuộc lĩnh vực blockchain.
Vụ việc “Safery”: Tiện ích mở rộng đội lốt ví Ethereum
Giữa tháng 11/2025, cộng đồng bảo mật ghi nhận sự xuất hiện của một tiện ích mở rộng Chrome có tên “Safery: Ethereum Wallet”. Bề ngoài, nó giống như một ví Ethereum tiện dụng nhưng thực chất được lập trình để thu thập seed phrase bằng một phương thức cực kỳ tinh vi.
Thay vì gửi dữ liệu về máy chủ điều khiển – vốn rất dễ bị hệ thống an ninh phát hiện – tiện ích này mã hóa seed phrase thành các địa chỉ ví trên mạng blockchain Sui. Sau đó, nó liên tục thực hiện các giao dịch cực nhỏ, mỗi lần chỉ vài phần triệu SUI, đến các địa chỉ đó. Tin tặc chỉ cần phân tích chuỗi giao dịch là có thể phục hồi seed phrase và chiếm đoạt toàn bộ ví của nạn nhân.
Điều đáng lo ngại hơn là toàn bộ hành vi độc hại bị che giấu dưới dạng giao dịch blockchain hợp lệ. Công cụ này đã tồn tại trên Chrome Web Store trong nhiều tuần trước khi bị gỡ xuống.
Nhà đầu tư dày dạn cũng có thể sập bẫy
Một trường hợp cảnh báo khác là CEO Kent Halliburton của Sazmining. Dù là người có kinh nghiệm, ông vẫn bị nhóm lừa đảo dẫn dắt vào một giao dịch mua bán máy đào Bitcoin giá trị lớn và bị dụ sử dụng ứng dụng Atomic Wallet đã bị cắm mã độc. Kết quả, hơn 200.000 USD giá trị Bitcoin đã bị rút sạch khỏi ví ngay sau đó.
Khi tin tặc đóng vai nhà tuyển dụng và nhà đầu tư
Dữ liệu mới nhất từ Kaspersky cho thấy nhóm APT BlueNoroff – một trong những nhóm hoạt động mạnh trong lĩnh vực tấn công vào tổ chức tài chính và Web3 – đang triển khai hai chiến dịch mới: GhostCall và GhostHire.
GhostCall: Những cuộc họp trực tuyến giả mạo
Tin tặc tiếp cận người dùng thông qua Telegram, mạo danh các quỹ đầu tư mạo hiểm. Chúng mời nạn nhân tham gia họp qua những nền tảng giả lập Zoom hoặc Teams. Video của những người tham dự khác trông rất thật, nhưng thực ra là những đoạn ghi hình bị đánh cắp trước đó, khiến nạn nhân hoàn toàn tin rằng họ đang họp với người thật.
Sau khi tạo được sự tin cậy, chúng dụ nạn nhân tải “bản cập nhật” phần mềm chứa mã độc để chiếm quyền điều khiển máy tính.
GhostHire: Dự án kiểm tra năng lực chứa mã độc
Trong chiến dịch GhostHire, đối tượng bị tấn công là các lập trình viên Web3 đang tìm việc. Tin tặc đóng vai nhà tuyển dụng, yêu cầu họ tải bộ bài test từ GitHub. Bên trong các dự án này là mã độc có khả năng tự nhận dạng hệ điều hành và cài payload tương ứng nhằm xâm nhập thiết bị của nạn nhân và lần theo thông tin ví tiền mã hóa.
Các kỹ thuật lừa đảo qua email “tái sinh” trong phiên bản tinh vi hơn
Phishing – hình thức lừa đảo qua email – không còn chỉ là những lá thư rác với đường link lạ. Tin tặc đang sáng tạo nhiều phương pháp mới nhằm lách qua các bộ lọc bảo mật.
Calendar phishing và QR phishing thế hệ mới
- Calendar phishing cấp độ doanh nghiệp: tin tặc gửi lời mời họp đã cài sẵn link độc hại trong phần mô tả. Nạn nhân có thể thấy lịch nhắc trên điện thoại và bấm vào mà không cần mở email.
- QR phishing: Mã QR được nhúng vào tệp PDF, đôi khi còn được đặt mật khẩu để qua mặt công cụ quét virus. Người dùng phải dùng điện thoại cá nhân quét mã – nơi mức độ bảo vệ kém hơn – dẫn đến trang giả mạo.
Vượt qua xác thực 2 lớp
Nhiều trang phishing mới được xây dựng để kết nối trực tiếp với dịch vụ thật (ví dụ pCloud). Khi nạn nhân nhập tài khoản, mật khẩu và OTP, tin tặc lập tức sử dụng thông tin đó để chiếm phiên đăng nhập thời gian thực.
Cùng với đó, để tránh bị bot phân tích website lừa đảo, chúng tạo nhiều lớp CAPTCHA và bước xác minh, khiến nạn nhân tin rằng họ đang truy cập trang chính thống.
Phishing-as-a-Service: ngành công nghiệp lừa đảo trị giá hàng tỷ đô
Vụ kiện gần đây của Google nhằm vào nhóm đứng sau nền tảng Lighthouse đã phơi bày mức độ công nghiệp hóa của lừa đảo trực tuyến. Lighthouse cung cấp kho mẫu giao diện giả mạo các thương hiệu lớn, công cụ gửi SMS/email hàng loạt và hạ tầng vận hành, thu hút hàng nghìn tội phạm mạng tham gia. Nhóm này bị cáo buộc đã kiếm hơn 1 tỷ USD từ việc đánh cắp thông tin người dùng.
Bảo vệ ví số trong thời kỳ nguy cơ bủa vây
Thị trường tiền mã hóa năm 2025 đặt ra một thực tế: rủi ro không chỉ đến từ biến động giá, mà còn từ chính những phương thức tấn công ngày càng khó lường.
Các chuyên gia cho rằng nhà đầu tư cần:
- Kiểm tra kỹ nguồn gốc tiện ích mở rộng trước khi cài đặt.
- Không tin các lời mời họp, tuyển dụng hoặc cơ hội đầu tư bất ngờ.
- Thận trọng với email đính kèm PDF hoặc yêu cầu đăng nhập lại dù có CAPTCHA.
- Trang bị phần mềm bảo mật trên cả máy tính và điện thoại – nơi ví điện tử thường xuyên được sử dụng.
Trong bối cảnh tội phạm mạng ngày càng tinh vi, ví tiền số cần được bảo vệ bằng những công cụ mạnh mẽ và chuyên nghiệp tương xứng với giá trị tài sản mà nó lưu trữ.