Đồng hồ vừa qua 12h đêm ngày 11/8/2016, Jered Kenna – một chuyên gia trong giới bitcoin đang làm việc tại nhà ở Medellin, Colombia thì phát hiện rằng mật khẩu 2 email của anh đã bị ai đó thay đổi.

Anh cố gắng lập lại mật khẩu mới bằng cách yêu cầu nhà cung cấp email gửi tin nhắn chứa mã xác nhận… nhưng chúng không đến được điện thoại của anh.

“Vậy nên tôi đã gọi cho công ty để chắc rằng mình đã không quên trả hóa đơn điện thoại, họ nói tôi đã chuyển điện thoại của mình sang một đất nước khác(?!)” anh Kenna nói.

(ảnh: bigstockphoto.com)
(ảnh: bigstockphoto.com)

Vậy là, một hacker đã giả mạo danh tính và chuyển nhà cung cấp của anh từ T-Mobile sang một hãng có tên Bandwidth – được kết nối với tài khoản Google Voice do hacker sở hữu.

Một khi tất cả cuộc gọi và tin nhắn của Kenna được chuyển hướng sang đó, (các) hacker có thể nhận mã SMS để thay đổi mật khẩu email (tức là, mã SMS vẫn gửi tới số điện thoại của Kenna, nhưng bị chuyển hướng tới điện thoại của hacker) Trong vòng 7 phút sau khi bị mất tài khoản thứ nhất, Kenna cũng bị “cho ra rìa” ở 30 tài khoản khác, bao gồm 2 tài khoản ngân hàng, PayPal, 2 dịch vụ bitcoin – thậm chí cả tài khoản Windows, vốn là chìa khóa để mở máy tính cá nhân.

Điều này có thể gây hại lớn cho bất kỳ ai, nhưng đối với Kenna thì thật là thảm họa. “Tôi là một người đào bitcoin thời kì đầu,” anh nói. “Tôi không nghĩ bạn còn gì khác nữa để nói.”

Kenna gia nhập giới bitcoin sớm tới nỗi khi anh kết nối máy tính vào mạng lưới, anh chỉ thấy có 4 máy tính khác đang chạy. Giờ thì con số đó là hơn 5000. Các máy tính hỗ trợ cho mạng lưới tham gia vào cuộc cạnh tranh giành bitcoin cứ khoảng 10 phút/lần. Trong những ngày đầu, mỗi lần hệ thống cho ra 50 bitcoin, giờ thì là 12,5. Kenna nhớ lại, đã có lúc anh “chỉ” thắng được 50 bitcoin/ngày và cho rằng thế là quá ít, nên đã dừng lại. Hiện tại, con số đó tương đương 40.000 USD/ngày.

Mặc dù anh vẫn giữ bitcoin trong một số dịch vụ online để thanh toán, nhưng anh chủ yếu giữ tất cả bitcoin trong một ổ cứng mã hóa.

“Tôi dự định sẽ giữ cho đến khi giá trị của chúng lên tới 1 tỷ USD,” anh nói. Anh giữ tài sản này offline trong một vài năm, nhưng đã kết nối thiết bị lưu trữ vào trong mấy tuần gần đây để di chuyển di nơi khác an toàn hơn và bán một số. Mặc dù anh đã khóa bằng mật khẩu 30 ký tự, các hacker đã lấy mất số bitcoin này.

Và không như giao dịch qua ngân hàng, giao dịch tiền điện tử là không thể đảo ngược.

Khi được hỏi anh đã mất bao nhiêu, Kenna chỉ cười, nói là hàng triệu đô-la, “Tôi là một trong những người đầu tiên làm ăn nghiêm túc với bitcoin và giờ tôi chẳng còn chút bitcoin nào nữa,” anh nói. Ngoài ra, số điện thoại của anh vẫn chưa thu hồi được (T-Mobile từ chối cung cấp thông tin về những vụ việc khách hàng cá nhân).

>> Công nghệ thực tế ảo có thể thao túng bạn như thế nào?

Số lượng các vụ tấn công ngày càng tăng, và không chỉ trong lĩnh vực tiền ảo

Trường hợp của Kenna chỉ là một trong số những vụ tấn công ngày càng tăng nhắm vào các doanh nhân, giám đốc, chuyên gia trong giới làm ăn đồng tiền điện tử. Qua việc bị tước đi số điện thoại, một số người bị thất thoát tài chính, một số thì bị đe dọa, tống tiền hoặc thậm chí bị hành hung.

Ngoài việc hack trực tiếp từ khổ chủ, hacker còn có thể đóng giả và yêu cầu bạn bè của người đó “cho mượn” tiền. Ví dụ, hacker đã giả danh người đào bitcoin Joby Weeks và vay đồng tiền ảo từ bạn bè của anh, tổng giá trị lên tới 50.000 USD (vì Weeks thường giới thiệu người quen tham gia vào bitcoin và cho tặng bitcoin, nên bạn bè anh đã quen với việc trao đổi đồng tiền ảo với nhau).

Điều cần nhấn mạnh ở đây là, thủ đoạn hack tinh vi này không chỉ đe dọa các tay chơi tiền ảo, sở dĩ họ bị nhắm mục tiêu trước đơn giản là vì giao dịch tiền ảo không thể đảo ngược, và đó là món mồi béo bở. Lỗ hổng an ninh mà những hacker này đang thao túng có thể được sử dụng đối với bất kì ai dùng số điện thoại để xác minh các tài khoản Google, iCloud, ngân hàng, Paypal, Dropbox, Evernote, Facebook, Twitter…

Các hacker có thể xâm nhập vào tài khoản ngân hàng và thực hiện giao dịch, dùng thẻ tín dụng để mua hàng, lấy thông tin passport, thẻ thanh toán, báo cáo thuế từ Dropbox hay tống tiền nạn nhân dựa trên những thông tin thu được từ email v.v.

Phó chủ tịch của hãng Blockchain Capital, ông Brock Pierce, bị hack vào ngày 13/12, nói với đại diện chăm sóc khách hàng của nhà mạng T-Mobile rằng, “Con số nạn nhân sẽ tăng từ 5 tới 500. Nó sẽ trở thành bệnh dịch, hãy xem trường hợp của tôi như một lời cảnh báo sớm.”

Mặc dù Kenna có thể đoán ai là hacker, anh chỉ nói rằng, “Họ quá giỏi và có tổ chức tới mức khó tin. Đó là loại người mà nếu họ đổi phe, tôi sẽ thuê họ ngay lập tức. Họ quá giỏi trong việc làm tội phạm.”

Về tổn thất tài chính của mình, Kenna cười nhạt, nói rằng anh chắn chắn chẳng vui nổi, nhưng cũng có chút thanh thản. Sau bao nhiêu năm người ta đã đe dọa, cố gắng hack, dùng tấn công DDoS, tống tiền… anh và gia đình để lấy được bitcoin. Giờ những thứ đó cũng sẽ chấm dứt.

>> Nước Mỹ bị ‘cắt net’ vì bị tấn công DDoS kiểu mới bằng Internet of Things

Phương pháp được 2/3 hacker sử dụng: giả mạo danh tính

“Khi nghĩ về hacker, người ta thường cho rằng họ là những kẻ dùng phần mềm để đột nhập vào máy tính, nhưng sự việc diễn ra lại khác hoàn toàn,” chuyên gia hacker Chris Hadnagy của hãng tư vấn  Social-Engineer cho biết.

Có tới 66% các vụ tấn công là sử dụng phương pháp social engineering.

Social Engineering có thể hiểu nôm na là đóng giả và dàn cảnh để đánh lừa đối tượng, nhằm khai thác các thông tin có lợi cho cuộc tấn công hoặc thuyết phục nạn nhân thực hiện một hành động nào đó.

Ví dụ như trong video dưới đây, người phụ nữ đóng giả làm vợ mới cưới của đối tượng, bật âm thanh tiếng trẻ em khóc để thuyết phục tổng đài về hoàn cảnh khó khăn của cô. Cô đã xin được email đăng kí tài khoản và thậm chí còn nhờ tổng đài thay email và password, cho chủ tài khoản “ra rìa” một cách dễ dàng. (xem từ 1:24)

Ngày nay với các thông tin từ Facebook, Twitter và LinkedIn, người ta có thể thu thập hồ sơ chính xác về một người – họ thích ăn gì, nghe nhạc gì, tiểu sử công việc, hôn nhân… đủ để đóng giả khi liên hệ với các nhà cung cấp dịch vụ. Các hacker còn có thể dễ dàng dùng phần mềm giả số điện thoại, để đóng giả đối tượng và gọi đến nhà cung cấp dịch vụ, yêu cầu thay mã pin hoặc mật khẩu, đưa ra bằng chứng xác minh danh tính là ngày sinh, số điện thoại, CMND hoặc 4 ký tự cuối của số an sinh xã hội (của Mỹ).

Theo Forbes, 
Phong Trần lược dịch

Xem thêm: