NFT là một loại tài sản số hiện diện trên một chuỗi số Blockchain, có nhiệm vụ như một sổ cái đảm bảo tính xác thực của tài sản lẫn chủ sở hữu. Một NFT là duy nhất và không thể thay thế trực tiếp bằng một NFT khác. NFT có thể là bất kỳ thứ gì dưới dạng kỹ thuật số [1, 2], ví dụ như ảnh, video, tệp âm thanh,… Với NFT, mỗi tài sản sẽ có chữ ký số riêng biệt và do đó nó có tính độc nhất, mỗi token NFT được đúc sẽ có một mã định danh riêng và thuộc về một chủ sở hữu duy nhất. NFT thường được giao dịch bằng tiền số, nhưng đôi khi cũng sử dụng đồng USD. Nếu quan tâm đến NFT, điều cần thiết là phải nhận thức được các rủi ro liên quan, bao gồm các hành vi gian lận và lừa đảo NFT.
Tạo thị trường giả mạo
Các thị trường nổi bật như OpenSea đã tạo điều kiện thuận lợi cho các giao dịch NFT và cung cấp bảo mật làm nền tảng cho mỗi giao dịch mua bán. Tuy nhiên, hiện nay tin tặc đã thiết lập rất nhiều thị trường mạo danh với các trang web sử dụng URL giả mạo tương tự để đánh lừa người dùng [3]. Thành phần hiển thị của NFT là một hình ảnh có thể dễ dàng sao chép. Các trang này không có NFT hợp pháp, vì vậy nếu phát sinh giao dịch, trang web sẽ lưu lại thông tin đăng nhập. Ngoài ra, các trang web này có thể yêu cầu khóa cá nhân hoặc cụm từ hạt giống (Seed Phrase) và sử dụng nó để rút tất cả tài sản trong ví kỹ thuật số của người dùng.
Lừa đảo “rug pull”
Đây là một trong những mối đe dọa mới nhất đối với người mua NFT. “Rug pull” nói đến một hành vi lừa đảo khi những người phát triển một dự án đột ngột rời bỏ và mang theo tiền của nhà đầu tư, điều này dẫn đến giá trị của tài sản giảm xuống và các nhà đầu tư phải chịu thua lỗ [2, 3].
Kỹ nghệ xã hội
Trước khi mua NFT, người dùng cần đăng ký ví tiền điện tử. Lừa đảo NFT thường nhắm mục tiêu khách hàng bằng các quảng cáo giả mạo trên các ứng dụng và nền tảng xã hội. Bên cạnh đó, tin tặc có thể mạo danh MetaMask (ví tiền điện tử dựa trên nền tảng Ethereum) và gửi email cảnh báo giả với nội dung rằng ví của người dùng sẽ bị tạm ngưng hoạt động vì các vấn đề liên quan đến bảo mật, nhắc nhở nhấp vào liên kết trong email để xác minh tài khoản [2, 3]. Tin tặc cũng có thể dễ dàng đánh cắp tác phẩm của người sáng tạo kỹ thuật số và mở tài khoản trên thị trường NFT, nơi chúng niêm yết sản phẩm giả mạo để bán đấu giá.
Cơ chế “Pump and Dump”
Thuật ngữ “Pump and Dump” đề cập đến việc một người hoặc một nhóm cố tình mua nhiều một NFT nào đó để đẩy giá trị lên cao trong một khoảng thời gian ngắn, thu hút các nhà giao dịch mới tham gia, sau đó rút đi nếu đã kiếm được lợi nhuận [2, 3]. Với thủ đoạn này, khi NFT có giá trị, những người mua cả tin sẽ tham gia đấu giá và bắt đầu đặt giá thầu. Khi giá tăng lên, thủ phạm sẽ bán NFT để kiếm lời, để lại cho người mua những tài sản vô giá trị.
Lừa đảo hỗ trợ khách hàng
Tương tự như các trò gian lận lừa đảo, tin tặc giả làm nhân viên kỹ thuật hoặc hỗ trợ khách hàng cho các thị trường Blockchain và liên hệ với người dùng. Dưới chiêu bài cố gắng giải quyết vấn đề, tin tặc gửi liên kết đến các trang web giả mạo nhằm mục đích lấy thông tin cá nhân và quyền truy cập vào ví tiền điện tử. Mặt khác, chúng có thể yêu cầu người dùng chia sẻ màn hình của mình để giải quyết vấn đề, nhưng trên thực tế, tin tặc muốn xem và chụp màn hình thông tin đăng nhập ví tiền điện tử của người dùng [3].
Lừa đảo đấu thầu
Lừa đảo đấu thầu xảy ra khi các nhà đầu tư muốn bán lại NFT đã mua của họ trên thị trường. Những người đặt giá thầu có thể chuyển đổi loại tiền tệ ưa thích của người dùng bằng loại tiền điện tử có giá trị thấp hơn mà không cần thông báo sau khi người dùng đã liệt kê doanh số NFT của mình. Điều này có thể dẫn đến những tổn thất tiềm ẩn cho người bán nếu họ không kiểm tra kỹ đồng tiền trước khi đồng ý mua bán [2, 3].
Lừa đảo qua hình thức nhận quà tặng
NFT Các tin tặc có thể làm giả nền tảng giao dịch NFT thông qua các phương tiện truyền thông xã hội để quảng bá quà tặng NFT. Họ thường cung cấp NFT miễn phí nếu người dùng chia sẻ thông điệp và đăng ký qua trang web của họ. Khi đã đăng ký, người dùng sẽ được nhắc liên kết thông tin đăng nhập ví của mình để nhận “giải thưởng”. Khi có thông tin đăng nhập, tin tặc có thể truy cập vào tài khoản và đánh cắp thư viện NFT [3].
Kiểm tra tính chính xác của giao dịch
Kiểm tra các chi tiết của bất kỳ giao dịch nào trước khi đồng ý với nó, thị trường người dùng đang sử dụng có uy tín và đáng tin cậy không. Đọc các bài đánh giá và xem xét mức độ tương tác của người sáng tạo để xem liệu trước đó có khiếu nại nào về giao dịch của họ hay không. Nếu đang đầu tư vào một dự án, hãy kiểm tra các nhà phát triển đằng sau dự án đó, xác minh thông tin của người sáng tạo và tìm hiểu cụ thể về họ, để xác minh mức độ tin cậy và tính xác thực trước khi đầu tư vào NFT, từ đó có thể đánh giá giá trị về lâu dài của khoản đầu tư này.
Không mở tệp từ những nguồn không rõ ràng
Trong nhiều vụ việc liên quan đến lừa đảo NFT, tin tặc đã tạo ra các biến thể mã độc khác nhau nhắm mục tiêu vào ví tiền điện tử. Do vậy, cần tránh và tuyệt đối không nhấp vào liên kết trên các email hoặc tệp đính kèm từ các nguồn không xác định, vì chúng cũng có thể dẫn đến các trang web lừa đảo. Trong trường hợp cần tìm kiếm sự trợ giúp về các vấn đề trên nền tảng NFT, hãy luôn tìm đến dịch vụ khách hàng chính thức trên các trang giao dịch NFT, thay vì ai đó đã liên hệ với người dùng thông qua các nền tảng khác như mạng xã hội.
Cẩn trọng với các chương trình quà tặng
Mặc dù phổ biến trong không gian NFT, thế nhưng quà tặng hoặc phần thưởng miễn phí thường có thể tiềm ẩn rủi ro bảo mật. Mỗi NFT được gắn với một hợp đồng xác định những gì có thể được thực hiện với nó, điều này có nghĩa là tin tặc có thể đính kèm ủy quyền để truy cập vào ví của người dùng. Vì vậy, không bao giờ chấp nhận NFT từ người mà người dùng không biết và không tin tưởng.
Không chia sẻ khóa cá nhân hoặc Seed Phrase
Khóa riêng là chìa khóa cho tất cả các tài sản kỹ thuật số, cho phép giao dịch hoặc chứng minh quyền sở hữu chúng. Trong khi đó, Seed Phrase được sử dụng làm phương pháp sao lưu để khôi phục ví, nó sẽ không bao giờ được sử dụng để đăng nhập hoặc xác thực bất cứ điều gì. Điều cần thiết là phải bảo vệ và giữ khóa riêng cũng như Seed Phrase ở một vị trí an toàn, đồng thời không chia sẻ nó với bất kỳ ai. Nếu một người nào đó có được những thông tin chi tiết này, họ có thể truy cập vào ví của người dùng, kiểm soát và xóa mọi NFT hoặc tiền điện tử một cách dễ dàng. Nên sử dụng mật khẩu mạnh cho ví tiền điện tử và các tài khoản NFT khác. Hơn nữa, hãy sử dụng xác thực hai yếu tố cho tất cả các tài khoản NFT để tăng cường bảo mật.
Giao dịch trên nền tảng chính thức
Luôn truy cập trên một nền tảng đáng tin cậy, uy tín và có tính hợp pháp đã được xác minh để thực hiện giao dịch, đồng thời tránh sử dụng các liên kết hoặc cửa sổ bật lên để nhập thông tin chính trong ví của người dùng. Trong thế giới NFT, các trang web lừa đảo có thể dẫn đến việc lộ lọt thông tin cá nhân. Vì thế, người mua cần chú ý truy cập đến các trang web chính thức có chứa chứng chỉ SSL. Ví dụ một số đường dẫn URL an toàn cho đến thời điểm hiện tại như: https://opensea.io, https://rarible.com, https://www.bnbchain.org/en/smartChain,...
Kiểm tra kỹ giá dự án NFT
Trước khi thực hiện bất kỳ giao dịch mua NFT nào, hãy kiểm tra giá trên nền tảng giao dịch chính thức như OpenSea hoặc các thị trường khác. Nếu giá xuất hiện thấp hơn giá được liệt kê trên trang web giao dịch hợp pháp, nên cẩn thận vì đó có thể là lừa đảo.
Sử dụng ví phần cứng
Ví cứng Ledger và Trezor
Ví phần cứng được đánh giá an toàn nhất hiện nay, những loại ví này là một tập hợp phần cứng có độ bảo mật cao, nơi lưu trữ tài sản tiền điện tử và NFT ngoại tuyến. Bằng cách duy trì trạng thái này, ví sẽ tránh xa các nguy cơ đe dọa từ tin tặc hay các phần mềm như keylogger, vì nó hạn chế khả năng truy cập. Ngoài ra, mọi ví phần cứng đều đi kèm với một ID và mật khẩu để tăng cường bảo mật. Sử dụng ví phần cứng phổ biến như Ledger hoặc Trezor có thể là một sự lựa chọn phù hợp. Các ví này không chứa tác phẩm nghệ thuật hoặc bất kỳ tiền điện tử nào về mặt vật lý.
Kiểm tra dấu xác nhận
Dấu kiểm màu xanh lam trên tài khoản và bộ sưu tập được xác thực
Cần kiểm tra xem thông tin mà người dùng đang mua có tài khoản hợp pháp không. Hầu hết những người bán NFT hợp pháp sẽ có dấu màu xanh lam bên cạnh tên người dùng của họ trên OpenSea và các thị trường NFT khác (tài khoản này đã được xác minh tính xác thực), đồng thời các thuộc tính của những tài khoản này cũng sẽ được liệt kê rõ ràng.
NFT được sử dụng đa dạng trong nhiều lĩnh vực như nghệ thuật (âm nhạc, ảnh, video) hay bất cứ sản phẩm nào dưới dạng tài sản kỹ thuật số. Hiện nay, thị trường NFT đang trở nên phổ biến hơn, kéo theo đó là các vấn đề an toàn liên quan. Do vậy, chủ động nắm bắt được các hoạt động, hành vi lừa đảo NFT và cách thức phòng tránh sẽ giúp bản thân những người tham gia vào nền tảng công nghệ này có thể bảo vệ tài sản trước những mối nguy cơ tiềm tàng.
Đinh Hồng Đạt, Trịnh Trí Dũng
11:00 | 09/03/2018
16:00 | 04/09/2018
15:00 | 01/11/2011
09:00 | 04/04/2024
Mạng riêng ảo (VPN) xác thực và mã hóa lưu lượng truy cập mạng để bảo vệ tính bí mật và quyền riêng tư của người dùng ngày càng được sử dụng phổ biến trong cả môi trường cá nhân và doanh nghiệp. Do đó, tính bảo mật của VPN luôn là chủ đề nghiên cứu nhận được nhiều sự quan tâm. Bài báo sẽ trình bày hai tấn công mới khiến máy khách VPN rò rỉ lưu lượng truy cập bên ngoài đường hầm VPN được bảo vệ thông qua khai thác lỗ hổng TunnelCrack. Hai tấn công này đã được xác nhận là có khả năng ảnh hưởng đến hầu hết các VPN của người dùng. Ngoài ra, nhóm tác giả cũng đưa ra các biện pháp đối phó để giảm thiểu các cuộc tấn công lợi dụng lỗ hổng này trong thực tế.
10:00 | 28/03/2024
Google Drive là một trong những nền tảng lưu trữ đám mây được sử dụng nhiều nhất hiện nay, cùng với một số dịch vụ khác như Microsoft OneDrive và Dropbox. Tuy nhiên, chính sự phổ biến này là mục tiêu để những kẻ tấn công tìm cách khai thác bởi mục tiêu ảnh hưởng lớn đến nhiều đối tượng. Bài báo này sẽ cung cấp những giải pháp cần thiết nhằm tăng cường bảo mật khi lưu trữ tệp trên Google Drive để bảo vệ an toàn dữ liệu của người dùng trước các mối đe dọa truy cập trái phép và những rủi ro tiềm ẩn khác.
13:00 | 29/12/2023
Hiện nay, số lượng các vụ tấn công mạng trên ứng dụng web đang có xu hướng ngày càng gia tăng cả về quy mô lẫn mức độ tinh vi, với mục tiêu nhắm vào các dịch vụ cơ sở trọng yếu, khối tài chính, ngân hàng và các tổ chức/doanh nghiệp (TC/DN) lớn. Hậu quả của các cuộc tấn công này có thể là giả mạo giao dịch, gián đoạn hoạt động kinh doanh hay vi phạm dữ liệu, dẫn đến nguy cơ rò rỉ thông tin và mất mát dữ liệu quan trọng. Điều này gây ra nhiều thiệt hại đáng kể về tài chính cũng như uy tín của các TC/ DN. Bài báo sẽ trình bày thực trạng về bảo mật ứng dụng web năm 2023 dựa trên báo cáo của công ty an ninh mạng OPSWAT, cùng các giải pháp phòng tránh mối đe dọa tấn công mạng này.
09:00 | 27/03/2023
Trong bối cảnh ngày càng xuất hiện nhiều hơn các cuộc tấn công mã độc tống tiền nhắm đến người dùng cuối, với các thủ đoạn vô cùng tinh vi, các tin tặc đang tích cực phát triển nhiều biến thể mã độc tống tiền nâng cao nhằm đạt được những mục đích nhất định như mã hóa dữ liệu, đòi tiền chuộc,… Bài viết này gửi đến độc giả hướng dẫn một số phương thức bảo vệ dữ liệu máy tính trên Windows 10, bao gồm cả cách sử dụng công cụ phòng chống mã độc tống tiền được tích hợp trên hệ thống.
08:00 | 11/01/2024 | Chính sách - Chiến lược
09:00 | 10/01/2024 | Giải pháp khác
09:00 | 05/01/2024|Chính sách - Chiến lược
09:00 | 05/01/2024|An ninh – Quốc Phòng
Lược đồ chữ ký số dựa trên hàm băm là một trong những lược đồ chữ ký số kháng lượng tử đã được Viện Tiêu chuẩn và Công nghệ Quốc gia Mỹ (NIST) chuẩn hóa trong tiêu chuẩn đề cử FIPS 205 (Stateless Hash Based Digital Signature Standard) vào tháng 8/2023. Bài báo này sẽ trình bày tổng quan về sự phát triển của của lược đồ chữ ký số dựa trên hàm băm thông qua việc phân tích đặc trưng của các phiên bản điển hình của dòng lược đồ chữ ký số này.
09:00 | 01/04/2024
Theo báo cáo năm 2022 về những mối đe doạ mạng của SonicWall, trong năm 2021, thế giới có tổng cộng 623,3 triệu cuộc tấn công ransomware, tương đương với trung bình có 19 cuộc tấn công mỗi giây. Điều này cho thấy một nhu cầu cấp thiết là các tổ chức cần tăng cường khả năng an ninh mạng của mình. Như việc gần đây, các cuộc tấn công mã độc tống tiền (ransomware) liên tục xảy ra. Do đó, các tổ chức, doanh nghiệp cần quan tâm hơn đến phương án khôi phục sau khi bị tấn công.
19:00 | 30/04/2024
