AI News CryptoTRADE THE NEWS
A black device in a green sealed pouch beside a

Lừa đảo thư ví phần cứng giả: cách mà "bẫy di chuyển" đánh cắp cụm từ khôi phục của bạn

By AI News Crypto Editorial Team9 min read

Các trò lừa đảo thư giả mạo ví phần cứng sử dụng thư tín để giả mạo Ledger, Trezor và các thương hiệu khác, sau đó gây áp lực lên người nhận để thực hiện "thay thế bảo mật" hoặc "nâng cấp firmware" nhằm lấy cắp cụm từ hạt giống của họ. Khi 12, 18 hoặc 24 từ đó bị rò rỉ, kẻ tấn công có thể tái tạo ví ở nơi khác và chuyển tiền trong các giao dịch thường không thể đảo ngược.

Điểm chính

  • Các trò lừa đảo này là một "bẫy di cư" hai giai đoạn: một bức thư hoặc gói vật lý tạo ra quyền lực, sau đó một bước phục hồi hoặc nhập cư bị ép buộc sẽ lấy được "cụm từ hạt giống"..Kẻ tấn công không cần phải phá vỡ mật mã của một "ví phần cứng". Họ chỉ cần cụm từ hạt giống, mà các công ty ví hợp pháp không cần và sẽ không yêu cầu.
  • "Bao bì "niêm phong" và các bức thư giống thương hiệu không phải là tín hiệu bảo mật. Nguồn gốc và xác minh độc lập là.Nếu tiền di chuyển sau khi một khóa bị rò rỉ, việc phục hồi thường không khả thi ngay cả khi các nhà điều tra có thể theo dõi dấu vết, vì vậy phòng ngừa tốt hơn phản ứng.Cách các trò lừa đảo thư ví giả mạo hoạt động
  • Trò lừa bắt đầu với thư tín vì nó vượt qua các bộ lọc spam tâm lý mà mọi người sử dụng cho email và tin nhắn trực tiếp. Một bức thư trên giấy có thương hiệu, đôi khi đi kèm với một thiết bị không được yêu cầu, tạo cảm giác rằng một nhà sản xuất đã biết đang thực hiện một biện pháp khắc phục chính thức.
  • Đó là lý do tại sao mẫu này thường được mô tả là lừa đảo vật lý: phương thức giao hàng là ngoại tuyến, nhưng nội dung vẫn là một quy trình lừa đảo.
  • Cấu trúc của trò lừa đảo nhất quán giữa các biến thể "thư Ledger giả" và "trò lừa thư Trezor". Bức thư tuyên bố có một sự vi phạm, khai thác hoặc vấn đề bảo mật khẩn cấp và định hình người nhận như đang bị lộ ngay bây giờ. PCMag đã ghi lại một phiên bản mà kẻ lừa đảo đã gửi thiết bị Ledger giả với một bức thư tuyên bố rằng thiết bị hiện tại của nạn nhân không an toàn.
  • Binance sau đó đã mô tả một thiết lập tương tự: một gói không được yêu cầu chứa một thiết bị Ledger và một bức thư tuyên bố nó được gửi do một sự vi phạm dữ liệu Ledger, hướng dẫn người dùng thay thế thiết bị của họ.

Từ đó, bức thư dẫn dắt nạn nhân vào một bước di cư. Các hướng dẫn thường chỉ đến một URL hoặc một mã QR lừa đảo ví dẫn đến một trang web giống hệt hoặc yêu cầu tải xuống ứng dụng. Nạn nhân được yêu cầu "xác minh", "khôi phục" hoặc "nhập" để bảo vệ tiền. Bước đó là toàn bộ mục tiêu. Nếu nạn nhân nhập cụm từ hạt giống vào bất kỳ thứ gì kết nối với internet, việc mua ví phần cứng đã trở thành một sự kiện lấy khóa.

Đó là lý do tại sao danh mục rộng hơn của các trò lừa đảo ví tiền điện tử và cách tránh chúng luôn quay trở lại một quy tắc. Trò lừa đảo sẽ sụp đổ nếu việc xác minh xảy ra thông qua các kênh chính thức được tìm thấy độc lập và cụm từ hạt giống không bao giờ rời khỏi quy trình sao lưu ngoại tuyến của nạn nhân.

Cơ chế đứng sau vụ trộm

Một ví phần cứng là một thiết bị ký, không phải là một kho báu ma thuật. Nó được xây dựng để giữ "khóa riêng" ra khỏi máy tính kết nối internet trong khi vẫn cho phép các giao dịch được ký. Điểm yếu mà thư lừa đảo ví phần cứng nhắm đến không phải là mật mã của thiết bị. Đó là con đường phục hồi.

Con đường phục hồi là cụm từ hạt giống: thường là 12, 18 hoặc 24 từ kiểm soát các quỹ. Sổ tay "Bitcoin" rất rõ ràng về hai điểm quan trọng ở đây. Đầu tiên, những từ đó hoạt động như chìa khóa cho ví. Thứ hai, các công ty ví hợp pháp không cần chúng và sẽ không yêu cầu chúng. Đó là lý do tại sao câu chuyện "thay thế thiết bị của bạn" lại hiệu quả đến vậy. Nó lén lút yêu cầu một bí mật duy nhất quan trọng vào một quy trình nghe có vẻ như hỗ trợ khách hàng.

Khi một kẻ tấn công có cụm từ hạt giống, phần còn lại là đơn giản. Họ có thể khôi phục ví trên thiết bị của riêng họ hoặc ví phần mềm và chuyển "tài sản" ra ngoài. Ví phần cứng ban đầu của nạn nhân vẫn có thể nằm trong tay và vẫn "an toàn" theo nghĩa hẹp, trong khi các quỹ đã biến mất vì kẻ tấn công đang hoạt động từ một trạng thái ví bị sao chép.

"Bao bì "niêm phong" không khắc phục được điều này. Cointelegraph đã mô tả một trường hợp mà một người dùng đã tin tưởng một ví phần cứng niêm phong được lấy từ TikTok và mất 6,9 triệu đô la.

Đoạn trích không hoàn toàn chi tiết liệu sự xâm phạm đến từ một cụm từ hạt giống được tạo trước, một quy trình thiết lập bị thao túng, hay một gói đã được niêm phong lại, nhưng bài học là rõ ràng: bao bì không phải là một đảm bảo mật mã về nguồn gốc.Khi các khóa bị rò rỉ và tiền di chuyển, các tùy chọn của người bảo vệ nhanh chóng thu hẹp. Cointelegraph lưu ý rằng SlowMist có thể theo dõi các quỹ bị đánh cắp, nhưng mô tả ít hy vọng phục hồi sau khi rò rỉ khóa "ví lạnh". Đó là sự bất đối xứng mà các trò lừa đảo này khai thác.Các ví dụ thực tế và cạm bẫy phổ biến

Lớp thuyết phục là đáng chú ý lặp đi lặp lại trên các kênh. Sổ tay Bitcoin mô tả các chiến dịch lừa đảo dựa vào các cụm từ khẩn cấp như "cập nhật bảo mật", "tài sản đang nâng cấp" và "hoạt động đáng ngờ", kết hợp với việc giả mạo thương hiệu. Phiên bản thư vật lý sử dụng cùng một kịch bản, chỉ được gửi trong một phong bì.Ba ví dụ đã được ghi lại phản ánh mẫu này: 1.

Ngày 20 tháng 6 năm 2021: PCMag báo cáo rằng các kẻ lừa đảo đã gửi các thiết bị Ledger giả với một bức thư tuyên bố rằng thiết bị hiện tại của người nhận không an toàn. Bức thư là đạo cụ quyền lực, và thiết bị là bộ khuếch đại niềm tin. 2.

Ngày 24 tháng 1 năm 2024: Sổ tay Bitcoin mô tả một sự cố email giả mạo Trezor liên quan đến một sự xâm phạm của nhà cung cấp bên thứ ba và trích dẫn Blockaid báo cáo thiệt hại vượt quá 600.000 đô la từ các nạn nhân đã phản hồi. Đây không phải là một bức thư, nhưng nó cho thấy cách mà các thông điệp thương hiệu "trông chính thức" có thể hiệu quả ngay cả khi chúng xuất phát từ một miền hợp pháp. 3.

Ngày 12 tháng 8 năm 2025: Cointelegraph đã kể lại vụ mất 6,9 triệu đô la từ ví "niêm phong" trên TikTok và đã chỉ ra TikTok và các nền tảng xã hội tương tự như những nơi phổ biến cho việc bán ví phần cứng bị xâm phạm và các trò lừa đảo khác.

Các cạm bẫy hội tụ vào một hành động: khiến nạn nhân thực hiện một phục hồi hoặc nhập mà họ không khởi xướng. Đó là lý do tại sao mã QR xuất hiện rất thường xuyên.

Một mã QR loại bỏ sự khó khăn của việc gõ một URL, và nó khiến việc chuyển giao từ giấy sang điện thoại cảm thấy như một bước khởi động bình thường.Một số quy trình cũng cố gắng leo thang từ việc lấy hạt giống đến lừa đảo chữ ký, nơi nạn nhân bị đẩy để phê duyệt một giao dịch hoặc tin nhắn cấp quyền truy cập hoặc quyền hạn. Điều kiện chiến thắng cốt lõi của trò lừa đảo thư vẫn là cụm từ hạt giống, nhưng cùng một mẹo khẩn cấp và quyền lực được sử dụng để có được chữ ký khi kẻ tấn công không thể lấy được các từ.Cách phát hiện và tránh chúng

Phòng thủ không phải là "trở nên thông minh hơn". Nó là loại bỏ hai lợi thế của trò lừa đảo: đồng hồ và kênh. Khẩn cấp là lợi thế, và mã QR hoặc "liên kết" của bức thư là cửa bẫy.

Một quy trình quyết định đơn giản phá vỡ hầu hết các trò lừa đảo thư ví phần cứng giả: 1. Ngừng quy trình ngay lập tức. Đừng quét mã QR, đừng nhấp vào liên kết và đừng cắm vào một thiết bị không được yêu cầu. 2. Xác minh qua các kênh độc lập. Sử dụng một dấu trang đã biết tốt hoặc điều hướng thủ công đến trang web chính thức của nhà sản xuất, sau đó tìm kiếm thông báo bảo mật ở đó. Đừng sử dụng thông tin liên lạc in trong bức thư. 3. Đối xử với bất kỳ yêu cầu nào để nhập cụm từ hạt giống vào một trang web hoặc ứng dụng như là thù địch. Quy tắc của Sổ tay Bitcoin là quy tắc quan trọng: các công ty ví hợp pháp không cần nó và sẽ không yêu cầu nó. 4. Tách biệt "thay thế thiết bị" khỏi "tiết lộ khóa". Một thiết bị mới có thể được thiết lập mà không bao giờ gõ cụm từ hạt giống vào một trang web. Thời điểm duy nhất cụm từ hạt giống nên được sử dụng là một phục hồi mà chủ sở hữu khởi xướng, sử dụng phần mềm đáng tin cậy, không phải một "nâng cấp bảo mật" mà người khác khởi xướng.Đây là nơi mà các thực hành tốt nhất về ví phần cứng không còn là một danh sách kiểm tra chung mà trở thành một tư thế. Giả định rằng các thiết bị đến là không đáng tin cậy cho đến khi được chứng minh ngược lại, và giả định rằng các hướng dẫn đến là đối kháng cho đến khi được xác minh.

Trường hợp TikTok là nhãn cảnh báo rõ ràng về nguồn gốc. Cointelegraph mô tả các nền tảng truyền thông xã hội, bao gồm TikTok, là những nơi phổ biến cho các trò lừa đảo và việc bán ví phần cứng bị xâm phạm. "Niêm phong" là một tín hiệu tiếp thị, không phải là một bằng chứng bảo mật.

Gần cuối bất kỳ cuộc trò chuyện phòng ngừa nào, khung rộng hơn là quan trọng: thói quen phòng ngừa lừa đảo ví. Cùng một kỷ luật xác minh mà chặn một bức thư Ledger giả cũng chặn các miền giống hệt, tải xuống ứng dụng độc hại và các chủ đề hỗ trợ giả mạo.

Nếu bạn đã tương tác với một cái nào đó

Thiệt hại phụ thuộc vào bước nào đã được thực hiện. Mở một bức thư không phải là điểm thất bại. Điểm thất bại là từ bỏ bí mật hoặc di cư theo hướng dẫn của kẻ tấn công.

Phân loại tình huống theo thứ tự:

1. Nếu cụm từ hạt giống đã được nhập vào bất kỳ trang web hoặc ứng dụng nào, hãy coi nó là bị xâm phạm. Mô hình của Sổ tay Bitcoin là không khoan nhượng ở đây: bất kỳ ai có 12, 18 hoặc 24 từ đều kiểm soát các quỹ. 2. Nếu một giao dịch đã được ký hoặc một tin nhắn đã được phê duyệt dưới áp lực, hãy giả định rằng kẻ tấn công đang cố gắng lừa đảo chữ ký và xem xét những gì đã được ủy quyền.

Mục tiêu trong những quy trình này là biến một khoảnh khắc hoảng loạn thành một quyền hạn bền vững. 3. Nếu tiền đã di chuyển, hãy mong đợi xác suất phục hồi thấp. Ví dụ của Cointelegraph lưu ý rằng SlowMist có thể theo dõi các quỹ bị đánh cắp nhưng mô tả ít hy vọng phục hồi sau khi rò rỉ khóa.

Mục tiêu ngay lập tức sau khi nghi ngờ bị xâm phạm là ngăn chặn tổn thất thêm, không phải tranh cãi với bức thư. Điều đó có nghĩa là dừng bất kỳ bước "nâng cấp" nào tiếp theo, xác minh qua các kênh chính thức được tìm thấy độc lập, và coi bất kỳ tin nhắn mới nào đến như một phần của cùng một chiến dịch.

Sự thật khó chịu là phản ứng thường tồi tệ hơn phòng ngừa vì các giao dịch tiền điện tử thường không thể đảo ngược một khi đã được xác nhận. Đó là lý do tại sao những trò lừa đảo này được xây dựng xung quanh một khoảnh khắc không thể đảo ngược: lấy cụm từ hạt giống ra khỏi thiết bị và ra khỏi sự kiểm soát của chủ sở hữu.Nhận địnhTôi đã thấy mọi người đối xử với một phong bì có thương hiệu như một bản cập nhật bảo mật từ Apple.

Phản xạ đó chính xác là điều mà các trò lừa đảo thư giả mạo ví phần cứng đang mua bằng bưu phí. Bức thư không phải là cuộc tấn công. Cuộc tấn công là quy trình “di cư” bị ép buộc biến một ví phần cứng thành một sự kiện trích xuất cụm từ hạt giống.

Sự hiểu lầm đắt giá nhất là nghĩ rằng bao bì là ranh giới bảo mật. Sự mất mát 6,9 triệu đô la của Cointelegraph trên TikTok về “ví đã niêm phong” là lời nhắc nhở rằng nguồn gốc quan trọng hơn cả lớp bọc. Hãy chậm lại, xác minh từ các dấu trang của riêng bạn và giữ cụm từ hạt giống ở đúng chỗ. Nếu những từ đó không bao giờ được gõ vào một trang web hoặc ứng dụng nào, thì trò lừa đảo không có gì để đánh cắp.

Nguồn

PCMag

Binance Square

Cẩm nang Bitcoin

Cointelegraph

[@portabletext/react] Unknown block type "span", specify a component for it in the `components.types` prop

[@portabletext/react] Unknown block type "span", specify a component for it in the `components.types` prop

[@portabletext/react] Unknown block type "span", specify a component for it in the `components.types` prop

[@portabletext/react] Unknown block type "span", specify a component for it in the `components.types` prop

[@portabletext/react] Unknown block type "span", specify a component for it in the `components.types` prop

[@portabletext/react] Unknown block type "span", specify a component for it in the `components.types` prop

[@portabletext/react] Unknown block type "span", specify a component for it in the `components.types` prop

[@portabletext/react] Unknown block type "span", specify a component for it in the `components.types` prop

[@portabletext/react] Unknown block type "span", specify a component for it in the `components.types` prop

  • [@portabletext/react] Unknown block type "span", specify a component for it in the `components.types` prop
  • [@portabletext/react] Unknown block type "span", specify a component for it in the `components.types` prop
  • [@portabletext/react] Unknown block type "span", specify a component for it in the `components.types` prop
  • [@portabletext/react] Unknown block type "span", specify a component for it in the `components.types` prop

Frequently Asked Questions

Tôi nên làm gì nếu nhận được một bức thư nói rằng Ledger hoặc Trezor của tôi đã bị xâm phạm?

Xem nó như một mối đe dọa theo mặc định và dừng quy trình làm việc. Không quét bất kỳ mã QR nào hoặc sử dụng bất kỳ liên kết hoặc số điện thoại nào được in trong bức thư. Xác minh bằng cách truy cập vào trang web chính thức của nhà sản xuất thông qua dấu trang của bạn hoặc gõ tay và kiểm tra thông báo bảo mật phù hợp.

Đội ngũ hỗ trợ của Ledger hoặc Trezor có bao giờ yêu cầu cụm từ hạt giống của bạn không?

Không. Cụm từ hạt giống thường là 12, 18 hoặc 24 từ và hoạt động như chìa khóa cho các quỹ, và các công ty ví hợp pháp không cần nó và sẽ không yêu cầu nó. Bất kỳ yêu cầu nào để nhập nó vào một trang web hoặc ứng dụng đều là dấu hiệu cảnh báo.

Ví phần cứng được niêm phong có an toàn nếu trông như chưa mở không?

Không nhất thiết. Cointelegraph đã mô tả một trường hợp mà việc tin tưởng vào một ví phần cứng được niêm phong có nguồn gốc từ TikTok đã dẫn đến thiệt hại 6,9 triệu đô la. Bao bì không phải là bằng chứng mật mã về nguồn gốc, đặc biệt khi thiết bị đến từ mạng xã hội hoặc các chợ.

Cách mà các trò lừa đảo ví mã QR kết nối với các bức thư ví phần cứng như thế nào?

Mã QR thường là cầu nối từ một bức thư vật lý đến một trang web lừa đảo hoặc tải xuống độc hại. Nó giảm bớt ma sát và khiến quy trình “thay thế/nâng cấp” cảm thấy chính thức. Mục tiêu cuối cùng thường là khiến bạn tiết lộ cụm từ hạt giống của mình hoặc phê duyệt một hành động không an toàn.

Nếu tôi đã nhập cụm từ hạt giống của mình trên một trang web, tôi có thể lấy lại tiền điện tử của mình không?

Khả năng phục hồi thường không khả thi khi các khóa bị rò rỉ và quỹ đã di chuyển. Cointelegraph lưu ý rằng SlowMist có thể theo dõi các quỹ bị đánh cắp trong một trường hợp nhưng mô tả ít hy vọng phục hồi sau khi rò rỉ khóa ví lạnh. Ưu tiên trở thành ngăn chặn tổn thất thêm và coi cụm từ hạt giống là đã bị xâm phạm.