Đề xuất của Google Chrome dẫn người dùng đến trang giả mạo, mất 20,000 USD trong vài phút

Tội phạm mạng đang lợi dụng một thủ thuật tinh vi—thay thế các ký tự đơn giản trên trang web bằng các ký tự tương tự—để đánh cắp tiền điện tử. Nhiều nạn nhân vô tình mất số tiền lớn sau khi truy cập vào các trang web giả mạo gần như không thể phân biệt được với các trang hợp pháp.

Tình hình trở nên tồi tệ hơn khi các đề xuất của trình duyệt đôi khi có thể dẫn người dùng đến các tên miền lừa đảo này. Mặc dù các cơ quan quản lý kêu gọi cẩn trọng, họ vẫn chưa trực tiếp giải quyết các vụ lừa đảo tinh vi này.

Các cuộc tấn công lừa đảo Punycode đang gây thiệt hại tài chính thực sự cho những người nắm giữ tiền điện tử. Các báo cáo gần đây nhấn mạnh mức độ khó khăn trong việc nhận diện các trang web lừa đảo mà gần giống với các sàn giao dịch hợp pháp. Ngay cả những người cẩn thận cũng có nguy cơ trở thành nạn nhân, đặc biệt khi các trình duyệt hàng đầu đề xuất các liên kết có vẻ đáng tin cậy.

Người dùng mất 20,000 USD vì lừa đảo tiền điện tử do đề xuất của Google Chrome

Lừa đảo Punycode liên quan đến việc đăng ký các địa chỉ trang web trông gần như giống hệt với các nền tảng tiền điện tử đáng tin cậy—nhưng với sự thay đổi ký tự tinh tế. Ví dụ, tội phạm mạng có thể thay thế một chữ cái Latin quen thuộc bằng một ký tự Cyrillic gần giống. Kết quả là, ngay cả những người dùng tinh ý cũng có thể nhầm lẫn một trang lừa đảo với trang thật, đặc biệt khi mọi yếu tố trên trang đều có vẻ xác thực.

Thêm vào đó, kẻ tấn công lợi dụng điểm yếu của trình duyệt. Gần đây, hệ thống đề xuất của Google Chrome đã dẫn một người dùng đến một trang giả mạo bắt chước sàn giao dịch tiền điện tử ChangeNOW. Người dùng, tin tưởng vào đề xuất, đã tương tác với trang—và mất hơn 20,000 USD tài sản kỹ thuật số.

“Đây là điểm yếu của Chrome. Cơ chế đề xuất không được thực hiện tốt, và nó đề xuất các trang web lừa đảo cho người dùng… Người dùng ban đầu đang truy cập trang web thật,” Người sáng lập SlowMist đã đăng.

Trường hợp này đã gây ra cuộc tranh luận rộng rãi về trách nhiệm của trình duyệt và sự phát triển liên tục của các chiến thuật lừa đảo trong lĩnh vực tiền điện tử. Mặc dù một số người dùng mạng xã hội chỉ trích mạnh mẽ một số nền tảng, việc nâng cao nhận thức và giáo dục về các phương pháp lừa đảo này là rất quan trọng để bảo vệ người dùng.

Cảnh báo quy định và khoảng trống bảo hiểm

Các cơ quan Hoa Kỳ tiếp tục cảnh báo người tiêu dùng về các vụ lừa đảo tiền điện tử, đặc biệt nhấn mạnh việc mạo danh sàn giao dịch và gian lận tài sản kỹ thuật số là những nguy cơ chính. Công cụ Theo dõi Lừa đảo Tiền điện tử của Bộ Bảo vệ Tài chính và Đổi mới California (DFPI) giám sát các khiếu nại gia tăng, đặc biệt là các kế hoạch nhằm rút cạn ví của nạn nhân thông qua mạo danh.

Ủy ban Thương mại Liên bang (FTC) cung cấp hướng dẫn về gian lận tiền điện tử, nhấn mạnh tầm quan trọng của việc xác nhận URL trang web, tránh chia sẻ thông tin cá nhân với các nền tảng không rõ nguồn gốc và báo cáo hoạt động đáng ngờ. Tương tự, Hiệp hội Quản trị Chứng khoán Bắc Mỹ (NASAA) tiếp tục nhấn mạnh các vụ lừa đảo tài sản kỹ thuật số ảnh hưởng đến mọi loại người dùng tiền điện tử.

Đáng chú ý, mặc dù các cơ quan quản lý đưa ra các khuyến cáo chung về việc mạo danh sàn giao dịch và lừa đảo, chưa có cơ quan nào đề cập đến các mối đe dọa dựa trên Punycode theo tên. Tuy nhiên, các hành động được khuyến nghị của họ—kiểm tra kỹ URL, hoài nghi về các liên kết không được yêu cầu và báo cáo kịp thời các vụ lừa đảo—có thể giúp người dùng phát hiện hoặc ngăn chặn các cuộc tấn công này.

Bảo vệ bản thân khi ngành công nghiệp phản ứng

Khi các kế hoạch lừa đảo ngày càng tinh vi, người dùng phải luôn cảnh giác. Kiểm tra cẩn thận từng chi tiết của trang web trước khi đăng nhập hoặc thực hiện giao dịch là rất quan trọng. Kiểm tra kỹ URL, chú ý các ký tự bất thường và tránh các liên kết chưa được xác minh có thể ngăn chặn nhiều cuộc tấn công.

Mặc dù các cơ quan quản lý như FinCEN kêu gọi sự cảnh giác liên tục, các trình duyệt lớn và sàn giao dịch tiền điện tử vẫn chưa công bố các biện pháp trực tiếp để đối phó với lừa đảo dựa trên Punycode. Hiện tại, gánh nặng vẫn thuộc về người dùng để bảo vệ tài sản của họ, mặc dù các khiếu nại gia tăng và cải thiện theo dõi gian lận có thể cuối cùng thúc đẩy các giải pháp quy định hoặc công nghệ.

Cuối cùng, việc giáo dục liên tục là biện pháp phòng thủ tốt nhất của người dùng. Các công cụ như DFPI Crypto Scam Tracker và nhận thức rộng rãi trên mạng xã hội giúp tạo ra một cộng đồng tiền điện tử cảnh giác hơn. Trong khi kẻ tấn công thích nghi, người dùng thông thái và chú ý sẽ ít có khả năng trở thành nạn nhân của các kỹ thuật lừa đảo tinh vi này.