Cảnh báo từ CEO Crypto: Mất hơn $100.000 tài sản vì chiêu lừa tinh vi qua Zoom mang tên “ELUSIVE COMET”

Jake Gallen, CEO nền tảng NFT Emblem Vault, cảnh báo cộng đồng crypto. Ông đã mất hơn 100.000 USD tài sản kỹ thuật số sau một vụ tấn công mạng tinh vi. Vụ việc bắt nguồn từ một cuộc họp đáng ngờ trên Zoom.

Vụ tấn công và lời cảnh báo từ CEO Emblem Vault

CEO của Emblem Vault đã dùng mạng xã hội X (trước đây là Twitter) để cảnh báo người dùng. Ông nhấn mạnh rủi ro tiềm ẩn khi sử dụng ứng dụng họp trực tuyến Zoom.

Lời cảnh báo này được đưa ra sau khi chính ông trở thành nạn nhân. Một kẻ tấn công với bí danh “ELUSIVE COMET” đã đánh cắp tài sản cá nhân của ông, trị giá hơn 100.000 USD.

Diễn biến chi tiết vụ tấn công

Vào ngày 11 tháng 4, Jake Gallen đã chia sẻ trên X. Ông là CEO Emblem Vault, podcaster và nhà sưu tập NFT nổi tiếng. Ông cho biết mình đối mặt với một “cuộc xâm nhập máy tính toàn diện”.

Hậu quả là một lượng lớn Bitcoin và Ether đã biến mất khỏi các ví của ông. “Sự cố này gây tổn thất hơn 100 nghìn đô la giá trị tài sản kỹ thuật số tôi đã tích lũy,” ông Gallen tiếc nuối chia sẻ.

Sau sự cố vài ngày, ông Gallen hợp tác với công ty an ninh mạng The Security Alliance (SEAL). Cuộc điều tra hé lộ một chiến dịch tấn công đang diễn ra. Nhóm tin tặc “ELUSIVE COMET” nhắm vào người dùng tiền điện tử.

Phương thức lừa đảo qua Zoom

Theo ông Gallen, phương thức lừa đảo diễn ra qua nền tảng Zoom. Chính cuộc gọi này là nguyên nhân khiến các ví tiền điện tử của ông bị rút sạch.

“Chúng tôi đã thu hồi được một tệp phần mềm độc hại (malware). Nó được cài vào máy tính của tôi trong cuộc gọi Zoom,” ông Gallen tiết lộ ngày 14 tháng 4. “Người thực hiện cuộc gọi là một YouTuber có hơn 90 nghìn người đăng ký.”

Công ty SEAL cũng đã công bố báo cáo vào cuối tháng 3. Báo cáo nêu rõ tác nhân độc hại này “sử dụng chiến thuật kỹ thuật xã hội (social engineering) tinh vi”. Mục đích là dụ dỗ nạn nhân cài đặt malware để đánh cắp tiền điện tử.

Chiêu trò kỹ thuật xã hội tinh vi

Ông Gallen kể chi tiết hơn về vụ việc. Ông nhận lời mời phỏng vấn từ một tài khoản X có tick xanh và hơn 26.000 người theo dõi. Người này tự xưng là người sáng lập/CEO một nền tảng khai thác tiền điện tử.

Trong cuộc phỏng vấn qua Zoom, người này tắt camera của mình. Camera của ông Gallen vẫn bật. Chính lúc này, ông Gallen bị lừa cài đặt malware tên “GOOPDATE”.

Phần mềm độc hại này đã đánh cắp thông tin đăng nhập. Kẻ tấn công nhờ đó truy cập được vào các ví tiền điện tử của ông.

Cointelegraph đã liên hệ tài khoản X được đề cập nhưng chưa nhận được phản hồi.

Lỗ hổng tiềm ẩn từ tính năng Truy cập Từ xa của Zoom

Ông Gallen giải thích cơ chế tấn công. “Kẻ tấn công (khách mời trong Zoom) có vẻ đã lợi dụng tính năng truy cập từ xa.”

“Tính năng này cho phép truy cập máy tính của người chủ trì cuộc gọi. Đáng lo ngại, nó có thể được yêu cầu và BẬT SẴN THEO MẶC ĐỊNH cho mọi tài khoản Zoom,” ông nói thêm.

Nhà sưu tập NFT Leonidas cũng xác nhận cài đặt mặc định này. Ông khuyên cộng đồng crypto nên chủ động tắt (disable) tính năng truy cập từ xa.

“Nếu không làm vậy, bất kỳ ai tham gia Zoom với nhân viên của bạn đều có thể yêu cầu kiểm soát máy tính của họ theo mặc định,” ông Leonidas nhấn mạnh.

Cần sự đồng ý (dù bị lừa) của nạn nhân

Tuy nhiên, nhà nghiên cứu bảo mật Samczsun từ SEAL cung cấp thêm góc nhìn. Ông nói với Cointelegraph rằng Zoom mặc định cho phép yêu cầu quyền kiểm soát từ xa.

“Nhưng chúng tôi tin rằng tại thời điểm này, nạn nhân vẫn cần bị tác động bởi kỹ thuật xã hội để đồng ý cấp quyền truy cập,” ông giải thích. Nghĩa là việc cấp quyền không tự động, cần sự phê duyệt (dù bị lừa) từ người dùng.

Cointelegraph đã liên hệ Zoom để lấy ý kiến nhưng chưa nhận được phản hồi ngay.

Hậu quả nghiêm trọng và Cảnh báo về nhóm tin tặc

Một chi tiết đáng báo động khác được ông Gallen tiết lộ. Tin tặc thậm chí đã truy cập được vào ví cứng Ledger của ông. Điều này rất nghiêm trọng.

Ông khẳng định chỉ đăng nhập ví này vài lần trong ba năm. Ông cũng chưa bao giờ lưu trữ cụm từ khôi phục (seed phrase) dưới dạng kỹ thuật số.

Ngoài ra, tài khoản X của ông Gallen cũng bị chiếm quyền kiểm soát trong thời gian ngắn. Hacker dùng uy tín của ông để lừa đảo người khác qua tin nhắn riêng tư.

SEAL báo cáo nhóm “ELUSIVE COMET” được cho là đứng sau vỏ bọc Aureon Capital. Đây là một công ty tự nhận là quỹ đầu tư mạo hiểm hợp pháp.

Tổ chức này chịu trách nhiệm cho “hàng triệu đô la tiền điện tử bị đánh cắp”. Chúng đặt ra mối đe dọa nghiêm trọng bởi “câu chuyện nền được xây dựng công phu và đáng tin cậy”, SEAL lưu ý.

Lời khuyên cho cộng đồng

Samczsun khuyên những ai từng tương tác với Aureon Capital nên hành động ngay. Hãy liên hệ đường dây nóng khẩn cấp của SEAL trên Telegram. Họ sẽ hỗ trợ và cung cấp thông tin cần thiết.

Liên quan: SEC Làm Rõ Về Stablecoin, Mở Ra Kỷ Nguyên Mới Cho Thanh Toán