Cảnh Giác: Kẻ Lừa Đảo Qua Điện Thoại Muốn Truy Cập API Của Bạn

Điểm chính

• Làn sóng gọi lừa đảo kỳ lạ đang tấn công người dùng, khiến họ thay đổi API.
• Nhận thông tin chi tiết về kế hoạch này và cách bảo vệ bản thân
• Thiết lập 2FA và khóa bảo mật, kiểm tra kỹ các cuộc gọi, khóa API của bạn lại

Nó bắt đầu bằng một cuộc gọi bất ngờ. Nghe có vẻ hợp lý. Ai đó tự xưng là từ bộ phận hỗ trợ nói với bạn về "các vấn đề bảo mật khẩn cấp" với tài khoản của bạn. Họ dường như biết họ đang nói về điều gì. Họ hướng dẫn bạn thay đổi một số cài đặt API. Nghe có vẻ hợp lý.

Nhưng không phải vậy.

Bằng cách điều chỉnh những cài đặt đó, bạn vừa trao chìa khóa cho vương quốc của mình. Kẻ lừa đảo giờ có thể rút tiền của bạn thẳng vào túi của chúng.

Đây là chiêu lừa đảo điện thoại mới nhất nhắm vào người dùng tiền điện tử vào năm 2025. Thực sự khá thông minh. Những kẻ tội phạm này khai thác lòng tin – bản năng tự nhiên của chúng ta khi tin tưởng vào những người nghe có vẻ chính thức. Khi ai đó nghe có vẻ tự tin và hữu ích, chúng ta thường buông lỏng cảnh giác.

Các đội quản lý rủi ro đang theo dõi vấn đề này. Thật bất ngờ khi nó lại hiệu quả đến vậy. Tuy nhiên, sự nhận thức của bạn có lẽ là vũ khí tốt nhất chống lại nó.

Cách mà trò lừa đảo này thực sự hoạt động

Cuộc gọi có vẻ thật. Giọng nói chuyên nghiệp. Số điện thoại trông chính thức trên ID người gọi của bạn. Họ tạo ra sự khẩn trương: "Tài khoản của bạn có thể bị xâm phạm! Chúng tôi cần sửa đổi cài đặt API của bạn ngay bây giờ!"

Nhiều người thấy câu chuyện này đáng tin cậy. Không có gì điên rồ khi tin tưởng một ai đó có vẻ như đang cố gắng giúp đỡ. Vì vậy, họ đăng nhập và theo dõi, không nhận ra điều gì đang xảy ra.

Chỉ trong vài giờ, thảm họa xảy ra. Những "điều chỉnh nhỏ" đối với quyền truy cập API? Chúng cho phép kẻ lừa đảo khởi tạo rút tiền thẳng vào ví của họ.

Khía cạnh Kỹ thuật của Vấn đề

API là trái tim của trò lừa đảo này. Nó thường là một công cụ hữu ích cho các nhà giao dịch muốn tự động hóa. Nhưng khi các nạn nhân mở rộng quyền truy cập API - đặc biệt là cho phép rút tiền - kẻ tấn công sẽ có quyền kiểm soát nghiêm trọng.

Vì bạn đã thực hiện những thay đổi này từ thiết bị của mình, hệ thống bảo mật không phát hiện bất kỳ điều gì nghi ngờ. Mọi thứ có vẻ bình thường trên bề mặt. Trong khi đó, tài khoản của bạn đã bị xâm phạm.

Mọi người đang chia sẻ những câu chuyện kinh dị trên mạng xã hội bây giờ. Ví trống không. Những cuộc gọi đáng ngờ. Cộng đồng đang trở nên lo lắng.

Tác động thực sự đến những người thực

Những con số không đẹp. Hàng chục người dùng đã bị ảnh hưởng cho đến nay. Thiệt hại từ vài trăm đến hàng nghìn USDT. Ngoài vấn đề tiền bạc, còn có cú sốc tâm lý. Nhiều người nghĩ rằng họ đang thực sự bảo vệ bản thân, chỉ để phát hiện ra rằng họ đã bị lừa.

Thời điểm đã làm cho mọi thứ trở nên tồi tệ hơn. Những cuộc tấn công này gia tăng trong thị trường biến động vào cuối tháng 7. Các nhà giao dịch đang theo đuổi cơ hội. Một sự phân tâm hoàn hảo. Những kẻ lừa đảo đã tấn công khi cảnh giác bị hạ thấp.

BIN là gì trong lừa đảo?

Khác với lừa đảo API, nhưng đáng để biết – các cuộc tấn công BIN nhắm vào vài chữ số đầu tiên của thẻ thanh toán (Số nhận dạng ngân hàng). Kẻ lừa đảo sử dụng những con số này làm điểm khởi đầu để tạo ra các số thẻ tín dụng tiềm năng thông qua các chương trình tự động.

Họ thực chất đang chơi một trò chơi đoán, chạy các thuật toán tạo ra các biến thể của các số bắt đầu với các BIN đã biết, sau đó kiểm tra xem số nào hoạt động.

Bạn thường sẽ thấy những mẫu giao dịch bị từ chối không bình thường trong các cuộc tấn công BIN. Những kẻ tội phạm phải thử nhiều kết hợp trước khi tìm được thông tin thẻ hợp lệ. Không giống như lừa đảo API của chúng tôi, nhưng cho thấy sự sáng tạo của những người này.

Bảo vệ bản thân

Bảo vệ đa lớp hoạt động hiệu quả nhất. Hãy thử những điều này:

1. Bật 2FA: Sử dụng ứng dụng xác thực hoặc khóa phần cứng. Ngay cả khi quyền truy cập API bị xâm phạm, việc rút tiền cần bước xác minh thứ hai đó.

2. Cài đặt Passkey: Đây là xác thực chống lừa đảo. Sử dụng dấu vân tay hoặc thiết bị của bạn để xác minh. Mạnh mẽ hơn nhiều so với chỉ sử dụng mật khẩu.

3. Tin nhưng phải xác minh: Không bao giờ thay đổi cài đặt API dựa trên các cuộc gọi không mong muốn. Ngừng cuộc gọi, sau đó tự mình liên hệ với hỗ trợ thông qua các kênh chính thức.

4. Khóa những cài đặt API đó: Kiểm tra quyền truy cập của bạn thường xuyên. Đừng cho phép rút tiền trừ khi thực sự cần thiết. Thay đổi khóa thường xuyên.

5. Theo dõi tài khoản của bạn như một con diều hâu: Kiểm tra hàng ngày các giao dịch và đăng nhập. Đặt cảnh báo cho các giao dịch rút tiền.

6. Tìm hiểu về lừa đảo: Không phải là đọc thú vị, nhưng có thể cứu số tiền của bạn.

7. Báo cáo các cuộc gọi lạ: Gác máy, ghi lại số điện thoại, thông báo cho bộ phận hỗ trợ về những gì đã xảy ra.

8. Thiết bị crypto chuyên dụng: Không cần thiết nhưng hữu ích – một thiết bị riêng chỉ dành cho crypto giảm thiểu rủi ro.

Mẹo nhanh: Nếu bạn đã thay đổi cài đặt API sau một cuộc gọi đáng ngờ, hãy thay đổi mật khẩu của bạn NGAY BÂY GIỜ, ngắt kết nối khỏi internet và liên hệ với hỗ trợ để hủy tất cả các khóa API.

Những suy nghĩ cuối cùng

Những cuộc gọi hỗ trợ giả mạo này thật tinh vi. Nhưng bạn thông minh hơn.

Cảnh giác. Giữ vững các kênh chính thức. Không bao giờ điều chỉnh cài đặt API chỉ vì ai đó trên điện thoại bảo bạn làm vậy. Thêm những lớp bảo mật bổ sung như khóa truy cập và xác thực 2FA phần cứng.

Các đội ngũ an ninh đang liên tục chiến đấu chống lại những mối đe dọa này. Không hoàn toàn rõ ràng là làn sóng lừa đảo tiếp theo sẽ phát triển như thế nào. Nhưng không có hệ thống nào vượt qua được sự kết hợp giữa nhận thức của bạn và an ninh nền tảng. Cùng nhau, chúng ta có thể giữ cho những kẻ lừa đảo ở bên ngoài và bảo vệ quỹ của bạn.