
Dự án thật giả: Cẩn thận trước các tài khoản giả mạo trong phần bình luận lừa đảo钓鱼
Tuyển chọn TechFlowTuyển chọn TechFlow

Dự án thật giả: Cẩn thận trước các tài khoản giả mạo trong phần bình luận lừa đảo钓鱼
Bài viết này sẽ phân tích quy trình hoạt động của nhóm lừa đảo trong phần bình luận của các dự án nổi tiếng.
Tác giả: Sơn & Liz
Bối cảnh
Gần đây, đội ngũ an ninh SlowMist liên tục nhận được nhiều yêu cầu trợ giúp về các vụ mất tài sản. Sau khi phân tích, chúng tôi phát hiện nguyên nhân phổ biến nhất lại chính là: lừa đảo qua bình luận giả mạo dưới bài đăng Twitter của các dự án nổi tiếng!
Sau đó, đội an ninh SlowMist đã thực hiện phân tích và thống kê cụ thể: khoảng 80% các dự án nổi tiếng sau khi đăng tweet, bình luận đầu tiên trong phần bình luận đều bị chiếm bởi các tài khoản lừa đảo钓鱼. Trước thực trạng tự động hóa cao độ của các nhóm lừa đảo và nhận thức bảo mật thấp ở một bộ phận người tham gia tiền mã hóa, bài viết này sẽ giải mã quy trình hoạt động của các nhóm lừa đảo tại khu vực bình luận của dự án nổi tiếng, nhằm cảnh tỉnh cộng đồng tiền mã hóa.
Quy trình thực hiện hành vi lừa đảo
1. Mua tài khoản Twitter. Chúng tôi phát hiện trên Telegram tồn tại nhiều nhóm bán tài khoản Twitter, những tài khoản này có lượng người theo dõi, số lượng bài đăng nhất định và thời gian đăng ký khác nhau, người mua có thể lựa chọn tài khoản phù hợp theo nhu cầu. Xem lại lịch sử nhóm cho thấy, đa số tài khoản được rao bán thuộc lĩnh vực tiền mã hóa hoặc tài khoản của người nổi tiếng.


Ngoài các nhóm bán tài khoản trên Telegram, còn có cả trang web chuyên bán tài khoản Twitter. Các trang web này cung cấp tài khoản Twitter từ nhiều năm khác nhau, hỗ trợ mua tài khoản tương tự đặc biệt, ví dụ như tên người dùng giống hệt Optimism (tài khoản thật) nhưng lại là Optimlzm (tài khoản giả). Các trang web này cũng chấp nhận thanh toán bằng tiền mã hóa.

(https://twitteraccseller.mysellix.io/)
2. Sau khi mua được tài khoản sẵn có, nhóm lừa đảo sẽ dùng công cụ quảng cáo để mua lượt tương tác người theo dõi nhằm tăng độ tin cậy cho tài khoản. Công cụ quảng cáo này cũng chấp nhận thanh toán bằng tiền mã hóa, cung cấp dịch vụ like, chia sẻ, tăng người theo dõi trên các nền tảng mạng xã hội chính thống nước ngoài. Người mua chỉ cần nhập đường link cần quảng bá cùng số lượng yêu cầu là có thể mua.

(https://easyliker.ru/services)
Theo thông tin từ bộ phận chăm sóc khách hàng của nền tảng này, chỉ riêng nền tảng này đã xử lý hơn 1,3 triệu đơn hàng, với hơn 20.000 người dùng từng sử dụng dịch vụ của họ.

3. Sau các bước chuẩn bị trên, nhóm lừa đảo đã sở hữu một tài khoản Twitter có đủ bài đăng và người theo dõi. Tiếp theo, họ sao chép nội dung tài khoản theo mẫu tài khoản chính thức của dự án. Lúc này, đối với một bộ phận người dùng, hai tài khoản gần như không thể phân biệt thật – giả. Bước tiếp theo là hành động then chốt trong kế hoạch lừa đảo:
-
Dùng robot tự động theo dõi hoạt động của các dự án nổi tiếng;
-
Ngay sau khi dự án đăng tweet, robot của nhóm lừa đảo sẽ lập tức bình luận để đảm bảo chiếm vị trí bình luận đầu tiên, tận dụng lượng xem lớn;
-
Do người dùng đang xem bài đăng thật sự do dự án gửi, kết hợp với tài khoản lừa đảo đã được ngụy trang rất giống tài khoản chính thức, chỉ cần người dùng chủ quan, nhấn vào liên kết giả mạo dưới danh nghĩa airdrop,... rồi ủy quyền, ký xác nhận, tài sản sẽ bị đánh cắp.
Ví dụ thực tế
Vào ngày 12 tháng 1, tài khoản Twitter chính thức của Optimism đăng một bài viết. Bình luận đầu tiên dưới bài viết này chính là do nhóm lừa đảo đăng, có lượng tương tác rất cao và đính kèm liên kết website chính thức, tuy nhiên phần liên kết trong nội dung chữ lại là đường dẫn giả mạo, như hình bên dưới. Cùng ngày, CISO của SlowMist @IM_23pds đã cảnh báo trên Twitter, kêu gọi người dùng cảnh giác trước các tài khoản giả mạo lừa đảo trong phần bình luận của dự án.

(https://twitter.com/IM_23pds/status/1745662404300788120)
Nhóm lừa đảo tận dụng cơ chế đổi tên trên Twitter: người dùng có thể thay đổi tên hiển thị (Display Name), nhưng điều này không làm thay đổi định danh duy nhất trên Twitter – tức là tên người dùng (Handle), thường bắt đầu bằng ký hiệu @. Tài khoản giả này đã đổi tên hiển thị giống hệt tài khoản chính thức, đều là "Optimism", nhưng nếu nhìn kỹ sẽ thấy tên người dùng (username) có sự khác biệt nhỏ: nhóm lừa đảo đã thay "is" trong tên chính thức bằng "lz". Thủ đoạn lừa đảo này đã từng được giới thiệu trong Sổ tay Rừng Đen.
Phân tích MistTrack
Sử dụng công cụ truy vết chuỗi khối MistTrack tra cứu địa chỉ 0xd02c75102ed941b26e318c0896c5b5aeb4ddc965 – địa chỉ của người bán tài khoản Twitter trên Telegram, chúng tôi phát hiện các địa chỉ chuyển tiền đến địa chỉ này đều bị MistTrack đánh dấu là có liên quan đến hành vi lừa đảo, trộm tiền,... Khi nhấp đúp vào các địa chỉ này, lại truy tìm ra thêm nhiều địa chỉ độc hại khác, cho thấy quy mô lớn của chợ đen này.


Các biện pháp ứng phó
1. Tối ưu hóa tiện ích chống lừa đảo. 90% các vụ lừa đảo NFT trong ngành blockchain liên quan đến tên miền giả. Việc cập nhật kịp thời cảnh báo về các tên miền lừa đảo là then chốt. Ví dụ, khi người dùng mở một trang lừa đảo, tiện ích mở rộng hoặc trình duyệt liên quan phải lập tức cảnh báo rủi ro, như vậy sẽ loại bỏ khả năng bị lừa ký xác nhận phía sau, chặn rủi ro ngay từ bước đầu tiên.
2. Tính năng ví hiển thị đúng nội dung cần ký, nhận diện an toàn tương tác. Nếu ví có chức năng nhận diện lừa ký, có thể hiển thị rõ ràng chi tiết nội dung cần ký cho người dùng, như ủy quyền gì, bao nhiêu, cho ai,... dưới dạng dữ liệu dễ đọc, ít nhất giúp người dùng thấy rõ mọi chi tiết ủy quyền, tạo nên hàng rào cuối cùng ngăn người dùng rơi vào bẫy.
3. Xây dựng ý thức an toàn cá nhân. Mọi sản phẩm, bài viết, cảnh báo đều chỉ là hỗ trợ. Chỉ khi bản thân xây dựng được ý thức an toàn, luôn kiểm tra kỹ trước khi nhấn liên kết, ủy quyền hay ký xác nhận, mới có thể tránh khỏi nguy cơ mất tiền, bị lừa.
Tổng kết
Bài viết này dựa trên hiện tượng bình luận lừa đảo dưới bài viết Twitter của các dự án nổi tiếng, phân tích quy trình hoạt động của nhóm lừa đảo, hy vọng giúp người dùng hiểu rõ thủ đoạn này, nâng cao cảnh giác, tránh bị mất tài sản.
Cuối cùng, khuyến nghị bạn đọc cuốn “Sổ tay tự cứu trong Rừng Đen Blockchain” do SlowMist xuất bản để biết thêm kiến thức an toàn.
Chào mừng tham gia cộng đồng chính thức TechFlow
Nhóm Telegram:https://t.me/TechFlowDaily
Tài khoản Twitter chính thức:https://x.com/TechFlowPost
Tài khoản Twitter tiếng Anh:https://x.com/BlockFlow_News












