Phóng viên tạp chí Fortune: “Dù biết rõ tin tặc Triều Tiên hoạt động rất mạnh, tôi vẫn trở thành nạn nhân.”
Tuyển chọn TechFlowTuyển chọn TechFlow
Phóng viên tạp chí Fortune: “Dù biết rõ tin tặc Triều Tiên hoạt động rất mạnh, tôi vẫn trở thành nạn nhân.”
Tin tặc Triều Tiên lừa đảo ngay cả các nhà báo trong lĩnh vực tiền mã hóa.
Chuyên sâu báo cáo Web3Tác giả: Ben Weiss, Tạp chí Fortune
Biên dịch: Luffy, Foresight News
Vào cuối tháng 3, tôi nhận được một tin nhắn đáng lo ngại từ quản trị viên CNTT của Tạp chí Fortune. “Một tiến trình đang phơi bày lỗ hổng hệ thống,” anh ấy viết, có thể đã có người xâm nhập vào máy tính của tôi. “Tôi cần chấm dứt tiến trình này ngay lập tức.” Tôi lập tức hoảng loạn.
Theo nhật ký do bộ phận CNTT kiểm tra sau sự việc, tập tin tôi tải về lúc 11:04 sáng cùng ngày có khả năng ghi lại bàn phím, quay màn hình, đánh cắp mật khẩu và truy cập vào mọi ứng dụng trên máy tôi.
Tôi lập tức đóng laptop, lao ra khỏi căn hộ ở Brooklyn và chạy thẳng tới trạm tàu điện ngầm gần nhất. Trong lúc chờ tàu điện ngầm đến công ty, tôi nhắn tin cho biên tập viên: “Hình như tôi vừa bị tin tặc Triều Tiên lừa đảo rồi, cười chết đi được.”
Tôi vốn thường xuyên đưa tin về Triều Tiên và biết rõ quốc gia này chuyên nhắm vào các nhà đầu tư Mỹ. Nhưng tôi chưa từng ngờ rằng những tin tặc khét tiếng này lại nhắm chính vào tôi — và khiến tôi trực tiếp trải nghiệm mức độ tinh vi đáng kinh ngạc trong thủ đoạn lừa đảo của họ.
Cảm giác như một trò lừa đảo
“Vương quốc ẩn sĩ” này trong nhiều năm qua liên tục tấn công ngành tiền mã hóa. Do bị các lệnh trừng phạt quốc tế, Triều Tiên bị loại khỏi hệ thống tài chính toàn cầu và buộc phải dựa vào việc đánh cắp tiền mã hóa do Nhà nước hậu thuẫn để duy trì vận hành.
Theo dữ liệu từ công ty phân tích dữ liệu tiền mã hóa Chainalysis, riêng trong năm 2025, các tin tặc liên quan đến Triều Tiên đã đánh cắp số tiền mã hóa trị giá 2 tỷ USD — tăng khoảng 50% so với năm trước đó.
Triều Tiên đã xây dựng một loạt chiêu thức lừa đảo hiệu quả cao, bao gồm cả việc thuyết phục các doanh nghiệp tuyển dụng họ làm nhân viên CNTT, cũng như thủ đoạn đã dùng để lừa tôi.
Các tin tặc Triều Tiên đã giăng bẫy từ giữa tháng 3. Mồi nhử là một tin nhắn Telegram gửi từ một nhà đầu tư quỹ phòng hộ — nền tảng nhắn tin phổ biến nhất trong giới tiền mã hóa. Người đầu tư này vì lý do bảo mật nên tôi không tiết lộ danh tính; anh ta từng là nguồn tin ẩn danh trong các bài báo của tôi.
Anh ấy hỏi tôi có muốn làm quen với một người tên Adam Swick hay không — người từng giữ chức Giám đốc Chiến lược tại công ty khai thác Bitcoin MARA Holdings. Tôi trả lời đồng ý, vì Swick luôn thân thiện và đáng tin cậy, sau đó tôi được mời vào một nhóm trò chuyện.
Anh ấy nói Swick đang chuẩn bị thành lập một kho tài sản kỹ thuật số mới, “đã có ít nhất một nhà đầu tư hạt giống tiềm năng quy mô lớn”. Dự án nghe rất khả nghi, nhưng tôi vẫn quyết định lắng nghe xem anh ta sẽ nói gì.
Swick hẹn tôi gọi điện thoại qua Telegram. Một tuần sau, nguồn tin của tôi gửi cho tôi một liên kết trông giống như cuộc họp Zoom. Tôi nhấn vào liên kết.
Giao diện chương trình khởi chạy trông khá giống Zoom — phần mềm tôi dùng hàng ngày — nhưng một vài chi tiết thiết kế hơi khác lạ, và hoàn toàn không có âm thanh. Hệ thống thông báo tôi cần cập nhật phần mềm để khắc phục sự cố âm thanh; đồng thời, Swick nhắn: “Dường như Zoom bên bạn đang gặp vấn đề.” Tôi nhấn vào để tải gói cập nhật.
Ngay khi phát hiện liên kết hiển thị trong trình duyệt khác với liên kết Telegram gửi đến, tôi lập tức cảnh giác. Tôi đề nghị chuyển cuộc họp sang Google Meet. “Điều này khiến tôi cảm thấy như một trò lừa đảo,” tôi nhắn trong nhóm với Swick và nguồn tin của mình.
Swick vẫn kiên quyết: “Đừng lo, tôi vừa thử trên máy mình và hoàn toàn ổn.”
Tôi không chạy script đó trên máy Mac và lập tức thoát khỏi cuộc họp Zoom. “Nếu muốn trò chuyện thì hãy dùng Google Meet nhé,” tôi trả lời trên Telegram. Ngay lập tức, nguồn tin của tôi đá tôi ra khỏi nhóm trò chuyện.
Tấn công dây chuyền theo kiểu virus
Trên đường lao ra khỏi căn hộ đến bộ phận CNTT, tôi nhắn tin cho Taylor Monahan — một nhà nghiên cứu an ninh kỳ cựu. Bà là thành viên tổ chức SEAL 911, một nhóm tình nguyện viên hỗ trợ nạn nhân bị đánh cắp tiền mã hóa. Tôi gửi bà file script đã tải về và liên kết cuộc họp video.
“Đây là hành động của tin tặc Triều Tiên,” bà trả lời chỉ vài giây sau.
Nếu tôi đã chạy script đó, tin tặc sẽ chiếm đoạt toàn bộ mật khẩu, tài khoản Telegram và tất cả tiền mã hóa tôi nắm giữ. May mắn thay, tôi chỉ sở hữu một lượng nhỏ Bitcoin và vài loại tài sản mã hóa khác.
Do đặc thù của các cuộc tấn công mạng, việc xác định 100% thủ phạm đứng đằng sau rất khó khăn. Tuy nhiên, trong vụ việc suýt nữa xảy ra với tôi, Monahan cho biết mọi manh mối — từ liên kết, script cho đến tài khoản giả mạo Swick — đều trỏ thẳng về Triều Tiên. Các điều tra viên thường kết hợp nhiều bằng chứng, chẳng hạn như phân tích chuỗi khối (blockchain), để liên kết sự việc với Triều Tiên. Hai nhà nghiên cứu an ninh khác, vốn theo dõi sát hoạt động của tin tặc Triều Tiên trong thời gian dài, cũng xác nhận phán đoán này sau khi tôi gửi họ script và liên kết.
“Thay tôi gửi lời chào đến hắn nhé, ha ha,” Monahan nói — ám chỉ tin tặc Triều Tiên đã nhắm vào tôi.
Monahan và các nhà nghiên cứu an ninh khác đã xử lý hàng trăm vụ lừa đảo hội nghị video giả mạo trong ngành tiền mã hóa. Thủ đoạn này mang tính khuôn mẫu nhưng cực kỳ hiệu quả.
Tin tặc trước tiên chiếm quyền kiểm soát một tài khoản Telegram thật, sau đó liên hệ với những người trong danh bạ của tài khoản đó. Nạn nhân bị yêu cầu tham gia một cuộc họp video, nhưng âm thanh trong cuộc gọi luôn không hoạt động bình thường. Tiếp đó, nạn nhân bị dụ dỗ chạy một chương trình “cập nhật nhằm khắc phục âm thanh”. Một khi script được thực thi, tin tặc sẽ chiếm được toàn bộ tài sản mã hóa, mật khẩu và tài khoản Telegram của nạn nhân.
Thực tế, trong một báo cáo công bố hôm thứ Tư, Google khẳng định nhóm tin tặc Triều Tiên nhắm vào tôi hiện cũng đang lên kế hoạch tấn công hàng loạt nhắm vào đội ngũ lập trình viên phần mềm.
Tôi không phải một đại gia Bitcoin lái xe Lamborghini, nhưng Monahan cho biết tin tặc Triều Tiên không chỉ nhắm vào những người giàu. Bà phát hiện ngày càng nhiều nhà báo trong lĩnh vực tiền mã hóa trở thành mục tiêu — có lẽ bởi vì trong danh bạ Telegram của họ chứa rất nhiều mối quan hệ. Và trong số những liên hệ đó, rất có thể tồn tại nhiều “đại gia tiền mã hóa”.
Giống như virus xâm chiếm tế bào khỏe mạnh, tin tặc chiếm quyền kiểm soát các tài khoản này rồi dùng chúng để tấn công tiếp những người trong danh bạ. Chính tôi cũng suýt trở thành nạn nhân theo cách như vậy — vì tưởng mình đang trò chuyện với người quen nên đã buông lỏng cảnh giác.
“Phiên bản giả của tôi”
Sau khi format hoàn toàn máy tính, đổi toàn bộ mật khẩu và cảm ơn quản trị viên CNTT nhiều lần, cuối cùng tôi gọi điện cho nguồn tin của mình. Như dự đoán, tài khoản Telegram của anh ấy đã bị đánh cắp từ đầu tháng 3.
“Trong danh bạ Telegram của tôi có rất nhiều liên hệ — tôi không lưu chúng vào điện thoại hay máy tính,” anh ấy nói. “Nhưng điều khiến tôi cảm thấy tồi tệ hơn cả là có người đang giả mạo tôi, dùng danh tính của tôi để lừa người khác. Cảm giác bị xâm phạm như thế này thật kinh khủng.”
Hơn nữa, dù anh ấy đã nhiều lần liên hệ Telegram để nhờ hỗ trợ trong suốt ba tuần qua, nhưng vẫn chưa nhận được phản hồi nào. Một phát ngôn viên của Telegram cho biết trong tuyên bố gửi tôi: “Dù Telegram nỗ lực hết sức để bảo vệ tài khoản người dùng, song không nền tảng nào có thể ngăn chặn hoàn toàn việc người dùng bị lừa đảo.” Ông bổ sung rằng, sau khi tôi liên hệ, nền tảng đã đình chỉ tài khoản của nhà đầu tư quỹ phòng hộ này.
Tôi cũng đã liên hệ với Adam Swick thật. Từ đầu tháng 2, đã có người giả mạo ông trên Telegram; vị cựu lãnh đạo cấp cao của MARA nhận vô số tin nhắn và cuộc gọi chất vấn vì sao lại hẹn họp. Mỗi lần, ông chỉ có thể xin lỗi.
“Nhưng một số người lại phản bác: ‘Này anh, anh xin lỗi cái gì vậy?’” Swick kể. “Lúc đó tôi chỉ biết đáp: ‘Tôi cũng không biết nữa, chắc là tôi đang xin lỗi thay phiên bản giả của chính mình… Thật sự rất xin lỗi vì chuyện này.’”
Swick không biết vì sao tin tặc lại chọn giả mạo ông, còn nguồn tin của tôi cũng không rõ tài khoản Telegram của mình bị đánh cắp như thế nào. Nhưng ngay trước khi cuộc gọi kết thúc, cả hai chúng tôi bất ngờ tìm ra một khả năng giải thích.
Người cuối cùng liên hệ với nhà đầu tư này trên Telegram trước khi tài khoản bị đánh cắp chính là một tài khoản giả mạo Swick. “Tôi từng họp Zoom với anh ta, nhưng phía anh ta không có âm thanh,” nguồn tin của tôi nói. “Tôi nhớ mơ hồ là đã tải về thứ gì đó lúc đó.”
Nói cách khác, nguồn tin của tôi rất có thể cũng đã bị cùng một nhóm tin tặc nhắm vào. Khi chúng tôi nhận ra máy tính của anh ấy có thể cũng đã bị nhiễm mã độc, nhà đầu tư quỹ phòng hộ lập tức cúp máy và tiến hành format toàn bộ máy tính của mình.
Tôi gửi tin nhắn cho tài khoản Adam Swick giả mạo trên Telegram: “Tài khoản này có đang do tin tặc Triều Tiên kiểm soát không?”
Cho đến nay, tôi vẫn chưa nhận được bất kỳ phản hồi nào.
Chào mừng tham gia cộng đồng chính thức TechFlow
Nhóm Telegram:https://t.me/TechFlowDaily
Tài khoản Twitter chính thức:https://x.com/TechFlowPost
Tài khoản Twitter tiếng Anh:https://x.com/BlockFlow_News
@FortuneMagazine
