Hiện nay trên thị trường tiền số nói riêng và thị trường tài chính nói chung thì hacker sẽ có nhiều cách để ăn trộm tài sản số của bạn (Bitcoin, Ethereum hoặc các Cryptocurrencies khác), đặc biệt và phổ biến nhất đó là dùng cookies để đánh cắp tiền từ tài khoản trên các sàn giao dịch tiền mã hóa bằng cách khai thác các lỗ hổng liên quan đến quản lý phiên đăng nhập (session management) mà ngay cả các công ty lớn như Binance, Google cũng không làm gì được.
Cookie là phiên đăng nhập đã lưu sẵn ở máy tính của bạn
- Cookie là các tệp nhỏ được lưu trữ trên trình duyệt của người dùng, chứa thông tin như session token (mã xác thực phiên đăng nhập) để giữ trạng thái đăng nhập vào sàn giao dịch mà không cần nhập lại mật khẩu.
- Tất cả tài khoản Gmail, Binance, OkX đều có các phiên lưu sẵn cookie này.
- Nếu hacker lấy được cookie chứa session token, chúng có thể giả mạo danh tính người dùng để truy cập tài khoản mà không cần mật khẩu hoặc xác thực hai yếu tố (2FA).
Các bước bạn bị hacker lấy trộm tiền
- Bước 1. Bạn không cẩn thận nên đã chạy 1 cái phần mềm nào đó có trojan / virus trên windows, thường là cài đặt phần mềm / chạy fix DLL / chạy game cracked.
- Bước 2. Mã độc sẽ bắt đầu lấy tất cả mọi thông tin tại %appdata%, chủ yếu là các file session, cookies của bạn trong Chrome, Firefox, v.v…
- Bước 3. Toàn bộ các session vẫn còn dùng được sẽ được hacker nhận về và chạy tại IP khác, nếu có key, seed gì càng tốt. Đồng thời nó cũng lấy luôn file Password Manager của bạn.
Vì session là phiên đăng nhập đang có sẵn của bạn nên khi hacker vào tại máy khác VD ở Nga chẳng hạn thì nó không cần 2FA, OTP gì để xác nhận cả.
- VD bạn có đăng nhập Discord, Binance trên Chrome rồi, thường sẽ vào là login sẵn luôn được 30 ngày -> Hacker nó vào thì không khác gì bạn cầm laptop đi du lịch sang Nga mở Binance trên Chrome cả.
Hacker tiến hành login các mật khẩu của mọi acc cùng lúc để spam link có virus ở mọi kênh Discord, forum, Steam, gmail (như mình là tới cái acc gamevn còn bị login vào spam link).
Hacker tiến hành rút tiền từ bất kỳ ví nào đã lộ seed, account sàn nào vẫn còn session.
Hacker tiến hành đổi mọi thông tin các acc chính chứa nhiều thông tin recovery như Gmail, Discord, Steam, Facebook.
Hồi tháng 10/2024 mình chạy 1 cái fix DLL xong chạy mà không thấy báo gì -> DLL không được sửa -> Mình tắt PC đi sau đó quét virus, xóa được 1 con trojan -> 15p sau Gmail, Binance, Discord báo đăng nhập ở nơi mới, Steam sai mật khẩu, các acc Reddit, Yahoo, v.v… đều bị lỗi mật khẩu.
- Các acc mà thời gian login đã hết hạn thì không bị mất. VD mình có 30 email đã từng đăng nhập vào 30 cái profile, chỉ có 5 cái là còn login, 25 cái kia vào phải nhập lại pass thì không mất.
- Các acc mà không hề đăng nhập bằng web thì không bị mất
- Binance của mình lúc đó có 0đ, mình thấy thông báo thì vào đổi mail -> Bật passkey -> Bật 2FA -> An toàn đến nay.
-> Sau đó 4 tháng, 1 ví metamask của mình có lưu seed tại 1 file text hồi tháng 10/2024 -> Bị rút mất $20.
Tóm lại mọi người cần bật hết mọi cái tính năng bảo mật của các sàn lên, nhất là sàn nào có tiền để hạn chế rủi ro bị hack tiền. 2 người bạn mình cũng bị mất đâu $2000 và $5000 vì do chạy phần mềm y hệt vậy -> Nó đánh cắp được seed để trong Google Drive của họ.
(Theo một bạn trên VOZ chia sẻ)
Các cách mà hacker có thể lấy được cookie của bạn
- Tấn công lừa đảo (Phishing):
Hacker tạo trang web giả mạo giống hệt sàn giao dịch (như Binance, Coinbase). Khi người dùng đăng nhập, cookie được gửi đến máy chủ của hacker hoặc bị đánh cắp qua mã JavaScript độc hại nhúng trên trang. - Tấn công XSS (Cross-Site Scripting):
Hacker chèn mã JavaScript độc hại vào một trang web hoặc ứng dụng mà người dùng truy cập. Mã này có thể lấy cookie từ trình duyệt và gửi về cho hacker.
Ví dụ: Hacker khai thác lỗ hổng trên một quảng cáo hoặc tiện ích mở rộng của trình duyệt liên quan đến sàn giao dịch. - Malware (Phần mềm độc hại):
Hacker cài phần mềm độc hại (như keylogger hoặc spyware) vào thiết bị của người dùng thông qua tải ứng dụng giả mạo, tệp đính kèm email hoặc phần mềm crack. Phần mềm này có thể trích xuất cookie từ trình duyệt. - Tấn công Man-in-the-Middle (MITM):
Khi người dùng kết nối với mạng Wi-Fi không an toàn (như Wi-Fi công cộng), hacker có thể chặn lưu lượng dữ liệu và lấy cookie nếu trang web không sử dụng HTTPS hoặc cấu hình bảo mật yếu. - Tiện ích mở rộng trình duyệt độc hại:
Người dùng cài đặt tiện ích giả mạo hoặc bị xâm nhập, cho phép hacker truy cập cookie hoặc dữ liệu trình duyệt.
Các bước phòng tránh bị hacker lấy trộm tiền
- Sử dụng ví lạnh (cold wallet): Lưu trữ tiền mã hóa ở ví phần cứng hoặc ví giấy, không kết nối internet.
- Bật 2FA: Sử dụng ứng dụng xác thực (như Google Authenticator) thay vì SMS.
- Kiểm tra URL: Luôn kiểm tra kỹ địa chỉ website của sàn để tránh trang giả mạo.
- Xóa Cookies ở các trình duyệt và máy tính khi dùng xong.
- Không chia sẻ thông tin: Không bao giờ tiết lộ seed phrase, khóa riêng hoặc thông tin đăng nhập.
- Cập nhật bảo mật: Sử dụng phần mềm diệt virus, cập nhật hệ điều hành và tránh tải phần mềm không rõ nguồn gốc.
- Nghi ngờ các ưu đãi quá tốt: Tránh các dự án hoặc token hứa hẹn lợi nhuận cao bất thường.
Mọi người hãy luôn cảnh giác với các phần mềm lạ, không rõ nguồn gốc và nên tránh xa các phần mềm crack miễn phí hoặc các add-on không rõ trên các trình duyệt để tránh bị mất tiền oan nhé.
Chúc mọi người thành công!
