Dù tiền mã hóa đang dần trở thành xu hướng chủ đạo, ngành này vẫn chưa thoát khỏi cái bóng của nạn lừa đảo kỹ thuật số.

Các chiêu trò hiện nay đã tinh vi đến mức gần như không thể phân biệt với dịch vụ hợp pháp, cho đến khi thiệt hại xảy ra. Phần mềm độc hại có thể chiếm quyền kiểm soát ví tiền và mô phỏng hành vi người dùng một cách đáng kinh ngạc. Các chiến dịch phishing liên tục được tinh chỉnh bằng phương pháp thử nghiệm A/B. Một số mô hình lừa đảo thậm chí đã phát triển thành doanh nghiệp bài bản, có cả đội ngũ chăm sóc khách hàng.

Dòng tiền từ nhà đầu tư cá nhân đổ vào tiền mã hóa ngày càng lớn, kéo theo lượng tài sản bị chiếm đoạt cũng tăng theo. Báo cáo năm 2024 của công ty phân tích blockchain Chainalysis cho biết, các ví liên quan đến hành vi bất hợp pháp đã nhận ít nhất 40,9 tỉ USD, thậm chí có thể vượt 51 tỉ USD. Hoạt động tội phạm trong lĩnh vực này đã tăng trưởng trung bình 25% mỗi năm kể từ 2020, khiến năm vừa qua có thể là giai đoạn sinh lời lớn nhất từ trước đến nay cho giới tội phạm tiền mã hóa.

Những kẻ lừa đảo không còn là tay mơ nhắm vào người thiếu kinh nghiệm, mà đã trở thành các tổ chức chuyên nghiệp, đủ sức đánh lừa cả những nhà đầu tư sành sỏi nhất.

“Bạn không phải kẻ khờ khi trở thành nạn nhân của một chiêu trò lừa đảo tiền mã hóa,” Erin West, công tố viên tại quận Santa Clara, bang California, chuyên xử lý tội phạm kỹ thuật số, nhấn mạnh. “Bạn đang bị nhắm đến bởi một ngành công nghiệp được xây dựng để đánh lừa bạn.”

Ngay cả những người có kiến thức chuyên môn và kinh nghiệm cũng không còn an toàn, dù họ sử dụng ví phần cứng hay cơ chế chữ ký đa tầng. Các chuyên gia và nhà nghiên cứu an ninh mạng khuyến cáo người dùng phải chủ động nâng cao tư duy phản biện, thói quen tra cứu thông tin và giữ vững cảnh giác. Dưới đây là một số hướng dẫn để bảo vệ tài sản kỹ thuật số.

Học từ chính những kẻ lừa đảo

Tội phạm tiền mã hóa không chậm lại mà liên tục đổi tên, tối ưu hóa và mở rộng giống như các startup.

Theo Chainalysis, nhiều mô hình lừa đảo sinh lợi nhất trong năm qua hầu như chưa từng xuất hiện cách đây 5 năm. Ví dụ, các nhóm “mổ heo” thường dụ nạn nhân vào mối quan hệ tình cảm lâu dài thông qua ứng dụng hẹn hò hoặc mạng xã hội, sau đó dẫn họ đến nền tảng đầu tư tiền mã hóa giả mạo để chiếm đoạt toàn bộ ví tiền.

Lừa đảo qua email hoặc trang web giả mạo vẫn là phương thức phổ biến nhất. Kẻ lừa đảo tạo ra bản sao gần như hoàn hảo của các nền tảng thật nhằm đánh cắp khóa riêng hoặc cụm từ khôi phục tài khoản. Một số chiêu trò thì trực tiếp hơn, chẳng hạn như hứa hẹn lợi nhuận cao rồi biến mất cùng toàn bộ tài sản, hoặc giả làm “chuyên gia hướng dẫn” người mới tìm hiểu thị trường, sau đó lấy sạch ví của họ.

Biện pháp phòng ngừa hiệu quả nhất là tăng cường nhận thức. “Đây là trò mèo vờn chuột,” ông Ronghui Gu, phó giáo sư khoa học máy tính tại Đại học Columbia, nhận định. “Muốn an toàn, bạn phải luôn cập nhật mỗi khi xuất hiện hình thức lừa đảo mới.”

“

Theo dõi các cảnh báo lừa đảo từ các cơ quan quản lý như Sở Bảo vệ và Đổi mới Tài chính (DFPI), Ủy ban Thương mại Liên bang (FTC), Cục Điều tra Liên bang (FBI) và Ủy ban Giao dịch Hàng hóa Tương lai (CFTC). Bổ sung thêm nguồn thông tin từ các công ty an ninh mạng như Chainalysis và CertiK, hoặc tra cứu trên các công cụ theo dõi lừa đảo công khai như Chainabuse để có dữ liệu theo thời gian thực.

Tác giả trích dẫn

Sử dụng ví đa chữ ký 

Lừa đảo phát triển mạnh khi hệ thống tồn tại điểm yếu duy nhất. Ví lưu trữ ngoại tuyến rất an toàn, cho đến khi ai đó khiến bạn kết nối nó với một thiết bị “đen”. Giao dịch qua sàn rất tiện lợi, cho đến khi một thay đổi chính sách hoặc cuộc tấn công khiến bạn mất trắng. Không có phương pháp nào miễn nhiễm hoàn toàn với lừa đảo, vì vậy người dùng không nên phụ thuộc vào một công cụ duy nhất để bảo vệ tài sản.

Một chiến lược được ông Eric Jardine, chuyên gia nghiên cứu tội phạm mạng tại Chainalysis, khuyến nghị là sử dụng ví đa chữ ký (multisignature custody). Cách này yêu cầu nhiều khóa riêng biệt, được lưu trữ ở các thiết bị, địa điểm và do các cá nhân hoặc hệ thống khác nhau quản lý, cùng xác nhận trước khi giao dịch được phê duyệt. Người dùng có thể tùy chọn số lượng khóa cần thiết để thực hiện một giao dịch. Ví dụ, ba người giữ ba khóa riêng biệt với mã khôi phục riêng, nhưng chỉ cần hai khóa trong số đó để hoàn tất giao dịch.

Nếu một khóa bị lộ, kẻ tấn công vẫn không thể lấy được gì. Giải pháp này không loại bỏ hoàn toàn rủi ro, nhưng thêm một lớp bảo vệ quan trọng giữa hành vi tấn công và việc chuyển tài sản không thể đảo ngược.

“Hãy hình dung nó giống như một tài khoản ngân hàng chung, nơi mọi giao dịch đều cần nhiều người đồng ý,” Jardine giải thích. “Như vậy, bạn không phụ thuộc vào một đơn vị lưu ký duy nhất, không ai có thể tự ý chuyển tiền, và nếu một khóa bị mất hoặc bị đánh cắp, kẻ tấn công vẫn không thể truy cập vào tài sản của bạn.”

Tuy nhiên, trước khi quyết định sử dụng, cần lưu ý rằng không phải đồng tiền mã hóa nào cũng hỗ trợ tính năng đa chữ ký. Bên cạnh đó, mỗi giao dịch có thể phát sinh thêm chi phí do số lượng chữ ký cần xác thực và tình trạng tắc nghẽn mạng lưới. Nói cách khác, tài sản của bạn sẽ an toàn hơn, nhưng việc giao dịch sẽ chậm hơn, phức tạp hơn và tốn kém hơn.

“

Để thiết lập ví đa chữ ký (multisig), bạn sẽ cần một ví để lưu trữ ngoại tuyến và một mã khôi phục — thường là một chuỗi từ được gọi là “seed phrase”. Hãy lưu trữ những cụm từ mật khẩu này ở nơi an toàn, chẳng hạn như két sắt hoặc kho lưu trữ của ngân hàng.

Tác giả trích dẫn

Hãy giả định mọi tin nhắn đều do AI tạo ra

Trí tuệ nhân tạo đang tiếp sức cho tội phạm mạng, khiến các vụ lừa đảo trong lĩnh vực tiền mã hóa trở nên phổ biến và thuyết phục hơn bao giờ hết.

“Trước đây, những kẻ lừa đảo thường phải lựa chọn giữa quy mô và độ thuyết phục. Nhưng khi đưa AI vào, quy mô có thể mở rộng rất lớn mà vẫn đủ khả năng đánh lừa nạn nhân.”

Chainalysis ước tính khoảng 60% số tiền gửi vào ví lừa đảo trên blockchain có liên quan đến những kẻ sử dụng AI. Đây không còn là những vụ trộm vụng về, mà là các chiến dịch được dàn dựng kỹ lưỡng, giả dạng người tuyển dụng, giám đốc điều hành hoặc nhân viên hỗ trợ khách hàng.

Một số kẻ thậm chí còn dùng công nghệ giả giọng nói theo thời gian thực hoặc video deepfake để tạo lòng tin. Dù các mô hình AI tốt nhất hiện nay vẫn có thể mắc lỗi, như ánh sáng bất thường, chuyển động mắt không khớp hoặc đoạn hội thoại bị ngắt quãng, công nghệ đang tiến bộ rất nhanh. Vì vậy, bạn nên tin vào linh cảm của chính mình.

“

Hãy cảnh giác với các liên lạc không mong muốn. Nếu nghi ngờ một video có thể là deepfake hoặc một cuộc gọi là giọng nói bị giả mạo, hãy chú ý các dấu hiệu nhận biết về mặt hình ảnh hoặc âm thanh. Luôn yêu cầu xác thực đa yếu tố, lưu trữ ngoại tuyến cho các khoản nắm giữ dài hạn và tiến hành kiểm toán hoạt động định kỳ.

Tác giả trích dẫn

Chậm lại

Các vụ lừa đảo trực tuyến thường tận dụng khoảnh khắc bạn mất cảnh giác. Khi kẻ lừa đảo tạo áp lực khiến bạn phải hành động ngay lập tức, nguy cơ mắc sai lầm sẽ tăng cao.

Ví dụ, với các phần mềm rút ví sử dụng AI, kẻ tấn công đôi khi không cần đến khóa riêng, mà chỉ cần chữ ký của bạn. Chỉ một thao tác sai với hợp đồng thông minh độc, nơi bạn cấp quyền truy cập vào ví, là toàn bộ tài sản có thể bị rút sạch mà bạn không hề hay biết.

Đây là phiên bản tinh vi hơn của chiêu trò “ký giao dịch này”: Yêu cầu được gửi từ nền tảng quen thuộc, viết bằng tiếng Anh hoàn hảo và có giao diện giống hệt bản thật. Sau khi bạn ký, toàn bộ token bị rút sạch, và thứ duy nhất còn lại là chữ ký của bạn trên chuỗi, như thể chính bạn đã tự phê duyệt giao dịch.

“

Hãy kiểm tra kỹ URL, tự xác minh thông tin của bên thứ ba và tuyệt đối không thực hiện các yêu cầu phê duyệt ví hoặc chuyển tiền được gửi với giọng điệu khẩn cấp. Nghe có vẻ như lời khuyên cho người mới, nhưng nó có thể cứu bạn khỏi thảm họa.

Tác giả trích dẫn

Lưu trang thay vì tìm kiếm

Việc gõ các từ khóa như “cách bảo mật ví” hay “cách mua Bitcoin” giờ đây có thể khiến bạn rơi vào bẫy. Các trang lừa đảo hiện đã được tối ưu hóa SEO, thường xuyên xuất hiện ở đầu kết quả tìm kiếm nhờ quảng cáo trả tiền, và gần như không thể phân biệt với trang thật.

Trong một cuộc điều tra hồi tháng 5.2025, công ty an ninh mạng SentinelOne phát hiện các trang lừa đảo được tối ưu SEO xuất hiện dày đặc ở đầu danh sách tìm kiếm. Những trang này giả mạo ví tiền hoặc sàn giao dịch, dụ người dùng kết nối ví, nhập thông tin đăng nhập hoặc tải phần mềm độc hại về thiết bị.

“Đây không phải là những cuộc tấn công phức tạp,” Kenneth Kinion, người sáng lập hãng nghiên cứu an ninh mạng Validin, cho biết. “Toàn bộ quy trình được thiết kế mượt mà, kết hợp giữa thao túng SEO với hình ảnh quen thuộc và giao diện thân thiện, khiến nạn nhân tin rằng họ đang sử dụng dịch vụ hợp pháp.”

“

Một nguyên tắc an toàn là không bao giờ phụ thuộc vào công cụ tìm kiếm. Hãy đánh dấu (bookmark) các trang bạn thường dùng : ví điện tử, sàn giao dịch, công cụ theo dõi thuế... và luôn xác minh URL của chúng. Sử dụng ví cứng có màn hình hiển thị giao dịch để bạn có thể kiểm tra chính xác tiền của mình đang được chuyển đến đâu.

Tác giả trích dẫn

Bị lừa? Hãy lưu lại toàn bộ bằng chứng

Nếu nghi ngờ bị lừa, việc đầu tiên bạn cần làm là chụp màn hình trang web, chi tiết giao dịch, địa chỉ ví và toàn bộ cuộc trò chuyện với kẻ lừa đảo. “Phản ứng kịp thời có thể giúp cơ quan chức năng lần ra các chiến dịch lớn hơn, thậm chí có thể đóng băng tài sản nếu tiền được chuyển qua các dịch vụ tập trung,” Tom Hegel, chuyên gia nghiên cứu mối đe dọa tại SentinelOne, cho biết.

Tiếp theo, hãy báo cáo vụ việc cho các nền tảng tiền mã hóa liên quan, cơ quan chức năng địa phương hoặc đơn vị điều tra tội phạm mạng như Trung tâm Khiếu nại Tội phạm Mạng Internet của FBI. Ngoài ra, bạn cũng nên liên hệ với các công ty theo dõi dòng tiền bất hợp pháp như Chainalysis. Các nền tảng như Etherscan hoặc BTCscan có thể hỗ trợ cộng đồng nếu bạn báo cáo địa chỉ ví lừa đảo.

“

Đừng tin bất kỳ ai hứa có thể lấy lại tiền của bạn với một khoản phí. Nhiều nạn nhân sau khi bị lừa một lần thường tiếp tục trở thành mục tiêu, và chiêu trò phổ biến là kẻ gian đề nghị “giúp” lấy lại tiền điện tử đã mất để đổi lấy một khoản thanh toán trước.

Tác giả trích dẫn

Cuối cùng, hãy luôn nâng mức cảnh giác lên cao nhất. Giả định rằng ai cũng có thể là kẻ đang muốn chiếm đoạt tài sản của bạn có thể là yếu tố quyết định giữa việc giữ được tài sản hay mất trắng.