4 trong 5 trình tạo mã QR Bitcoin là lừa đảo

Một phân tích về các trình tạo mã QR Bitcoin (Bitcoin QR code generators) cho thấy trạng thái bảo mật cơ bản rất lỏng lẻo trong lĩnh vực tiền điện tử.

Một báo cáo từ ZenGo cho thấy 4 trong số 5 công cụ tạo mã QR hàng đầu được liệt kê trên trang nhất của Google hiện đang được kiểm soát bởi những kẻ lừa đảo. Khi người dùng tạo mã QR cho địa chỉ Bitcoin của họ, các trang web độc hại sẽ tạo mã QR cho ví riêng của kẻ lừa đảo.

Ít nhất 20,000 đô la có thể đang được liên kết với các địa chỉ độc hại –có thể đây chỉ là một phần nhỏ trong tổng số tiền bị đánh cắp suốt những năm qua.

4 trong số 5 trình tạo mã QR hàng đầu là Lừa đảo

Theo ZenGo, hai trang web tạo mã QR Bitcoin này là lừa đảo. Xếp hạng tìm kiếm của chúng được Google xếp thứ hai và thứ ba khi bạn tìm kiếm từ khóa “công cụ tạo mã QR”. | Nguồn: CCN/Google

Thay vì phải nhập địa chỉ 34 ký tự cho mỗi giao dịch, người dùng có thể tùy chọn tạo mã QR. Về cơ bản mã QR hoạt động như một mã vạch cá nhân, liên kết trở lại địa chỉ ví của người dùng. Khi một nhà cung cấp cần nhận một giao dịch, tất cả những gì người mua phải làm là quét nó bằng điện thoại thông minh của họ.

Mã QR đã trở thành công cụ thiết yếu của không gian tiền điện tử trong thời gian gần đây. Chúng được sử dụng bởi các nhà cung cấp, nhà sáng tạo content – tất cả mọi nơi trên internet.

Điều đó làm cho những phát hiện của ZenGo càng trở nên rắc rối hơn. Khi từ khóa “Trình tạo mã QR Bitcoin” được gõ trên Google, 4 trong số 5 kết quả xuất hiện đầu tiên hóa ra chỉ là lừa đảo.

Phương pháp được những kẻ lừa đảo sử dụng rất đơn giản. Họ chỉ cần thay thế địa chỉ ví người dùng thành ví của chính họ. Hơn nữa, khi người dùng copy một địa chỉ vào clipboard của họ để paste nó, các trang web sẽ âm thầm thay thế địa chỉ đó bằng địa chỉ của kẻ lừa đảo.

Địa chỉ người dùng bị thay thế thành địa chỉ của kẻ lừa đảo. Bất kỳ khoản tiền nào được gửi đến địa chỉ QR sẽ được gửi thẳng đến địa chỉ của những tên trộm | Nguồn: ZenGo

Phương thức trộm Bitcoin tinh vi

Các trang web độc hại cũng tỏ ra rất tương thích – tạo ra các địa chỉ giả cho bất kỳ định dạng thức đa địa chỉ nào của Bitcoin, khiến cho các địa chỉ fake này thậm chí còn khó phát hiện hơn. Một phân tích về mã dưới các trang web cho thấy một số kẻ lừa đảo thậm chí còn không sử dụng trình tạo QR của riêng họ. Thay vào đó, họ nhập trình tạo được sử dụng trên trang web Blockchain.com.

Các trang web và địa chỉ sau đây đã được xác định là lừa đảo, và đã được báo cáo cho các cơ quan có liên quan.

Danh sách 4 trang web lừa đảo và các địa chỉ Bitcoin liên quan | Nguồn: ZenGo

Một địa chỉ đã thu được 0.58 Bitcoin chỉ sau hai tháng – tương đương khoảng 5.5 nghìn đô la. Tổng cộng, hơn 20.000 đô la có được qua các vụ lừa đảo đã được tìm thấy trải đều trên bốn địa chỉ được liệt kê.

ZenGo khuyên mọi người không nên sử dụng Google để tìm kiếm khi họ muốn tạo mã QR Bitcoin, thay vào đó hãy sử dụng trang web đáng tin cậy như blockchain explorer (hầu hết cung cấp miễn phí). Người dùng cũng nên quét mã QR bằng điện thoại trước khi sử dụng để đảm bảo mã này liên kết với địa chỉ của chính họ.

• Scam Bitcoin mạo danh người nổi tiếng tại New Zealand để thực hiện kế hoạch lừa đảo làm giàu nhanh chóng
• MyCrypto báo cáo có 6.800 trang web lừa đảo tiền điện tử

Huyền Đinh

Tạp chí Bitcoin | CCN