Người dùng Grubhub đang bị nhắm đến bởi email lừa đảo mạo danh “Holiday Crypto Promotion”, dụ chuyển Bitcoin đến ví chỉ định với lời hứa trả lại gấp 10 lần.
Các email này trông như được gửi từ hạ tầng hợp pháp của Grubhub, khiến nhiều người dễ tin và chuyển tiền. Sự việc cũng trùng với giai đoạn cuối năm, khi các cơ quan chức năng cảnh báo tội phạm mạng và các kiểu gian lận mua sắm, thanh toán gia tăng.
- Email mạo danh Grubhub hứa “nhân 10” Bitcoin nếu nạn nhân chuyển coin vào ví chỉ định.
- Thông điệp có dấu hiệu giả mạo tinh vi vì hiển thị từ subdomain hợp pháp, làm dấy lên nghi vấn sự cố cấu hình/hệ thống xác thực.
- FBI cảnh báo lừa đảo kỳ nghỉ lễ tăng mạnh, gồm phishing, non-delivery và non-payment, gây thiệt hại hàng trăm triệu USD trong năm 2024.
Email lừa đảo mạo danh Grubhub hứa trả lại Bitcoin gấp 10 lần
Email lừa đảo yêu cầu người nhận chuyển Bitcoin đến một địa chỉ ví, hứa hoàn tiền gấp 10 lần như một “khuyến mãi dịp lễ”, nhưng thực chất là chiếm đoạt tài sản.
Theo các báo cáo, người dùng nhận được email từ địa chỉ giả mạo, nội dung thúc giục theo kiểu “chỉ còn 30 phút”, kèm lời hứa: Grubhub sẽ “10x” mọi khoản Bitcoin gửi đến địa chỉ được nêu trong thư. Ví dụ minh họa trong email ghi: nếu gửi 1.000 USD, sẽ nhận lại 10.000 USD.
Một số email được ghi nhận xuất phát từ các địa chỉ như “[email protected]” và “[email protected]”. Các thư này đã xuất hiện từ ngày 24/12 và còn cá nhân hóa bằng cách chèn tên người nhận, khiến tỷ lệ mắc bẫy cao hơn.
Vì sao email có vẻ hợp pháp và làm tăng rủi ro mắc bẫy
Email được cho là hiển thị từ subdomain hợp pháp “b.grubhub.com”, khiến nhiều người nhầm tưởng đây là liên lạc chính thức và bỏ qua dấu hiệu “lợi nhuận phi thực tế”.
Các báo cáo cho biết địa chỉ gửi được sử dụng trong những tình huống Grubhub liên hệ với đối tác thương nhân và nhà hàng. Việc thông điệp mang dáng dấp “đúng kênh” khiến người nhận dễ tin hơn, đặc biệt khi thư có giọng điệu khẩn cấp và đưa ví dụ số tiền cụ thể.
Một số người dùng suy đoán khả năng có liên quan đến tấn công chiếm quyền DNS, vì điều này có thể giúp kẻ xấu gửi email vượt qua một số bước kiểm tra tính xác thực. Tuy nhiên, phía công ty chưa công bố chi tiết kỹ thuật đầy đủ về cơ chế dẫn tới các email “trông hợp lệ” này.
Grubhub xác nhận có tin nhắn trái phép và nói đã khoanh vùng sự cố
Grubhub cho biết họ đã điều tra, khoanh vùng và đang triển khai biện pháp để ngăn sự việc tái diễn sau khi phát hiện các tin nhắn trái phép nhắm tới một số đối tác.
“Chúng tôi nhận biết về các tin nhắn trái phép có vẻ như đã được gửi bởi Grubhub tới một số đối tác thương nhân. Chúng tôi ngay lập tức điều tra, khoanh vùng vấn đề và đang thực hiện các bước để đảm bảo điều này không xảy ra lần nữa.”
– Grubhub, phát ngôn viên công ty
Trước đó trong năm, công ty từng thông báo một hacker đã truy cập được vào một thư mục chứa tên, email và số điện thoại của khách hàng, thương nhân và tài xế. Theo công ty, vụ xâm nhập khi đó bắt nguồn từ một tài khoản do bên thứ ba sử dụng để cung cấp dịch vụ hỗ trợ cho Grubhub.
Trang lừa đảo “hoàn tiền crypto” là mô-típ phổ biến nhiều năm
Đây là dạng lừa đảo “gửi trước, nhận lại nhiều hơn”, trong đó kẻ gian kiểm soát ví nhận tiền và không bao giờ hoàn trả như đã hứa.
Mô-típ này đã xuất hiện nhiều năm cùng với làn sóng phổ biến của tiền điện tử, thường đánh vào lòng tham và tâm lý sợ bỏ lỡ. Kẻ lừa đảo có thể lợi dụng phần bình luận, mạo danh người nổi tiếng hoặc thương hiệu, rồi hứa “hoàn tiền” 2 lần, 10 lần để dụ nạn nhân chuyển crypto.
Nguyên tắc thực tế của blockchain là giao dịch đã gửi thường không thể hoàn tác nếu không có sự hợp tác của bên nhận. Vì vậy, bất kỳ lời hứa “gửi coin để được trả nhiều hơn” đều nên được xem là tín hiệu đỏ, kể cả khi email hoặc trang hiển thị trông “đúng thương hiệu”.
FBI cảnh báo lừa đảo dịp lễ tăng mạnh và nêu mức thiệt hại trong năm 2024
FBI cảnh báo tội phạm lợi dụng mùa lễ để nhắm vào người săn ưu đãi, đồng thời ghi nhận thiệt hại lớn từ các nhóm lừa đảo không giao hàng và không thanh toán trong năm 2024.
Cơ quan này cho biết kẻ gian thường tìm nạn nhân muốn tận dụng khuyến mãi dịp lễ, sau đó chiếm tiền hoặc tài sản số. Các hình thức phổ biến gồm lừa đảo không giao hàng (người mua trả tiền nhưng không nhận được hàng) và lừa đảo không thanh toán (bên bán gửi hàng trước khi nhận tiền).
FBI nêu người dùng đã mất hơn 785 triệu USD vì các vụ lừa đảo không thanh toán và không giao hàng trong năm 2024. Ngoài ra, gian lận thẻ tín dụng gây thêm 199 triệu USD thiệt hại do kẻ lừa đảo thực hiện.
FBI cũng cho biết họ nhận nhiều khiếu nại vào những tháng đầu năm, cho thấy nhiều vụ lừa đảo diễn ra trong mùa lễ hội trước đó. Cơ quan này khuyến nghị tránh nhấp vào liên kết lạ, vì phishing có thể đánh cắp dữ liệu cá nhân hoặc dụ người dùng nhập thông tin đăng nhập crypto vào website giả, dẫn tới bị chiếm đoạt.
Những câu hỏi thường gặp
Email hứa “nhân 10” Bitcoin có bao giờ là thật không?
Không. Mô-típ “gửi Bitcoin rồi nhận lại nhiều hơn” là dạng lừa đảo phổ biến. Với giao dịch crypto, khi bạn đã chuyển coin đến ví của kẻ gian thì rất khó hoặc gần như không thể lấy lại nếu không có sự hợp tác của bên nhận.
Vì sao email lừa đảo có thể trông như đến từ Grubhub?
Email được mô tả là hiển thị từ subdomain hợp pháp “b.grubhub.com”, khiến người nhận dễ tin. Một số người còn nghi ngờ khả năng liên quan tới sự cố cấu hình hoặc tấn công như DNS takeover, nhưng công ty chưa công bố chi tiết kỹ thuật.
Tôi nên làm gì nếu đã lỡ chuyển Bitcoin theo email này?
Hãy lưu lại địa chỉ ví nhận tiền, nội dung email và mọi bằng chứng giao dịch, sau đó báo cáo cho sàn/giao thức liên quan (nếu có) và cơ quan chức năng. Đồng thời kiểm tra bảo mật tài khoản email, bật xác thực 2 lớp, và đổi mật khẩu để phòng các rủi ro tiếp theo.