Betterment bị kẻ tấn công lợi dụng hệ thống để gửi thông báo đẩy và email giả mạo, dẫn dụ người dùng tham gia “crypto giveaway” với lời hứa nhân 3 số tiền gửi bằng Bitcoin hoặc Ether.
Sự cố cho thấy chiêu lừa “tặng crypto” đang chuyển từ email rác và website giả sang kênh phân phối đáng tin hơn: ứng dụng và hệ thống truyền thông của các nền tảng tài chính. Chỉ cần chuyển crypto theo hướng dẫn, người dùng hầu như không thể hoàn tiền hay đảo ngược giao dịch.
- Tin tặc gửi push notification và email giả mạo Betterment để quảng bá “crypto giveaway” nhân 3.
- Thông điệp lừa đảo cung cấp địa chỉ ví Bitcoin/Ether cụ thể và kêu gọi nạp từ 1 USD đến 750.000 USD.
- Betterment nói truy cập trái phép đã được gỡ bỏ, vụ việc liên quan hệ thống bên thứ ba dùng cho marketing.
Tin tặc giả mạo Betterment để phát tán lừa đảo “crypto giveaway”
Kẻ tấn công đã mạo danh Betterment bằng cách gửi email và thông báo đẩy trong ứng dụng, dụ người dùng chuyển Bitcoin hoặc Ether để nhận lại số tiền gấp 3.
Người dùng nhận cảnh báo giả ngay từ ứng dụng di động Betterment, trong khi một nhóm khác nhận email quảng bá chương trình “giveaway”. Tin nhắn nêu “khuyến mãi” chỉ có hiệu lực trong 3 giờ, một thủ thuật thường dùng để tạo cảm giác khẩn cấp và giảm thời gian kiểm chứng.
Nội dung hướng dẫn người dùng nạp tối thiểu 1 USD và tối đa 750.000 USD bằng Bitcoin hoặc Ether. Thông báo đẩy còn đưa ví dụ: nếu gửi 10.000 USD bằng Bitcoin hoặc Ethereum, họ sẽ “gửi lại” 30.000 USD về chính địa chỉ gửi đi.
Địa chỉ ví được gắn trong thông điệp đã ghi nhận dòng tiền
Các thông báo giả mạo chèn địa chỉ ví Bitcoin và Ether cụ thể; dữ liệu on-chain tại thời điểm ghi nhận cho thấy đã có tiền chảy vào các ví này.
Theo dữ liệu hiển thị trên trình khám phá blockchain, ví Bitcoin được nhúng trong thông điệp đã nhận 0,14626084 BTC, tương đương 13.290,75 USD tại thời điểm bài viết gốc ghi nhận.
Với địa chỉ Ether, trang phân tích trên Etherscan thể hiện dòng tiền ròng là 1.779,30 USD tại thời điểm được đề cập. Các con số này phản ánh mức độ thiệt hại có thể phát sinh ngay cả khi chiến dịch chỉ diễn ra trong thời gian ngắn.
Betterment cảnh báo người dùng và phủ nhận đây là ưu đãi thật
Betterment cho biết đây không phải ưu đãi thật và đã cảnh báo người dùng sau khoảng 2 giờ kể từ khi sự cố xảy ra.
Sau vụ việc, đội ngũ Betterment đăng cảnh báo trên X và Reddit. Trên Reddit, đại diện Betterment phản hồi trong một chủ đề về vụ hack, nói rằng họ xin lỗi vì sự nhầm lẫn và khẳng định đây không phải đề nghị thật từ Betterment.
“Chúng tôi xin lỗi vì sự nhầm lẫn. Đây không phải là một ưu đãi thật từ Betterment…”
– Đại diện Betterment, phản hồi trên Reddit
Sự cố bắt nguồn từ truy cập trái phép và hệ thống bên thứ ba
Betterment cho biết có người truy cập trái phép vào hệ thống, qua đó gửi email và push notification thay mặt công ty; tin nhắn giả đến từ hệ thống bên thứ ba phục vụ marketing.
Trên X, tài khoản chính thức của Betterment giải thích một cá nhân không được phép đã truy cập vào hệ thống, cho phép kẻ tấn công gửi email và thông báo đẩy dưới danh nghĩa công ty.
Betterment cũng làm rõ rằng việc bấm vào thông báo ưu đãi “không làm ảnh hưởng đến bảo mật tài khoản Betterment”, đồng thời khẳng định “quyền truy cập trái phép đã được loại bỏ” và công ty đã bắt đầu điều tra.
Trong bài đăng tiếp theo, Betterment cho biết thông điệp giả được gửi qua một hệ thống bên thứ ba mà họ dùng cho marketing và các kênh liên lạc khách hàng khác. Danh tính công cụ bên thứ ba bị xâm phạm chưa được nêu.
Email giả có thể đã vượt SPF, DKIM và DMARC
Một số người dùng cho biết email lừa đảo dường như vượt qua các cơ chế xác thực phổ biến, cho thấy đây không chỉ là giả mạo địa chỉ người gửi đơn giản.
Qua kiểm tra thêm, các email giả được cho là xuất phát từ hai hộp thư thuộc e[dot]betterment[dot]com, có vẻ là một subdomain của website chính. Điều này có thể làm tăng mức độ tin tưởng của người nhận.
Một người dùng trên Reddit cho biết header “trông ổn” và SPF, DKIM, DMARC đều “pass”. Nếu đúng, email đã được xác thực bằng cơ chế mật mã, khác với kiểu lừa đảo dùng địa chỉ gửi giả hoặc spoofed Gmail.
Rủi ro chính: chuyển crypto là mất tiền và rất khó thu hồi
Khi người dùng đã chuyển tiền điện tử theo hướng dẫn lừa đảo, giao dịch thường không thể hoàn tác; đây là lý do các chiến dịch “giveaway” vẫn hiệu quả.
Hiện chưa rõ liệu dữ liệu người dùng có bị rò rỉ từ cơ sở dữ liệu Betterment ra dark web hay không. Ngoài ra, hệ thống bên thứ ba bị xâm phạm vẫn chưa được định danh công khai trong nội dung gốc.
Vụ việc cho thấy tin tặc crypto ngày càng tận dụng nền tảng tài chính đáng tin cậy như một “kênh phát tán”, thay vì chỉ dựa vào website giả và email lạnh. Điểm nguy hiểm là người dùng có xu hướng tin thông báo đến từ app/nhà cung cấp quen thuộc, trong khi crypto không có “chargeback”, không đảo giao dịch, và khả năng phục hồi gần như bằng 0 nếu gửi nhầm vào ví lừa đảo.
Những câu hỏi thường gặp
Làm sao nhận biết lừa đảo “crypto giveaway” kiểu nhân 3?
Bất kỳ lời hứa “gửi X nhận lại 2X/3X” và yêu cầu chuyển Bitcoin/Ether vào một địa chỉ ví đều là dấu hiệu lừa đảo điển hình. Khuyến mãi có giới hạn vài giờ thường nhằm tạo áp lực để bạn chuyển tiền trước khi kịp xác minh.
Nếu đã bấm vào thông báo giả trong app thì có sao không?
Theo thông tin Betterment đăng tải, việc bấm vào thông báo ưu đãi không làm ảnh hưởng đến bảo mật tài khoản Betterment. Rủi ro lớn nhất xảy ra khi bạn thực sự chuyển crypto đến địa chỉ ví do kẻ gian cung cấp.
Vì sao email lừa đảo vẫn có thể “hợp lệ” qua SPF/DKIM/DMARC?
Nếu kẻ tấn công chiếm quyền một hệ thống gửi thư hợp pháp (ví dụ công cụ marketing bên thứ ba) hoặc một subdomain được cấu hình đúng, email có thể vượt các kiểm tra SPF, DKIM, DMARC và trông như được “xác thực”, khiến người dùng khó phát hiện hơn.
Có thể lấy lại crypto đã gửi cho kẻ lừa đảo không?
Thông thường là rất khó vì giao dịch tiền điện tử gần như không thể đảo ngược. Bạn vẫn nên lưu bằng chứng, báo ngay cho nền tảng liên quan và cơ quan chức năng; đồng thời theo dõi giao dịch on-chain để hỗ trợ điều tra nếu có.