Một chiến dịch lừa đảo mới đang nhắm vào người dùng ví cứng Ledger và Trezor bằng thư giấy gửi tận nhà, dụ quét QR để vào trang giả mạo và đánh cắp cụm từ khôi phục, từ đó chiếm toàn quyền kiểm soát tài sản crypto.
Thủ đoạn lợi dụng tâm lý “khẩn cấp” bằng các mốc thời gian và yêu cầu kiểm tra bắt buộc. Người dùng cần hiểu: chỉ một lần nhập recovery phrase sai chỗ có thể khiến toàn bộ tiền điện tử trong ví bị rút sạch.
- Kẻ gian gửi thư giấy giả danh Ledger/Trezor, yêu cầu “kiểm tra bắt buộc” và hướng người dùng quét QR.
- QR dẫn đến website phishing, mục tiêu là thu thập recovery phrase để chiếm quyền ví và rút tiền.
- Ledger/Trezor không bao giờ yêu cầu recovery phrase; cụm từ này chỉ nên nhập trực tiếp trên thiết bị ví cứng.
Người dùng Ledger và Trezor đang bị tấn công bằng thư giấy chứa QR giả mạo
Những kẻ lừa đảo gửi thư vật lý đến nhà người dùng, giả danh đội ngũ “bảo mật/tuân thủ” của Ledger hoặc Trezor và yêu cầu quét QR để thực hiện kiểm tra, mục tiêu cuối là dụ nạn nhân cung cấp recovery phrase.
Các thư này được in trên tiêu đề thư trông như thông báo chính thức. Nội dung thường nói người dùng phải hoàn tất “xác thực” hoặc “kiểm tra giao dịch” để tránh bị mất một số chức năng hoặc mất quyền truy cập ứng dụng quản lý ví.
Điểm nguy hiểm là thư giấy tạo cảm giác “đáng tin” hơn email rác. Kẻ gian thiết kế kịch bản theo kiểu thủ tục nội bộ, dùng các thuật ngữ như “Authentication Check”, “transaction check” để tăng tính hợp lệ và khiến người nhận hành động ngay.
Chưa rõ cách họ lựa chọn nạn nhân, nhưng cả hai hãng từng gặp sự cố rò rỉ dữ liệu. Các vụ lộ thông tin trong quá khứ có thể khiến kẻ xấu có thêm dữ liệu để gửi thư đúng địa chỉ, đúng nhóm người dùng.
Thư lừa đảo ép hạn chót 15/02 để tạo áp lực tâm lý
Thư lừa đảo đặt hạn chót 15/02 và cảnh báo mất chức năng nếu không hoàn tất, nhằm tạo áp lực thời gian để nạn nhân quét QR và làm theo hướng dẫn mà không kịp kiểm tra tính xác thực.
Theo nội dung thư gửi cho người dùng Trezor, kẻ gian tuyên bố “kiểm tra xác thực” sẽ trở thành bắt buộc và yêu cầu hoàn tất trước 15/02 để tránh mất một số chức năng, đồng thời viện dẫn việc cần “đồng bộ đầy đủ” với Trezor Suite.
Một thư tương tự nhắm đến người dùng Ledger cũng được chia sẻ trên nền tảng X, mô tả “kiểm tra giao dịch bắt buộc” với cùng hạn chót. Mô típ chung là đưa ra “hình phạt” mơ hồ nhưng đáng sợ, kích hoạt phản xạ làm theo ngay.
Ví dụ thư Trezor được trích dẫn trong bài có liên kết: bản chụp nội dung thư trên X. Liên kết này giúp người dùng nhận diện kiểu trình bày và giọng văn thường gặp của chiến dịch.
Quét QR sẽ dẫn đến website phishing giả mạo tên miền Ledger/Trezor
QR trong thư dẫn nạn nhân tới các trang web giả mạo, bắt chước giao diện Ledger/Trezor và hiển thị cảnh báo “bắt buộc” để dụ người dùng nhập recovery phrase, sau đó gửi dữ liệu về máy chủ của kẻ gian.
Các báo cáo cho biết trang phishing nhắm Ledger đã ngoại tuyến, còn trang nhắm Trezor từng vẫn hoạt động và đã bị trình duyệt/nhà cung cấp bảo mật gắn cờ lừa đảo. Cảnh báo kiểu Chrome thường nêu rằng kẻ tấn công có thể lừa bạn cài phần mềm hoặc tiết lộ thông tin nhạy cảm.
Trước khi bị gắn cờ, trang giả mạo này hiển thị thông báo cần hoàn tất “authorization check” trước 15/02 để “an toàn”. Nó còn đưa ra ngoại lệ cho một số mẫu ví như “đã được cấu hình sẵn” nhằm làm nội dung có vẻ chi tiết và đáng tin hơn, dù mục tiêu vẫn là dẫn người dùng đến bước nhập seed phrase.
Trang đích thường có nút như “Get Started” để đẩy người dùng vào luồng tiếp theo, kèm thêm cảnh báo “thất bại xác thực” nếu chưa hoàn tất. Đây là kỹ thuật tăng dần mức độ khẩn cấp, khiến nạn nhân bỏ qua các dấu hiệu bất thường.
Trang giả mạo yêu cầu nhập recovery phrase và chuyển dữ liệu qua API về kẻ lừa đảo
Khi nạn nhân nhập recovery phrase trên trang giả mạo, cụm từ này sẽ được gửi đến kẻ gian (thường qua một API ở hậu trường), cho phép chúng khôi phục ví trên thiết bị khác và rút toàn bộ tiền điện tử.
Quy trình thường được ngụy trang là “xác minh quyền sở hữu thiết bị” hoặc “kích hoạt tính năng”. Nhưng về mặt kỹ thuật, recovery phrase chính là “chìa khóa” để tạo lại private key, nên bất kỳ ai có cụm từ này đều có thể giành quyền kiểm soát ví.
Sau khi có seed phrase, kẻ xấu không cần thiết bị vật lý của bạn. Chúng có thể nhập cụm từ vào ví phần mềm/hardware khác, ký giao dịch và chuyển tài sản sang địa chỉ do chúng kiểm soát. Vì giao dịch blockchain khó đảo ngược, khả năng thu hồi thường rất thấp.
Nguyên tắc an toàn: Ledger và Trezor không bao giờ yêu cầu recovery phrase
Ledger và Trezor không bao giờ yêu cầu người dùng cung cấp recovery phrase; cụm từ khôi phục chỉ nên nhập trực tiếp trên thiết bị ví cứng, không nhập vào website, QR, email hay biểu mẫu.
Recovery phrase là cách diễn đạt để người dùng sao lưu quyền truy cập ví. Nó đại diện cho quyền kiểm soát private key, vì vậy việc chia sẻ cụm từ này đồng nghĩa trao toàn bộ ví cho người khác.
Nếu nhận thư/email/cuộc gọi yêu cầu seed phrase, hãy coi đó là lừa đảo. Ngoài ra, hãy cảnh giác với thông điệp thúc ép thời hạn, yêu cầu “kiểm tra bắt buộc”, hoặc hướng dẫn quét QR để “đồng bộ” ví.
Thực hành an toàn tối thiểu: không quét QR từ nguồn không kiểm chứng, tự gõ địa chỉ website từ nguồn chính thống, và chỉ thao tác xác nhận/khôi phục trực tiếp trên màn hình thiết bị ví cứng. Nếu đã lỡ nhập seed phrase, cần coi ví đó đã bị lộ và chuyển tài sản sang ví mới với seed phrase mới ngay khi có thể.
Những câu hỏi thường gặp
Thư giấy yêu cầu quét QR để “xác thực ví” có phải thông báo thật từ Ledger/Trezor không?
Không. Đây là dấu hiệu điển hình của lừa đảo: thư giả danh, tạo cảm giác khẩn cấp và dẫn bạn quét QR sang trang web giả mạo để lấy recovery phrase.
Vì sao chỉ cần lộ recovery phrase là có thể mất toàn bộ tiền điện tử?
Recovery phrase có thể dùng để khôi phục ví ở nơi khác và tạo quyền kiểm soát private key. Ai sở hữu cụm từ này có thể ký giao dịch và chuyển tài sản đi mà không cần thiết bị của bạn.
Nếu đã quét QR và nhập recovery phrase, cần làm gì ngay?
Hãy coi ví cũ đã bị xâm phạm. Tạo ví mới với recovery phrase mới trên thiết bị tin cậy, rồi chuyển toàn bộ tài sản sang địa chỉ ví mới càng sớm càng tốt.
Cách nhận biết trang web phishing giả mạo Ledger/Trezor là gì?
Các trang này thường bắt bạn nhập seed phrase, đưa ra hạn chót, cảnh báo mất chức năng và dùng nút “Get Started” để ép tiếp tục. Ledger/Trezor không yêu cầu seed phrase trên website.
