「Khẩn cấp về an ninh mạng」: Hacker Bắc Triều Tiên giả mạo Zoom để phát tán mã độc đã đánh cắp 3 tỷ USD, tài sản mã hóa của bạn đang gặp nguy hiểm

SmartMoneyWallet · 2026-01-22T00:22:08+00:00

Tổ chức an ninh mạng phi lợi nhuận SEAL cảnh báo rằng hacker Bắc Triều Tiên đang lợi dụng các cuộc họp Zoom giả mạo để tiến hành tấn công đầu độc, đã đánh cắp hơn 3 tỷ USD tiền điện tử. Hacker gửi liên kết Zoom giả mạo người quen và tạo ra các vấn đề kỹ thuật trong cuộc họp để lừa người dùng tải xuống các tệp độc hại. Nạn nhân cần ngay lập tức cách ly thiết bị bị nhiễm, cứu lấy tài sản, đặt lại mật khẩu và xóa dữ liệu thiết bị để tránh mất mát tài sản và bảo vệ an toàn tài khoản Telegram.

SmartMoneyWallet

2026-01-22 00:22:08

Đang tạo bản tóm tắt

Không vì lợi nhuận tổ chức an ninh mạng Security Alliance (SEAL) đã phát hành lệnh khẩn cấp về an ninh mạng, tiết lộ một làn sóng đe dọa hacker đang hoành hành trong ngành công nghiệp mã hóa. Nhóm hacker Triều Tiên đang tận dụng quy mô lớn các cuộc họp Zoom giả mạo để tiến hành tấn công đầu độc, hiện tại gần như hàng ngày đều có thể quan sát được nhiều vụ thử nghiệm, đã trở thành cuộc khủng hoảng an ninh mạng nghiêm trọng nhất trong ngành tiền mã hóa. Theo nghiên cứu của nhà an ninh MetaMask Taylor Monahan, hacker đã thu thập hơn 3 tỷ USD tiền mã hóa qua phương thức này.

Làm thế nào Zoom giả mạo trở thành vũ khí mới của hacker

Tại sao hacker chọn Zoom làm phương tiện tấn công chính? Thứ nhất, vì cuộc họp Zoom có độ tin cậy cao và được sử dụng rộng rãi, thứ hai, vì liên kết Zoom giả mạo dễ dàng giả mạo hơn, và nạn nhân trong tình huống gọi khẩn cấp ít cảnh giác nhất. Hacker trước tiên giả danh “người quen” của nạn nhân trên Telegram gửi tin nhắn. Vì tài khoản của đối phương là người mà nạn nhân quen biết hoặc đã từng tương tác, nên đề phòng của họ tự nhiên giảm xuống, sau đó cuộc trò chuyện được khéo léo hướng dẫn đến lời mời “tìm thời gian để nói chuyện qua Zoom”.

Trong toàn bộ quá trình, hacker sẽ gửi một liên kết trông hoàn toàn bình thường trước cuộc gọi video. Sau khi nạn nhân nhấp vào, thậm chí có thể thấy rõ mặt đối phương, cùng với các cộng tác viên hoặc đồng nghiệp của họ. Điểm mấu chốt ở đây là: hacker không sử dụng công nghệ “giả mạo sâu” (deepfake) để tạo hình ảnh, mà lấy từ các đoạn video đã bị đánh cắp trong quá khứ của nạn nhân hoặc từ nguồn công khai (ví dụ như podcast). Việc sử dụng các đoạn thật này càng làm tăng độ tin cậy của cuộc gọi video.

Các bẫy đầu độc liên hoàn: Phân tích toàn bộ quy trình tấn công

Cuộc tấn công thực sự bắt đầu sau khi cuộc họp Zoom bắt đầu. Hacker cố tình tạo ra giả vờ âm thanh hoặc kết nối bất thường, rồi gửi “tệp vá lỗi” để tuyên bố có thể giải quyết vấn đề kỹ thuật ngay lập tức. Một khi nạn nhân nhấp vào và mở tệp này, phần mềm độc hại sẽ âm thầm xâm nhập vào thiết bị.

Điều quan trọng là, hacker không hành động ngay lập tức, mà lấy lý do hoãn cuộc hẹn lần nữa, và kết thúc cuộc gọi một cách bình thường. Taylor Monahan cảnh báo: “Không may thay, máy tính của bạn đã bị xâm nhập rồi. Chúng chỉ giả vờ bình tĩnh để tránh bị phát hiện ngay tại chỗ. Cuối cùng, chúng sẽ lấy đi tất cả tiền mã hóa của bạn, mật khẩu của bạn, dữ liệu bí mật của công ty hoặc giao thức của bạn, cùng với tài khoản Telegram của bạn. Sau đó, bạn sẽ trở thành người tiếp theo ‘hại’ bạn bè của mình.”

Loại mối đe dọa ẩn này đặc biệt nguy hiểm vì nạn nhân hoàn toàn không nhận thức được khi bị tấn công, hacker có thể dành thời gian để lấy cắp thông tin sâu hơn và chuyển đổi tài sản.

Lệnh khẩn cấp phòng vệ sau khi bị hacker tấn công: 5 hành động then chốt

Bất kỳ ai nhấp vào liên kết chia sẻ trong cuộc gọi Zoom đáng ngờ đều phải thực hiện ngay các hành động then chốt trong lệnh phòng vệ dưới đây, thời gian rất cấp bách:

Ngay lập tức cách ly thiết bị nhiễm bệnh:

Ngắt tất cả kết nối Wi-Fi, cắt đứt mạng
Tắt thiết bị nhiễm bệnh để ngăn hacker tiếp tục xâm nhập

Cứu vớt tài sản mã hóa:

Ngay lập tức sử dụng thiết bị khác chưa bị nhiễm
Chuyển tất cả tài sản mã hóa sang ví mới hoàn toàn
Không sử dụng ví cũ để tránh mất mát tài sản tiếp tục

Đặt lại tất cả mật khẩu và xác thực:

Thay đổi tất cả mật khẩu các dịch vụ quan trọng (email, ngân hàng, nền tảng giao dịch, v.v.)
Kích hoạt hoặc cập nhật xác thực hai yếu tố (2FA) cho tất cả tài khoản quan trọng
Ưu tiên xử lý các tài khoản liên quan đến tài sản

Thực hiện dọn dẹp sâu:

Xóa tất cả dữ liệu còn sót lại trong bộ nhớ thiết bị
Hoặc thực hiện khôi phục cài đặt gốc, đưa thiết bị về trạng thái xuất xưởng
Đảm bảo phần mềm độc hại hoàn toàn bị loại bỏ

Bảo vệ tài khoản Telegram: Ngăn chặn hacker mở rộng tấn công

Taylor Monahan đặc biệt nhấn mạnh, việc bảo vệ tài khoản Telegram là vô cùng quan trọng. Một khi hacker kiểm soát được tài khoản Telegram của bạn, họ có thể truy cập tất cả danh bạ lưu trữ trong đó, trở thành danh sách quý giá để tìm kiếm nạn nhân tiếp theo. Các bước phòng vệ như sau:

Mở ứng dụng Telegram trên điện thoại
Vào “Cài đặt → Thiết bị”
Buộc đăng xuất tất cả các thiết bị khác
Ngay lập tức đổi mật khẩu tài khoản Telegram
Kích hoạt hoặc cập nhật bảo vệ xác thực nhiều lớp (multi-factor authentication)

Điều cốt lõi của lệnh phòng vệ này là: cắt đứt mọi hoạt động của hacker trên tài khoản Telegram của bạn, ngăn bạn trở thành “người giúp” truyền virus cho bạn bè.

Nhóm hacker Triều Tiên vẫn tiếp tục phát triển các phương thức tấn công đầu độc giả mạo Zoom, mỗi lần phòng thủ chậm trễ đều có thể khiến hàng triệu tài sản biến mất trong chốc lát. Thực hiện ngay lệnh phòng vệ này chính là hàng rào cuối cùng để bảo vệ an toàn tài sản mã hóa của bạn.

Xem bản gốc

Trang này có thể chứa nội dung của bên thứ ba, được cung cấp chỉ nhằm mục đích thông tin (không phải là tuyên bố/bảo đảm) và không được coi là sự chứng thực cho quan điểm của Gate hoặc là lời khuyên về tài chính hoặc chuyên môn. Xem Tuyên bố từ chối trách nhiệm để biết chi tiết.