Báo cáo

Kẻ lừa đảo nhắm đến các freelancer làm về tiền điện tử


Những kẻ lừa đảo tuyển dụng quốc tế đang hướng tới các freelancer làm việc trong ngành tiền điện tử (crypto). Bài viết sau chia sẻ kinh nghiệm của tôi về những kẻ lừa đảo này.

1. Kẻ lừa đảo tìm nạn nhân trên các trang freelancer

Là 1 freelancer từng làm việc cho 1 vài dự án crypto nước ngoài, tôi nộp đơn vào 1 công ty tìm nhân sự cho 1 dự án crypto đăng trên Upwork. Thông thường theo kinh nghiệm của mình tôi không bao giờ nộp đơn đến các khách hàng chưa xác minh tài khoản thanh toán (Payment not verified). Tuy nhiên lần này, khi đọc mô tả công việc thấy rất phù hợp với lựa chọn của tôi với mức lương chấp nhận được, lại đang trong 1 thời gian dài không có dự án mới. Tôi quyết định nộp đơn luôn. Tôi nhận được phản hồi khá nhanh vào ngày hôm sau. Tôi được hẹn phỏng vấn với 1 nhân sự tên Michelle Anne Lui (có vẻ là từ Philippines, do phát âm tiếng Anh). Cuộc phỏng vấn khá đơn giản, không đi nhiều về kỹ năng. Nhưng tôi cũng không nghi ngờ nhiều vì công ty giới thiệu là 1 công ty trung gian tuyển người cho dự án của công ty khác, có thể họ chỉ quan tâm lợi nhuận, miễn sao bằng tài ăn nói của mình họ có thể thuyết phục khách hàng về ứng viên. 

Hai ngày sau tôi nhận được offer deal lương, tôi bị ép lương xuống dưới mức mong đợi, nhưng do đang eo hẹp tài chính và cũng nhỉnh hơn khi đi làm công ty, tôi chấp nhận offer. Đây là quá trình tuyển dụng bình thường, tôi không có gì nghi ngờ.

Khi đọc qua hợp đồng, tôi nhận thấy 1 vài điểm đặc biệt:

2. Kẻ lừa đảo chính ra mặt

Tôi được hướng dẫn kết nối với người tên Xushan Dong trên Skype. Một ngày trước khi làm chính thức theo hợp đồng tôi liên lạc với người này và được cho biết có thể làm việc từ 8AM - 4PM. Và anh ta đang ở Malaysia, làm việc từ 9AM-5PM. Khách hàng yêu cầu 4 tiếng làm việc chung nhưng tôi có tới 8 tiếng chung và khách hàng rất ưng ý. Như vậy có sự kết nối giữa các địa điểm theo múi giờ Hong Kong, Philippines, Malaysia và Úc. Tôi không còn nghi ngờ về công ty nữa.

Ngày hôm sau, Xushan liên hệ hướng dẫn quy trình bắt đầu công việc. Tôi được giới thiệu việc quản lý theo dõi công việc là rất quan trọng với công ty này để tạo niềm tin cho các khách hàng. Tôi được yêu cầu cài các phần mềm sau:

Anh ta lúc này yêu cầu kết nối vào máy tính của tôi để cấu hình. Tôi thấy hơi bất an vì hành động này đòi hỏi sự tin tưởng cao. Tôi đăng xuất ra khỏi các tài khoản quan trọng như trình quản lý mật khẩu... và cho phép anh ta cấu hình vì tôi ngồi ngay màn hình để quan sát nên sẽ giảm bớt rủi ro.

Anh ta bắt đầu gởi từ Skype bản cấu hình tùy biến (custom config) và thao tác rất nhanh, mở 1 file trong thư mục cấu hình và nhập tài khoản vào tên miền của công ty khách hàng equalizer.exchange. Tôi nghĩ anh chàng này không giỏi về giải pháp kỹ thuật nên phải dùng chung 1 account chính để đăng nhập mà không muốn chia sẻ thông tin đăng nhập tài khoản. Sau đó anh ta báo thành công và ngắt kết nối với máy tính của tôi.

Vài phút sau tôi nhận được cảnh báo trojan trên chính gói cài đặt anh ta tải về. Tôi lập tức cô lập và vô hiệu hóa trojan. Tôi tắt ngay tất cả chương trình mới cài đặt. Tôi tìm hiểu về trojan này: nó giúp kẻ tấn công thực hiện các lệnh điều khiển máy tính của nạn nhân. Tôi lập tức gỡ bỏ tất cả chương trình đã cài và chạy 1 bản scan virus nhanh cho máy tính.

Tôi đã bỏ xót chỗ nào mà anh ta có thể cài đặt trojan nhanh vậy? Tôi nhớ lại, chỉ trong 1 giây anh ta bật chương trình đăng nhập Clockify nhưng nó không phải là Clockify mà là trojan (1 tập tin thực thi được exe) mà anh ta tạo ra trong giống như Clockify.

Tôi giả bộ không biết và truy vấn anh ta tại sao phải dùng một CustomConfig, anh ta bảo công ty mua 1 tải khoản doanh nghiệp nên cần đăng nhập mà không phải chia sẻ. Tôi làm ra vẻ mình có kiến thức về Clockify nên bảo anh có thể tạo 1 tài khoản khách hàng riêng và tài khoản người dùng riêng để quản lý mà. Anh ta bảo có thể bản CustomConfig của anh ta có nhiều cải thiện gì đó. Thật là một điều mơ hồ và thiếu thuyết phục. Và anh ta lãng tránh bảo cấu hình xong rồi, tôi không cần làm gì cả, chỉ xài bình thường mỗi khi làm việc. Tôi cho biết bản CustomConfig của anh ta bị cảnh báo nguy hại. Anh ta nói điều này thật lạ, để anh ta tìm hiểu. Trong lúc chờ đợi, tôi nên bắt đầu tìm hiểu dự án của khách hàng (equalizer.exchange) ngày mai sẽ có cuộc nói chuyện với Tony CEO công ty đó.

Mưu đồ là gì?

Trong lúc tìm hiểu anh ta mong đợi tôi sẽ mở ví điện tử Metamask của mình để kết nối với sàn giao dịch kia. Trojan của anh ta sẽ ghi lại mọi mật khẩu.

Tôi đọc qua equalizer.exchange và các công nghệ của nó, đây là 1 dự án có đầu tư. Tôi vào nhóm Discord của dự án để tìm hiểu về CEO tên Tony này. Tôi liên lạc với một vài thành viên nhóm phát triển và được biết công ty này chả có ai tên Tony cả. Thế là rõ. Sẽ không có cuộc gặp nào ngày mai cả nếu có cũng sẽ bị trì hoãn cho đến khi mục đích của anh ta đạt được.

Tôi nói với anh ta tôi đã nghiên cứu xong tất cả. Khi nào tôi sẽ gặp Tony? Anh ta hỏi tôi đã tắt Clockify rồi sao. Tôi xác nhận. Anh ta bảo tôi bật nó lên lại. Tôi từ chối và yêu cầu gọi thảo luận về điều này. Tôi không ngại việc kiểm tra theo dõi công việc, nhưng không phải những ứng dụng này. Anh ta im bặt và biến mất.

3. Giải quyết hậu quả

Cũng may mắn tôi đã thoát ra khỏi ứng dụng quản lý mật khẩu và không đăng nhập bất kỳ tài khoản nào trong thời gian có Clockify. Chỉ duy nhất tài khoản Google chưa đăng xuất.

Tôi đã làm những điều sau để giảm thiểu hậu quả:

Trình quản lý mật khẩu của tôi cảnh báo có lượng truy cập đáng ngờ vào tài khoản quản lý mật khẩu của tôi từ địa chỉ IP tôi đang dùng. Cuối cùng tôi quyết định cài lại toàn bộ hệ điều hành. Đến giờ tôi vẫn chưa thể khẳng định mọi thứ đã an toàn, tôi liên hệ nhóm trợ giúp của trình quản lý mật khẩu điều tra nguyên nhân của lưu lượng nghi ngờ. Quá trình này vẫn đang tiếp diễn.

4. Bài học

  1. Nếu bạn là một freelancer, đừng bao giờ nộp đơn vào các khách hàng chưa xác nhận tài khoản thanh toán, ít nhất là như vậy. Không đáng để các bạn làm liều vào những khách hàng này. Cho dù họ không tấn công như trên cũng chưa chắc họ sẽ trả tiền cho bạn sau khi hoàn thành công việc. Nếu bạn cẩn thận hơn, hãy chỉ làm việc với các khách hàng có phản hồi tốt để tránh làm việc cho người khó chịu, lương thấp mà còn bị đánh giá tệ.
  2. Đừng bao giờ cho ai truy cập từ xa vào máy tính của bạn. Nếu họ không thể cấu hình một giải pháp quản lý nội bộ trong công ty bằng các công ty uy tín sẵn có mà không cần truy cập vào máy tính của bạn, công ty này không đáng cho bạn mạo hiểm.
  3. Luôn có trình diệt virus và bảo mật được cập nhật. Nó sẽ cứu bạn khỏi những điều bạn không biết.
  4. Dùng trình quản lý mật khẩu. Có quá nhiều mật khẩu để bạn phải nhớ. Đừng dùng 1 mật khẩu cho mọi tài khoản. Hãy bật chế độ xác thực tài khoản nhiều bên cho các tài khoản quan trọng. Các chương trình này sẽ giúp bạn quản lý hiệu quả và cảnh báo những nguy hiểm.
  5. Hãy lưu trữ những dữ liệu quan trọng lên cloud (như OneDrive, Google Drive...). Những chương trình này sẽ giúp bạn chống lại ransomware. Nếu chương trình anh chàng kia cài vào sẽ mã hóa toàn bộ dữ liệu của tôi để đòi tiền chuộc thì tôi có thể tự tin bỏ hết những dữ liệu trên ổ cứng vì dữ liệu quan trọng đã ở trên cloud.
  6. Hãy luôn cập nhật kiến thức về lừa đảo và chia sẻ cho nhau những bài học của bạn. Những kẻ lừa đảo như muôn sói rình rập ngoài kia, hãy bảo vệ nhau.

Chúc các bạn làm việc an toàn.

P/S: Crypto không xấu nhưng còn sơ khai và thiếu luật lệ. Không có những kẻ khai hoang ở Miền Tây Hoang Dã đầy nguy hiểm kia thì không có nước Mỹ hiện đại ngày nay. Nên đừng thành kiến với crypto các bạn nhé. Chỉ hãy cẩn thận tránh xa nó khi bạn chưa trang bị đủ kiến thức cho mình.

 

 

Chia sẻ:

BÌNH LUẬN