Fake Trezor security alert phishing message shown on a laptop and phone
Bảo mật

Lừa đảo phishing qua Calendly: bài học từ vụ hack Trezor X

· 19 min read

Đầu năm nay, hãng ví phần cứng Trezor xác nhận tài khoản X (Twitter) của mình bị hacker xâm nhập thông qua một lời mời Calendly giả mạo. Đây là hình thức tấn công giả mạo (phishing) và thao túng tâm lý tinh vi, vốn liên tục nhắm vào các công ty công nghệ và crypto thời gian qua. Sự cố này là lời nhắc nhở rằng ngay cả những tổ chức bảo mật nhất vẫn có thể bị tấn công vì chủ quan. Qua đó, người dùng cần cảnh giác cao độ khi bấm vào các link đặt lịch hẹn, ứng dụng bên thứ ba hoặc các yêu cầu cấp quyền bất ngờ.

Móc câu phishing nhắm vào hộp thư email trên laptop
Lừa đảo phishing qua Calendly là gì? Xem ngay!

Tấn công giả mạo (Phishing) là gì?

Tấn công giả mạo (Phishing) là một hình thức tấn công mạng rất phổ biến. Trong đó, kẻ lừa đảo sẽ mạo danh một người, một công ty hoặc một nhà cung cấp dịch vụ uy tín để lừa nạn nhân thực hiện các hành động không an toàn.

Các hành động này có thể là:

  • Nhập thông tin đăng nhập vào một trang web giả mạo.
  • Chia sẻ mã OTP hoặc mã xác thực hai lớp (2FA).
  • Chấp nhận một yêu cầu cấp quyền độc hại.
  • Tải về các tệp tin bị nhiễm mã độc.
  • Chuyển tiền trực tiếp đến địa chỉ ví/tài khoản của kẻ tấn công.

Mục đích cuối cùng của kẻ lừa đảo thường là chiếm quyền truy cập tài khoản, đánh cắp các thông tin nhạy cảm, hoặc thao túng nạn nhân để họ tự tay phê duyệt một giao dịch mà bình thường họ sẽ không bao giờ đồng ý.

Phím bàn phím ghi chữ phishing với móc câu và biểu tượng email
Lừa đảo phishing khiến bạn bị hack chỉ sau 1 lần nhấp chuột

Các hình thức tấn công giả mạo (Phishing) phổ biến

Kẻ lừa đảo thường thực hiện tấn công giả mạo qua các con đường sau:

  • Email giả mạo (Email Phishing): Thư điện tử được thiết kế nhằm tạo ra sự khẩn cấp hoặc áp lực tâm lý, thúc ép người dùng phải hành động nhanh chóng trước khi kịp suy nghĩ kỹ — ví dụ như bấm vào một đường link độc hại, tải về tệp đính kèm chứa mã độc hoặc chia sẻ các thông tin nhạy cảm.
  • Trang web giả mạo: Các đường link dẫn người dùng đến những trang web được làm nhái giống hệt các dịch vụ uy tín, khiến nạn nhân mất cảnh giác mà tự tay nhập thông tin đăng nhập, mã xác thực hoặc các dữ liệu truy cập khác.
  • Tin nhắn (SMS/Zalo/Telegram): Tin nhắn gửi qua SMS, Zalo, Telegram hoặc các nền tảng tương tự nhằm mạo danh người quen, nhà cung cấp dịch vụ hoặc nhân viên công ty. Chúng thường đánh vào tâm lý lo sợ, sự vội vàng hoặc giả làm nhân viên hỗ trợ để ép nạn nhân bấm vào link, chia sẻ mã xác thực hoặc phê duyệt một yêu cầu nào đó.

Tóm lại, phishing là một thủ đoạn thao túng tâm lý (social engineering). Thay vì tấn công vào hệ thống máy móc, kẻ xấu sẽ lợi dụng lòng tin và tâm lý của con người để khai thác các lỗ hổng bảo mật.

Tài khoản X (Twitter) của Trezor bị hack qua link Calendly giả

Đầu năm nay, hãng ví phần cứng Trezor xác nhận tài khoản X chính thức bị hacker xâm nhập. Đây không phải là vụ hack ngẫu nhiên mà là một chiến dịch lừa đảo (phishing) tinh vi kéo dài nhiều tuần.

Kẻ xấu đã giả danh đối tác uy tín để hẹn phỏng vấn đội ngũ truyền thông của Trezor. Trong lúc trao đổi, chúng gửi một link đặt lịch Calendly giả mạo. Do mất cảnh giác, một nhân viên đã vô tình cấp quyền truy cập, giúp hacker chiếm quyền đăng bài trên tài khoản X của Trezor.

Hậu quả và phản ứng của Trezor

Trezor đã lập tức xóa các bài viết lừa đảo (vốn dụ người dùng click vào link độc hại hoặc chuyển tiền cho hacker), đồng thời khóa toàn bộ các quyền truy cập liên quan để rà soát bảo mật.

Người dùng và sản phẩm có an toàn không?

Sự cố này không ảnh hưởng đến ví phần cứng, phần mềm Trezor Suite hay khóa bảo mật (private key) của người dùng. Tài sản của bạn vẫn an toàn, trừ khi bạn chủ động bấm và làm theo các bài đăng lừa đảo trên X vào thời điểm đó.

Bài học rút ra: Tuyệt đối không đầu tư hay chuyển tiền chỉ dựa vào một bài đăng trên mạng xã hội. Sự vội vã và tâm lý đám đông chính là bẫy rập của kẻ lừa đảo.

Bài đăng Trezor giả mạo trên mạng xã hội với biểu tượng ổ khóa bảo mật
Trezor cũng đã trở thành nạn nhân của lừa đảo phishing qua Calendly!

8 nguyên tắc vàng trong việc phòng tránh tấn công giả mạo (Phishing)

1. Luôn kiểm tra kỹ đường link, tên miền và người gửi

Trước khi bấm vào bất kỳ đường link nào trong email, tin nhắn hay lịch hẹn, hãy nhìn thật kỹ địa chỉ URL và danh tính người gửi. Cảnh giác với những lỗi chính tả cố ý (ví dụ: trezor.io thành trez0r.io), link rút gọn hoặc các yêu cầu đăng nhập bất ngờ. Nếu nghi ngờ, hãy tự gõ địa chỉ trang web vào trình duyệt thay vì bấm trực tiếp vào link được gửi.

2. Cảnh giác với tâm lý vội vã và những lời thúc ép

Kẻ lừa đảo rất thích đánh vào tâm lý lo sợ, vội vàng hoặc phấn khích để bạn hành động trước khi kịp suy nghĩ kỹ (ví dụ: “Tài khoản của bạn sẽ bị khóa”, “Cơ hội có hạn”, “Cần xác thực khẩn cấp”). Các công ty uy tín hiếm khi nào ép buộc khách hàng phải xử lý gấp rút như vậy.

3. Bật bảo mật hai lớp (2FA) và dùng mật khẩu mạnh

Ngay cả khi lừa được mật khẩu của bạn, hacker vẫn sẽ bị chặn lại nếu bạn có lớp bảo mật thứ hai. Hãy ưu tiên dùng các ứng dụng tạo mã xác thực (như Google Authenticator) hoặc khóa bảo mật phần cứng thay vì nhận mã qua SMS. Đồng thời, hãy thường xuyên kiểm tra danh sách các ứng dụng bên thứ ba đang liên kết với tài khoản của mình.

4. Cập nhật phần mềm và thiết bị liên tục

Các bản cập nhật bảo mật sinh ra là để vá những lỗ hổng mà hacker đang tìm cách khai thác. Hãy đảm bảo hệ điều hành, trình duyệt, các tiện ích mở rộng (extensions) và phần mềm ví của bạn luôn ở phiên bản mới nhất.

5. Tuyệt đối không chia sẻ mật khẩu, mã OTP hay cụm từ khôi phục (Seed Phrase)

Không một công ty uy tín nào yêu cầu bạn cung cấp mật khẩu, mã xác thực một lần (OTP) hay cụm từ khôi phục ví qua email, chat hoặc tin nhắn. Bất kỳ ai hỏi những thông tin này đều là kẻ lừa đảo.

6. Cẩn trọng với các ứng dụng bên thứ ba

Hacker có thể lợi dụng các công cụ làm việc quen thuộc như Calendly, Slack, Google Workspace hoặc các tiện ích mở rộng trên trình duyệt để lừa bạn cấp quyền truy cập tài khoản. Chỉ cấp quyền cho các nguồn đã được xác minh và hãy hủy liên kết với các ứng dụng cũ không còn dùng tới.

7. Chủ động bảo vệ tài khoản và dữ liệu

Hãy thường xuyên kiểm tra các phiên đăng nhập active, đăng xuất khỏi các thiết bị lạ và theo dõi xem tài khoản có hoạt động nào bất thường không. Các dữ liệu quan trọng nên được sao lưu an toàn, tốt nhất là lưu trữ ngoại tuyến (offline) hoặc mã hóa.

8. Cập nhật kiến thức bảo mật thường xuyên

Các chiêu trò lừa đảo mạng thay đổi rất nhanh, nhưng phần lớn các vụ hack thành công vẫn đến từ những sơ hở của con người. Đối với các đội ngũ/công ty, việc thường xuyên chia sẻ các tình huống lừa đảo thực tế sẽ giúp nhân viên cảnh giác hơn, tránh việc “một cú click chuột vội vã” dẫn đến hậu quả nghiêm trọng.

Biểu tượng cảnh báo trên móc câu phishing nền vàng
Hãy tự bảo vệ mình khỏi lừa đảo phishing

Giữ private key hoàn toàn offline bằng lưu trữ lạnh (cold storage)

Cold storage là phương pháp lưu trữ private key tiền điện tử tách biệt hoàn toàn khỏi internet.

Tuyệt đối không nhập, tải lên, chụp ảnh hoặc lưu private key hay seed phrase trên thiết bị có kết nối internet.

Khi thiết bị online không có khả năng ký giao dịch, hacker từ xa sẽ khó đánh cắp tài sản hơn. Ngay cả khi máy tính hoặc điện thoại bị nhiễm mã độc, kẻ tấn công cũng không thể chuyển tiền nếu không có thiết bị ký offline hoặc seed phrase.

Đó là lý do ví cứng như Trezor hoặc Coldcard được xem là tiêu chuẩn an toàn cho lưu trữ crypto dài hạn: giúp cô lập private key khỏi môi trường online nhưng vẫn cho phép ký giao dịch khi cần.

Nếu bạn sở hữu lượng crypto trị giá từ 1.000 USD trở lên, đừng bao giờ chủ quan. Giá của một chiếc ví phần cứng là quá nhỏ so với nguy cơ mất trắng tài sản và việc sở hữu thiết bị lưu trữ  tốt nên được coi là khoản chi phí thiết yếu để đầu tư an toàn.

Thiết bị ví phần cứng Trezor trên nền xanh

Multivendor multisig: loại bỏ điểm yếu duy nhất

Multisig (đa chữ ký) là thiết lập ví yêu cầu nhiều khóa bí mật để duyệt một giao dịch. Ví dụ, với cấu hình 2-trong-3, bạn có 3 khóa nhưng cần ít nhất 2 khóa để chuyển tiền. Điều này giúp tài sản an toàn ngay cả khi một khóa bị mất hoặc bị hack.

Multivendor Multisig nâng cấp mô hình này bằng cách dùng ví phần cứng của các hãng khác nhau (như Trezor, Coldcard, Blockstream Jade) cho từng khóa. Mỗi máy chạy phần mềm và có cách sao lưu độc lập, giúp bạn không bị phụ thuộc vào một nhà sản xuất duy nhất.

Với tài sản lớn, mô hình này bảo mật hơn hẳn việc dùng một thiết bị đơn lẻ. Tuy nhiên, nó đòi hỏi việc thiết lập và sao lưu rất kỹ lưỡng. Nếu cần, đội ngũ của chúng tôi luôn sẵn sàng hỗ trợ bạn.

Tại sao lại là “Only Bitcoin”?

Các thiết lập ví lạnh siêu bảo mật kể trên chủ yếu được thiết kế riêng cho Bitcoin.

Lý do rất đơn giản: Bitcoin là tài sản kỹ thuật số duy nhất có tiềm năng rõ ràng nhất cho việc lưu trữ tài sản dài hạn qua nhiều thế hệ. Hầu hết các đồng coin khác (altcoin) đều mang tính đầu cơ cao và thường không đáng để bạn phải lên kế hoạch thừa kế hay lưu trữ phức tạp đến vậy.

Các tài sản khác vẫn cần được bảo vệ bằng ví phần cứng phù hợp. Nhưng hiếm có đồng coin nào có được hạ tầng bảo mật kiên cố và các giải pháp thừa kế chuyên sâu như Bitcoin.

Lên kế hoạch để lại Bitcoin cho con cháu là một việc hoàn toàn thực tế. Còn việc xây một hệ thống lưu trữ bảo mật dùng cho hàng chục năm chỉ để giữ một đồng coin đang theo ‘trend’ nhất thời thì thật sự không đáng.

Minh họa ví multisig 2-of-3 với nhiều khóa

Kết luận

Bài học từ sự cố của Trezor không phải là ví phần cứng không an toàn. Thực tế hoàn toàn ngược lại: sản phẩm và khóa bí mật không phải là điểm yếu. Điểm yếu chính là sự thiếu cảnh giác trong một cuộc trò chuyện trực tuyến tưởng chừng như rất bình thường.

Một nền tảng quen thuộc. Một lời mời họp trên lịch trông có vẻ hợp pháp. Một yêu cầu công việc rất đáng tin. Đó chính là cách mà các cuộc tấn công lừa đảo tinh vi diễn ra và chúng không hề lộ liễu ngay từ đầu, mà thường ẩn mình ngay trong chính những công việc hằng ngày của bạn.

Đối với mỗi cá nhân, nguyên tắc cốt lõi rất đơn giản:

Chậm lại!

Hãy luôn kiểm tra kỹ trước khi bấm vào link, ký duyệt, cấp quyền hoặc chuyển tiền trong mọi trường hợp.

Đối với doanh nghiệp, nên áp dụng các nguyên tắc bao gồm: hạn chế quyền của các ứng dụng bên thứ ba, rà soát tài khoản liên kết thường xuyên, và đảm bảo không để một cú click vội vã nào có thể làm sập cả kênh truyền thông quan trọng.

Bảo mật không chỉ là câu chuyện về công cụ tốt hơn mà còn là việc xây dựng nhận thức thông qua việc cập nhật kiến thức an ninh mạng thường xuyên.

Hãy đảm bảo bạn luôn duy trì một nền tảng kiến thức và ý thức bảo mật đủ tốt để chặn đứng các nguy cơ lừa đảo trước khi chúng kịp đe dọa đến tài sản tích cóp của bạn.

Bạn đang ở Việt Nam và muốn mua ví Trezor?

BitcoinVN Shop là nhà phân phối chính thức của Trezor tại Việt Nam từ năm 2017. Chúng tôi cung cấp các dòng ví phần cứng chính hãng mới nhất, nhập khẩu trực tiếp từ Cộng hòa Séc và luôn có sẵn tại kho Việt Nam, giúp bạn mua hàng dễ dàng mà không lo thủ tục hải quan phức tạp.

  • Giao hàng hỏa tốc trong ngày tại TP.HCM.
  • Nhận hàng trực tiếp tại các điểm hẹn ở TP.HCM hoặc Đà Nẵng nếu bạn muốn bảo mật thông tin cá nhân, không muốn để lại địa chỉ giao hàng khi mua ví.

Mua ngay ví Trezor chính hãng tại BitcoinVN Shop!

Logo BitcoinVN Shop trên nền bờ biển Đà Nẵng

Related Articles