'Tôi mất nửa triệu USD vì một ứng dụng trên iPhone'

Thay vì phải kiểm tra trên máy tính,ôimấtnửatriệuUSDvìmộtứngdụngtrêbxh bd phap Phillipe Christodoulou muốn xem lượng Bitcoin ở trong ví lạnh Trezor trên điện thoại. Anh lên App Store, tìm đúng tên nhà sản xuất đó, và chọn ứng dụng cùng tên được chấm 5 sao.

Chỉ chưa đầy một giây sau khi nhập mật khẩu, toàn bộ 17,1 Bitcoin của Christodoulou, có giá 600.000 USD vào lúc đó, đã biến mất. Hóa ra thứ mà anh tải về là ứng dụng giả mạo, được thiết kế với nhiều đặc điểm như logo giống hàng xịn và đánh giá cao để lừa người dùng.

“Apple đã phản bội niềm tin tôi đặt vào họ”, thay vì trách kẻ lừa đảo, Christodoulou tin rằng Apple đã để lọt ứng dụng và là nguyên nhân lớn nhất khiến anh mất tiền.

“Kho ứng dụng an toàn và đáng tin cậy”

Đó là cách Apple mô tả App Store, kho ứng dụng trên iOS, macOS của hãng. Mỗi ứng dụng muốn đưa lên đây đều trải qua quá trình thẩm định, kiểm duyệt để đảm bảo chúng an toàn và không lừa người dùng. Apple cho biết mức phí 15-30% mà họ thu của các nhà phát triển được trích ra để đảm bảo kho ứng dụng này luôn an toàn.

Để đảm bảo an toàn, nhiều người trữ Bitcoin vào các ví lạnh. Tuy nhiên, hacker vẫn có cách lấy hết lượng tiền trong ví lạnh mà không cần tiếp cận thiết bị. Ảnh: Captain Alt Coin.

Tuy nhiên, nhiều chuyên gia cho rằng những bước thẩm định này vẫn có thể bị vượt qua, khiến người dùng mất tiền. Apple sẽ xóa ứng dụng và cấm nhà phát triển nếu nhận thấy lừa đảo, nhưng khi đó thì đã có nhiều người bị thiệt hại.

Theo Washington Post, những ứng dụng hoặc trang web lừa tiền mã hóa khá phổ biến trên hệ điều hành Android và web. Tuy nhiên, vẫn có những ứng dụng lừa đảo trên App Store. Người dùng có xu hướng tin tưởng App Store, nên khi app lọt qua cửa kiểm duyệt thì sẽ dễ dàng lừa đảo hơn.

“Apple thường đưa ra những thông điệp về tôn trọng người dùng và bảo mật để biện minh cho hành vi độc quyền trên App Store. Thực tế là các tiêu chuẩn bảo mật của Apple rất thiếu ổn định và không nhất quán giữa các ứng dụng, chủ yếu được dùng để bảo vệ chính họ”, Meghan DiMuzio, Giám đốc tổ chức Công bằng ứng dụng cho biết. Tổ chức này có sứ mệnh chính là yêu cầu Apple thay đổi mô hình độc quyền trên App Store.

Apple thừa nhận trên App Store tồn tại những ứng dụng lừa tiền mã hóa, nhưng không nói rõ số lượng.

“Ứng dụng lừa tiền mã hóa trên Play Store và App Store đều có rất nhiều”, Pawel Aleksander, Giám đốc thông tin của công ty tư vấn luật về tiền mã hóa Coinfirm nhận xét.

Theo dữ liệu của Coinfirm, đã có 5 người báo với họ về việc mất tiền do app Trezor trên iOS. Tổng số tiền thiệt hại lên tới 1,6 triệu USD. Ứng dụng lừa đảo này cũng có trên Android, nhưng mới lừa được 3 người với tổng số tiền 600.000 USD.

Apple từ chối cung cấp thêm thông tin về nhà phát triển ứng dụng lừa đảo Trezor, hay liệu họ có ứng dụng nào khác trên App Store không.

Trong khi đó, Google xác nhận đã có 2 ứng dụng giả mạo Trezor xuất hiện trên Play Store, và hãng đã xóa cả 2. Tuy nhiên, Google không tiết lộ vì sao ứng dụng lừa đảo lại lên được kho.

Theo công ty phân tích App Figures, có tới 8 ứng dụng Trezor giả mạo trên Play Store.

Thủ thuật lừa đảo của hacker

Trong số những trò lừa đảo trên mạng, lừa lấy tiền mã hóa là thứ mang lại hiệu quả cao nhất. Hacker có thể lấy cắp hàng triệu USD tiền mã hóa trong vài giây. Năm 2018, khi Coincheck bị hack, thiệt hại lên tới 530 triệu USD.

Vào năm 2014, Apple đã cấm các ứng dụng ví tiền mã hóa, nhưng sau đó lại cho phép chúng trở lại trên App Store. Tuy nhiên, người sở hữu nhiều tiền mã hóa thường dùng những “ví lạnh”, là những thiết bị lưu trữ như ổ nhớ USB để chuyển lượng tiền mã hóa vào đây.

Để truy cập ví lạnh, chủ sở hữu sẽ phải cắm nó vào máy tính, nhập mã PIN hoặc mật khẩu. Sau khi qua bước xác thực, người chủ mới có thể thực hiện lệnh chuyển tiền khỏi ví.

Ứng dụng giả mạo Trezor trên App Store. Ảnh: Reddit.

Nếu như làm mất ổ lưu trữ này, người chủ vẫn có thể dùng một mã đặc biệt gọi là seed phrase. Mã này cho phép nhập vào một ví ảo tương thích để rút toàn bộ số tiền trong ví lạnh. Những người sở hữu ví lạnh có thể viết cụm mã seed phrase ra giấy và cất vào két, để đảm bảo nó khó bị hư hại nhất.

Trong trường hợp của người dùng Phillipe Christodoulou, anh đã bị lừa nhập seed phrase vào ứng dụng giả mạo Trezor. Có cụm mã này, hacker có thể rút hết số Bitcoin trong ví lạnh của Christodoulou từ xa. Trezor là hãng ví lạnh nổi tiếng của Czech, và họ không có ứng dụng trên di động. Tất cả những ứng dụng mang tên Trezor ở các kho đều là lừa đảo.

Kristyna Mazankova, đại diện của Trezor cho biết công ty này đã cảnh báo Apple, Google về ứng dụng giả mạo nhiều năm nay. Bà Mazankova cho rằng báo cáo vi phạm là quá trình rất mệt mỏi, và chẳng có đại diện nào của Apple hay Google phản hồi. Cứ mỗi lần một ứng dụng bị xóa, lại có thêm ứng dụng giả mạo khác xuất hiện chỉ sau vài ngày.

Theo Apple, ứng dụng Trezor được nhắc tới ở đầu bài viết giả là một ứng dụng mã hóa, cho phép khóa các tập tin iPhone và lưu trữ mật khẩu. Nhà phát triển của ứng dụng này cam đoan với Apple họ không liên quan gì đến tiền mã hóa.

Ứng dụng được cấp phép vào ngày 22/1. Sau đó, lập trình viên của Trezor đã thay đổi app này thành ví tiền mã hóa mà Apple không biết. Theo Apple, họ chỉ biết được nếu người dùng phản ánh lại. Theo công ty thống kê Sensor Tower, ứng dụng Trezor giả mạo tồn tại trên App Store từ 22/1 - 3/2, được tải về khoảng 1.000 lần.

Christodoulou không phải nạn nhân duy nhất. James Fajcz, kỹ sư tại Georgia, Mỹ cũng mất tiền vì ứng dụng Trezor. Vào tháng 12/2020, khi thấy tiền mã hóa tăng giá, anh mua Ethereum và Bitcoin trên các sàn giao dịch, sau đó chuyển vào ví lạnh Trezor Model T.

Khi thiết lập lần đầu, người dùng sẽ phải tự nghĩ ra cụm mã khóa đặt cho ví lạnh để có thể khôi phục sau này nếu cần. Đây chính là điểm yếu để hacker tấn công. Ảnh: Bitgear.

Sau khi mua ví, Fajcz tải ứng dụng Trezor về iPhone. Ứng dụng này yêu cầu anh nhập seed phrase. Thiết lập xong vẫn không thấy ứng dụng kết nối với ví, Fajcz chỉ nghĩ rằng có lỗi gì đó. Anh chỉ nhận ra mình đã mất tiền sau vài tuần, khi mua thêm Ethereum và chuyển vào ví lạnh nhưng nhận ra số tiền trước đó đã mất hết.

“Tôi há hốc miệng, tim chùng xuống khi nhận ra mình đã sai lầm”, Fajcz kể lại.

Apple từ chối trách nhiệm

Khi anh liên lạc với Apple, nhân viên chăm sóc khách hàng của Apple cho rằng công ty này không chịu trách nhiệm.

“Đây là ứng dụng được tin cậy trên App Store, nơi tự gọi mình là kho ứng dụng tốt nhất và đáng tin cậy nhất. Thế mà họ để lọt app lừa đảo này. Tôi nghĩ rằng Apple phải chịu một phần hoặc toàn bộ trách nhiệm”, Fajcz chia sẻ.

Lượng Bitcoin trong ví được Phillipe Christodoulou mua dần trong nhiều năm. Tới tháng 2, khi giáBitcoin vượt trên 40.000 USD, anh đã hi vọng số tiền này sẽ giúp công ty của mình vượt qua khó khăn.

Ngày 1/2, Christodoulou muốn có thêm cách để kiểm tra số dư trong ví thay vì phải cắm vào máy tính. Do vậy anh tìm ứng dụng trên App Store, tải về app Trezor giả mạo, nhập seed phrase, và nhận ra ngay lập tức rằng mình đã mất tiền.

Những người dùng bị mất tiền cho rằng Apple nên chịu trách nhiệm khi ứng dụng lừa đảo xuất hiện trên App Store. Ảnh: Coin Telegraph.

Trước khi bị xóa, Christodoulou cho biết ứng dụng Trezor có 155 bài đánh giá trên App Store, đạt gần 5 sao. Tuy nhiên, hầu hết bài đánh giá đều là của những người đã bị lừa. Anh cho rằng điểm số cao, yếu tố tạo ra niềm tin để cài đặt ứng dụng, chắc chắn cũng là một chiêu trò.

Chainalysis, công ty tư vấn về blockchain nhận định lượng tiền mã hóa của Fajcz và Christodoulou đều đã bị chuyển tới những tài khoản rất đáng ngờ, và có thể hai vụ trộm liên quan đến nhau.

“Có bằng chứng cho thấy đây là vụ lừa đảo tới hàng trăm nghìn USD”, Madeleine Kennedy, đại diện của Chainalysis cho biết.

Christodoulou đã bị lấy cắp 17,1 Bitcoin. Lượng tiền mã hóa trị giá 600.000 USD vào đầu tháng 2, nhưng giờ đã lên tới hơn 1 triệu USD.

“Vụ việc đã khiến tôi gục ngã. Đến giờ tôi vẫn chưa gượng dậy được”, Christodoulou chia sẻ. Anh cũng chưa nhận được một phản hồi nào từ Apple.

Theo Zing/Washington Post

Ứng dụng ví Bitcoin giả mạo trên App Store, Google Play

Một người đàn ông bị mất số Bitcoin trị giá 600.000 USD do tải nhầm ví tiền ảo giả mạo trên cửa hàng ứng dụng.