Người đầu tư tiền kỹ thuật số đang trở thành mục tiêu săn đuổi gắt gao nhất của tội phạm mạng trong năm 2025. Không chỉ dừng lại ở các chiêu trò lừa đảo sơ đẳng, tin tặc đang nâng cấp “vũ khí” với các mã độc tinh vi nhúng sâu vào trình duyệt và các chiến dịch tấn công có chủ đích (APT) lợi dụng chính tâm lý khao khát cơ hội của nhà đầu tư.

Thị trường tiền mã hóa (cryptocurrency) năm 2025 tiếp tục chứng kiến sự sôi động, nhưng song hành với đó là sự gia tăng đột biến của các nguy cơ bảo mật. Trong đó, giới chuyên gia ghi nhận một sự chuyển dịch rõ rệt: tội phạm mạng không còn “đánh lưới” đại trà mà đang chuyển sang “săn mồi” với độ chính xác và kỹ thuật cực cao.

Nếu như trước đây, việc mất ví số thường do người dùng sơ ý lộ khóa bí mật (private key), thì nay, tin tặc đã tạo ra những công cụ “giúp” người dùng tự tay dâng hiến tài sản mà không hề hay biết. Hai vụ việc nổi cộm gần đây minh chứng cho xu hướng này: sự xuất hiện của tiện ích mở rộng độc hại và các chiến dịch APT nhắm vào nhân sự ngành Blockchain.

Trang TheHackerNews cho biết giữa tháng 11/2025, cộng đồng bảo mật rúng động trước phát hiện về một tiện ích mở rộng (extension) cho trình duyệt Chrome có tên “Safery: Ethereum Wallet”. Được ngụy trang dưới vỏ bọc một chiếc ví Ethereum an toàn và linh hoạt, tiện ích này thực chất là một “cỗ máy hút máu” được thiết kế tinh vi.

Theo các nhà nghiên cứu bảo mật, “Safery” không đánh cắp dữ liệu rồi gửi về máy chủ điều khiển (C2) theo cách truyền thống – vốn dễ bị các phần mềm an ninh mạng phát hiện. Thay vào đó, nó sử dụng chính công nghệ Blockchain để che giấu hành vi phạm tội.

Khám phá từ Kaspersky cho thấy chúng không chỉ tấn công người dùng phổ thông, nhóm tội phạm mạng khét tiếng BlueNoroff (còn được biết đến với các tên gọi Sapphire Sleet hay APT38) đã triển khai hai chiến dịch tấn công có chủ đích mới là GhostCall và GhostHire, nhắm thẳng vào các lập trình viên và giám đốc điều hành trong lĩnh vực Web3.

Điển hình, ngoài chiến dịch GhostCall tiếp cận mục tiêu qua Telegram, GhostHire lại đánh vào nhu cầu tìm việc. Tin tặc đóng vai nhà tuyển dụng, yêu cầu các lập trình viên tải về các dự án trên GitHub để làm bài kiểm tra năng lực. Các dự án này chứa mã độc được thiết kế để tự động nhận diện hệ điều hành của nạn nhân và tải xuống payload phù hợp, từ đó chiếm quyền kiểm soát máy tính và đánh cắp thông tin ví tiền mã hóa.

Báo cáo mới nhất từ Kaspersky cho thấy, về các kỹ thuật phishing năm 2025, tin tặc đã “hồi sinh” chiêu trò khai thác qua Lịch (Calendar phishing) nhưng ở cấp độ doanh nghiệp (B2B). Thay vì gửi ‘email rác’ (spam) hàng loạt, chúng gửi các lời mời họp giả mạo chứa liên kết độc hại trong phần mô tả sự kiện. Ngay cả khi người dùng không mở email, lời nhắc từ ứng dụng lịch trên điện thoại vẫn có thể khiến họ tò mò click vào liên kết.

Bên cạnh đó, việc sử dụng mã QR đã chuyển sang một hình thức mới, nhúng mã QR vào trong tệp đính kèm PDF. Tệp PDF này đôi khi còn được đặt mật khẩu (mật khẩu được gửi kèm trong email hoặc một email riêng biệt) để qua mặt các công cụ quét virus tự động. Việc quét mã QR buộc người dùng phải sử dụng thiết bị di động cá nhân – nơi thường thiếu các lớp bảo vệ an ninh nghiêm ngặt như máy tính công ty – để truy cập vào trang giả mạo, lừa đảo.

Các nhà nghiên cứu bảo mật tại Kaspersky cũng công bố một kỹ thuật đáng chú ý là việc tin tặc tạo ra các trang đăng nhập giả mạo (ví dụ: giả mạo dịch vụ lưu trữ pCloud) có khả năng tương tác thời gian thực với dịch vụ thật qua API.

Khi người dùng nhập thông tin đăng nhập và mã OTP vào trang giả, trang web này sẽ chuyển tiếp dữ liệu đó đến dịch vụ thật ngay lập tức. Nếu thông tin đúng, tin tặc sẽ chiếm được phiên đăng nhập trước cả khi người dùng nhận ra.

Năm 2025, ranh giới giữa an toàn và nguy hiểm trong thế giới tiền số trở nên mong manh hơn bao giờ hết. Tội phạm mạng không chỉ còn là những kẻ viết mã độc trong bóng tối, chúng là những “nhà tâm lý học” am hiểu hành vi người dùng và những “kỹ sư” biết tận dụng chính công nghệ bảo mật (như blockchain, xác thực 2 lớp) để tấn công ngược lại nạn nhân.

Đối với nhà đầu tư, lời khuyên “không chia sẻ private key” giờ đây là chưa đủ. Các chuyên gia Kaspersky cho rằng việc kiểm tra kỹ lưỡng nguồn gốc tiện ích mở rộng, cảnh giác với mọi lời mời họp trực tuyến hay tuyển dụng bất ngờ, và thận trọng trước các yêu cầu đăng nhập từ email (kể cả khi có lớp bảo vệ PDF hay CAPTCHA) là những kỹ năng sinh tồn bắt buộc trong kỷ nguyên số đầy rẫy cạm bẫy này.

Chuyên gia Kaspersky khuyến cáo, hãy luôn sử dụng công cụ bảo mật với tường lửa trên các thiết bị quan trọng, từ laptop Windows hay cả MacBook, và thậm chí đừng quên chiếc điện thoại thông minh vốn được xem là máy tính thu nhỏ cũng cần ứng dụng bảo vệ. Chiếc ví số chứa tài sản đầu tư rất cần một ứng dụng bảo vệ ‘xứng tầm’ trao gửi niềm tin.