Trong các câu lạc bộ đêm ngoại ô Vancouver, bong bóng sâm panh lấp lánh dưới ánh đèn, những tên người dùng hiếm hoi trên Telegram được đẩy giá lên cao ngất ngưởng. Nhưng đằng sau cuộc vui này, Haby, một người trẻ sống ở Abbotsford, British Columbia, đã dùng một thủ đoạn cũ rích nhất — giả danh nhân viên hỗ trợ của sàn giao dịch — để trong vòng chưa đầy một năm, lấy đi hơn 2 triệu USD từ túi của các nhà đầu tư toàn cầu.

Cảnh sát trên chuỗi ZachXBT đã công bố kết quả điều tra vào ngày 29/12. Câu nói khiến người ta đau lòng nhất là: đây không phải do lỗ hổng hệ thống của sàn giao dịch, mà là có người cố tình khai thác điểm yếu về lòng tin. Kỹ thuật xã hội, chính là như vậy hiệu quả.

Làm sao tìm ra tên này? ZachXBT sử dụng bộ công cụ tình báo mã nguồn mở — theo dõi các giao dịch trên chuỗi, khai thác các phát ngôn trên mạng xã hội, phân tích ảnh chụp màn hình điện thoại. Manh mối quan trọng nhất đến từ một đoạn ghi hình bị rò rỉ: Haby đang gọi điện lừa đảo, vô tình quay được email cá nhân và số điện thoại liên kết với Telegram của hắn. Chính chi tiết nhỏ bé này đã hoàn thiện bức tranh toàn cảnh.

Bài học rút ra từ vụ việc này rất đơn giản mà cũng rất đau lòng — các sàn giao dịch chính thức sẽ không bao giờ chủ động hỏi bạn về mật khẩu, nhân viên hỗ trợ khách hàng cũng tuyệt đối không dùng Telegram để trò chuyện riêng yêu cầu xác minh danh tính. Nhưng vẫn có người mắc bẫy mỗi ngày. Nhà đầu tư nên làm gì? Đừng nghĩ rằng sàn giao dịch có thể bảo vệ bạn tuyệt đối, nguyên tắc không tin tưởng tuyệt đối mới là giới hạn sống còn: tất cả nguồn thông tin đều phải xác nhận trước, tất cả yêu cầu đều hỏi lại nhiều lần, tất cả liên kết đều phải gõ thủ công, không click.

Vụ việc này còn phơi bày một vấn đề khác — khoảng trống trong thực thi pháp luật xuyên quốc gia. Các vụ lừa đảo xảy ra toàn cầu, tiền lại được chuyển qua nhiều kênh khác nhau, việc truy đuổi và thu hồi là điều vô cùng khó khăn. Dữ liệu nội bộ của sàn giao dịch làm sao bị rò rỉ? Ai đang buôn bán thông tin người dùng trung gian? Những câu hỏi này vẫn còn bỏ ngỏ đến nay.