Chuyến đi nghỉ trở thành cơn ác mộng. Tôi kết nối laptop qua Wi-Fi không mật khẩu tại khách sạn, dự định xử lý công việc trong thời gian rảnh rỗi bên gia đình. Kết quả sau ba ngày, ví tiền của tôi bị rút sạch. Không có liên kết đáng ngờ, không có chữ ký độc hại, mọi thứ có vẻ rất bình thường.

Sau vài giờ điều tra cùng sự hỗ trợ của các chuyên gia, sự thật đã lộ diện — mạng khách sạn, một sự sơ suất, và hàng loạt lỗi bảo mật.

Giống như hầu hết các nhà làm trong lĩnh vực tiền mã hóa, tôi luôn mang theo máy tính khi ra ngoài. Vợ tôi nhiều lần khuyên tôi nên bỏ công việc để nghỉ ngơi, tôi nên nghe lời cô ấy. Kết nối Wi-Fi khách sạn rất đơn giản, sau khi đăng nhập trang xác thực là có thể truy cập internet. Có vẻ không có rủi ro gì.

Sai lầm then chốt bắt đầu từ đây. Trong môi trường mạng công cộng không an toàn, tôi đã nói chuyện về tiền mã hóa với bạn bè. Cuộc trò chuyện này bị tấn công trung gian chặn lại. Kẻ tấn công chèn mã độc, giả mạo một giao diện yêu cầu quyền truy cập. Tôi nhấp vào phê duyệt mà chưa xác minh kỹ, cấp quyền cho ví.

Lúc đó không cảm thấy có gì bất thường. Cho đến vài ngày sau, khi đăng nhập ví, tôi phát hiện tài sản đã bị chuyển đi. Con số thật lạnh lùng: thiệt hại khoảng 5000 USD.

Điều cay đắng nhất là tôi không chuyển khoản trực tiếp, không nhập khóa riêng. Chính thao tác phê duyệt đó đã trở thành chìa khóa mở hộp Pandora. Sau khi kẻ tấn công có quyền, chúng có thể tùy ý thao túng tài sản của tôi.

Ba bài học khắc sâu trong lòng: Thứ nhất, tránh thảo luận các thông tin nhạy cảm trên mạng công cộng; Thứ hai, khi kết nối Wi-Fi công cộng, nhất định phải bật VPN; Thứ ba, mọi yêu cầu phê duyệt đều phải xác nhận kỹ lưỡng, đừng vội vàng. Một cú nhấp chuột có thể đổi lấy hàng nghìn USD.