Social engineering, hay còn gọi là kỹ thuật thao túng tâm lý, là cách lừa đảo nguy hiểm nhất trong thế giới tiền điện tử vì nó không cần hack máy tính mà chỉ khai thác điểm yếu của con người như lòng tin, lòng tham, nỗi sợ hay tình cảm. Kẻ xấu dùng mạng xã hội như X, Telegram, Zalo hay Facebook để tiếp cận bạn, giả vờ làm bạn bè, người yêu, chuyên gia đầu tư hoặc hỗ trợ kỹ thuật, rồi từ từ dẫn bạn vào bẫy. Chúng khiến bạn tự nguyện gửi tiền, chia sẻ thông tin ví hoặc nhấn nút xác nhận giao dịch độc hại. Theo báo cáo năm 2025 của Chainalysis, hơn 40% số tiền bị mất trong các vụ lừa đảo crypto đến từ social engineering, với thiệt hại hơn 22 tỷ USD chỉ trong giai đoạn 2024-2025. Tại Việt Nam, Cục An ninh mạng A05 cho biết hàng nghìn người bị lừa mỗi quý, đặc biệt là giới trẻ qua các nhóm chat và tin nhắn riêng.
Cách chúng hoạt động rất tinh vi. Chúng thường đóng vai người đáng tin: một cô gái xinh đẹp trên app hẹn hò, một “chuyên gia” trong nhóm Telegram, hay nhân viên hỗ trợ của MetaMask, Binance. Chúng bắt chuyện nhẹ nhàng, tạo thiện cảm qua nhiều ngày, thậm chí nhiều tháng, rồi mới giới thiệu “cơ hội đầu tư crypto siêu lợi nhuận” hoặc “giúp bạn sửa lỗi ví”. Mục tiêu là khiến bạn tự tay chuyển tiền hoặc cấp quyền truy cập ví mà không hề nghi ngờ.
Một kiểu lừa phổ biến nhất là pig butchering – tạm dịch “vỗ béo rồi làm thịt”. Scammer tạo hồ sơ giả là người nước ngoài giàu có, thành đạt, bắt chuyện trên Zalo, Tinder hay Facebook. Họ trò chuyện tình cảm hàng tuần, xây dựng mối quan hệ gần gũi, rồi khuyên bạn đầu tư vào một app hoặc sàn crypto “bí mật” do họ giới thiệu. Ban đầu bạn thấy tiền lời tăng ảo trên màn hình, nên tiếp tục nạp thêm. Đến khi muốn rút, hệ thống báo lỗi, yêu cầu nạp thêm phí, và cuối cùng bạn mất trắng. Ví dụ, năm 2025, một phụ nữ ở TP.HCM mất hơn 2 tỷ đồng sau 4 tháng yêu online với “kỹ sư Mỹ”. Cô nạp tiền vào app giả mang tên CryptoElite Pro, thấy tài khoản tăng gấp 10 lần, nhưng không thể rút ra được. Ở Mỹ, FBI ghi nhận loại lừa này gây thiệt hại 114 triệu USD chỉ trong 6 tháng đầu năm 2025, chủ yếu nhắm vào người lớn tuổi.
Kiểu khác là giả hỗ trợ kỹ thuật. Bạn nhận tin nhắn từ tài khoản giống BinanceSupport: “Tài khoản của bạn bị nghi ngờ, vui lòng gửi seed phrase để xác minh” hoặc “Cho tôi xem màn hình máy tính qua TeamViewer để sửa lỗi rút tiền”. Nếu làm theo, chúng sẽ âm thầm chuyển hết tiền trong ví của bạn đi nơi khác chỉ trong vài giây.
Còn có lừa đảo giveaway giả mạo. Tài khoản giả danh Elon Musk, Vitalik Buterin hay CZ trên X đăng: “Gửi 0.1 BTC, nhận lại 1 BTC trong 24 giờ!”. Hoặc họ tạo nhóm Telegram kêu gọi nhận airdrop miễn phí, nhưng yêu cầu bạn kết nối ví và xác nhận một giao dịch – thực chất là giao dịch rút sạch tiền. Tháng 10 năm 2025, một tài khoản giả Vitalik Buterin đã lừa hơn 500 ETH từ 2.000 người trước khi bị khóa.
Ngoài ra, bạn có thể nhận tin từ người quen bị hack tài khoản: “Tao đang kẹt, gửi giúp 5 triệu USDT, mai trả”. Thực tế, tài khoản đó đã bị chiếm, và scammer đang nhắn hàng loạt. Hoặc các nhóm tín hiệu đầu tư VIP trên Telegram khoe thắng liên tục, rồi dụ bạn nạp tiền vào sàn do họ chỉ định – sàn này sẽ sập ngay khi đủ người tham gia.
Làm sao để nhận biết? Hãy cảnh giác nếu: người lạ chủ động nhắn tin và biết quá rõ về bạn; họ tạo áp lực phải hành động ngay như “chỉ còn 30 phút”; hứa lợi nhuận cao bất thường mà không cần bạn làm gì; yêu cầu giữ bí mật hoặc không cho bạn kiểm chứng; từ chối gặp mặt hay gọi video; và đặc biệt, đòi seed phrase hoặc private key – không ai đáng tin cả đời cần thứ này!
Để bảo vệ bản thân, bạn cần:
- Tuyệt đối không chia sẻ seed phrase hay private key với bất kỳ ai, dù họ nói là hỗ trợ chính thức.
- Kiểm tra kỹ tài khoản: trên X chỉ tin tài khoản có tick xanh thật và lịch sử lâu năm; trên Telegram không click link lạ.
- Dùng ví cứng như Ledger, Trezor cho số tiền lớn – dù bị lừa nhấn nút, tiền vẫn an toàn.
- Bật xác thực 2 lớp bằng app (Google Authenticator), tránh dùng SMS vì dễ bị đánh cắp SIM.
- Đừng vội tin người yêu online – nếu họ “yêu” bạn sau vài ngày, 99% là lừa đảo.
- Báo cáo ngay khi nghi ngờ: gửi về Cục A05 qua antoanthongtin.gov.vn, hoặc báo FBI tại ic3.gov nếu liên quan quốc tế. Trên X, nhấn nút Report tài khoản giả.
- Dạy người thân, đặc biệt bố mẹ, rằng: không gửi tiền cho người chưa từng gặp mặt.
Tóm lại, social engineering là “lỗ hổng con người” mà không phần mềm nào vá được. Chỉ có kiến thức và sự nghi ngờ lành mạnh mới bảo vệ bạn. Hãy nhớ: nếu ai đó hứa cho bạn tiền dễ dàng, họ đang muốn lấy tiền của bạn. Đừng để lòng tin hay lòng tham làm bạn mất tất cả.