Các trang web dự đoán tiền điện tử xung quanh World Cup thường sử dụng các chiêu trò lừa đảo như pump-and-dump, game miễn phí giả mạo yêu cầu mua token, hoặc tạo hoạt động giao dịch ảo để lừa người dùng. Cảnh báo quan trọng là kiểm tra số lượng holder thấp dù khối lượng giao dịch cao, chuyển tiền vòng lặp qua ví trung tâm, hoặc token có tên tương tự đã tồn tại. Nếu đã bị lừa, hãy ngừng gửi tiền, thu hồi quyền chi tiêu ví và báo cáo với cơ quan chức năng.
Vì sao nên đọc: Lập trình viên nên đọc bài này để hiểu cách các trang dự đoán kết quả bóng đá sử dụng mã nguồn giả mạo và cơ chế lừa đảo trong blockchain, giúp họ phân tích và bảo vệ ứng dụng của mình khỏi các cuộc tấn công tương tự trong các dự án tài chính kỹ thuật số.
Trả lời 3 câu hỏi ngắn để nhận điểm thưởng cho bài này. Chỉ làm khi bạn muốn lấy điểm.
3 câu hỏi · dưới một phút · không bắt buộc
Nguồn: https://securityboulevard.com/2026/07/how-world-cup-crypto-prediction-sites-take-your-money. 8sync News chỉ tóm tắt và dẫn link; bản quyền nội dung thuộc tác giả và nguồn gốc.
Một chiến dịch phishing giả mạo hơn 30 thương hiệu lớn như Adobe, Netflix, Coca-Cola và OpenAI nhằm nhắm vào chuyên gia marketing qua email phỏng vấn việc làm giả. Kẻ tấn công lợi dụng các nền tảng hợp pháp như PeopleForce và Salesforce Marketing Cloud để tạo chuỗi redirect lồng nhau, dẫn nạn nhân đến trang landing độc hại, nơi sử dụng kỹ thuật browser-in-the-browser (BitB) để hiển thị popup đăng nhập Google giả mạo, đánh cắp thông tin tài khoản. Chiến dịch đã hoạt động ít nhất 5 tháng, sử dụng tên và ảnh thật của nhà tuyển dụng để tăng độ tin cậy.
Lập trình viên nên đọc bài này để hiểu cách các cuộc tấn công phishing hiện đại sử dụng kỹ thuật browser-in-the-browser và chaining redirect để trộm mật khẩu Google, từ đó nâng cao kiến thức bảo mật cho ứng dụng web và hệ thống của mình.
Hai cuộc tấn công social engineering là ConsentFix và ClickFix lợi dụng các thao tác quen thuộc của người dùng để chiếm quyền tài khoản Microsoft 365 chỉ trong vài giây. ClickFix dụ nạn nhân thực thi lệnh do kẻ tấn công cung cấp thông qua phím tắt bàn phím, trong khi ConsentFix khai thác lỗ hổng OAuth bằng cách lôi kéo người dùng kéo liên kết callback localhost vào trình duyệt, chiếm lấy token phiên làm việc mà không cần mật khẩu hay vượt qua MFA. Đến đầu năm 2026, các hướng dẫn kỹ thuật chi tiết cùng mã nguồn và video hướng dẫn của ConsentFix đã được đăng công khai trên diễn đàn tội phạm mạng Nga, giúp giảm đáng kể rào cản thực hiện tấn công. Để phòng thủ, cần kết hợp nâng cao nhận thức người dùng và triển khai các biện pháp phát hiện kỹ thuật như giám sát hoạt động PowerShell bất thường hay đăng nhập phiên lạ.
Lập trình viên nên đọc bài này để hiểu cách các cuộc tấn công xã hội kỹ thuật số như ConsentFix và ClickFix exploit các quy trình làm việc thông thường của người dùng trong Microsoft 365, giúp họ phát triển các giải pháp bảo mật hiệu quả hơn, từ đó bảo vệ hệ thống và ứng dụng của mình trước các cuộc tấn công mới.
Năm 2026, những mối đe dọa mạng nguy hiểm bao gồm lừa đảo bằng AI, giọng nói deepfake, ransomware tống tiền kép, rủi ro từ cấu hình sai trên cloud, tấn công thiết bị di động, tái sử dụng mật khẩu, kỹ thuật xã hội tinh vi và tấn công chuỗi cung ứng. Để phòng tránh, người dùng nên sử dụng quản lý mật khẩu, bật xác thực đa yếu tố (MFA), cập nhật thiết bị thường xuyên và cẩn trọng khi nhấp vào liên kết.
Lập trình viên nên đọc bài này để hiểu cách bảo vệ hệ thống và ứng dụng của mình trước những mối đe dọa mới nổi từ AI, ransomware và các tấn công phức tạp, từ đó xây dựng các giải pháp bảo mật hiệu quả và phòng ngừa trước các cuộc tấn công trong tương lai.
A new data-extortion group called Helix is targeting organizations using voice phishing (vishing), device code phishing, and MFA abuse to gain access to Microsoft 365 accounts and steal SharePoint data. Attackers impersonate managers via phone calls or caller ID spoofing to trick employees into device-code phishing schemes, then register a new MFA app for persistence before bulk-downloading SharePoint files. Researchers at ReliaQuest link Helix to the now-defunct BlackFile group and ShinyHunters based on shared infrastructure, social engineering tactics, and targeting patterns. Defensive recommendations include disabling device code authentication, restricting SharePoint access to managed devices, and blocking newly registered domains.
A new phishing-as-a-service (PhaaS) platform called Forg365 targets Microsoft 365 accounts using a combination of adversary-in-the-middle (AiTM) and device-code phishing techniques, with AI-assisted lure generation built directly into its dashboard. The platform includes a browser extension (ForgCookie) that silently refreshes Microsoft SSO cookies for persistent post-compromise access, keyword monitoring of compromised mailboxes, and anti-analysis features like AES-encrypted redirectors and sandbox detection. It leverages Amazon SES for email delivery, Cloudflare Pages for landing pages, and Gophish for campaign management. Defenders are advised to restrict device-code authentication, monitor Entra logs, and revoke all tokens if compromise is suspected.
Tin tặc nhóm O-UNC-066 (nhãn hiệu 'Pink') lừa đảo qua điện thoại (vishing) nhắm vào người dùng Microsoft 365, giả danh nhân viên IT để dụ truy cập trang giả mạo đăng ký passkey Entra. Chúng chiếm quyền tài khoản, trích xuất dữ liệu từ SharePoint/OneDrive và tống tiền nạn nhân qua trang web đe dọa. Chiến dịch khai thác tính năng đăng ký passkey hợp pháp của Microsoft ra mắt tháng 5/2025.
Lập trình viên nên đọc bài này để hiểu cách các kẻ tấn công lợi dụng cơ chế passkey của Microsoft 365 để xây dựng các trang giả mạo phishing, từ đó phát triển các công cụ tự động hóa (PHP-based) để trộm mật khẩu và mã MFA, giúp họ nhanh chóng chiếm quyền kiểm soát tài khoản và khai thác dữ liệu nhạy cảm.
A malicious version of @injectivelabs/sdk-ts (1.20.21) was published to npm containing code that exfiltrates wallet private keys and mnemonic phrases via fake telemetry. The compromise was introduced through a developer account with an established contribution history. The malicious code hooks the fromMnemonic and fromHex functions to silently POST base64-encoded sensitive data to a disguised Injective Labs infrastructure endpoint. The attack extended to 17 additional @injectivelabs scoped packages pinned to the malicious version, amplifying the blast radius beyond direct users. With ~50,000 weekly downloads, the impact is significant. The compromised version was deprecated but not removed from npm at time of writing. Developers should upgrade to 1.20.23, treat any exposed keys or mnemonics as compromised, move funds, rotate credentials, and audit transitive dependencies.
Quỹ đầu tư mạo hiểm Paradigm chuyên về crypto huy động thành công 1,2 tỷ USD cho Fund III, mở rộng đầu tư sang AI, robotics và các lĩnh vực "technical frontier" như drone (Zipline) và startup vũ trụ (True Anomaly).
Để hiểu rõ xu hướng đầu tư mới của các quỹ VC trong công nghệ, đặc biệt là sự chuyển hướng từ blockchain sang AI và robotics, giúp bạn tìm kiếm cơ hội đầu tư hoặc phát triển dự án trong lĩnh vực tương lai.