Góc nhìn từ cơ quan quản lý: Nguy hiểm nhất không phải là "có nói mình tuân thủ luật không" mà là "có thể được thẩm tra không"
Nhiều nền tảng rủi ro cao thường sử dụng cách đóng gói phổ biến là dùng "từ ngữ tuân thủ" để tạo cảm giác an toàn, nhưng vấn đề then chốt là: danh tính quản lý có thể được cơ quan quản lý kiểm chứng thông qua cơ sở dữ liệu công khai không, có tồn tại chủ thể pháp lý có thể bị truy cứu trách nhiệm không, và có giấy phép cần thiết cho hoạt động liên quan không.
Cần đặc biệt lưu ý rằng: MSB đăng ký (như Money Services Business của FinCEN ở Mỹ) thường được nhắc đến không đồng nghĩa với việc nền tảng được cấp phép hoạt động hoặc được bảo đảm bởi cơ quan quản lý. Bản chất của đăng ký MSB của FinCEN là một phần của hệ thống đăng ký tuân thủ chống rửa tiền, không phải là chứng nhận về độ tin cậy/an toàn/có thể đầu tư của nền tảng; và thông tin đăng ký thường do doanh nghiệp tự khai báo, có khả năng bị lạm dụng.
Nói cách khác: "lấy MSB làm giấy phép quảng cáo" tự nó đã là một điểm rủi ro cách nói tuân thủ điển hình. Nếu nền tảng này dùng cách này để thay thế cho việc công bố giấy phép then chốt (như quyền yêu cầu cho các hoạt động chứng khoán/sản phẩm phái sinh/môi giới), sẽ tạo ra một khoảng trống rõ ràng trong việc quản lý.
Tín hiệu rủi ro cao của "trang web clone": web subdomains + hướng dẫn đăng nhập = cửa ngõ nguy hiểm cho tài khoản và vốn
Được cung cấp liên kết hiển thị cấu trúc WebApp điển hình web subdomains + routing page (#/). Cấu trúc này tự nó không vi phạm pháp luật, nhưng thường thấy trong các tình huống lừa đảo:
- Trang clone sẽ sao chép "giao diện chính/LOGO/giao tiếp", dẫn người dùng vào các bước nhạy cảm như đăng nhập, từ ghi nhớ, chữ ký ủy quyền, địa chỉ nạp tiền;
- Một khi nhập tài khoản mật khẩu, mã xác nhận, hoặc hoàn tất ủy quyền ví, rủi ro không phải là "kiếm được tiền không", mà là tài sản có thể lấy lại được không.
Nếu trang web đó không thể cung cấp ngay tại vị trí dễ thấy những thông tin tên pháp nhân, địa điểm đăng ký, số đăng ký, liên kết có thể kiểm chứng với cơ quan quản lý, kênh khiếu nại và các điều khoản quản lý rủi ro, thì nên mặc định nó đang nằm trong "vùng xám rủi ro cao".
Tên miền và thông tin cơ bản: Sử dụng RDAP/WHOIS để kiểm tra "ai đứng sau", đừng chỉ nhìn vào giao diện
Với trang nghi ngờ là clone, việc xác minh tên miền nên được đặt làm ưu tiên hàng đầu. RDAP là giao thức thay thế tiêu chuẩn hóa của WHOIS, có thể được sử dụng để tra cứu các trường thông tin quan trọng trong đăng ký tên miền (nhà đăng ký, trạng thái, ngày tháng quan trọng, DNS, v.v.).
Khuyến nghị bạn xem kỹ trong WHOIS/RDAP:
- Thời gian đăng ký có quá mới, có thay đổi thường xuyên không (tên miền vòng đời ngắn phổ biến hơn trong các chiến dịch đầu tư rủi ro cao);
- Thông tin đăng ký có bị ẩn lâu dài không, có thiếu chủ thể chịu trách nhiệm không;
- Trạng thái tên miền có bất thường không (như chuyển nhượng, cập nhật thường xuyên, chính sách khóa không minh bạch);
- DNS/giải mã có thường xuyên thay đổi, có chỉ đến cơ sở hạ tầng không nhất quán với dịch vụ quảng cáo không.
Những "dấu vết cơ bản" này thường thành thật hơn tài liệu quảng cáo.
Cảnh báo rủi ro
Nội dung này là kết quả kiểm tra thông tin rủi ro và tổng hợp tư liệu công khai, không phải là lời khuyên đầu tư. Nếu bạn hoặc người khác đã có giao dịch tài chính với trang web đó hoặc đã nộp thông tin nhạy cảm, hãy thực hiện ngay các hành động sau:
- Dừng đăng nhập và nạp tiền tiếp, không nên thực hiện bất kỳ thao tác "mở khóa/nộp tiền thêm/xác thực" nào;
- Lưu trữ bằng chứng: URL, ảnh chụp màn hình, hash chuyển khoản, tin nhắn chat, email, sao kê ngân hàng;
- Nếu liên quan đến thẻ ngân hàng/thanh toán bên thứ ba, hãy liên hệ ngay với tổ chức thanh toán để yêu cầu chặn/giải quyết tranh chấp;
- Nếu liên quan đến ủy quyền ví, hãy thu hồi ngay ủy quyền, chuyển tài sản vào ví mới và thay đổi tất cả mật khẩu liên quan và 2FA.
