Bảo mật tài khoản Gate: nên bật những cài đặt nào (theo thứ tự ưu tiên)

Bật mấy thứ này ngay lúc vừa đăng ký

Nhiều người đăng ký xong là lao đi mua coin liền, để phần bảo mật "tính sau" — mà "sau" thì thường chẳng bao giờ tới. Trong khi đó, khoảng thời gian rủi ro nhất lại chính là mấy ngày đầu: tài khoản còn mới tinh, phòng thủ trống trơn, và đó cũng đúng lúc bạn vừa bỏ những đồng tiền đầu tiên vào. Vậy nên trật tự phải đảo lại: dựng phòng thủ lên trước, rồi mới đưa tiền vào sau lưng nó.

Xếp theo mức quan trọng, thứ tự bật đại khái như sau: xác thực hai lớp (bật cái này trước nhất), một mã chống lừa đảo, một whitelist địa chỉ rút, một mật khẩu quỹ, cộng thêm quản lý thiết bị đăng nhập như một món bổ sung hợp lý. Bốn cái đầu là phòng thủ cứng ở tầng cài đặt — chúng chặn người khác chạm tới tài khoản bạn. Phần chống lừa đảo ở cuối thì chặn việc ai đó dụ bạn tự tay mở cửa. Có cả hai phía thì tài khoản mới thật sự được giữ. Bên dưới tụi mình đi từng cái một: vì sao chúng được xếp theo thứ tự này, và cần để ý gì khi bật từng cái.

Hai lớp: lấy ứng dụng xác thực làm chính, đừng dựa mỗi SMS

Xác thực hai lớp (2FA) là ưu tiên cao nhất, không bàn cãi. Nó làm gì: ngay cả khi ai đó nắm được mật khẩu đăng nhập của bạn, thì không có mã xoay vòng trên điện thoại bạn họ vẫn không vào được. Nói cách khác, nó chuyển "bảo mật tài khoản" từ "một mật khẩu gánh hết tất cả" sang "hai cánh cửa độc lập." Bỏ qua cái này thì mọi cài đặt khác bên dưới đều mất đi một phần ý nghĩa.

Nhưng trong 2FA, chọn SMS hay chọn ứng dụng xác thực tạo ra khác biệt lớn. Nếu dùng được ứng dụng xác thực, đừng chỉ dựa vào SMS. Lý do là đường SMS có hai điểm yếu sẵn trong nó:

• SIM của bạn có thể bị chiếm. Bằng tấn công phi kỹ thuật, ai đó giả danh bạn với nhà mạng và xin cấp lại một SIM thay thế; một khi họ cầm cái thẻ đó, mã SMS của bạn chạy thẳng vào điện thoại họ. Mấy đợt tấn công kiểu này không hề hiếm ở nước ngoài, và chúng nhắm thẳng vào những tài khoản có giữ crypto.
• SMS buộc phải đi qua nhà mạng. Mã chạy qua mạng viễn thông và qua hệ thống của nhà mạng — mỗi chặng dừng thêm là thêm một chỗ nó có thể bị chặn.

Ứng dụng xác thực (Google Authenticator, Authy và những thứ tương tự) hoạt động theo một logic khác: mã xoay vòng được tính cục bộ trên điện thoại bạn dựa trên thời gian hiện tại, không đi qua SMS, không đi qua nhà mạng, và không có đúng thiết bị của bạn thì không ai lấy được mã. Mức an toàn cao hơn hẳn một bậc. Vậy nên cách dựng được khuyên là: ứng dụng xác thực làm trụ cột, SMS làm đường khôi phục dự phòng, và nếu được thì gắn cả hai — như vậy, một ngày nào đó cái điện thoại có ứng dụng xác thực không ở bên bạn, bạn vẫn còn SMS để đăng nhập vào.

Cái phiền thật sự với ứng dụng xác thực không phải lúc bật nó — mà là lúc đổi điện thoại. Đây là chỗ rất nhiều người vấp: họ mua điện thoại mới, xóa sạch và đặt lại máy cũ, rồi mới phát hiện ra chuỗi mã trong ứng dụng xác thực đã đi theo nó, trong khi tài khoản vẫn còn khóa chặt vào chuỗi đó, làm việc đăng nhập tắc tị. Nên trước khi gắn, hãy nghĩ thông suốt: cái mã xoay vòng đó nằm ở đâu, và làm sao chuyển nó sang thiết bị tiếp theo? Có hai đường. Khi gắn, hãy chép riêng cái khóa khôi phục (còn gọi là seed hay khóa khôi phục) ra và dùng nó để tạo lại trong ứng dụng mới khi đổi máy; hoặc dùng một ứng dụng xác thực hỗ trợ đồng bộ đám mây và di chuyển nguyên cả bộ sang. Điều cốt yếu là xác nhận bạn có một lối ra trong khi máy cũ vẫn còn trong tay — đừng đợi tới ngày đổi máy mới thấy mình mắc kẹt.

Ngoài bản thân ứng dụng xác thực, trang cài đặt bảo mật của Gate thường còn cho bạn một bộ mã dự phòng dùng một lần — mỗi mã dùng một lần là hết — dành riêng cho trường hợp cực đoan khi ứng dụng xác thực hoàn toàn không dùng được. Hãy đối xử với những mã này như với chìa khóa: viết chúng ra giấy và khóa vào ngăn kéo, hoặc cất trong một trình quản lý mật khẩu, nhưng đừng chụp màn hình chúng vào cuộn ảnh của điện thoại — nếu cuộn ảnh có ngày bị quét, thì mã dự phòng và ứng dụng xác thực đang nằm trên cùng một thiết bị, và cả hai phòng tuyến đổ cùng lúc. Hãy lưu chúng lại ngay khi đang bật 2FA: một phút công sức đổi lấy sự yên tâm thật sự.

Mã chống lừa đảo: gắn cho email chính thức một "dấu chống giả" sẵn có

Mã chống lừa đảo là một cài đặt bị xem nhẹ một cách oan uổng — một phút để bật, mà chặn được một trong những trò lừa phổ biến nhất. Ý tưởng rất đơn giản: bạn tự đặt một chuỗi (vài chữ cái với chữ số, hoặc một cụm chỉ riêng bạn nhận ra), và một khi đã đặt, mọi email thật mà Gate gửi cho bạn đều mang chuỗi đó ở một chỗ dễ thấy.

Nó giống như đóng lên email chính thức một dấu chống giả do chính bạn định nghĩa. Kẻ lừa đảo có thể làm giả một email "hoạt động tài khoản bất thường" hay "xác nhận rút tiền" trông y hệt, nhưng họ không biết cái mã bạn đặt — nên email giả của họ hoặc không có chuỗi nào hoặc có một chuỗi bịa ra. Từ đó về sau, với bất cứ email nào tự nhận là từ Gate, trước hết hãy kiểm tra xem mã của bạn có ở đó không và có đúng không; cái nào không khớp, coi như giả. Một động tác đơn giản lọc ra phần lớn email lừa đảo.

Vì sao chiêu này khó bị qua mặt đến vậy thì đáng dừng lại một chút. Email lừa đảo gạt người ta bằng cách "trông giống thật": tên người gửi, bố cục, logo, lời lẽ — kẻ lừa đảo có thể chép tất cả thẳng từ bản gốc, và chỉ nhìn bằng mắt thì bạn gần như không phân biệt nổi. Cái làm mã chống lừa đảo lợi hại là nó đổi cơ sở để phán xét thật-giả từ "trông có đúng không" sang "có mang chuỗi mà chỉ bạn và nền tảng biết hay không." Chuỗi đó không nằm trong bất kỳ mẫu email công khai nào; nó chỉ tồn tại giữa cài đặt tài khoản của bạn và hệ thống thư của nền tảng, và bắt chước cách mấy cũng không giúp kẻ lừa đảo có được nó. Nói gọn, bạn đã chèn một bí mật mà phía bên kia không sao chép được vào giữa email thật và email giả — bắt chước thuyết phục đến đâu thì lệch vẫn là lệch.

Một mẹo nhỏ khi đặt: đừng dùng thứ gì dễ đoán — ngày sinh, mấy số cuối của số điện thoại, những từ như "gate" hay "secure" mà ai cũng thử — hãy chọn một tổ hợp không theo quy luật nhưng bạn vẫn nhận ra ngay trong một cái liếc. Và đừng làm biếng đặt nó trùng với mật khẩu đăng nhập hay mật khẩu quỹ: mã này theo thiết kế là được hiển thị công khai trong email, nên dùng lại một mật khẩu là đem một phần của mật khẩu đó phơi ra ngoài.

Còn hai điều cần giữ chắc. Thứ nhất, đừng bao giờ chuyền cái mã chống lừa đảo đi — đừng chụp màn hình nó vào một nhóm, đừng gõ nó vào bất kỳ trang nào đòi bạn "xác minh danh tính." Toàn bộ giá trị của nó nằm ở chỗ chỉ bạn và nền tảng biết; chia sẻ một lần là nó thành vô dụng. Thứ hai, nó chỉ phủ kênh email — những "thông báo Gate" nổi lên qua SMS, tin nhắn trong ứng dụng hay nền tảng bên thứ ba đều nằm ngoài vùng bảo vệ của nó, và mấy cái đó bạn phải tự phán đoán riêng. Hãy coi nó như một liều thuốc nhắm thẳng vào email lừa đảo: trúng đích, nhưng đừng kỳ vọng nó chữa được mọi thứ.

Whitelist địa chỉ rút tiền: khóa luôn lối ra

Các cài đặt phía trên canh chuyện "không ai vào được." Whitelist địa chỉ rút canh một thứ khác: dù cho ai đó có vào được đi nữa, họ cũng không cuỗm tiền của bạn đi được. Với whitelist bật lên, tài khoản của bạn chỉ gửi coin được tới những địa chỉ bạn đã thêm và xác minh từ trước; bất kỳ địa chỉ nào không có trong danh sách, hệ thống chặn thẳng tay.

Cái này đặc biệt hữu dụng trước một đợt tấn công đã thật sự chạm tới tài sản của bạn. Đích cuối của kẻ chiếm tài khoản là chuyển coin ra ngoài, và chuyển ra ngoài thì phải nhập một địa chỉ; chừng nào địa chỉ đó chưa nằm trong whitelist của bạn, họ bị kẹt ngay ở bước cuối cùng. Nó cũng tiện cho chính bạn: thêm vài địa chỉ bạn hay dùng vào là khỏi phải chép tay mỗi lần — đỡ phiền, và đỡ rủi ro gõ nhầm một địa chỉ.

Nhiều nền tảng cho thêm một khóa thời gian chồng lên whitelist — một địa chỉ vừa thêm phải nằm chờ qua một khoảng nguội trước khi dùng được, để cho dù ai đó lặng lẽ tuồn địa chỉ của họ vào danh sách của bạn, bạn vẫn có một quãng để phát hiện và kéo nó ra. Bật tùy chọn đó nếu có. Một số nền tảng còn đặt được "chỉ rút tới địa chỉ trong whitelist," hàn kín mọi lối ra ngoài danh sách; nếu địa chỉ rút của bạn chỉ là dăm ba cái dùng đi dùng lại, thì cài đặt này là yên tâm nhất — và vào dịp hiếm hoi bạn rút tới một địa chỉ mới, chỉ cần thêm nó vào, chờ hết khoảng nguội, rồi gửi.

Để whitelist làm tròn việc, nó phải đi cùng với việc quản lý địa chỉ rút hằng ngày của bạn; bật lên rồi mặc kệ thì mọi thứ vẫn lệch lạc. Hai điều cần để ý. Thứ nhất, đừng để danh sách chất đầy những địa chỉ cũ bạn không còn dùng — một ví bạn đã chuyển khỏi, một địa chỉ nạp bạn đã bỏ — để lại chúng vừa chiếm chỗ vừa thêm một kẽ hở để khai thác; cắt tỉa những cái không dùng đều đặn, càng gọn càng tốt. Thứ hai, đừng làm biếng dán nhãn từng địa chỉ là "địa chỉ 1," "ví 2"; vài tháng sau bạn sẽ không khớp nổi chúng với nhau. Hãy ghi nhãn rõ ràng như "địa chỉ nạp sàn XX" hay "ví cứng cất trữ lạnh" mà liếc một cái là đọc được, để khi rút một cái nhìn nhanh là biết tiền đi đâu — vừa nhanh, vừa ít khả năng chọn nhầm. Hãy coi nó như một cuốn sổ địa chỉ bạn chăm thường xuyên, chứ không phải thứ đặt một lần rồi quên. Còn nguyên cả luồng rút tiền thì đọc kèm với hướng dẫn rút tiền Gate từng bước.

Mật khẩu quỹ và quản lý thiết bị đăng nhập

Mật khẩu quỹ là một ổ khóa thứ hai, tách khỏi mật khẩu đăng nhập, và nó được yêu cầu cho các thao tác nhạy cảm như rút tiền hay đổi cài đặt bảo mật. Ở đây chỉ có đúng một điều cần đóng đinh: mật khẩu quỹ tuyệt đối phải khác mật khẩu đăng nhập. Đặt chúng giống nhau là bạn lắp cả hai ổ khóa bằng cùng một chìa, khiến cái lớp phòng thủ thêm đó trở thành chuyện viển vông. Hãy chọn một tổ hợp bạn nhớ được, chẳng dính dáng gì đến mật khẩu đăng nhập, và ghi nó vào đầu — cái này khôi phục lại còn cực hơn nhiều so với mật khẩu đăng nhập.

Nhân nói chuyện mật khẩu, giải quyết luôn mật khẩu đăng nhập ở đây, vì nó là lớp ngoài cùng của cả bộ. Cái quy tắc đáng giữ trên tất cả: đừng dùng một mật khẩu bạn đã dùng ở trang khác để đăng nhập vào sàn. Rò rỉ cơ sở dữ liệu xảy ra hằng năm, và bộ email-cộng-mật-khẩu bạn từng dùng ở một trang chẳng liên quan nào đó nhiều khả năng đã bị gom vào một danh sách "nhồi thông tin đăng nhập" có sẵn, rồi chạy thử hết trang này tới trang khác — ngày nó trúng tài khoản sàn của bạn thì cánh cửa coi như đã mở khóa. Cố nhét vài mật khẩu vào đầu, rồi đi đường tắt bằng cách dùng lại chúng hay chỉ thêm một con số ở đuôi, là con đường rủi ro hơn. Hãy dùng một trình quản lý mật khẩu để tạo và giữ những mật khẩu dài, ngẫu nhiên, khác nhau cho từng trang, và bạn chỉ phải nhớ đúng một mật khẩu chủ — một tài khoản sàn lại càng xứng đáng có một mật khẩu riêng, mạnh. Nếu muốn dựng nhanh một mật khẩu kiểu này, dùng công cụ tạo mật khẩu mạnh của tụi mình.

Cũng dành một phút cho quản lý thiết bị đăng nhập. Trang cài đặt bảo mật thường hiện một danh sách các thiết bị và vị trí đang đăng nhập vào tài khoản; thi thoảng liếc qua, đá bất kỳ thiết bị nào bạn không nhận ra, và đổi mật khẩu luôn thể. Nhiều nền tảng còn cho bật cảnh báo đăng nhập bất thường: một lần đăng nhập từ thiết bị lạ, hoặc một vị trí đăng nhập bạn chưa từng thấy, là bạn nhận được email hay thông báo đẩy. Bật cái này nếu có — nó đặt thẳng tín hiệu "có người vừa đụng vào tài khoản tôi" ngay trước mắt bạn vào đúng lúc nó xảy ra, thay vì để bạn phát hiện ra vào lần kế tiếp bạn tình cờ kiểm tra danh sách thiết bị. Nó ăn ý với mã chống lừa đảo: nếu quả thật có một lần đăng nhập bất thường, email cảnh báo mang theo mã chống lừa đảo của bạn, vừa xác nhận thông báo là thật vừa báo cho bạn biết có gì đó không ổn ngay tức khắc. Ngay cả khi mấy phòng thủ phía trên bằng cách nào đó bị qua mặt, bạn vẫn nhận ra "có người từng ở đây" sớm — thay vì chỉ biết khi tiền đã đi mất.

Hỗ trợ giả, ứng dụng giả, URL giả: nền tảng thật không bao giờ hỏi mật khẩu của bạn

Bật hết các cài đặt phía trên thì cánh cửa kỹ thuật về cơ bản đã đóng. Nhưng có một loại rủi ro không cài đặt nào chặn được — vì nó đi vòng qua mọi ổ khóa và nhắm thẳng vào bạn, để dụ chính bạn tự mở cửa. Đó là lừa đảo giả danh dưới mọi hình thức. Trước hết, hãy thuộc nằm lòng một quy tắc bao quát phần lớn: nền tảng thật, vào bất cứ lúc nào, sẽ không bao giờ chủ động liên hệ để hỏi bạn mật khẩu đăng nhập, mật khẩu quỹ hay một mã xác minh. Ai hỏi cũng là kẻ lừa đảo, không có ngoại lệ.

• Hỗ trợ giả. Ai đó giả danh "hỗ trợ Gate" kết bạn với bạn trên một nền tảng mạng xã hội hay trong một nhóm chat, nói tài khoản bạn có vấn đề và cần bạn "phối hợp xác minh," rồi dắt bạn từng bước vào chỗ đưa ra một mã hay bấm vào một link. Hỗ trợ thật chỉ phản hồi bị động qua kênh chính thức — nó không nhắn tin riêng cho bạn từ trên trời rơi xuống để đòi thông tin nhạy cảm.
• Ứng dụng giả. Một "bộ cài Gate" đăng trên trang tải bên thứ ba hay trong mục file của một nhóm có thể bị cài sẵn mã đánh cắp tài khoản. Chỉ tải ứng dụng qua kênh chính thức; còn cách phân biệt thật giả, và phải làm gì khi trang chính thức không mở được, xem hướng dẫn đăng ký Gate từng bước.
• URL giả. Trang lừa đảo dùng một tên miền trông gần như y hệt tên thật (lệch một chữ cái, một đuôi khác) để gạt bạn nhập tên đăng nhập và mật khẩu. Hãy tập thành thói quen: soi thanh địa chỉ một lượt trước khi đăng nhập, và tốt nhất là đánh dấu trang chính thức rồi vào từ bookmark — đừng vào từ một kết quả tìm kiếm hay một link ai đó gửi cho bạn.

Về lớp kiến thức bảo mật sâu hơn quanh ví và khóa riêng, hướng dẫn bảo mật của Ethereum Foundation trình bày khá hệ thống và đáng đọc nếu bạn muốn đi xa hơn. Còn về chuyện sàn này nhìn chung có vững không và bối cảnh của nó ra sao, tụi mình nói kỹ trong bài Gate có an toàn không.

Thứ tự ưu tiên, nói gọn

Nếu bạn ít thời gian và chỉ muốn nắm phần cốt lõi, đúng cái thứ tự này là tất cả những gì cần nhớ:

• Ưu tiên thứ nhất, phải làm: xác thực hai lớp (dùng ứng dụng xác thực, đừng dựa mỗi SMS). Đây là nền móng của mọi phòng thủ khác.
• Ưu tiên thứ hai, rất nên làm: một mã chống lừa đảo và một whitelist địa chỉ rút. Cái này giúp bạn phát hiện email giả, cái kia hàn kín lối ra của tiền — một phút công sức, đáng giá cao.
• Ưu tiên thứ ba, mức cơ bản: đặt mật khẩu quỹ khác mật khẩu đăng nhập, và thi thoảng liếc qua các thiết bị đăng nhập.
• Xuyên suốt, theo thói quen: đề phòng hỗ trợ giả và URL giả — bất cứ thứ gì đòi mật khẩu hay một mã của bạn, cứ giả định là lừa đảo trước đã.

Không cái nào trong số này tốn tiền; các nút nằm trên trang cài đặt bảo mật của Gate, vị trí chính xác thì theo trang. Chạy hết cái danh sách đó từ đầu đến cuối thì bảo mật tài khoản của bạn đã đi trước phần lớn mọi người. Mấy phòng thủ này thuộc về cái khung gầm bạn nên dựng ngay ở giai đoạn người mới; còn nguyên cả quy trình mở tài khoản thì xem lại hướng dẫn Gate toàn tập cho người mới.

Quay lại rà soát định kỳ

Cài đặt bảo mật không phải đặt một lần là xong. Càng dùng tài khoản thì mọi thứ càng đổi: bạn đổi điện thoại, thêm một địa chỉ mới, thử một công cụ bên thứ ba nào đó, đăng nhập một lần trên máy tính bạn không hay dùng — mỗi cái để lại một dấu vết trong cài đặt, và theo thời gian gom lại thành một mớ lộn xộn. Thi thoảng (giả sử mỗi quý, hoặc sau mỗi lần đổi máy hay dọn ví), dành mười phút rà lại — rất đáng. Đây là danh sách ngắn cần xem.

Danh sách thiết bị được ủy quyền. Đây là cái đáng kiểm tra đều đặn nhất. Rà qua từng thiết bị còn đăng nhập được vào tài khoản bạn — cái điện thoại cũ bạn bán từ lâu, cái máy tính bạn mượn, cái trình duyệt bạn đăng nhập một lần — và đá bất cứ thứ gì bạn không nhận ra hay không còn cần. Danh sách càng sạch thì càng dễ liếc một cái là thấy ngay khi một thiết bị thật sự lạ hiện ra. Nhân tiện, soi luôn các bản ghi đăng nhập xem có vị trí hay thời điểm nào lạ không.

Whitelist địa chỉ rút. Như đã nói, hãy coi nó như một cuốn sổ địa chỉ cần chăm; lần rà soát chính là lúc bạn thật sự chăm nó. Xóa những địa chỉ bạn không còn dùng, và xác nhận rằng nhãn của những cái còn lại vẫn khớp và không địa chỉ nào bị động vào. Giữ danh sách gọn — vừa dễ dùng, vừa ít rủi ro.

Khóa API (nếu bạn từng tạo). Một khóa API là chìa khóa dành cho chương trình, hay gặp khi bạn nối một công cụ định lượng, một trợ lý dữ liệu thị trường hay một bot sao chép giao dịch. Nếu bạn là người dùng bình thường không có nhu cầu, thì đơn giản là đừng tạo; một khi đã tạo, nó thành một kẽ hở dễ bị bỏ sót. Có hai nguyên tắc cần giữ. Thứ nhất, đặc quyền tối thiểu — chỉ tích đúng vài quyền bạn thật sự cần; "chỉ đọc" là đủ cho phần lớn công cụ bên thứ ba, và đừng bao giờ cấp quyền rút tiền, vì một khóa API có quyền rút mà lộ ra thì cũng như trao luôn chìa khóa ví. Thứ hai, gắn một whitelist IP để giới hạn khóa chỉ chạy từ những địa chỉ máy chủ bạn tin cậy. Khi rà soát, xóa bất kỳ khóa nào bạn không còn dùng — nhiều người nối một công cụ một lần rồi để khóa nằm lại đó; công cụ thì bỏ từ đời nào mà khóa vẫn còn sống, đúng là một mối nguy treo lơ lửng chẳng vì lý do gì.

Hai lớp và các thông tin đã gắn. Nhân tiện, xác nhận ứng dụng xác thực vẫn tạo mã bình thường và rằng email cùng số điện thoại đã gắn vẫn là những cái bạn còn dùng. Có người đổi số hay đóng một email cũ mà quên cập nhật các thông tin gắn trên tài khoản, để rồi khi thật sự cần khôi phục tài khoản mới phát hiện ra con đường đã bị cắt từ lâu. Kiểm tra nó trong lần rà soát để khỏi bị hớ khi cần đến.

Lượt này không tốn nhiều thời gian; cái quan trọng là xây cho được thói quen nhìn lại. Cài đặt không tự dưng hỏng — cái hỏng là khi chúng trôi lệch khỏi tình hình thực tế của bạn mà không ai để ý. Đối chiếu chúng với thực tế đều đặn, giữ cho trạng thái trên tài khoản khớp với cái trong đầu bạn, thì cái khung gầm đó vẫn đứng vững.

Câu hỏi thường gặp

Chỉ dùng một trong hai — mã SMS hoặc ứng dụng xác thực — có đủ không?+

Một cái cũng tạm dùng được, nhưng hãy lấy ứng dụng xác thực làm chính. Mã SMS có thể bị đánh bại bằng SIM swap hoặc tấn công phi kỹ thuật vào nhà mạng; còn mã xoay vòng của ứng dụng xác thực nằm cục bộ trên điện thoại bạn, không đi qua nhà mạng, và khó bị chặn từ xa hơn nhiều. Nếu có thể, hãy bật cả hai, lấy ứng dụng xác thực làm chính và SMS làm phương án dự phòng để khôi phục.

Kẻ lừa đảo có thấy được mã chống lừa đảo của tôi không?+

Không. Mã chống lừa đảo là một chuỗi do chính bạn đặt, và nó chỉ xuất hiện trong những email thật mà Gate gửi cho bạn. Kẻ lừa đảo không biết mã của bạn, nên email giả của họ hoặc bỏ trống nó hoặc đoán sai — và đó chính là cách bạn phân biệt email thật với email giả. Một khi đã đặt, đừng bao giờ chụp màn hình hay chia sẻ nó ở bất cứ đâu.

Bật hết những cài đặt này thì tài khoản của tôi an toàn tuyệt đối chưa?+

Không có gì là an toàn tuyệt đối. Những cài đặt này chặn được phần lớn các đợt tấn công thường gặp nhắm vào tài khoản cá nhân, nhưng chúng không ngăn được việc chính bạn bị dụ tự đưa mã đi, hay tự gõ mật khẩu vào một trang nhái. Cài đặt là khung gầm; sự cảnh giác là vô-lăng — bạn cần cả hai. Mọi quy định và nút bấm đều theo cái hiển thị trên trang của Gate; xem Trung tâm Trợ giúp của Gate.