Trong bối cảnh công nghệ AI tạo sinh đang phát triển vượt bậc, khả năng của các tin tặc trong việc triển khai những cuộc tấn công lừa đảo đã trở nên tinh vi, hiệu quả và rẻ hơn bao giờ hết. Mặc dù bạn có thể tự tin vào khả năng phát hiện các hành vi độc hại, đây vẫn là thời điểm lý tưởng để cập nhật kiến thức về những chiến thuật mới nhất mà chúng sử dụng để khai thác và lừa gạt người dùng. Sự kết hợp giữa trí tuệ nhân tạo và ý đồ xấu đã tạo ra những mối đe dọa phức tạp, đòi hỏi mỗi cá nhân cần nâng cao cảnh giác và trang bị kiến thức bảo mật vững chắc để tự bảo vệ mình trong không gian mạng ngày càng nguy hiểm này.
Hacker Đã Dùng AI Để Lựa Chọn Mục Tiêu Như Thế Nào?
Tin tặc thường dựa vào các hồ sơ mạng xã hội bị đánh cắp để lừa đảo người khác. Để chiếm đoạt danh tính trực tuyến, chúng thường tạo ra các hồ sơ giả mạo rất giống người dùng thật hoặc chiếm quyền kiểm soát các tài khoản thực để lợi dụng lòng tin và thao túng nạn nhân.
Người dùng đang chỉ vào logo Google Chrome, biểu tượng của sự tương tác trực tuyến và rủi ro bị hacker tấn công mạng sử dụng AI.
Các bot được trang bị AI có thể giúp thu thập thông tin từ mạng xã hội như ảnh, tiểu sử và bài đăng để tạo ra các tài khoản giả mạo đáng tin cậy. Khi một kẻ lừa đảo xây dựng xong hồ sơ giả, chúng sẽ gửi lời mời kết bạn đến danh bạ của nạn nhân, khiến họ nhầm tưởng rằng đang tương tác với người quen.
Một tài khoản bị chiếm đoạt thực sự sẽ mở ra nhiều cánh cửa hơn để hacker sử dụng AI cho các vụ lừa đảo mục tiêu hiệu quả và độc đáo hơn. Các bot AI có thể xác định các mối quan hệ thân thiết, tiết lộ thông tin ẩn và phân tích các cuộc trò chuyện trước đây. Từ đó, các chatbot AI có thể tiếp quản và bắt đầu trò chuyện bằng cách bắt chước giọng điệu, đẩy các chiêu lừa đảo như liên kết lừa đảo (phishing links), yêu cầu tài chính khẩn cấp, hoặc thu thập thông tin nhạy cảm.
Ví dụ, chắc hẳn bạn đã từng thấy tài khoản Facebook của một người bạn bị xâm phạm và dùng để đăng các liên kết lừa đảo lên bảng tin của họ. Đó chỉ là một phần của việc chiếm đoạt tài khoản. Một khi bị xâm nhập, kẻ lừa đảo có thể sử dụng các công cụ AI để nhắn tin cho tất cả mọi người trong danh bạ của tài khoản bị chiếm đoạt, với hy vọng gài bẫy thêm nhiều nạn nhân.
Trước những diễn biến này, nhiều dịch vụ web đã phải sử dụng các loại CAPTCHA phức tạp khó giải, xác thực hai yếu tố bắt buộc (2FA) và các hệ thống theo dõi hành vi nhạy cảm hơn. Tuy nhiên, ngay cả với những biện pháp phòng thủ tăng cường này, con người vẫn luôn là điểm yếu lớn nhất.
Các Loại Hình Lừa Đảo Dựa Trên AI Phổ Biến Mà Bạn Cần Biết
Tội phạm mạng đang sử dụng AI đa phương thức để tạo ra các bot hoặc giả mạo những cá nhân, tổ chức có uy tín cao. Mặc dù nhiều vụ lừa đảo do AI hỗ trợ vẫn sử dụng các kỹ thuật tấn công phi kỹ thuật (social engineering) thông thường, nhưng việc ứng dụng AI đã nâng cao hiệu quả và khiến chúng khó bị phát hiện hơn rất nhiều.
Tấn Công Lừa Đảo (Phishing) và Lừa Đảo Qua SMS (Smishing) Được AI Nâng Cấp
Tấn công lừa đảo (phishing) và lừa đảo qua SMS (smishing) luôn là chiêu trò quen thuộc của kẻ lừa đảo. Các cuộc tấn công này hoạt động bằng cách giả mạo các công ty, cơ quan chính phủ và dịch vụ trực tuyến nổi tiếng để đánh cắp thông tin đăng nhập và truy cập tài khoản của bạn. Mặc dù phổ biến, nhưng các cuộc tấn công phishing và smishing truyền thống thường dễ bị phát hiện. Kẻ lừa đảo thường phải chơi trò “đánh số lượng” để đạt được bất kỳ kết quả có lợi nào.
Một người phụ nữ đang sử dụng máy tính xách tay với màn hình hiển thị email lừa đảo (phishing), minh họa nguy cơ của các cuộc tấn công phishing được tăng cường bởi AI.
Ngược lại, các cuộc tấn công lừa đảo có mục tiêu (spear-phishing) lại hiệu quả hơn rất nhiều. Những cuộc tấn công này yêu cầu kẻ tấn công phải tiến hành nghiên cứu và trinh sát, tạo ra các email và tin nhắn được cá nhân hóa cao để lừa đảo người dùng. Tuy nhiên, các vụ spear-phishing hiếm khi xuất hiện trong hộp thư đến của chúng ta vì chúng đòi hỏi nỗ lực đáng kể để thực hiện thành công.
Đây chính là lúc AI trở nên nguy hiểm. Với các chatbot AI và các công cụ AI khác, tội phạm mạng có thể tự động hóa các cuộc tấn công spear-phishing hàng loạt mà không tốn nhiều tài nguyên hay thời gian để tài trợ cho chiến dịch. Các video deepfake của những cá nhân quan trọng thậm chí có thể được sử dụng để bổ trợ cho cuộc tấn công và làm cho mồi nhử hiệu quả hơn. Trong một trường hợp, YouTube đã phải cảnh báo những người sáng tạo nội dung về các vụ lừa đảo phishing liên quan đến một video deepfake của CEO của họ, được thiết kế để lừa họ tiết lộ thông tin đăng nhập.
Lừa Đảo Tình Cảm (Romance Scams) Tinh Vi Hơn Nhờ AI
Lừa đảo tình cảm thao túng cảm xúc để có được lòng tin và tình cảm trước khi khai thác nạn nhân. Không giống như các vụ lừa đảo phishing thông thường, nơi việc tấn công phi kỹ thuật kết thúc khi bạn cung cấp thông tin đăng nhập, lừa đảo tình cảm yêu cầu kẻ lừa đảo phải dành hàng tuần, hàng tháng, hoặc thậm chí hàng năm để xây dựng mối quan hệ – một chiến thuật còn được gọi là “pig butchering” (lừa đảo mổ lợn). Do sự đầu tư thời gian đáng kể này, tội phạm mạng chỉ có thể nhắm mục tiêu vào một vài người cùng lúc, khiến những vụ lừa đảo này thậm chí còn hiếm hơn cả các cuộc tấn công spear-phishing thủ công.
Một người đàn ông và phụ nữ đang trốn sau quả bóng bay hình trái tim với biển báo "scam alert", cảnh báo về lừa đảo tình cảm (romance scams) được AI hỗ trợ.
Tuy nhiên, ngày nay, kẻ lừa đảo có thể sử dụng chatbot AI để xử lý một số khía cạnh tốn thời gian nhất của lừa đảo tình cảm – đó là trò chuyện, nhắn tin, gửi ảnh và video, và thậm chí thực hiện cuộc gọi điện thoại trực tiếp. Vì các mục tiêu thường dễ bị tổn thương về mặt cảm xúc, họ thậm chí có thể vô thức bỏ qua các cuộc trò chuyện do AI tạo ra và xem chúng như những điều kỳ quặc hoặc thậm chí quyến rũ.
Tờ The Scottish Sun đã đưa tin về một sự cố mà một nhà khoa học thần kinh đã mất hàng nghìn bảng Anh trong một vụ lừa đảo tình cảm do AI hỗ trợ. Kẻ lừa đảo đã sử dụng các video và tin nhắn do AI tạo ra để thể hiện một cách thuyết phục rằng đó là một người yêu. Chúng đã dựng lên một câu chuyện phức tạp về việc làm việc trên một giàn khoan dầu ngoài khơi và sử dụng công nghệ deepfake để thuyết phục nạn nhân về tính hợp pháp của tất cả các tuyên bố của chúng. Việc sử dụng các công cụ AI này cảnh báo chúng ta về các chiến thuật ngày càng tinh vi mà kẻ lừa đảo đang sử dụng để khai thác nạn nhân.
Lừa Đảo Hỗ Trợ Khách Hàng Tăng Cường AI
Lừa đảo hỗ trợ khách hàng lợi dụng lòng tin của mọi người vào các thương hiệu lớn bằng cách giả mạo các bộ phận hỗ trợ. Những vụ lừa đảo này hoạt động bằng cách gửi các cảnh báo giả, cửa sổ bật lên (pop-ups) hoặc email giả mạo rằng tài khoản của bạn đã bị khóa, cần xác minh hoặc có vấn đề bảo mật khẩn cấp. Theo truyền thống, kẻ lừa đảo phải tương tác với nạn nhân thủ công, nhưng chatbot AI đã thay đổi điều đó.
Một robot đang thực hiện các cuộc gọi tự động trong trung tâm tổng đài lớn, minh họa cách AI được dùng trong lừa đảo hỗ trợ khách hàng và cuộc gọi lừa đảo.
Các vụ lừa đảo hỗ trợ khách hàng do AI hỗ trợ hiện sử dụng chatbot để tự động hóa các cuộc hội thoại và làm cho chúng có vẻ thuyết phục hơn. Với các công cụ tự động hóa như n8n, chatbot có thể phản hồi trong thời gian thực, bắt chước nhân viên hỗ trợ chính thức và thậm chí tham chiếu các cơ sở tri thức để xuất hiện hợp pháp hơn. Chúng thường triển khai các chiến thuật lừa đảo bằng cách sử dụng các trang web giả mạo để lừa nạn nhân nhập thông tin đăng nhập của họ.
Các vụ lừa đảo hỗ trợ AI cũng có thể đi theo hướng ngược lại. Kẻ lừa đảo có thể sử dụng các tác nhân AI để liên hệ với các dịch vụ quan trọng như ngân hàng và chương trình của chính phủ để lấy dữ liệu của mục tiêu hoặc thậm chí đặt lại thông tin đăng nhập của họ.
Chiến Dịch Thông Tin Sai Lệch và Bôi Nhọ Tự Động
Tin tặc hiện đang sử dụng các chatbot AI để lan truyền thông tin sai lệch trên quy mô chưa từng có. Những bot này tạo ra và chia sẻ các câu chuyện giả mạo trên mạng xã hội, nhắm mục tiêu vào các bảng tin, diễn đàn cộng đồng và phần bình luận với những nhận xét bịa đặt. Không giống như các chiến dịch thông tin sai lệch truyền thống đòi hỏi nỗ lực thủ công, các tác nhân AI giờ đây có thể tự động hóa toàn bộ quá trình, khiến tin tức giả mạo lan truyền nhanh hơn và thuyết phục hơn.
Bằng cách tự động hóa việc tạo tài khoản mạng xã hội thật, bot có thể tạo và tương tác với các bài đăng để lan truyền thông tin sai lệch. Và với đủ số lượng bot này lưu hành trên internet, chúng có thể khiến những người không có thông tin hoặc chưa quyết định nghiêng về phía câu chuyện của chúng.
Ngoài việc lừa dối đơn thuần, tin tặc còn sử dụng các chiến dịch thông tin sai lệch bằng AI để tạo lưu lượng truy cập đến các trang web lừa đảo. Một số kết hợp tin tức giả với các ưu đãi gian lận, lừa nạn nhân nhấp vào các liên kết độc hại. Bởi vì những bài đăng này thường trở nên lan truyền mạnh mẽ trước khi các cơ quan kiểm chứng thông tin có thể phản hồi, nhiều người vô tình lan truyền thông tin sai lệch đi xa hơn.
Bạn Cần Làm Gì Để Tự Bảo Vệ Bản Thân?
Mặc dù tin tặc đang sử dụng AI trong nhiều tác vụ khác nhau, nhưng chúng đã tìm thấy ứng dụng lớn nhất trong việc tăng cường các cuộc tấn công phi kỹ thuật (social engineering). Vì vậy, để phòng thủ chống lại hầu hết các vụ lừa đảo do AI hỗ trợ, chúng ta cần nỗ lực hơn trong việc bảo mật quyền riêng tư và xác minh tính hợp pháp của các tin nhắn, bài đăng và hồ sơ.
Giao diện một email lừa đảo (scam email) trong hộp thư Gmail, minh họa các dấu hiệu cần cảnh giác để bảo vệ bản thân khỏi các cuộc tấn công lừa đảo.
- Hạn Chế Chia Sẻ Thông Tin Cá Nhân: Tránh trở thành mục tiêu ngay từ đầu. Hãy suy nghĩ kỹ trước khi chia sẻ thông tin cá nhân trên mạng xã hội. Kẻ lừa đảo sử dụng thông tin này để tạo ra các cuộc tấn công có mục tiêu.
- Cảnh Giác Với Các Giao Tiếp Không Mong Muốn: Nếu bạn nhận được một cuộc gọi, tin nhắn hoặc email đột ngột từ người bạn không quen biết, hãy xác minh lại với bạn bè, gia đình, đồng nghiệp hoặc bất kỳ ai trong mạng lưới của bạn trước khi phản hồi.
- Coi Chừng Deepfake: Các video deepfake do AI tạo ra có thể bắt chước giọng nói và ngoại hình. Hãy cảnh giác với các cuộc gọi video và tin nhắn bất ngờ từ các tổ chức hoặc cá nhân có uy tín cao. Luôn kiểm tra các huy hiệu xác minh, số lượng người theo dõi/đăng ký và các tài khoản tương tác với bài đăng của họ.
- Suy Nghĩ Kỹ Trước Khi Nhấp: Các liên kết lừa đảo trông giống như bài đăng bình thường vẫn đang tràn lan trên mạng xã hội. Nút phát video trông có vẻ phẳng hoặc đã được chỉnh sửa không? Bài đăng trông có khó hiểu không? Nó được cho là một video nhưng đồng thời lại là một hình ảnh và một liên kết bên ngoài? Tốt nhất là không nên tương tác với những loại bài đăng đó.
- Kiểm Tra và Xác Minh Bài Đăng Tin Tức: Dù bạn muốn tránh bị lừa bởi kẻ lừa đảo hay muốn cập nhật thông tin, hãy luôn kiểm tra chéo thông tin từ nhiều nguồn. Ngoài ra, hãy kiểm tra phần bình luận — các tài khoản bot thường có tên người dùng với sự kết hợp của các con số ở cuối để đảm bảo tên người dùng khả dụng khi tạo tài khoản.
Các chatbot AI mang lại sự tiện lợi nhưng cũng trang bị cho tin tặc những công cụ lừa đảo tiên tiến. Tuy nhiên, hãy nhớ rằng nhiều vụ lừa đảo được AI hỗ trợ vẫn tuân theo các mô hình giống như các vụ lừa đảo truyền thống. Chúng chỉ khó bị phát hiện hơn và phổ biến hơn. Bằng cách luôn cập nhật thông tin và xác minh tất cả các tương tác trực tuyến, bạn đang tự bảo vệ mình khỏi những mối đe dọa đang phát triển này.
