Trong bối cảnh công nghệ phát triển vượt bậc, đặc biệt là sự trỗi dậy của Trí tuệ Nhân tạo (AI) tạo sinh, khả năng của hacker trong việc thực hiện các cuộc tấn công tinh vi và nhắm mục tiêu hiệu quả hơn bao giờ hết đã tăng lên đáng kể. AI không chỉ giúp chúng tự động hóa quy trình mà còn tạo ra những nội dung lừa đảo thuyết phục đến mức khó tin, với chi phí thấp hơn rất nhiều. Ngay cả khi bạn tự tin vào khả năng phát hiện các cuộc tấn công độc hại, đây vẫn là thời điểm vàng để cập nhật những chiến thuật mới nhất mà kẻ gian đang sử dụng để khai thác người dùng. Việc nắm bắt các phương thức tấn công mới này là chìa khóa để bảo vệ bản thân và cộng đồng khỏi những mối đe dọa kỹ thuật số ngày càng phức tạp.
Hacker Dùng AI Để Nhắm Mục Tiêu Như Thế Nào?
Hacker thường dựa vào các hồ sơ mạng xã hội bị đánh cắp hoặc giả mạo để lừa đảo người khác. Để chiếm đoạt danh tính trực tuyến, chúng thường tạo ra các hồ sơ giả mạo giống hệt người dùng thật hoặc chiếm quyền điều khiển các tài khoản hiện có nhằm lợi dụng lòng tin và thao túng nạn nhân. Các bot được hỗ trợ bởi AI có thể tự động quét mạng xã hội để thu thập ảnh, thông tin tiểu sử và bài đăng, từ đó tạo ra các tài khoản nhân bản đầy thuyết phục. Khi một kẻ lừa đảo xây dựng được hồ sơ giả mạo, chúng sẽ gửi yêu cầu kết bạn đến các liên hệ của nạn nhân, khiến họ nhầm tưởng rằng mình đang tương tác với người quen.
Người dùng đang xem màn hình máy tính với logo Google Chrome, minh họa việc sử dụng internet tiềm ẩn nguy cơ bị hacker dùng AI tấn công.
Một tài khoản thật sẽ mở ra nhiều cánh cửa hơn cho việc sử dụng AI để tạo ra các vụ lừa đảo độc đáo và nhắm mục tiêu hiệu quả hơn. Các bot hỗ trợ AI có thể xác định các mối quan hệ thân thiết, tiết lộ thông tin ẩn và phân tích các cuộc trò chuyện trước đây. Từ đó, các chatbot AI có thể tiếp quản và bắt đầu trò chuyện, bắt chước cách nói chuyện của nạn nhân và thúc đẩy các chiêu trò lừa đảo như liên kết lừa đảo (phishing links), tình huống khẩn cấp giả mạo, yêu cầu tài chính hoặc yêu cầu chia sẻ thông tin nhạy cảm. Chắc hẳn bạn đã từng thấy tài khoản Facebook của một người bạn bị chiếm đoạt và được dùng để đăng các liên kết phishing lên dòng thời gian của họ. Đó chỉ là một phần của việc chiếm đoạt tài khoản. Một khi tài khoản bị xâm phạm, kẻ lừa đảo có thể dùng công cụ AI để gửi tin nhắn cho tất cả các liên hệ trong tài khoản đó, hy vọng tóm được thêm nhiều nạn nhân.
Do những diễn biến này, nhiều dịch vụ web đã sử dụng các hình thức CAPTCHA phức tạp khó giải, xác thực hai yếu tố (2FA) bắt buộc và các hệ thống theo dõi hành vi nhạy cảm hơn. Tuy nhiên, ngay cả với những lớp phòng thủ bổ sung này, con người vẫn luôn là điểm yếu lớn nhất.
Các Loại Lừa Đảo Tinh Vi Bằng AI Bạn Cần Biết
Tội phạm mạng đang sử dụng AI đa phương thức để tạo ra các bot hoặc mạo danh các cá nhân, tổ chức có tầm ảnh hưởng lớn. Mặc dù nhiều vụ lừa đảo được hỗ trợ bởi AI vẫn sử dụng các kỹ thuật tấn công phi kỹ thuật (social engineering) thông thường, nhưng việc ứng dụng AI đã nâng cao hiệu quả và khiến chúng khó phát hiện hơn.
Tấn công Lừa đảo (Phishing) và Lừa đảo qua tin nhắn (Smishing) bằng AI
Phishing và smishing luôn là chiêu trò quen thuộc của kẻ lừa đảo. Các cuộc tấn công này hoạt động bằng cách mạo danh các công ty, cơ quan chính phủ và dịch vụ trực tuyến nổi tiếng để đánh cắp thông tin đăng nhập và truy cập tài khoản của bạn. Mặc dù phổ biến, các cuộc tấn công phishing và smishing thường dễ phát hiện. Kẻ lừa đảo thường phải “đánh số lượng” để đạt được kết quả mong muốn.
Một người phụ nữ đang sử dụng máy tính xách tay hiển thị email lừa đảo (phishing) trên màn hình, cho thấy nguy cơ tấn công mạng qua thư điện tử được AI tăng cường.
Ngược lại, các cuộc tấn công spear-phishing (lừa đảo có mục tiêu) lại hiệu quả hơn nhiều. Chúng đòi hỏi kẻ tấn công phải tiến hành nghiên cứu và trinh sát, tạo ra các email và tin nhắn được cá nhân hóa cao để lừa đảo nạn nhân. Tuy nhiên, các nỗ lực spear-phishing thường hiếm gặp trong hộp thư đến của chúng ta vì chúng đòi hỏi nỗ lực đáng kể để thực hiện thành công. Đây chính là lúc AI trở nên nguy hiểm. Với các chatbot AI và các công cụ AI khác, tội phạm mạng có thể tự động hóa các cuộc tấn công spear-phishing hàng loạt mà không tốn nhiều tài nguyên hay thời gian để tài trợ cho chiến dịch. Video deepfake của các cá nhân quan trọng thậm chí có thể được sử dụng để bổ trợ cho cuộc tấn công và làm cho mồi nhử hiệu quả hơn. Ví dụ, YouTube đã phải cảnh báo người sáng tạo về các vụ lừa đảo phishing liên quan đến một video deepfake của Giám đốc điều hành của họ, được thiết kế để lừa họ tiết lộ thông tin đăng nhập.
Lừa đảo Tình cảm (Romance Scams)
Lừa đảo tình cảm thao túng cảm xúc để chiếm được lòng tin và tình cảm trước khi khai thác nạn nhân. Không giống như các vụ lừa đảo phishing thông thường, nơi kỹ thuật tấn công phi kỹ thuật kết thúc ngay khi bạn giao nộp thông tin đăng nhập, lừa đảo tình cảm đòi hỏi kẻ lừa đảo phải dành hàng tuần, hàng tháng hoặc thậm chí hàng năm để xây dựng mối quan hệ – một chiến thuật được gọi là “pig butchering” (lừa đảo giết mổ lợn). Do sự đầu tư thời gian đáng kể này, tội phạm mạng chỉ có thể nhắm mục tiêu vào một vài người cùng lúc, khiến các vụ lừa đảo này thậm chí còn hiếm hơn các cuộc tấn công spear-phishing thủ công.
Hình ảnh ẩn dụ đôi nam nữ ẩn sau quả bóng bay có chữ 'Scam Alert' (Cảnh báo lừa đảo), minh họa nguy cơ của các vụ lừa đảo tình cảm (romance scams) được hỗ trợ bởi AI.
Tuy nhiên, ngày nay kẻ lừa đảo có thể sử dụng chatbot AI để xử lý một số khía cạnh tốn thời gian nhất của lừa đảo tình cảm – trò chuyện, nhắn tin, gửi ảnh và video, và thậm chí thực hiện các cuộc gọi điện thoại trực tiếp. Vì các mục tiêu thường dễ bị tổn thương về mặt cảm xúc, họ thậm chí có thể vô thức bỏ qua các cuộc trò chuyện do AI tạo ra và coi chúng là lập dị hoặc thậm chí là quyến rũ. Tờ The Scottish Sun đã đưa tin về một sự cố khi một nhà thần kinh học mất hàng nghìn bảng Anh vì một vụ lừa đảo tình cảm được hỗ trợ bởi AI. Kẻ lừa đảo đã sử dụng video và tin nhắn do AI tạo ra để thể hiện một cách thuyết phục một mối quan tâm lãng mạn. Chúng đã dựng lên một câu chuyện phức tạp về việc làm việc trên một giàn khoan dầu ngoài khơi và sử dụng công nghệ deepfake để thuyết phục nạn nhân về tính hợp pháp của tất cả các tuyên bố của chúng. Việc sử dụng các công cụ AI này cảnh báo chúng ta về các chiến thuật ngày càng phát triển mà kẻ lừa đảo sử dụng để khai thác nạn nhân.
Lừa đảo Hỗ trợ Khách hàng Nâng cao bằng AI
Lừa đảo hỗ trợ khách hàng khai thác lòng tin của mọi người vào các thương hiệu lớn bằng cách mạo danh các bộ phận hỗ trợ. Các vụ lừa đảo này hoạt động bằng cách gửi các cảnh báo, cửa sổ pop-up hoặc email giả mạo, tuyên bố rằng tài khoản của bạn đã bị khóa, cần xác minh hoặc có vấn đề bảo mật khẩn cấp. Theo truyền thống, kẻ lừa đảo phải tương tác thủ công với nạn nhân, nhưng các chatbot AI đã thay đổi điều đó.
Robot thực hiện cuộc gọi tự động (robo-calls) trong một trung tâm chăm sóc khách hàng khổng lồ, tượng trưng cho việc AI được dùng trong các cuộc lừa đảo hỗ trợ khách hàng.
Các vụ lừa đảo hỗ trợ khách hàng được hỗ trợ bởi AI hiện sử dụng chatbot để tự động hóa các cuộc trò chuyện và làm cho chúng cảm thấy thuyết phục hơn. Với các công cụ tự động hóa như n8n, chatbot có thể phản hồi theo thời gian thực, bắt chước các nhân viên hỗ trợ chính thức và thậm chí tham khảo cơ sở tri thức để trông hợp pháp hơn. Chúng thường triển khai các chiến thuật phishing bằng cách sử dụng các trang web được nhân bản để lừa nạn nhân nhập thông tin đăng nhập của họ. Lừa đảo hỗ trợ bằng AI cũng có thể hoạt động ngược lại. Kẻ lừa đảo có thể sử dụng các tác nhân AI để liên hệ với các dịch vụ quan trọng như ngân hàng và các chương trình của chính phủ để lấy dữ liệu của mục tiêu hoặc thậm chí đặt lại thông tin đăng nhập của họ.
Lan truyền Thông tin Sai lệch và Bôi nhọ Tự động bằng AI
Hacker hiện đang sử dụng các chatbot AI để lan truyền thông tin sai lệch ở quy mô chưa từng có. Các bot này tạo và chia sẻ các câu chuyện giả mạo trên mạng xã hội, nhắm mục tiêu vào các nguồn cấp tin tức, diễn đàn cộng đồng và phần bình luận bằng các bình luận bịa đặt. Không giống như các chiến dịch thông tin sai lệch truyền thống yêu cầu nỗ lực thủ công, các tác nhân AI giờ đây có thể tự động hóa toàn bộ quy trình, khiến tin tức giả mạo lan truyền nhanh hơn và thuyết phục hơn.
Bằng cách tự động tạo các tài khoản mạng xã hội thật, bot có thể tạo và tương tác với các bài đăng để lan truyền thông tin sai lệch. Và với đủ số lượng bot này lưu hành trên internet, chúng có thể biến những người thiếu thông tin hoặc chưa quyết định đi theo câu chuyện của chúng. Ngoài việc lừa dối đơn thuần, hacker còn sử dụng các chiến dịch thông tin sai lệch bằng AI để hướng lưu lượng truy cập đến các trang web lừa đảo. Một số kết hợp tin tức giả mạo với các ưu đãi gian lận, lừa nạn nhân nhấp vào các liên kết độc hại. Bởi vì những bài đăng này thường lan truyền nhanh chóng trước khi các bên kiểm chứng thông tin có thể phản hồi, nhiều người vô tình lan truyền thông tin sai lệch hơn nữa.
Bạn Có Thể Làm Gì Để Tự Bảo Vệ?
Mặc dù hacker đang sử dụng AI trong mọi loại tác vụ, nhưng chúng đã tìm thấy ứng dụng lớn nhất trong việc tăng cường các cuộc tấn công phi kỹ thuật (social engineering). Vì vậy, để tự bảo vệ mình trước hầu hết các vụ lừa đảo được hỗ trợ bởi AI, chúng ta phải nỗ lực hơn trong việc bảo mật quyền riêng tư và xác minh tính hợp pháp của các tin nhắn, bài đăng và hồ sơ.
- Hạn chế Chia sẻ Thông tin Cá nhân: Tránh bị nhắm mục tiêu ngay từ đầu. Hãy suy nghĩ kỹ trước khi chia sẻ thông tin cá nhân trên mạng xã hội. Kẻ lừa đảo sử dụng thông tin này để tạo ra các cuộc tấn công có mục tiêu.
- Cảnh giác với Giao tiếp không mong muốn: Nếu bạn nhận được một cuộc gọi, tin nhắn hoặc email đột ngột từ người mà bạn không quen biết, hãy xác minh với bạn bè, gia đình, đồng nghiệp hoặc bất kỳ ai trong mạng lưới của bạn trước khi trả lời.
- Cẩn thận với Deepfake: Deepfake do AI tạo ra có thể bắt chước giọng nói và ngoại hình. Hãy cẩn trọng với các cuộc gọi video và tin nhắn không mong muốn từ các tổ chức hoặc cá nhân có tầm ảnh hưởng lớn. Luôn kiểm tra các huy hiệu xác minh, số lượng người theo dõi/đăng ký và các tài khoản tương tác với bài đăng của họ.
- Suy nghĩ kỹ trước khi Click: Các liên kết lừa đảo trông giống như các bài đăng bình thường vẫn còn tràn lan trên mạng xã hội. Nút phát có trông phẳng hoặc đã qua chỉnh sửa không? Bài đăng có vẻ khó hiểu không? Nó có được cho là một video nhưng đồng thời lại là một hình ảnh và một liên kết bên ngoài không? Tốt hơn hết là không tương tác với những loại bài đăng đó.
- Kiểm tra và Xác minh Tin tức: Cho dù bạn muốn tránh bị kẻ lừa đảo đánh lừa hay muốn cập nhật thông tin, hãy luôn kiểm tra chéo thông tin từ nhiều nguồn. Ngoài ra, hãy kiểm tra phần bình luận — các tài khoản bot thường có tên người dùng với sự kết hợp của các số ở cuối để đảm bảo tên người dùng khả dụng trong quá trình tạo.
Màn hình máy tính hiển thị một email lừa đảo (scam email) trong hộp thư Gmail, nhấn mạnh tầm quan trọng của việc cảnh giác với các thư rác và phishing.
Các chatbot AI mang lại sự tiện lợi nhưng cũng trao quyền cho hacker các công cụ lừa đảo tiên tiến. Tuy nhiên, hãy nhớ rằng nhiều vụ lừa đảo được hỗ trợ bởi AI vẫn tuân theo các mô hình tương tự như các vụ lừa đảo truyền thống. Chúng chỉ khó phát hiện hơn và lan rộng hơn. Bằng cách luôn cập nhật thông tin và xác minh tất cả các tương tác trực tuyến, bạn đang bảo vệ chính mình khỏi những mối đe dọa đang phát triển này.
