Trong bối cảnh công nghệ đang phát triển vũ bão, trí tuệ nhân tạo (AI) đã trở thành một công cụ mạnh mẽ, mang lại nhiều tiện ích đáng kinh ngạc. Tuy nhiên, cùng với những lợi ích đó, AI cũng đang bị tin tặc lợi dụng để thực hiện các cuộc tấn công mạng, lừa đảo người dùng một cách hiệu quả và tinh vi hơn bao giờ hết, với chi phí thấp hơn rất nhiều. Khả năng phát hiện các cuộc tấn công độc hại giờ đây trở nên khó khăn hơn. Do đó, việc cập nhật các chiêu trò mới nhất mà tin tặc sử dụng để khai thác nạn nhân là vô cùng cần thiết để mỗi cá nhân có thể tự bảo vệ mình trong môi trường số.
Tin Tặc Khai Thác AI Để Nhắm Mục Tiêu Người Dùng Như Thế Nào?
Tin tặc thường dựa vào các hồ sơ mạng xã hội bị đánh cắp hoặc giả mạo để lừa đảo. Để chiếm đoạt danh tính trực tuyến, chúng thường tạo ra các hồ sơ giả mạo giống hệt người dùng thật, hoặc tấn công và chiếm quyền điều khiển các tài khoản hiện có nhằm lợi dụng lòng tin và thao túng nạn nhân.
AI đóng vai trò then chốt trong quá trình này. Các bot được hỗ trợ bởi AI có thể quét các nền tảng mạng xã hội để thu thập ảnh, thông tin tiểu sử và các bài đăng, từ đó tạo ra những tài khoản giả mạo (cloned accounts) vô cùng thuyết phục. Một khi hồ sơ giả mạo được thiết lập, kẻ lừa đảo sẽ gửi lời mời kết bạn đến các liên hệ của nạn nhân, khiến họ tin rằng đang tương tác với người quen.
người dùng đang kiểm tra logo Google Chrome trên màn hình máy tính
Với một tài khoản thật, tin tặc có nhiều cơ hội hơn để sử dụng AI cho các vụ lừa đảo mục tiêu, hiệu quả và độc đáo hơn. Các bot AI có thể xác định các mối quan hệ thân thiết, tiết lộ thông tin ẩn và phân tích các cuộc trò chuyện trước đây. Từ đó, các chatbot AI có thể tiếp quản, bắt đầu trò chuyện với các liên hệ của nạn nhân bằng cách bắt chước ngữ điệu, đẩy các chiêu trò lừa đảo như gửi liên kết phishing, thông báo khẩn cấp giả mạo, yêu cầu tài chính hoặc đòi hỏi chia sẻ thông tin nhạy cảm.
Chắc hẳn bạn đã từng thấy tài khoản Facebook của một người bạn bị xâm nhập và dùng để đăng các liên kết phishing lên dòng thời gian. Đó chỉ là một phần của việc chiếm đoạt tài khoản. Một khi tài khoản bị chiếm đoạt, kẻ lừa đảo có thể sử dụng các công cụ AI để gửi tin nhắn cho mọi người trong danh bạ của tài khoản đó, hy vọng có thể dụ dỗ thêm nhiều nạn nhân khác.
Trước những diễn biến phức tạp này, nhiều dịch vụ web đã phải triển khai các biện pháp phòng thủ nâng cao như CAPTCHA phức tạp, xác thực hai yếu tố (2FA) bắt buộc và hệ thống theo dõi hành vi nhạy bén hơn. Tuy nhiên, dù với những lớp bảo vệ tăng cường này, con người vẫn luôn là mắt xích yếu nhất và dễ bị khai thác nhất trong chuỗi bảo mật.
Các Chiêu Trò Lừa Đảo Phổ Biến Được Tăng Cường Bởi AI
Tội phạm mạng đang sử dụng AI đa phương thức (multi-modal AI) để tạo ra các bot hoặc mạo danh những cá nhân hay tổ chức có uy tín cao. Mặc dù nhiều hình thức lừa đảo được hỗ trợ bởi AI vẫn sử dụng các kỹ thuật kỹ thuật xã hội truyền thống, việc ứng dụng AI đã nâng cao đáng kể hiệu quả và khiến chúng khó bị phát hiện hơn rất nhiều.
Tấn Công Phishing và Smishing Bằng AI
Phishing (lừa đảo qua email) và smishing (lừa đảo qua tin nhắn SMS) luôn là những chiêu trò cơ bản của kẻ gian. Các cuộc tấn công này hoạt động bằng cách mạo danh các công ty lớn, cơ quan chính phủ hoặc dịch vụ trực tuyến để đánh cắp thông tin đăng nhập và truy cập vào tài khoản của bạn. Mặc dù phổ biến, các cuộc tấn công phishing và smishing thường dễ bị phát hiện bởi những dấu hiệu bất thường. Kẻ lừa đảo thường phải áp dụng chiến thuật “gieo rắc rộng rãi” để hy vọng thu được kết quả mong muốn.
Một phụ nữ đang dùng laptop với email phishing trên màn hình, cạnh biểu tượng fishing email.
Ngược lại, các cuộc tấn công spear-phishing (phishing mục tiêu) hiệu quả hơn rất nhiều. Chúng đòi hỏi kẻ tấn công phải tiến hành nghiên cứu và thu thập thông tin tình báo kỹ lưỡng, sau đó soạn thảo các email và tin nhắn được cá nhân hóa cao để lừa đảo nạn nhân. Tuy nhiên, các vụ spear-phishing thường hiếm khi xuất hiện trong hộp thư đến của chúng ta vì chúng đòi hỏi nỗ lực đáng kể để thực hiện thành công.
Đây chính là lúc AI trở nên nguy hiểm. Với các chatbot AI và các công cụ AI khác, tội phạm mạng có thể tự động hóa các cuộc tấn công spear-phishing hàng loạt mà không tốn nhiều nguồn lực hay thời gian để tài trợ cho chiến dịch. Thậm chí, các video deepfake của những cá nhân quan trọng có thể được sử dụng để bổ trợ cuộc tấn công, làm cho mồi nhử trở nên thuyết phục hơn. Đơn cử, YouTube đã từng phải cảnh báo các nhà sáng tạo nội dung về các vụ lừa đảo phishing liên quan đến một video deepfake của CEO của họ, được thiết kế để lừa họ tiết lộ thông tin đăng nhập.
Lừa Đảo Tình Cảm (Romance Scams) Sử Dụng AI
Lừa đảo tình cảm thao túng cảm xúc để chiếm được lòng tin và tình cảm trước khi khai thác nạn nhân. Không giống như các vụ lừa đảo phishing thông thường, nơi kỹ thuật xã hội kết thúc khi bạn cung cấp thông tin đăng nhập, lừa đảo tình cảm đòi hỏi kẻ gian phải dành hàng tuần, hàng tháng, hoặc thậm chí hàng năm để xây dựng mối quan hệ – một chiến thuật còn được gọi là “pig butchering” (sát hại lợn). Do sự đầu tư thời gian đáng kể này, tội phạm mạng chỉ có thể nhắm mục tiêu vào một số ít người cùng một lúc, khiến các vụ lừa đảo này thậm chí còn hiếm hơn so với các cuộc tấn công spear-phishing thủ công.
một người đàn ông và phụ nữ đang trốn sau quả bóng bay có dấu hiệu cảnh báo lừa đảo
Tuy nhiên, ngày nay, kẻ lừa đảo có thể sử dụng các chatbot AI để xử lý một số khía cạnh tốn thời gian nhất của lừa đảo tình cảm – đó là trò chuyện, nhắn tin, gửi ảnh và video, và thậm chí cả gọi điện trực tiếp. Vì mục tiêu thường là những người dễ bị tổn thương về mặt cảm xúc, họ thậm chí có thể vô thức bỏ qua những cuộc trò chuyện do AI tạo ra và coi chúng là những điều kỳ quặc hoặc thậm chí là quyến rũ.
Tờ The Scottish Sun đã đưa tin về một sự việc khi một nhà thần kinh học mất hàng nghìn bảng Anh vào một vụ lừa đảo tình cảm được hỗ trợ bởi AI. Kẻ lừa đảo đã sử dụng các video và tin nhắn do AI tạo ra để mô tả một mối quan tâm lãng mạn một cách rất thuyết phục. Chúng dựng lên một câu chuyện phức tạp về việc làm việc trên một giàn khoan dầu ngoài khơi và sử dụng công nghệ deepfake để thuyết phục nạn nhân về tính hợp pháp của mọi tuyên bố của mình. Việc sử dụng các công cụ AI này là một lời cảnh báo về các chiến thuật lừa đảo ngày càng phát triển để khai thác nạn nhân.
Lừa Đảo Hỗ Trợ Khách Hàng Nâng Cao Bởi AI
Lừa đảo hỗ trợ khách hàng khai thác lòng tin của mọi người vào các thương hiệu lớn bằng cách mạo danh các bộ phận hỗ trợ. Các vụ lừa đảo này hoạt động bằng cách gửi các cảnh báo giả, cửa sổ pop-up hoặc email giả mạo rằng tài khoản của bạn đã bị khóa, cần xác minh hoặc có vấn đề bảo mật khẩn cấp. Theo truyền thống, kẻ lừa đảo phải tương tác thủ công với nạn nhân, nhưng các chatbot AI đã thay đổi điều đó.
Các vụ lừa đảo hỗ trợ khách hàng được hỗ trợ bởi AI hiện sử dụng chatbot để tự động hóa các cuộc trò chuyện và làm cho chúng trở nên thuyết phục hơn. Với các công cụ tự động hóa như n8n, chatbot có thể phản hồi theo thời gian thực, bắt chước các nhân viên hỗ trợ chính thức và thậm chí tham khảo các cơ sở kiến thức để trông hợp pháp hơn. Chúng thường áp dụng chiến thuật phishing bằng cách sử dụng các trang web giả mạo để lừa nạn nhân nhập thông tin đăng nhập của họ.
robot đang thực hiện các cuộc gọi tự động trong một trung tâm cuộc gọi khổng lồ
Lừa đảo hỗ trợ AI cũng có thể đi theo hướng ngược lại. Kẻ lừa đảo có thể sử dụng các tác nhân AI để liên hệ với các dịch vụ quan trọng như ngân hàng và chương trình chính phủ để lấy dữ liệu của mục tiêu hoặc thậm chí đặt lại thông tin đăng nhập của họ.
Chiến Dịch Lan Truyền Tin Giả và Bôi Nhọ Tự Động Bằng AI
Tin tặc hiện đang sử dụng các chatbot AI để lan truyền thông tin sai lệch trên quy mô chưa từng có. Các bot này tạo ra và chia sẻ các câu chuyện giả mạo trên mạng xã hội, nhắm mục tiêu vào các nguồn cấp tin tức, diễn đàn cộng đồng và phần bình luận bằng các nội dung bịa đặt. Không giống như các chiến dịch thông tin sai lệch truyền thống đòi hỏi nỗ lực thủ công, các tác nhân AI giờ đây có thể tự động hóa toàn bộ quá trình, khiến tin tức giả mạo lan truyền nhanh hơn và thuyết phục hơn.
Bằng cách tự động hóa việc tạo tài khoản mạng xã hội thật, các bot có thể tạo ra và tương tác với các bài đăng để lan truyền thông tin sai lệch. Và với đủ số lượng bot này lưu hành trên internet, chúng có thể khiến những người không có thông tin hoặc do dự chuyển sang ủng hộ quan điểm của chúng.
Ngoài việc lừa dối đơn thuần, tin tặc còn sử dụng các chiến dịch thông tin sai lệch bằng AI để điều hướng lưu lượng truy cập đến các trang web lừa đảo. Một số kẻ pha trộn tin tức giả mạo với các ưu đãi gian lận, lừa nạn nhân nhấp vào các liên kết độc hại. Vì những bài đăng này thường lan truyền nhanh chóng trước khi các bên kiểm tra thông tin kịp thời phản hồi, nhiều người đã vô tình lan truyền thông tin sai lệch này rộng hơn nữa.
Làm Thế Nào Để Tự Bảo Vệ Trước Mối Đe Dọa AI?
Mặc dù tin tặc đang sử dụng AI trong nhiều tác vụ khác nhau, chúng đã tìm thấy ứng dụng hiệu quả nhất trong việc tăng cường các cuộc tấn công kỹ thuật xã hội. Do đó, để phòng thủ chống lại hầu hết các hình thức lừa đảo được hỗ trợ bởi AI, chúng ta phải nỗ lực hơn nữa trong việc bảo mật quyền riêng tư cá nhân và xác minh tính hợp pháp của các tin nhắn, bài đăng và hồ sơ trực tuyến.
- Hạn Chế Chia Sẻ Thông Tin Cá Nhân: Tránh trở thành mục tiêu ngay từ đầu. Hãy suy nghĩ kỹ trước khi chia sẻ các chi tiết cá nhân trên mạng xã hội. Kẻ lừa đảo sử dụng thông tin này để tạo ra các cuộc tấn công có mục tiêu cụ thể.
- Cảnh Giác Với Các Liên Lạc Không Mong Muốn: Nếu bạn nhận được một cuộc gọi, tin nhắn hoặc email đột ngột từ người mà bạn không quen biết, hãy xác minh lại với bạn bè, gia đình, đồng nghiệp hoặc bất kỳ ai trong mạng lưới của bạn trước khi phản hồi.
- Cẩn Trọng Với Deepfake: Các deepfake do AI tạo ra có thể bắt chước giọng nói và ngoại hình. Hãy cảnh giác với các cuộc gọi video và tin nhắn bất ngờ từ các thực thể có uy tín cao. Luôn kiểm tra các huy hiệu xác minh, số lượng người theo dõi/đăng ký và các tài khoản tương tác với bài đăng của họ.
- Suy Nghĩ Kỹ Trước Khi Nhấp Chuột: Các liên kết phishing trông giống như bài đăng bình thường vẫn đang tràn lan trên mạng xã hội. Nút phát video có vẻ phẳng hoặc đã bị chỉnh sửa không? Bài đăng có vẻ khó hiểu không? Nó được cho là một video nhưng đồng thời lại là một hình ảnh và một liên kết ngoài? Tốt hơn hết là không nên tương tác với những loại bài đăng đó.
- Kiểm Tra và Xác Minh Bài Đăng Tin Tức: Dù bạn muốn tránh bị kẻ lừa đảo lừa dối hay muốn cập nhật thông tin, hãy luôn kiểm tra chéo thông tin từ nhiều nguồn khác nhau. Ngoài ra, hãy kiểm tra phần bình luận — các tài khoản bot thường có tên người dùng kèm theo một chuỗi số ở cuối để đảm bảo tên người dùng khả dụng khi tạo.
một email lừa đảo trong hộp thư đến Gmail
Các chatbot AI mang lại sự tiện lợi nhưng cũng trao quyền cho tin tặc những công cụ lừa đảo tiên tiến. Tuy nhiên, hãy nhớ rằng nhiều vụ lừa đảo được hỗ trợ bởi AI vẫn tuân theo các mô hình tương tự như các vụ lừa đảo truyền thống. Chúng chỉ khó phát hiện hơn và lan rộng hơn. Bằng cách luôn cập nhật thông tin và xác minh mọi tương tác trực tuyến, bạn sẽ tự bảo vệ mình trước những mối đe dọa đang phát triển này.
