Các tin tặc đang ngày càng tận dụng trí tuệ nhân tạo tạo sinh (generative AI) để thực hiện các cuộc tấn công lừa đảo hiệu quả và ít tốn kém hơn bao giờ hết. Ngay cả khi bạn tự tin vào khả năng phát hiện các cuộc tấn công độc hại, đây vẫn là thời điểm lý tưởng để cập nhật những chiến thuật mới nhất mà chúng sử dụng để khai thác người dùng. Sự tiến bộ của AI không chỉ mang lại tiện ích mà còn mở ra cánh cửa cho những hình thức lừa đảo tinh vi, khó lường, đòi hỏi mỗi cá nhân cần nâng cao cảnh giác để bảo vệ thông tin và tài sản của mình trên không gian mạng.
Hacker lợi dụng AI như thế nào để chọn mục tiêu?
Ảnh minh họa một người đang chỉ vào biểu tượng Google Chrome, tượng trưng cho việc khai thác dữ liệu web hoặc thông tin trên mạng xã hội.
Hacker thường dựa vào các hồ sơ mạng xã hội bị đánh cắp hoặc giả mạo để lừa đảo. Để chiếm đoạt danh tính trực tuyến, chúng thường tạo các hồ sơ giả mạo giống hệt người dùng thật hoặc chiếm quyền kiểm soát các tài khoản hiện có nhằm lợi dụng lòng tin và thao túng nạn nhân.
Các bot được hỗ trợ bởi AI có thể giúp cạo dữ liệu từ mạng xã hội để thu thập ảnh, thông tin tiểu sử và bài đăng nhằm tạo ra các tài khoản giả mạo thuyết phục. Khi kẻ lừa đảo xây dựng xong một hồ sơ giả, chúng sẽ gửi lời mời kết bạn đến danh bạ của nạn nhân, khiến họ nhầm tưởng đang tương tác với người quen.
Một tài khoản thật sẽ mở ra nhiều cánh cửa hơn cho việc sử dụng AI để thực hiện các cuộc lừa đảo nhắm mục tiêu hiệu quả và độc đáo hơn. Các bot hỗ trợ AI có thể xác định các mối quan hệ thân thiết, tiết lộ thông tin ẩn và phân tích các cuộc trò chuyện trước đây. Từ đó, các chatbot AI có thể tiếp quản và bắt đầu trò chuyện bằng cách bắt chước các kiểu nói chuyện, đồng thời đẩy mạnh các chiêu trò lừa đảo như gửi liên kết phishing, tạo tình huống khẩn cấp giả mạo, yêu cầu tài chính hoặc yêu cầu chia sẻ thông tin nhạy cảm.
Ví dụ, chắc hẳn bạn đã từng thấy tài khoản Facebook của một người bạn bị xâm nhập và được dùng để đăng các liên kết phishing lên tường. Đó chỉ là một phần của việc chiếm đoạt tài khoản. Sau khi bị xâm nhập, kẻ lừa đảo có thể sử dụng các công cụ AI để nhắn tin cho tất cả mọi người trong danh bạ của tài khoản bị chiếm đoạt, với hy vọng lừa được nhiều nạn nhân hơn.
Do những diễn biến này, nhiều dịch vụ web đang sử dụng các CAPTCHA phức tạp, khó giải quyết, yêu cầu xác thực hai yếu tố bắt buộc và các hệ thống theo dõi hành vi nhạy cảm hơn. Tuy nhiên, ngay cả với những lớp phòng thủ bổ sung này, con người vẫn luôn là mắt xích yếu nhất và là lỗ hổng lớn nhất.
Các loại hình lừa đảo sử dụng AI bạn cần biết
Tội phạm mạng sử dụng AI đa phương thức để tạo ra các bot hoặc mạo danh các cá nhân hoặc tổ chức có ảnh hưởng. Mặc dù nhiều hình thức lừa đảo được hỗ trợ bởi AI vẫn sử dụng các kỹ thuật kỹ thuật xã hội (social engineering) thông thường, nhưng việc ứng dụng AI đã nâng cao hiệu quả và khiến chúng khó bị phát hiện hơn rất nhiều.
Tấn công lừa đảo (Phishing) và lừa đảo qua tin nhắn (Smishing) dùng AI
Hình ảnh một người phụ nữ đang sử dụng máy tính xách tay với màn hình hiển thị email lừa đảo (phishing), thể hiện nguy cơ từ các cuộc tấn công lừa đảo nâng cấp bằng AI.
Các cuộc tấn công phishing (lừa đảo qua email) và smishing (lừa đảo qua tin nhắn) luôn là chiêu trò quen thuộc của kẻ lừa đảo. Những cuộc tấn công này hoạt động bằng cách giả mạo các công ty nổi tiếng, cơ quan chính phủ và dịch vụ trực tuyến để đánh cắp thông tin đăng nhập và truy cập vào tài khoản của bạn. Mặc dù phổ biến, nhưng các cuộc tấn công phishing và smishing thông thường có thể dễ dàng bị phát hiện. Kẻ lừa đảo thường phải chơi trò “số lượng” để có được kết quả mong muốn.
Ngược lại, các cuộc tấn công spear-phishing (lừa đảo có mục tiêu) hiệu quả hơn rất nhiều. Chúng đòi hỏi kẻ tấn công phải tiến hành nghiên cứu và trinh sát, tạo ra các email và tin nhắn được cá nhân hóa cao để lừa đảo. Tuy nhiên, các nỗ lực spear-phishing thường hiếm khi xuất hiện trong hộp thư đến của chúng ta vì chúng đòi hỏi nỗ lực đáng kể để thực hiện thành công.
Đây chính là lúc AI trở nên nguy hiểm. Với các chatbot AI và các công cụ AI khác, tội phạm mạng có thể tự động hóa các cuộc tấn công spear-phishing hàng loạt mà không tốn nhiều tài nguyên hoặc thời gian cho việc triển khai chiến dịch. Các video deepfake của những cá nhân quan trọng thậm chí có thể được sử dụng để bổ trợ cho cuộc tấn công và làm cho mồi nhử trở nên hiệu quả hơn. Trong một trường hợp, YouTube đã phải cảnh báo những người sáng tạo nội dung về các vụ lừa đảo phishing liên quan đến một video deepfake của CEO của họ, được thiết kế để lừa họ tiết lộ thông tin đăng nhập.
Lừa đảo tình cảm (Romance Scams) có AI hỗ trợ
Cặp đôi ẩn sau quả bóng bay hình trái tim với biển cảnh báo lừa đảo, minh họa cho sự nguy hiểm của các chiêu lừa đảo tình cảm được AI hỗ trợ.
Lừa đảo tình cảm thao túng cảm xúc để chiếm được lòng tin và tình cảm trước khi khai thác nạn nhân. Không giống như các vụ lừa đảo phishing thông thường, nơi kỹ thuật xã hội kết thúc khi bạn cung cấp thông tin đăng nhập, lừa đảo tình cảm đòi hỏi kẻ lừa đảo phải dành hàng tuần, hàng tháng, hoặc thậm chí hàng năm để xây dựng mối quan hệ—một chiến thuật được gọi là “pig butchering” (sát hại lợn). Do khoản đầu tư thời gian đáng kể này, tội phạm mạng chỉ có thể nhắm mục tiêu vào một vài người cùng lúc, khiến những vụ lừa đảo này thậm chí còn hiếm hơn các cuộc tấn công spear-phishing thủ công.
Tuy nhiên, ngày nay, kẻ lừa đảo có thể sử dụng chatbot AI để xử lý một số khía cạnh tốn thời gian nhất của lừa đảo tình cảm—trò chuyện, nhắn tin, gửi ảnh và video, và thậm chí cả các cuộc gọi điện thoại trực tiếp. Vì các nạn nhân thường dễ bị tổn thương về mặt cảm xúc, họ thậm chí có thể vô thức bỏ qua các cuộc trò chuyện do AI tạo ra, cho rằng chúng kỳ quặc hoặc thậm chí là quyến rũ.
Tờ The Scottish Sun đã đưa tin về một sự cố mà một nhà khoa học thần kinh đã mất hàng ngàn bảng Anh trong một vụ lừa đảo tình cảm được hỗ trợ bởi AI. Kẻ lừa đảo đã sử dụng các video và tin nhắn do AI tạo ra để thể hiện một cách thuyết phục mối quan tâm lãng mạn. Chúng đã bịa ra một câu chuyện phức tạp về việc làm việc trên một giàn khoan dầu ngoài khơi và sử dụng công nghệ deepfake để thuyết phục nạn nhân về tính hợp pháp của tất cả các tuyên bố của chúng. Việc sử dụng các công cụ AI này cảnh báo chúng ta về các chiến thuật đang phát triển mà kẻ lừa đảo sử dụng để khai thác nạn nhân.
Lừa đảo hỗ trợ khách hàng (Customer Support Scams) nâng cấp bằng AI
Robot đang thực hiện cuộc gọi tự động trong một trung tâm cuộc gọi lớn, minh họa cách AI tự động hóa các cuộc lừa đảo hỗ trợ khách hàng.
Lừa đảo hỗ trợ khách hàng khai thác lòng tin của mọi người vào các thương hiệu lớn bằng cách giả mạo bộ phận trợ giúp. Những vụ lừa đảo này hoạt động bằng cách gửi các cảnh báo, cửa sổ bật lên hoặc email giả mạo, tuyên bố rằng tài khoản của bạn đã bị khóa, cần xác minh hoặc có vấn đề bảo mật khẩn cấp. Theo truyền thống, kẻ lừa đảo phải tương tác thủ công với nạn nhân, nhưng các chatbot AI đã thay đổi điều đó.
Các vụ lừa đảo hỗ trợ khách hàng được hỗ trợ bởi AI hiện sử dụng chatbot để tự động hóa các cuộc hội thoại và làm cho chúng cảm thấy thuyết phục hơn. Với các công cụ tự động hóa như n8n, chatbot có thể phản hồi theo thời gian thực, bắt chước các nhân viên hỗ trợ chính thức và thậm chí tham khảo các cơ sở tri thức để trông có vẻ hợp pháp hơn. Chúng thường triển khai các chiến thuật phishing bằng cách sử dụng các trang web giả mạo để lừa nạn nhân nhập thông tin đăng nhập.
Lừa đảo hỗ trợ AI cũng có thể đi theo hướng ngược lại. Kẻ lừa đảo có thể sử dụng các tác nhân AI để liên hệ với các dịch vụ quan trọng như ngân hàng và các chương trình của chính phủ nhằm lấy dữ liệu của mục tiêu hoặc thậm chí đặt lại thông tin đăng nhập của họ.
Chiến dịch tin giả và bôi nhọ tự động bằng AI
Hacker hiện đang sử dụng các chatbot AI để lan truyền thông tin sai lệch ở một quy mô chưa từng có. Những bot này tạo và chia sẻ các câu chuyện sai lệch trên khắp mạng xã hội, nhắm mục tiêu vào các nguồn cấp tin tức, diễn đàn cộng đồng và phần bình luận bằng các bình luận giả mạo. Không giống như các chiến dịch thông tin sai lệch truyền thống yêu cầu nỗ lực thủ công, các tác nhân AI giờ đây có thể tự động hóa toàn bộ quá trình, khiến tin tức giả lan truyền nhanh hơn và thuyết phục hơn.
Bằng cách tự động hóa việc tạo tài khoản mạng xã hội thật, các bot có thể tạo và tương tác với các bài đăng để lan truyền thông tin sai lệch. Và với đủ số lượng bot này lưu hành trên internet, chúng có thể biến những người thiếu thông tin hoặc chưa quyết định đi theo câu chuyện của chúng.
Ngoài việc lừa dối đơn giản, hacker còn sử dụng các chiến dịch thông tin sai lệch của AI để điều hướng lưu lượng truy cập đến các trang web lừa đảo. Một số kết hợp tin giả với các ưu đãi gian lận, lừa nạn nhân nhấp vào các liên kết độc hại. Vì những bài đăng này thường lan truyền rộng rãi trước khi các đơn vị kiểm chứng thông tin có thể phản hồi, nhiều người đã vô tình lan truyền thông tin sai lệch đi xa hơn.
Làm thế nào để tự bảo vệ mình trước lừa đảo AI?
Một email lừa đảo hiển thị trong hộp thư đến Gmail, nhắc nhở người dùng cảnh giác với các thư điện tử đáng ngờ, đặc biệt khi hacker sử dụng AI.
Mặc dù hacker đang sử dụng AI trong mọi loại nhiệm vụ, nhưng chúng đã tìm thấy ứng dụng lớn nhất trong việc tăng cường các cuộc tấn công kỹ thuật xã hội. Vì vậy, để tự vệ trước hầu hết các vụ lừa đảo được hỗ trợ bởi AI, chúng ta phải nỗ lực hơn trong việc bảo mật quyền riêng tư và xác minh tính hợp pháp của tin nhắn, bài đăng và hồ sơ.
- Hạn chế chia sẻ thông tin cá nhân: Tránh bị nhắm mục tiêu ngay từ đầu. Hãy suy nghĩ kỹ trước khi chia sẻ thông tin chi tiết cá nhân trên mạng xã hội. Kẻ lừa đảo sử dụng thông tin này để tạo ra các cuộc tấn công có mục tiêu.
- Cảnh giác với các liên lạc không mong muốn: Nếu bạn nhận được một cuộc gọi, tin nhắn hoặc email đột ngột từ người mà bạn không quen biết, hãy xác minh lại với bạn bè, gia đình, đồng nghiệp hoặc bất kỳ ai trong mạng lưới của bạn trước khi phản hồi.
- Cẩn trọng với Deepfake: Các deepfake do AI tạo ra có thể bắt chước giọng nói và ngoại hình. Hãy cảnh giác với các cuộc gọi video và tin nhắn bất ngờ từ các tổ chức hoặc cá nhân có uy tín cao. Luôn kiểm tra các huy hiệu xác minh, số lượng người theo dõi/đăng ký và các tài khoản tương tác với bài đăng của họ.
- Suy nghĩ kỹ trước khi nhấp chuột: Các liên kết lừa đảo trông giống như bài đăng bình thường vẫn đang tràn lan trên mạng xã hội. Nút phát có trông phẳng hoặc đã qua chỉnh sửa không? Bài đăng có vẻ khó hiểu không? Nó có vẻ như một video nhưng đồng thời lại là một hình ảnh và một liên kết ngoài không? Tốt hơn hết là đừng tương tác với những loại bài đăng đó.
- Kiểm tra và xác minh tin tức: Dù bạn muốn tránh bị kẻ lừa đảo lừa dối hay muốn cập nhật thông tin, hãy luôn kiểm tra chéo thông tin từ nhiều nguồn. Ngoài ra, hãy kiểm tra các phần bình luận—các tài khoản bot thường có tên người dùng với sự kết hợp của các con số ở cuối để đảm bảo tính khả dụng của tên người dùng trong quá trình tạo.
Chatbot AI mang lại sự tiện lợi nhưng cũng trao quyền cho hacker với các công cụ lừa đảo tiên tiến. Tuy nhiên, hãy nhớ rằng, nhiều vụ lừa đảo có hỗ trợ AI vẫn tuân theo các mô hình tương tự như các vụ lừa đảo truyền thống. Chúng chỉ tinh vi hơn và phổ biến hơn. Bằng cách luôn cập nhật thông tin và xác minh mọi tương tác trực tuyến, bạn đang tự bảo vệ mình trước những mối đe dọa đang phát triển này.
