Trong bối cảnh công nghệ phát triển vượt bậc, trí tuệ nhân tạo (AI) đang trở thành một công cụ hai lưỡi. Một mặt, AI mang lại vô vàn lợi ích cho cuộc sống và công việc; mặt khác, nó đang bị các hacker lợi dụng để triển khai những cuộc tấn công mạng ngày càng tinh vi và hiệu quả. Nếu bạn tự tin vào khả năng nhận diện các chiêu trò lừa đảo, đây chính là thời điểm vàng để cập nhật kiến thức về những mánh khóe mới nhất mà tội phạm mạng đang sử dụng để khai thác người dùng, đặc biệt là với sự hỗ trợ đắc lực từ AI.
Hacker Đã Lợi Dụng AI Để Chọn Mục Tiêu Như Thế Nào?
Hacker thường dựa vào các hồ sơ mạng xã hội bị đánh cắp hoặc giả mạo để lừa đảo người dùng. Để chiếm đoạt danh tính trực tuyến, chúng thường tạo ra các tài khoản giả mạo tinh vi mô phỏng người dùng thật hoặc chiếm quyền kiểm soát các tài khoản hiện có để lợi dụng lòng tin và thao túng nạn nhân.
Người dùng chỉ vào biểu tượng Google Chrome, minh họa việc hacker lợi dụng trình duyệt web và mạng xã hội để thu thập thông tin cá nhân bằng AI
Các bot được hỗ trợ bởi AI có khả năng thu thập dữ liệu từ mạng xã hội, bao gồm ảnh, thông tin tiểu sử và các bài đăng, để tạo ra những tài khoản giả mạo trông cực kỳ thuyết phục. Một khi tài khoản giả được tạo, kẻ lừa đảo sẽ gửi lời mời kết bạn đến danh bạ của nạn nhân, khiến họ lầm tưởng rằng mình đang tương tác với người quen.
Một tài khoản thật, bị chiếm đoạt, sẽ mở ra nhiều cánh cửa hơn cho việc sử dụng AI để thực hiện các cuộc lừa đảo độc đáo, có mục tiêu rõ ràng và hiệu quả hơn. Các bot AI có thể nhận diện các mối quan hệ thân thiết, tiết lộ thông tin ẩn và phân tích các cuộc trò chuyện trước đây. Từ đó, các chatbot AI có thể tiếp quản và bắt đầu trò chuyện với nạn nhân bằng cách bắt chước giọng điệu, thói quen ngôn ngữ, đồng thời đẩy các chiêu trò lừa đảo như liên kết phishing, các tình huống khẩn cấp giả mạo, yêu cầu tài chính hoặc yêu cầu chia sẻ thông tin nhạy cảm.
Chắc hẳn bạn đã từng chứng kiến tài khoản Facebook của một người bạn bị xâm nhập và được dùng để đăng các liên kết phishing lên dòng thời gian. Đó chỉ là một phần của quá trình chiếm đoạt tài khoản. Khi đã chiếm được quyền kiểm soát, kẻ lừa đảo có thể sử dụng các công cụ AI để gửi tin nhắn cho tất cả danh bạ của tài khoản đó, với hy vọng gài bẫy thêm nhiều nạn nhân.
Do những diễn biến này, nhiều dịch vụ web hiện sử dụng các mã CAPTCHA phức tạp và khó giải, bắt buộc xác thực hai yếu tố (2FA) và hệ thống theo dõi hành vi nhạy cảm hơn. Tuy nhiên, ngay cả với những lớp phòng thủ bổ sung này, con người vẫn luôn là mắt xích yếu nhất và dễ bị tổn thương nhất.
Các Loại Hình Lừa Đảo Tăng Cường Bởi AI Bạn Cần Biết
Tội phạm mạng đang sử dụng AI đa phương thức để tạo ra các bot hoặc mạo danh những cá nhân hay tổ chức có ảnh hưởng lớn. Mặc dù nhiều hình thức lừa đảo được AI hỗ trợ vẫn sử dụng các kỹ thuật tấn công phi kỹ thuật (social engineering) thông thường, việc áp dụng AI đã nâng cao đáng kể hiệu quả và khiến chúng khó bị phát hiện hơn.
Tấn Công Phishing và Smishing Với AI
Người phụ nữ đang sử dụng laptop với email lừa đảo phishing hiển thị trên màn hình, cho thấy nguy cơ tấn công lừa đảo trực tuyến
Các cuộc tấn công phishing (qua email) và smishing (qua tin nhắn SMS) luôn là chiêu trò quen thuộc của kẻ lừa đảo. Những cuộc tấn công này hoạt động bằng cách mạo danh các công ty nổi tiếng, cơ quan chính phủ và dịch vụ trực tuyến để đánh cắp thông tin đăng nhập và truy cập vào tài khoản của bạn. Mặc dù phổ biến, các cuộc tấn công phishing và smishing thường khá dễ nhận biết. Kẻ lừa đảo thường phải áp dụng chiến lược số lượng lớn để thu được bất kỳ kết quả có lợi nào.
Ngược lại, các cuộc tấn công spear-phishing (phishing có mục tiêu) hiệu quả hơn rất nhiều. Chúng đòi hỏi kẻ tấn công phải tiến hành nghiên cứu và do thám kỹ lưỡng, từ đó tạo ra những email và tin nhắn được cá nhân hóa cao để lừa đảo mục tiêu. Tuy nhiên, các nỗ lực spear-phishing thường hiếm khi xuất hiện trong hộp thư đến của chúng ta vì chúng đòi hỏi nỗ lực đáng kể để thực hiện thành công.
Đây là lúc AI trở nên nguy hiểm. Với các chatbot AI và các công cụ AI khác, tội phạm mạng có thể tự động hóa các cuộc tấn công spear-phishing hàng loạt mà không tốn nhiều tài nguyên hoặc thời gian cho việc triển khai chiến dịch. Các video deepfake của những cá nhân quan trọng thậm chí có thể được sử dụng để bổ trợ cho cuộc tấn công và làm cho mồi nhử hiệu quả hơn. Điển hình, YouTube đã phải cảnh báo những nhà sáng tạo nội dung về các vụ lừa đảo phishing liên quan đến một video deepfake CEO của họ, được thiết kế để lừa họ tiết lộ thông tin đăng nhập.
Lừa Đảo Tình Cảm (Romance Scams) Dùng AI
Một cặp đôi ẩn sau quả bóng bay có chữ "Scam Alert", tượng trưng cho các mối nguy hiểm của lừa đảo tình cảm trực tuyến được AI tăng cường
Lừa đảo tình cảm thao túng cảm xúc để chiếm được lòng tin và tình cảm trước khi khai thác nạn nhân. Không giống như các vụ lừa đảo phishing thông thường, nơi mà kỹ thuật tấn công phi kỹ thuật kết thúc khi bạn giao nộp thông tin đăng nhập, lừa đảo tình cảm đòi hỏi kẻ lừa đảo phải dành hàng tuần, hàng tháng, hoặc thậm chí hàng năm để xây dựng mối quan hệ—một chiến thuật được gọi là “pig butchering” (lò mổ lợn). Do sự đầu tư thời gian đáng kể này, tội phạm mạng chỉ có thể nhắm mục tiêu vào một vài người cùng lúc, khiến những vụ lừa đảo này thậm chí còn hiếm hơn cả các cuộc tấn công spear-phishing thủ công.
Tuy nhiên, ngày nay, kẻ lừa đảo có thể sử dụng các chatbot AI để xử lý một số khía cạnh tốn thời gian nhất của lừa đảo tình cảm—trò chuyện, nhắn tin, gửi ảnh và video, và thậm chí thực hiện các cuộc gọi trực tiếp. Vì các mục tiêu thường dễ bị tổn thương về mặt cảm xúc, họ thậm chí có thể vô thức bỏ qua những cuộc trò chuyện do AI tạo ra, cho rằng chúng “quái lạ” hoặc thậm chí “duyên dáng”.
Tờ The Scottish Sun đã đưa tin về một sự việc khi một nhà thần kinh học mất hàng ngàn bảng Anh vì một vụ lừa đảo tình cảm được hỗ trợ bởi AI. Kẻ lừa đảo đã sử dụng các video và tin nhắn do AI tạo ra để mô tả một cách thuyết phục một người tình ảo. Chúng đã bịa ra một câu chuyện phức tạp về việc làm việc trên giàn khoan dầu ngoài khơi và sử dụng công nghệ deepfake để thuyết phục nạn nhân về tính hợp pháp của tất cả các tuyên bố của mình. Việc sử dụng các công cụ AI này cảnh báo chúng ta về những chiến thuật lừa đảo đang phát triển mà kẻ gian sử dụng để khai thác nạn nhân.
Lừa Đảo Hỗ Trợ Khách Hàng Có AI Tham Gia
Hình ảnh robot trong trung tâm cuộc gọi lớn đang thực hiện các cuộc gọi tự động, minh họa việc AI được dùng trong lừa đảo hỗ trợ khách hàng
Lừa đảo hỗ trợ khách hàng lợi dụng lòng tin của mọi người vào các thương hiệu lớn bằng cách giả mạo bộ phận hỗ trợ. Các vụ lừa đảo này hoạt động bằng cách gửi các cảnh báo, cửa sổ bật lên hoặc email giả mạo, tuyên bố rằng tài khoản của bạn đã bị khóa, cần xác minh hoặc có vấn đề bảo mật khẩn cấp. Theo truyền thống, kẻ lừa đảo phải tương tác với nạn nhân theo cách thủ công, nhưng chatbot AI đã thay đổi điều đó.
Các vụ lừa đảo hỗ trợ khách hàng được hỗ trợ bởi AI hiện sử dụng chatbot để tự động hóa các cuộc hội thoại và làm cho chúng trở nên thuyết phục hơn. Với các công cụ tự động hóa như n8n, chatbot có thể phản hồi theo thời gian thực, bắt chước các nhân viên hỗ trợ chính thức và thậm chí tham khảo cơ sở dữ liệu kiến thức để xuất hiện hợp pháp hơn. Chúng thường triển khai các chiến thuật phishing bằng cách sử dụng các trang web giả mạo để lừa nạn nhân nhập thông tin đăng nhập của họ.
Các vụ lừa đảo hỗ trợ AI cũng có thể đi theo hướng ngược lại. Kẻ lừa đảo có thể sử dụng các tác nhân AI để liên hệ với các dịch vụ quan trọng như ngân hàng và chương trình chính phủ để lấy dữ liệu của mục tiêu hoặc thậm chí đặt lại thông tin đăng nhập của họ.
Chiến Dịch Thông Tin Sai Lệch và Bôi Nhọ Tự Động Bằng AI
Hacker hiện đang sử dụng các chatbot AI để lan truyền thông tin sai lệch ở quy mô chưa từng có. Những bot này tạo và chia sẻ các câu chuyện giả mạo trên mạng xã hội, nhắm mục tiêu vào các nguồn cấp tin tức, diễn đàn cộng đồng và phần bình luận với những nhận xét bịa đặt. Không giống như các chiến dịch thông tin sai lệch truyền thống đòi hỏi nỗ lực thủ công, các tác nhân AI giờ đây có thể tự động hóa toàn bộ quá trình, làm cho tin giả lan truyền nhanh hơn và thuyết phục hơn.
Bằng cách tự động hóa việc tạo tài khoản mạng xã hội thật, các bot có thể tạo và tương tác với các bài đăng để lan truyền thông tin sai lệch. Và với đủ số lượng bot này lưu hành trên internet, chúng có thể khiến những người không có thông tin hoặc chưa quyết định đứng về phía câu chuyện của chúng.
Ngoài việc lừa dối đơn giản, hacker còn sử dụng các chiến dịch thông tin sai lệch AI để điều hướng lưu lượng truy cập đến các trang web lừa đảo. Một số kết hợp tin giả với các ưu đãi gian lận, lừa nạn nhân nhấp vào các liên kết độc hại. Bởi vì những bài đăng này thường trở nên lan truyền trước khi các nhà kiểm tra thực tế có thể phản hồi, nhiều người vô tình lan truyền thông tin sai lệch xa hơn.
Bạn Có Thể Làm Gì Để Tự Bảo Vệ Mình?
Hộp thư đến Gmail hiển thị email lừa đảo, nhấn mạnh tầm quan trọng của việc cảnh giác với các thư điện tử giả mạo
Mặc dù hacker đang sử dụng AI trong mọi loại tác vụ, nhưng chúng đã tìm thấy ứng dụng hữu ích nhất trong việc tăng cường các cuộc tấn công phi kỹ thuật. Vì vậy, để tự vệ trước hầu hết các vụ lừa đảo được AI hỗ trợ, chúng ta phải nỗ lực nhiều hơn trong việc bảo mật quyền riêng tư và xác minh tính hợp pháp của các tin nhắn, bài đăng và hồ sơ trực tuyến.
- Hạn chế chia sẻ thông tin cá nhân: Tránh trở thành mục tiêu ngay từ đầu. Hãy suy nghĩ kỹ trước khi chia sẻ thông tin cá nhân trên mạng xã hội. Kẻ lừa đảo sử dụng thông tin này để tạo ra các cuộc tấn công có mục tiêu.
- Cảnh giác với các thông tin liên lạc không mong muốn: Nếu bạn nhận được một cuộc gọi, tin nhắn hoặc email bất ngờ từ người mà bạn không quen biết, hãy xác minh lại với bạn bè, gia đình, đồng nghiệp hoặc bất kỳ ai trong mạng lưới của bạn trước khi phản hồi.
- Coi chừng Deepfake: Các deepfake do AI tạo ra có thể bắt chước giọng nói và ngoại hình. Hãy cẩn trọng với các cuộc gọi video và tin nhắn bất ngờ từ các tổ chức hoặc cá nhân có uy tín. Luôn kiểm tra các huy hiệu xác minh, số lượng người theo dõi/đăng ký và các tài khoản tương tác với bài đăng của họ.
- Suy nghĩ trước khi nhấp chuột: Các liên kết phishing trông giống như bài đăng bình thường vẫn đang tràn lan trên mạng xã hội. Nút phát video có vẻ phẳng hoặc đã được chỉnh sửa không? Bài đăng có vẻ khó hiểu? Nó được cho là một video nhưng đồng thời lại là một hình ảnh và một liên kết bên ngoài? Tốt nhất là không nên tương tác với những loại bài đăng đó.
- Kiểm tra và xác minh tin tức: Dù bạn muốn tránh bị kẻ lừa đảo lừa dối hay chỉ muốn cập nhật thông tin, hãy luôn kiểm tra chéo thông tin từ nhiều nguồn. Ngoài ra, hãy kiểm tra phần bình luận—các tài khoản bot thường có tên người dùng kết hợp với các con số ở cuối để đảm bảo tên người dùng khả dụng trong quá trình tạo.
Chatbot AI mang lại sự tiện lợi nhưng đồng thời cũng trang bị cho hacker những công cụ lừa đảo tiên tiến. Tuy nhiên, hãy nhớ rằng nhiều vụ lừa đảo có sự hỗ trợ của AI vẫn tuân theo các mô hình tương tự như các vụ lừa đảo truyền thống. Chúng chỉ khó phát hiện hơn và phổ biến hơn mà thôi. Bằng cách luôn cập nhật thông tin và xác minh tất cả các tương tác trực tuyến, bạn đang tự bảo vệ mình trước những mối đe dọa đang ngày càng phát triển này. Hãy chia sẻ kinh nghiệm và ý kiến của bạn về chủ đề này để chúng ta cùng nhau nâng cao cảnh giác trong thế giới số!
