Trong bối cảnh công nghệ phát triển như vũ bão, trí tuệ nhân tạo (AI) đang trở thành một công cụ đắc lực, không chỉ giúp cuộc sống tiện nghi hơn mà còn bị tội phạm mạng lợi dụng để thực hiện các cuộc tấn công lừa đảo bằng AI một cách hiệu quả và với chi phí thấp hơn bao giờ hết. Ngay cả khi bạn tự tin vào khả năng phát hiện các hành vi độc hại, đây vẫn là thời điểm vàng để cập nhật kiến thức về những chiến thuật mới nhất mà hacker đang sử dụng để khai thác và trục lợi từ người dùng. Bài viết này của Thuthuathuuich.com sẽ cung cấp cho bạn cái nhìn toàn diện về các mối đe dọa này và những biện pháp phòng vệ cần thiết để bảo vệ bản thân và dữ liệu cá nhân của bạn trên không gian mạng.
Hacker Sử Dụng AI Để Chọn Mục Tiêu Như Thế Nào?
Hacker thường dựa vào các hồ sơ mạng xã hội bị đánh cắp hoặc giả mạo để lừa đảo người dùng. Để chiếm đoạt danh tính trực tuyến, họ tạo ra các hồ sơ giả mạo giống hệt người dùng thật hoặc chiếm quyền kiểm soát các tài khoản đã có, từ đó lợi dụng lòng tin và thao túng nạn nhân.
Một người dùng chỉ vào logo Google Chrome trên màn hình, tượng trưng cho việc hacker thu thập dữ liệu từ các nền tảng trực tuyến bằng AI.
Các bot được hỗ trợ bởi AI có thể giúp thu thập dữ liệu từ mạng xã hội như ảnh, tiểu sử và bài đăng để tạo ra các tài khoản nhân bản đáng tin cậy. Khi một kẻ lừa đảo xây dựng được hồ sơ giả mạo, chúng sẽ gửi yêu cầu kết bạn đến danh bạ của nạn nhân, lừa họ nghĩ rằng đang tương tác với người quen.
Một tài khoản thật bị chiếm đoạt sẽ mở ra nhiều cánh cửa hơn cho việc sử dụng AI để thực hiện các vụ lừa đảo độc đáo, có mục tiêu rõ ràng và hiệu quả hơn. Các bot AI có thể xác định các mối quan hệ thân thiết, tiết lộ thông tin ẩn và phân tích các cuộc trò chuyện trước đây. Từ đó, các chatbot AI có thể tiếp quản và bắt đầu trò chuyện với nạn nhân bằng cách bắt chước giọng điệu, đồng thời thúc đẩy các chiêu trò lừa đảo như gửi liên kết phishing, tạo ra các tình huống khẩn cấp giả mạo, yêu cầu tài chính hoặc thông tin nhạy cảm.
Chắc hẳn bạn đã từng thấy tài khoản Facebook của một người bạn bị xâm nhập và dùng để đăng các liên kết phishing lên bảng tin của họ. Đó chỉ là một phần của việc chiếm đoạt tài khoản. Một khi tài khoản bị xâm nhập, kẻ lừa đảo có thể sử dụng các công cụ AI để gửi tin nhắn cho mọi người trong danh bạ của tài khoản bị lừa đảo, hy vọng sẽ lôi kéo được nhiều nạn nhân hơn.
Do những diễn biến này, nhiều dịch vụ web hiện đang sử dụng các CAPTCHA phức tạp, khó giải, xác thực hai yếu tố bắt buộc và các hệ thống theo dõi hành vi nhạy cảm hơn. Tuy nhiên, ngay cả với những biện pháp phòng thủ bổ sung này, con người luôn là lỗ hổng lớn nhất.
Các Chiêu Trò Lừa Đảo Được Hỗ Trợ Bởi AI Phổ Biến Hiện Nay
Tội phạm mạng sử dụng AI đa phương thức để tạo bot hoặc mạo danh các cá nhân hoặc nhóm có ảnh hưởng lớn. Mặc dù nhiều vụ lừa đảo được hỗ trợ bởi AI sử dụng các kỹ thuật tấn công phi kỹ thuật (social engineering) thông thường, việc áp dụng AI đã nâng cao hiệu quả và khiến chúng khó bị phát hiện hơn.
Tấn Công Lừa Đảo (Phishing) và Lừa Đảo SMS (Smishing) Nâng Cao Bằng AI
Người phụ nữ đang sử dụng máy tính xách tay hiển thị một email lừa đảo (phishing) trên màn hình, minh họa các cuộc tấn công email tinh vi nhờ AI.
Các cuộc tấn công phishing (qua email) và smishing (qua SMS) từ lâu đã là vũ khí chính của kẻ lừa đảo. Những cuộc tấn công này hoạt động bằng cách mạo danh các công ty nổi tiếng, cơ quan chính phủ và dịch vụ trực tuyến để đánh cắp thông tin đăng nhập và truy cập tài khoản của bạn. Mặc dù phổ biến, các cuộc tấn công này thường dễ bị phát hiện bởi chúng thường được phát tán hàng loạt.
Ngược lại, các cuộc tấn công spear-phishing (lừa đảo có mục tiêu) hiệu quả hơn nhiều. Chúng đòi hỏi kẻ tấn công phải tiến hành nghiên cứu và do thám kỹ lưỡng, tạo ra các email và tin nhắn được cá nhân hóa cao để lừa đảo mục tiêu. Tuy nhiên, các nỗ lực spear-phishing ít xuất hiện trong hộp thư đến của chúng ta vì chúng đòi hỏi nỗ lực đáng kể để thực hiện thành công.
Đây chính là lúc AI trở nên nguy hiểm. Với các chatbot AI và các công cụ AI khác, tội phạm mạng có thể tự động hóa các cuộc tấn công spear-phishing hàng loạt mà không tốn nhiều tài nguyên hay thời gian để triển khai. Các video deepfake của các cá nhân quan trọng thậm chí có thể được sử dụng để bổ trợ cuộc tấn công và làm cho “mồi nhử” trở nên hiệu quả hơn. Trong một trường hợp, YouTube đã phải cảnh báo người sáng tạo về các vụ lừa đảo phishing liên quan đến một video deepfake của CEO của họ, được thiết kế để lừa họ tiết lộ thông tin đăng nhập.
Lừa Đảo Tình Cảm (Romance Scams) Tinh Vi Hơn Nhờ AI
Hình ảnh ẩn dụ về một cặp đôi phía sau bong bóng hình trái tim với biển báo "Scam Alert", cảnh báo nguy cơ lừa đảo tình cảm được hỗ trợ bởi AI.
Lừa đảo tình cảm thao túng cảm xúc để có được lòng tin và tình cảm trước khi khai thác nạn nhân. Không giống như các vụ lừa đảo phishing thông thường, nơi việc tấn công phi kỹ thuật kết thúc khi bạn cung cấp thông tin đăng nhập, lừa đảo tình cảm yêu cầu kẻ lừa đảo dành hàng tuần, hàng tháng, hoặc thậm chí hàng năm để xây dựng mối quan hệ – một chiến thuật được gọi là “pig butchering” (giết mổ lợn). Do sự đầu tư thời gian đáng kể này, tội phạm mạng chỉ có thể nhắm mục tiêu vào một vài người cùng lúc, khiến những vụ lừa đảo này thậm chí còn hiếm hơn các cuộc tấn công spear-phishing thủ công.
Tuy nhiên, ngày nay, kẻ lừa đảo có thể sử dụng chatbot AI để xử lý một số khía cạnh tốn thời gian nhất của lừa đảo tình cảm – trò chuyện, nhắn tin, gửi ảnh và video, và thậm chí thực hiện cuộc gọi trực tiếp. Vì các mục tiêu thường dễ bị tổn thương về mặt cảm xúc, họ thậm chí có thể vô thức bỏ qua những cuộc trò chuyện do AI tạo ra như những điều kỳ lạ hoặc thậm chí là quyến rũ.
Tờ The Scottish Sun đã đưa tin về một sự cố khi một nhà thần kinh học mất hàng ngàn bảng Anh vì một vụ lừa đảo tình cảm được hỗ trợ bởi AI. Kẻ lừa đảo đã sử dụng các video và tin nhắn do AI tạo ra để thể hiện một cách thuyết phục một mối quan tâm lãng mạn. Chúng đã dựng lên một câu chuyện phức tạp về việc làm việc trên một giàn khoan dầu ngoài khơi và sử dụng công nghệ deepfake để thuyết phục nạn nhân về tính hợp pháp của tất cả các tuyên bố của chúng. Việc sử dụng các công cụ AI này cảnh báo chúng ta về các chiến thuật ngày càng tinh vi mà kẻ lừa đảo đang sử dụng để khai thác nạn nhân.
Lừa Đảo Hỗ Trợ Khách Hàng (Customer Support Scams) Có AI
Một robot đang thực hiện các cuộc gọi tự động trong trung tâm tổng đài lớn, minh họa cách AI được dùng để tự động hóa lừa đảo hỗ trợ khách hàng và các cuộc gọi spam.
Các vụ lừa đảo hỗ trợ khách hàng lợi dụng lòng tin của mọi người vào các thương hiệu lớn bằng cách mạo danh các bàn trợ giúp. Những vụ lừa đảo này hoạt động bằng cách gửi các cảnh báo, pop-up hoặc email giả mạo, tuyên bố rằng tài khoản của bạn đã bị khóa, cần xác minh hoặc có vấn đề bảo mật khẩn cấp. Theo truyền thống, kẻ lừa đảo phải tương tác thủ công với nạn nhân, nhưng các chatbot AI đã thay đổi điều đó.
Các vụ lừa đảo hỗ trợ khách hàng được hỗ trợ bởi AI giờ đây sử dụng chatbot để tự động hóa các cuộc trò chuyện và làm cho chúng trở nên thuyết phục hơn. Với các công cụ tự động hóa như n8n, chatbot có thể phản hồi theo thời gian thực, bắt chước các nhân viên hỗ trợ chính thức và thậm chí tham khảo các cơ sở kiến thức giả mạo để xuất hiện hợp pháp hơn. Chúng thường triển khai các chiến thuật phishing bằng cách sử dụng các trang web nhân bản để lừa nạn nhân nhập thông tin đăng nhập của họ.
Các vụ lừa đảo hỗ trợ AI cũng có thể đi theo hướng ngược lại. Kẻ lừa đảo có thể sử dụng các tác nhân AI để liên hệ với các dịch vụ quan trọng như ngân hàng và chương trình chính phủ để lấy dữ liệu của mục tiêu hoặc thậm chí đặt lại thông tin đăng nhập của họ.
Lan Truyền Thông Tin Sai Lệch và Chiến Dịch Bôi Nhọ Tự Động Bằng AI
Hacker hiện đang sử dụng các chatbot AI để lan truyền thông tin sai lệch ở một quy mô chưa từng có. Những bot này tạo và chia sẻ các câu chuyện giả mạo trên mạng xã hội, nhắm mục tiêu vào bảng tin, diễn đàn cộng đồng và phần bình luận với các bình luận bịa đặt. Không giống như các chiến dịch thông tin sai lệch truyền thống yêu cầu nỗ lực thủ công, các tác nhân AI giờ đây có thể tự động hóa toàn bộ quá trình, khiến tin tức giả mạo lan truyền nhanh hơn và thuyết phục hơn.
Bằng cách tự động tạo tài khoản mạng xã hội thật, bot có thể tạo và tương tác với các bài đăng để lan truyền thông tin sai lệch. Và với đủ số lượng bot này lưu hành trên internet, chúng có thể khiến những người không có thông tin hoặc do dự nghiêng về phía câu chuyện của chúng.
Ngoài việc lừa dối đơn thuần, hacker còn sử dụng các chiến dịch thông tin sai lệch AI để điều hướng lưu lượng truy cập đến các trang web lừa đảo. Một số kết hợp tin tức giả mạo với các ưu đãi gian lận, lừa nạn nhân nhấp vào các liên kết độc hại. Bởi vì những bài đăng này thường lan truyền nhanh chóng trước khi các nhà kiểm chứng thông tin có thể phản hồi, nhiều người vô tình tiếp tục lan truyền thông tin sai lệch.
Bạn Cần Làm Gì Để Tự Bảo Vệ Bản Thân Khỏi Lừa Đảo Bằng AI?
Một email lừa đảo giả mạo Gmail trong hộp thư đến, là ví dụ về các cuộc tấn công lừa đảo phổ biến và cần kiểm tra kỹ lưỡng.
Mặc dù hacker đang sử dụng AI trong mọi loại nhiệm vụ, nhưng họ đã tìm thấy nhiều công dụng nhất trong việc tăng cường các cuộc tấn công phi kỹ thuật. Vì vậy, để tự vệ trước hầu hết các vụ lừa đảo được hỗ trợ bởi AI, chúng ta phải nỗ lực nhiều hơn trong việc bảo mật quyền riêng tư của mình và xác minh tính hợp pháp của tin nhắn, bài đăng và hồ sơ.
- Hạn Chế Chia Sẻ Thông Tin Cá Nhân: Tránh trở thành mục tiêu ngay từ đầu. Hãy suy nghĩ kỹ trước khi chia sẻ thông tin cá nhân trên mạng xã hội. Kẻ lừa đảo sử dụng thông tin này để tạo ra các cuộc tấn công có mục tiêu.
- Cảnh Giác Với Các Liên Lạc Không Mong Muốn: Nếu bạn nhận được một cuộc gọi, tin nhắn hoặc email đột ngột từ người mà bạn không quen biết, hãy xác minh với bạn bè, gia đình, đồng nghiệp hoặc bất kỳ ai trong mạng lưới của bạn trước khi phản hồi.
- Cẩn Trọng Với Deepfake: Các deepfake do AI tạo ra có thể bắt chước giọng nói và ngoại hình. Hãy thận trọng với các cuộc gọi video và tin nhắn bất ngờ từ các thực thể nổi tiếng. Luôn kiểm tra huy hiệu xác minh, số lượng người theo dõi/đăng ký và các tài khoản tương tác với bài đăng của họ.
- Suy Nghĩ Kỹ Trước Khi Nhấp Chuột (Think Before You Click): Các liên kết phishing trông giống như bài đăng bình thường vẫn còn tràn lan trên mạng xã hội. Nút phát video có vẻ phẳng hoặc đã được chỉnh sửa không? Bài đăng có vẻ khó hiểu không? Nó được cho là một video nhưng lại là một hình ảnh và liên kết bên ngoài cùng lúc? Tốt hơn hết là không nên tương tác với những loại bài đăng đó.
- Kiểm Tra và Xác Minh Nguồn Tin Tức: Dù bạn muốn tránh bị kẻ lừa đảo lừa dối hay muốn cập nhật thông tin, hãy luôn kiểm tra chéo thông tin từ nhiều nguồn. Ngoài ra, hãy kiểm tra phần bình luận — các tài khoản bot thường có tên người dùng kết hợp với các con số ở cuối để đảm bảo tên người dùng khả dụng trong quá trình tạo.
Chatbot AI mang lại sự tiện lợi nhưng cũng trao quyền cho hacker với các công cụ lừa đảo tiên tiến. Nhưng hãy nhớ, nhiều vụ lừa đảo được hỗ trợ bởi AI vẫn tuân theo các mô hình tương tự như các vụ lừa đảo truyền thống. Chúng chỉ khó phát hiện hơn và phổ biến rộng rãi hơn. Bằng cách cập nhật thông tin và xác minh tất cả các tương tác trực tuyến, bạn sẽ tự bảo vệ mình trước những mối đe dọa đang phát triển này.
