Trí tuệ nhân tạo (AI) đang thay đổi nhiều mặt của cuộc sống, nhưng không may, nó cũng trở thành công cụ đắc lực cho tin tặc. Ngày nay, những kẻ lừa đảo đang tận dụng AI để thực hiện các cuộc tấn công tinh vi hơn, hiệu quả hơn và với chi phí thấp hơn bao giờ hết. Nếu bạn tự tin vào khả năng phát hiện các hành vi lừa đảo trực tuyến của mình, đây chính là thời điểm vàng để cập nhật những chiến thuật mới nhất mà chúng sử dụng để khai thác người dùng. Việc trang bị kiến thức về các phương thức lừa đảo dựa trên AI không chỉ giúp bạn bảo vệ bản thân mà còn góp phần nâng cao ý thức cộng đồng trước những mối đe dọa số ngày càng phức tạp này. Bài viết này sẽ đi sâu vào cách tin tặc sử dụng AI, những loại hình lừa đảo phổ biến và quan trọng nhất, là các biện pháp bạn có thể thực hiện để tự bảo vệ mình.
AI Hoạt Động Như Thế Nào Để Chọn Lọc Mục Tiêu Của Tin Tặc?
Tin tặc thường dựa vào các hồ sơ mạng xã hội bị đánh cắp hoặc giả mạo để lừa đảo người dùng. Để chiếm đoạt danh tính trực tuyến, chúng thường tạo ra các hồ sơ giả mạo bắt chước người dùng thật hoặc chiếm quyền kiểm soát các tài khoản hiện có nhằm lợi dụng lòng tin và thao túng nạn nhân. Điều đáng nói, AI đã nâng tầm chiến lược này lên một cấp độ mới.
Người dùng chỉ vào logo Google Chrome, biểu tượng cho việc duyệt web và các nguy cơ lừa đảo AI.
Các bot được hỗ trợ bởi AI có thể quét các nền tảng mạng xã hội để thu thập ảnh, tiểu sử và bài đăng nhằm tạo ra các tài khoản “nhân bản” trông cực kỳ thuyết phục. Một khi tài khoản giả mạo được tạo, kẻ lừa đảo sẽ gửi lời mời kết bạn đến danh bạ của nạn nhân, khiến họ lầm tưởng đang tương tác với người quen.
Một tài khoản thật, khi bị chiếm đoạt, sẽ mở ra nhiều cánh cửa hơn cho tin tặc để sử dụng AI cho các cuộc lừa đảo có mục tiêu, hiệu quả và độc đáo hơn. Các bot AI có thể xác định các mối quan hệ thân thiết, tiết lộ thông tin ẩn và phân tích các cuộc trò chuyện trước đây. Từ đó, chatbot AI có thể tiếp quản và bắt đầu trò chuyện với nạn nhân, bắt chước phong cách nói chuyện của họ và thúc đẩy các chiêu trò như gửi liên kết lừa đảo (phishing), tạo ra các tình huống khẩn cấp giả mạo, yêu cầu tài chính, hoặc kêu gọi chia sẻ thông tin nhạy cảm.
Chẳng hạn, bạn chắc hẳn đã từng thấy tài khoản Facebook của một người bạn bị xâm nhập và dùng để đăng các liên kết lừa đảo lên bảng tin của họ. Đó chỉ là một phần của việc chiếm đoạt tài khoản. Một khi tài khoản bị xâm phạm, kẻ lừa đảo có thể sử dụng các công cụ AI để gửi tin nhắn cho tất cả danh bạ của tài khoản đó, hy vọng “giăng bẫy” thêm nhiều nạn nhân.
Trước những diễn biến này, nhiều dịch vụ web đã phải sử dụng các CAPTCHA phức tạp hơn, yêu cầu xác thực hai yếu tố bắt buộc (2FA), và các hệ thống theo dõi hành vi nhạy cảm hơn. Tuy nhiên, ngay cả với những lớp phòng thủ bổ sung này, con người vẫn luôn là mắt xích yếu nhất và dễ bị tổn thương nhất.
Các Kiểu Lừa Đảo Phổ Biến Được Hỗ Trợ Bởi Trí Tuệ Nhân Tạo
Tội phạm mạng đang sử dụng AI đa phương thức để tạo ra các bot hoặc mạo danh các cá nhân, tổ chức có uy tín. Mặc dù nhiều hình thức lừa đảo được hỗ trợ bởi AI vẫn sử dụng các kỹ thuật kỹ thuật xã hội (social engineering) thông thường, nhưng việc ứng dụng AI đã nâng cao hiệu quả và khiến chúng khó bị phát hiện hơn rất nhiều.
Tấn Công Lừa Đảo (Phishing) và Lừa Đảo Qua Tin Nhắn (Smishing) Nâng Cao Bằng AI
Các cuộc tấn công lừa đảo (phishing) và lừa đảo qua tin nhắn (smishing) luôn là chiêu trò quen thuộc của kẻ gian. Những cuộc tấn công này hoạt động bằng cách mạo danh các công ty nổi tiếng, cơ quan chính phủ và dịch vụ trực tuyến để đánh cắp thông tin đăng nhập và truy cập vào tài khoản của bạn. Mặc dù phổ biến, nhưng các cuộc tấn công phishing và smishing thông thường thường dễ bị phát hiện. Kẻ lừa đảo thường phải dựa vào số lượng lớn để hy vọng thu được kết quả.
Phụ nữ đang kiểm tra email lừa đảo (phishing) trên laptop, cảnh báo về tấn công mạng bằng AI.
Ngược lại, các cuộc tấn công spear-phishing (lừa đảo có mục tiêu) hiệu quả hơn rất nhiều. Những cuộc tấn công này đòi hỏi kẻ tấn công phải tiến hành nghiên cứu và thu thập thông tin tình báo, tạo ra các email và tin nhắn được cá nhân hóa cao để lừa đảo mục tiêu. Tuy nhiên, các nỗ lực spear-phishing thường hiếm khi xuất hiện trong hộp thư đến của chúng ta vì chúng đòi hỏi nỗ lực đáng kể để thực hiện thành công.
Đây chính là nơi AI trở nên nguy hiểm. Với chatbot AI và các công cụ AI khác, tội phạm mạng có thể tự động hóa các cuộc tấn công spear-phishing hàng loạt mà không tốn nhiều tài nguyên hay thời gian để tài trợ cho chiến dịch. Các video deepfake của những cá nhân quan trọng thậm chí có thể được sử dụng để bổ trợ cho cuộc tấn công và làm cho “mồi nhử” hiệu quả hơn. Trong một trường hợp, YouTube đã phải cảnh báo người sáng tạo về các vụ lừa đảo phishing liên quan đến một video deepfake của CEO của họ, được thiết kế để lừa họ tiết lộ thông tin đăng nhập.
Lừa Đảo Tình Cảm (Romance Scams) Sử Dụng AI
Lừa đảo tình cảm thao túng cảm xúc để chiếm được lòng tin và tình cảm trước khi khai thác nạn nhân. Khác với các cuộc lừa đảo phishing thông thường, nơi kỹ thuật xã hội kết thúc khi bạn cung cấp thông tin đăng nhập, lừa đảo tình cảm đòi hỏi kẻ lừa đảo phải dành hàng tuần, hàng tháng, thậm chí hàng năm để xây dựng mối quan hệ — một chiến thuật còn được gọi là “mổ heo” (pig butchering). Do sự đầu tư thời gian đáng kể này, tội phạm mạng chỉ có thể nhắm mục tiêu vào một vài người cùng lúc, khiến những vụ lừa đảo này thậm chí còn hiếm hơn các cuộc tấn công spear-phishing thủ công.
Cặp đôi đứng sau bong bóng có cảnh báo lừa đảo, minh họa mối nguy từ lừa đảo tình cảm AI.
Tuy nhiên, ngày nay kẻ lừa đảo có thể sử dụng chatbot AI để xử lý một số khía cạnh tốn thời gian nhất của lừa đảo tình cảm — trò chuyện, nhắn tin, gửi ảnh và video, và thậm chí thực hiện các cuộc gọi điện thoại trực tiếp. Vì các mục tiêu thường dễ bị tổn thương về mặt cảm xúc, họ thậm chí có thể vô thức bỏ qua các cuộc trò chuyện do AI tạo ra, cho rằng chúng kỳ quặc hoặc thậm chí là quyến rũ.
Tờ The Scottish Sun đã đưa tin về một vụ việc mà một nhà thần kinh học đã mất hàng ngàn bảng Anh trong một vụ lừa đảo tình cảm được hỗ trợ bởi AI. Kẻ lừa đảo đã sử dụng các video và tin nhắn do AI tạo ra để thể hiện một cách thuyết phục mối quan tâm lãng mạn. Chúng đã bịa đặt một câu chuyện phức tạp về việc làm việc trên một giàn khoan dầu ngoài khơi và sử dụng công nghệ deepfake để thuyết phục nạn nhân về tính hợp pháp của tất cả các tuyên bố của chúng. Việc sử dụng các công cụ AI này là một lời cảnh báo về các chiến thuật ngày càng tinh vi mà kẻ lừa đảo sử dụng để khai thác nạn nhân.
Lừa Đảo Hỗ Trợ Khách Hàng Giả Mạo Có AI Hậu Thuẫn
Lừa đảo hỗ trợ khách hàng lợi dụng lòng tin của mọi người vào các thương hiệu lớn bằng cách mạo danh các bộ phận hỗ trợ. Các vụ lừa đảo này hoạt động bằng cách gửi các cảnh báo giả mạo, cửa sổ bật lên (pop-up) hoặc email, tuyên bố rằng tài khoản của bạn đã bị khóa, cần xác minh hoặc có vấn đề bảo mật khẩn cấp. Theo truyền thống, kẻ lừa đảo phải tương tác thủ công với nạn nhân, nhưng chatbot AI đã thay đổi điều đó.
Robot thực hiện cuộc gọi tự động trong trung tâm cuộc gọi lớn, đại diện cho lừa đảo hỗ trợ khách hàng qua AI.
Các vụ lừa đảo hỗ trợ khách hàng được hỗ trợ bởi AI hiện sử dụng chatbot để tự động hóa các cuộc trò chuyện và khiến chúng trở nên thuyết phục hơn. Với các công cụ tự động hóa, chatbot có thể phản hồi trong thời gian thực, bắt chước các nhân viên hỗ trợ chính thức và thậm chí tham khảo các cơ sở kiến thức để xuất hiện hợp pháp hơn. Chúng thường triển khai các chiến thuật lừa đảo bằng cách sử dụng các trang web giả mạo để lừa nạn nhân nhập thông tin đăng nhập của họ.
Lừa đảo hỗ trợ AI cũng có thể đi theo chiều ngược lại. Kẻ lừa đảo có thể sử dụng các tác nhân AI để liên hệ với các dịch vụ quan trọng như ngân hàng và các chương trình của chính phủ để lấy dữ liệu của mục tiêu hoặc thậm chí đặt lại thông tin đăng nhập của họ.
Lan Truyền Thông Tin Sai Lệch và Chiến Dịch Bôi Nhọ Tự Động Bằng AI
Tin tặc hiện đang sử dụng chatbot AI để lan truyền thông tin sai lệch ở một quy mô chưa từng thấy. Các bot này tạo và chia sẻ các câu chuyện giả mạo trên mạng xã hội, nhắm mục tiêu vào các nguồn cấp tin tức, diễn đàn cộng đồng và phần bình luận bằng các bình luận bịa đặt. Không giống như các chiến dịch thông tin sai lệch truyền thống đòi hỏi nỗ lực thủ công, các tác nhân AI hiện có thể tự động hóa toàn bộ quy trình, làm cho tin giả lan truyền nhanh hơn và thuyết phục hơn.
Bằng cách tự động hóa việc tạo tài khoản mạng xã hội thật, các bot có thể tạo và tương tác với các bài đăng để lan truyền thông tin sai lệch. Và với đủ số lượng bot này lưu hành trên internet, chúng có thể biến những người thiếu thông tin hoặc chưa quyết định về một vấn đề nào đó sang ủng hộ câu chuyện của chúng.
Ngoài việc lừa dối đơn giản, tin tặc còn sử dụng các chiến dịch thông tin sai lệch bằng AI để điều hướng lưu lượng truy cập đến các trang web lừa đảo. Một số trộn lẫn tin giả với các ưu đãi gian lận, lừa nạn nhân nhấp vào các liên kết độc hại. Bởi vì các bài đăng này thường lan truyền mạnh mẽ trước khi các chuyên gia kiểm tra thông tin kịp phản ứng, nhiều người vô tình lan truyền thông tin sai lệch xa hơn.
Cách Tự Bảo Vệ Bản Thân Khỏi Các Mối Đe Dọa Lừa Đảo AI
Mặc dù tin tặc đang sử dụng AI trong mọi loại tác vụ, nhưng chúng đã tìm thấy ứng dụng hữu ích nhất trong việc tăng cường các cuộc tấn công kỹ thuật xã hội. Vì vậy, để tự vệ trước hầu hết các vụ lừa đảo do AI cung cấp, chúng ta phải nỗ lực hơn trong việc bảo mật quyền riêng tư và xác minh tính hợp pháp của tin nhắn, bài đăng và hồ sơ.
Email lừa đảo trong hộp thư Gmail, minh họa sự cần thiết phải cảnh giác và bảo vệ thông tin cá nhân.
- Hạn chế chia sẻ thông tin cá nhân: Hãy suy nghĩ kỹ trước khi chia sẻ chi tiết cá nhân trên mạng xã hội. Kẻ lừa đảo sử dụng thông tin này để tạo ra các cuộc tấn công có mục tiêu. Hạn chế càng nhiều thông tin có thể truy cập công khai càng tốt để tránh trở thành mục tiêu ngay từ đầu.
- Luôn cảnh giác với các liên lạc không mong muốn: Nếu bạn nhận được một cuộc gọi, tin nhắn hoặc email đột ngột từ người lạ, hãy xác minh với bạn bè, gia đình, đồng nghiệp hoặc bất kỳ ai trong mạng lưới của bạn trước khi phản hồi. Đừng vội vàng hành động theo các yêu cầu khẩn cấp.
- Cẩn trọng với công nghệ Deepfake: Deepfake do AI tạo ra có thể bắt chước giọng nói và ngoại hình một cách đáng kinh ngạc. Hãy cực kỳ thận trọng với các cuộc gọi video và tin nhắn không mong đợi từ các cá nhân hoặc tổ chức có hồ sơ cao. Luôn kiểm tra các dấu hiệu xác minh, số lượng người theo dõi/đăng ký, và các tài khoản tương tác với bài đăng của họ.
- Suy nghĩ kỹ trước khi nhấp vào liên kết lạ: Các liên kết lừa đảo trông giống như bài đăng bình thường vẫn tràn lan trên mạng xã hội. Nút phát video có trông phẳng hoặc đã qua chỉnh sửa không? Bài đăng có vẻ khó hiểu không? Nó có vẻ như là video nhưng đồng thời lại là hình ảnh và liên kết bên ngoài không? Tốt hơn hết là không tương tác với những loại bài đăng đó.
- Luôn kiểm tra và xác minh nguồn tin: Dù bạn muốn tránh bị lừa bởi kẻ lừa đảo hay muốn cập nhật thông tin, hãy luôn đối chiếu thông tin từ nhiều nguồn đáng tin cậy. Ngoài ra, hãy kiểm tra phần bình luận — các tài khoản bot thường có tên người dùng kết hợp với các số ở cuối để đảm bảo tên người dùng khả dụng trong quá trình tạo.
Chatbot AI mang lại sự tiện lợi nhưng cũng trao quyền cho tin tặc những công cụ lừa đảo tiên tiến. Nhưng hãy nhớ, nhiều vụ lừa đảo có sự hỗ trợ của AI vẫn tuân theo các mô hình tương tự như các vụ lừa đảo truyền thống, chỉ là chúng khó phát hiện hơn và lan rộng hơn. Bằng cách luôn được trang bị thông tin và xác minh mọi tương tác trực tuyến, bạn đang tự bảo vệ mình trước những mối đe dọa đang phát triển này. Hãy chia sẻ bài viết này để giúp mọi người cùng nâng cao cảnh giác và bảo vệ bản thân trên không gian mạng nhé!
