Trong bối cảnh công nghệ đang phát triển vượt bậc, trí tuệ nhân tạo (AI) đã trở thành một công cụ mạnh mẽ trong nhiều lĩnh vực. Tuy nhiên, mặt trái của sự tiến bộ này là việc tin tặc đang ngày càng lợi dụng AI để thực hiện các cuộc tấn công lừa đảo (scam) một cách hiệu quả và tiết kiệm chi phí hơn bao giờ hết. Dù bạn có tự tin vào khả năng phát hiện các cuộc tấn công độc hại, đây vẫn là thời điểm lý tưởng để cập nhật những chiến thuật mới nhất mà chúng sử dụng để khai thác người dùng. Việc nắm bắt các thủ đoạn lừa đảo tinh vi do AI hỗ trợ sẽ giúp bạn và những người xung quanh nâng cao cảnh giác, từ đó chủ động bảo vệ thông tin cá nhân và tài sản trên không gian mạng. Hãy cùng thuthuatmienphi.net tìm hiểu sâu hơn về cách tin tặc đang biến AI thành vũ khí để tấn công người dùng và những biện pháp thiết yếu để phòng tránh.
Tin tặc dùng AI để chọn mục tiêu và thực hiện lừa đảo ra sao?
Tin tặc thường dựa vào các hồ sơ mạng xã hội bị đánh cắp hoặc giả mạo để lừa đảo người dùng. Để chiếm đoạt danh tính trực tuyến, chúng thường tạo các hồ sơ giả mạo bắt chước người dùng thật hoặc chiếm quyền kiểm soát các tài khoản hiện có nhằm lợi dụng lòng tin và thao túng nạn nhân.
Người dùng đang chỉ vào logo Google Chrome, minh họa việc tin tặc nhắm mục tiêu online
Các bot được hỗ trợ bởi AI có thể giúp quét (scrape) mạng xã hội để thu thập ảnh, thông tin tiểu sử và bài đăng nhằm tạo ra các tài khoản nhân bản đầy thuyết phục. Sau khi kẻ lừa đảo xây dựng một hồ sơ giả, chúng sẽ gửi lời mời kết bạn đến các liên hệ của nạn nhân, lừa họ tin rằng đang tương tác với người quen.
Một tài khoản thật (bị chiếm đoạt) mở ra nhiều cánh cửa hơn cho việc sử dụng AI để thực hiện các cuộc lừa đảo hiệu quả, độc đáo và có mục tiêu hơn. Các bot AI có khả năng xác định các mối quan hệ thân thiết, tiết lộ thông tin ẩn và phân tích các cuộc trò chuyện trong quá khứ. Từ đó, chatbot AI có thể tiếp quản và bắt đầu trò chuyện với các liên hệ bằng cách bắt chước giọng điệu, thói quen giao tiếp và thúc đẩy các hình thức lừa đảo như gửi liên kết phishing, tạo ra các tình huống khẩn cấp giả, yêu cầu tài chính hoặc dụ dỗ chia sẻ thông tin nhạy cảm.
Chẳng hạn, chắc hẳn bạn đã từng thấy tài khoản Facebook của một người bạn bị xâm nhập và dùng để đăng các liên kết phishing lên bảng tin của họ. Đó chỉ là một phần của việc chiếm đoạt tài khoản. Một khi tài khoản bị chiếm đoạt, kẻ lừa đảo có thể sử dụng các công cụ AI để nhắn tin cho tất cả các liên hệ trong tài khoản đó, với hy vọng lừa được thêm nhiều nạn nhân.
Do những phát triển này, nhiều dịch vụ web hiện đang sử dụng các hình thức CAPTCHA phức tạp và khó giải quyết, xác thực hai yếu tố (2FA) bắt buộc và các hệ thống theo dõi hành vi nhạy cảm hơn. Tuy nhiên, ngay cả với những biện pháp phòng thủ tăng cường này, con người vẫn luôn là mắt xích yếu nhất trong chuỗi bảo mật.
Các hình thức lừa đảo được AI tăng cường mà bạn nên biết
Tội phạm mạng sử dụng AI đa phương thức để tạo bot hoặc giả mạo các cá nhân hay tổ chức có uy tín cao. Mặc dù nhiều hình thức lừa đảo được AI hỗ trợ sử dụng các kỹ thuật kỹ thuật xã hội (social engineering) thông thường, nhưng việc ứng dụng AI đã nâng cao hiệu quả và khiến chúng khó bị phát hiện hơn rất nhiều.
Tấn công lừa đảo Phishing và Smishing được hỗ trợ bởi AI
Người phụ nữ làm việc trên laptop với màn hình hiển thị email lừa đảo phishing
Các cuộc tấn công phishing (qua email) và smishing (qua SMS) luôn là chiêu trò quen thuộc của kẻ lừa đảo. Những cuộc tấn công này hoạt động bằng cách mạo danh các công ty nổi tiếng, cơ quan chính phủ và dịch vụ trực tuyến để đánh cắp thông tin đăng nhập và truy cập tài khoản của bạn. Mặc dù phổ biến, các cuộc tấn công phishing và smishing truyền thống có thể dễ dàng bị phát hiện. Kẻ lừa đảo thường phải chơi trò “số lượng lớn” để đạt được kết quả mong muốn.
Ngược lại, các cuộc tấn công spear-phishing (lừa đảo có mục tiêu cụ thể) hiệu quả hơn rất nhiều. Chúng yêu cầu kẻ tấn công phải tiến hành nghiên cứu và thu thập thông tin, sau đó tạo ra các email và tin nhắn được cá nhân hóa cao để lừa đảo nạn nhân. Tuy nhiên, các nỗ lực spear-phishing thủ công thường hiếm khi xuất hiện trong hộp thư đến của chúng ta vì đòi hỏi nỗ lực đáng kể để thực hiện thành công.
Đây chính là lúc AI trở nên nguy hiểm. Với các chatbot AI và các công cụ AI khác, tội phạm mạng có thể tự động hóa các cuộc tấn công spear-phishing hàng loạt mà không tốn nhiều tài nguyên hay thời gian để triển khai chiến dịch. Các video deepfake của những cá nhân quan trọng thậm chí có thể được sử dụng để bổ trợ cho cuộc tấn công và làm cho mồi nhử trở nên hiệu quả hơn. Trong một trường hợp, YouTube đã phải cảnh báo người sáng tạo nội dung về các vụ lừa đảo phishing liên quan đến một video deepfake của CEO của mình, được thiết kế để lừa họ tiết lộ thông tin đăng nhập.
Lừa đảo tình cảm (Romance Scams) với AI
Cặp đôi đang ẩn sau quả bóng bay hình trái tim với biển cảnh báo 'Scam Alert' (Cảnh báo lừa đảo)
Lừa đảo tình cảm thao túng cảm xúc để chiếm được lòng tin và tình cảm trước khi khai thác nạn nhân. Không giống như các vụ lừa đảo phishing thông thường, nơi kỹ thuật xã hội kết thúc khi bạn cung cấp thông tin đăng nhập, lừa đảo tình cảm yêu cầu kẻ lừa đảo dành hàng tuần, hàng tháng hoặc thậm chí hàng năm để xây dựng mối quan hệ – một chiến thuật được gọi là “pig butchering” (mổ heo). Do khoản đầu tư thời gian đáng kể này, tội phạm mạng chỉ có thể nhắm mục tiêu vào một vài người cùng lúc, khiến những vụ lừa đảo này thậm chí còn hiếm hơn so với các cuộc tấn công spear-phishing thủ công.
Tuy nhiên, ngày nay, kẻ lừa đảo có thể sử dụng chatbot AI để xử lý một số khía cạnh tốn thời gian nhất của lừa đảo tình cảm – trò chuyện, nhắn tin, gửi ảnh và video, và thậm chí thực hiện các cuộc gọi điện thoại trực tiếp. Vì các mục tiêu thường dễ bị tổn thương về mặt cảm xúc, họ thậm chí có thể vô thức bỏ qua những cuộc trò chuyện do AI tạo ra, coi đó là những điểm khác lạ hoặc thậm chí là sự quyến rũ.
Tờ The Scottish Sun đã đưa tin về một sự cố mà một nhà khoa học thần kinh đã mất hàng ngàn bảng Anh vì một vụ lừa đảo tình cảm được hỗ trợ bởi AI. Kẻ lừa đảo đã sử dụng các video và tin nhắn do AI tạo ra để giả mạo một mối quan hệ lãng mạn một cách thuyết phục. Chúng đã bịa ra một câu chuyện phức tạp về việc làm việc trên một giàn khoan dầu ngoài khơi và sử dụng công nghệ deepfake để thuyết phục nạn nhân về tính xác thực của tất cả các tuyên bố của chúng. Việc sử dụng các công cụ AI này là một lời cảnh báo về các chiến thuật lừa đảo ngày càng tinh vi mà kẻ xấu đang sử dụng để khai thác nạn nhân.
Lừa đảo hỗ trợ khách hàng nâng cao bởi AI
Robot thực hiện cuộc gọi tự động trong trung tâm cuộc gọi lớn, minh họa lừa đảo hỗ trợ khách hàng AI
Lừa đảo hỗ trợ khách hàng khai thác lòng tin của mọi người vào các thương hiệu lớn bằng cách mạo danh các bàn trợ giúp. Những vụ lừa đảo này hoạt động bằng cách gửi các cảnh báo giả, cửa sổ pop-up hoặc email giả vờ rằng tài khoản của bạn đã bị khóa, cần xác minh hoặc có vấn đề bảo mật khẩn cấp. Theo truyền thống, kẻ lừa đảo phải tương tác thủ công với nạn nhân, nhưng chatbot AI đã thay đổi điều đó.
Các vụ lừa đảo hỗ trợ khách hàng được AI hỗ trợ giờ đây sử dụng chatbot để tự động hóa các cuộc trò chuyện và làm cho chúng có vẻ thuyết phục hơn. Với các công cụ tự động hóa như n8n, chatbot có thể phản hồi theo thời gian thực, bắt chước các nhân viên hỗ trợ chính thức và thậm chí tham chiếu các cơ sở kiến thức để xuất hiện đáng tin cậy hơn. Chúng thường triển khai các chiến thuật phishing bằng cách sử dụng các trang web bị nhân bản (cloned website) để lừa nạn nhân nhập thông tin đăng nhập của họ.
Các vụ lừa đảo hỗ trợ AI cũng có thể đi theo hướng ngược lại. Kẻ lừa đảo có thể sử dụng các AI agent (đại lý AI) để liên hệ với các dịch vụ quan trọng như ngân hàng và các chương trình của chính phủ nhằm lấy dữ liệu của nạn nhân hoặc thậm chí đặt lại thông tin đăng nhập của họ.
Chiến dịch tin giả và bôi nhọ tự động bằng AI
Tin tặc hiện đang sử dụng chatbot AI để lan truyền thông tin sai lệch trên quy mô chưa từng có. Những bot này tạo ra và chia sẻ các câu chuyện giả mạo trên mạng xã hội, nhắm mục tiêu vào các bảng tin, diễn đàn cộng đồng và phần bình luận với những bình luận bịa đặt. Không giống như các chiến dịch tin giả truyền thống yêu cầu nỗ lực thủ công, các AI agent giờ đây có thể tự động hóa toàn bộ quá trình, khiến tin tức giả mạo lan truyền nhanh hơn và thuyết phục hơn.
Bằng cách tự động tạo các tài khoản mạng xã hội thật, bot có thể soạn thảo và tương tác với các bài đăng để lan truyền thông tin sai lệch. Và với đủ số lượng bot này lưu hành trên internet, chúng có thể biến những người thiếu thông tin hoặc chưa quyết định về phe theo câu chuyện của chúng.
Ngoài việc lừa dối đơn giản, tin tặc còn sử dụng các chiến dịch thông tin sai lệch bằng AI để hướng lưu lượng truy cập đến các trang web lừa đảo. Một số kết hợp tin giả với các ưu đãi gian lận, lừa nạn nhân nhấp vào các liên kết độc hại. Vì những bài đăng này thường trở nên lan truyền nhanh chóng trước khi các bên kiểm tra thông tin kịp phản ứng, nhiều người vô tình tiếp tục lan truyền thông tin sai lệch đó.
Bạn có thể làm gì để tự bảo vệ mình?
Màn hình email Gmail hiển thị thư rác lừa đảo, minh họa mối đe dọa email
Mặc dù tin tặc đang sử dụng AI trong nhiều tác vụ khác nhau, nhưng chúng đã tìm thấy nhiều lợi ích nhất trong việc tăng cường các cuộc tấn công kỹ thuật xã hội. Vì vậy, để tự vệ chống lại hầu hết các vụ lừa đảo được hỗ trợ bởi AI, chúng ta phải nỗ lực hơn trong việc bảo mật quyền riêng tư và xác minh tính hợp pháp của tin nhắn, bài đăng và hồ sơ trực tuyến.
- Hạn chế chia sẻ thông tin cá nhân: Tránh trở thành mục tiêu ngay từ đầu. Hãy suy nghĩ kỹ trước khi chia sẻ thông tin cá nhân chi tiết trên mạng xã hội. Kẻ lừa đảo sử dụng thông tin này để tạo ra các cuộc tấn công có mục tiêu.
- Cảnh giác với các liên lạc không mong muốn: Nếu bạn nhận được một cuộc gọi, tin nhắn hoặc email bất ngờ từ một người bạn không quen, hãy xác minh với bạn bè, gia đình, đồng nghiệp hoặc bất kỳ ai trong mạng lưới của bạn trước khi phản hồi.
- Cẩn trọng với Deepfake: Deepfake do AI tạo ra có thể bắt chước giọng nói và ngoại hình. Hãy cẩn trọng với các cuộc gọi video và tin nhắn không mong đợi từ các cá nhân hoặc tổ chức có uy tín cao. Luôn kiểm tra các huy hiệu xác minh, số lượng người theo dõi/đăng ký và các tài khoản tương tác với bài đăng của họ.
- Suy nghĩ trước khi nhấp: Các liên kết phishing trông giống như các bài đăng bình thường vẫn còn tràn lan trên mạng xã hội. Nút phát có trông phẳng hoặc đã qua chỉnh sửa không? Bài đăng có vẻ khó hiểu không? Nó được cho là một video nhưng đồng thời lại là một hình ảnh và một liên kết ngoài? Tốt nhất là không tương tác với những loại bài đăng đó.
- Kiểm tra và xác minh tin tức: Dù bạn muốn tránh bị lừa bởi kẻ lừa đảo hay muốn cập nhật thông tin, hãy luôn kiểm tra thông tin từ nhiều nguồn khác nhau. Ngoài ra, hãy kiểm tra phần bình luận – các tài khoản bot thường có tên người dùng kết hợp với một chuỗi số ở cuối để đảm bảo tên người dùng khả dụng trong quá trình tạo.
Chatbot AI mang lại sự tiện lợi nhưng cũng trao quyền cho tin tặc với các công cụ lừa đảo tiên tiến. Tuy nhiên, hãy nhớ rằng, nhiều vụ lừa đảo được AI hỗ trợ vẫn tuân theo các mô hình tương tự như các vụ lừa đảo truyền thống. Chúng chỉ khó bị phát hiện hơn và lan rộng hơn. Bằng cách luôn cảnh giác và xác minh mọi tương tác trực tuyến, bạn đang tự bảo vệ mình chống lại những mối đe dọa đang phát triển này.
