Các chiến dịch lừa đảo trực tuyến sử dụng trí tuệ nhân tạo (AI) đang ngày càng trở nên tinh vi và khó nhận biết một cách đáng kinh ngạc. Với khả năng tạo ra văn bản, hình ảnh, và thậm chí cả giọng nói với độ chính xác cao, kẻ lừa đảo đang tận dụng AI để làm cho các chiêu trò lừa đảo phishing trở nên hợp pháp hơn bao giờ hết. Tuy nhiên, dù công nghệ phát triển đến đâu, vẫn luôn có những dấu hiệu để bạn nhận ra và tránh trở thành nạn nhân của những cuộc tấn công lừa đảo AI đầy nguy hiểm này. Là một chuyên gia an ninh mạng, chúng tôi sẽ hướng dẫn bạn cách phát hiện và bảo vệ bản thân trước các hình thức lừa đảo AI mới nhất.
1. Phân Tích Ngôn Ngữ Trong Email Lừa Đảo Một Cách Cẩn Trọng
Trong quá khứ, chỉ cần một cái nhìn lướt qua là đủ để nhận ra một email lừa đảo, thường là nhờ vào lỗi ngữ pháp và lỗi chính tả ngớ ngẩn. Tuy nhiên, kể từ khi kẻ gian bắt đầu sử dụng các mô hình ngôn ngữ lớn (LLM) dựa trên AI như ChatGPT hay Gemini, hầu hết các tin nhắn lừa đảo đều có ngữ pháp hoàn hảo. Điều này khiến việc nhận diện trở nên khó khăn hơn.
Tuy nhiên, không phải tất cả đã mất. Mặc dù ChatGPT và các mô hình tương tự đang dần đạt đến mức không thể phân biệt được với ngôn ngữ tự nhiên của con người, việc phát hiện văn bản do AI tạo ra vẫn tương đối dễ dàng. Dòng chảy của các câu văn có thể cảm thấy không tự nhiên – có thể nói, manh mối lớn nhất là mọi thứ dường như “quá hoàn hảo”.
Hãy xem một ví dụ. Chúng tôi đã sử dụng Gemini của Google để tạo một “email” từ một nhân viên hỗ trợ khách hàng giả mạo, cảnh báo người dùng về một vụ rò rỉ dữ liệu. Để hoàn chỉnh một email lừa đảo, chúng tôi cũng yêu cầu AI thêm một lời kêu gọi khẩn cấp người dùng đổi mật khẩu ngay lập tức bằng cách nhấp vào một liên kết. Dưới đây là email lừa đảo do AI tạo ra:
Ví dụ email lừa đảo được tạo bởi AI Gemini, cho thấy các dấu hiệu bất thường trong ngôn ngữ và cấu trúc tin nhắn giả mạo.
Thoạt nhìn, email này có vẻ hợp pháp, nhưng vẫn có một vài dấu hiệu đáng ngờ. Chẳng hạn, cụm từ “Dear Valued Customer” (Kính gửi Khách hàng thân thiết) là nỗ lực của mô hình AI nhằm nghe có vẻ thân thiện hơn, khiến bạn bỏ qua việc một dịch vụ hợp pháp sẽ biết thông tin cá nhân của bạn. Không cần phải nói, đó là một nỗ lực thất bại.
Vấn đề lớn nhất nằm ở tông giọng quá trang trọng, với những nét “nhân văn giả tạo” nhỏ được thêm vào để thuyết phục bạn rằng đó là một nhân viên thật đang viết email. Ngoài ra, hãy nhớ những gì chúng tôi đã đề cập về ngôn ngữ có vẻ không tự nhiên? Câu “This incident may have compromised the security of some accounts, including potentially yours” (Sự cố này có thể đã làm tổn hại đến bảo mật của một số tài khoản, bao gồm cả tài khoản của bạn) nổi bật như một ngón tay cái bị đau. Nếu bạn cẩn thận đọc kỹ các email không mong muốn, bạn sẽ sớm phát hiện ra những dấu hiệu nhận biết này.
2. Luôn Cảnh Giác Với Các Dấu Hiệu Phishing Truyền Thống
Mặc dù các công cụ AI đã khiến các vụ lừa đảo phishing khó phát hiện hơn, chúng vẫn giữ một số đặc điểm cổ điển. Do đó, các mẹo thông thường để phát hiện email lừa đảo vẫn còn hiệu lực.
Kẻ lừa đảo thường giả mạo các doanh nghiệp và tin rằng bạn sẽ không nhận ra. Ví dụ, thay vì địa chỉ email chính thức như “[email protected]”, bạn có thể thấy một địa chỉ như “[email protected]”. Bạn cũng có thể nhận được các liên kết hoặc tệp đính kèm không mong muốn, đây thường là một dấu hiệu lớn. Các URL không khớp, chứa lỗi chính tả khó nhận thấy hoặc các từ thừa là những manh mối khó phát hiện hơn nhưng lại là dấu hiệu lớn cho thấy bạn không truy cập vào một trang web hợp pháp hoặc không phản hồi một doanh nghiệp thật.
Lời khuyên quan trọng nhất của chúng tôi vượt ra ngoài các chi tiết kỹ thuật. Đơn giản hãy tự hỏi: tại sao một công ty hợp pháp lại gửi cho tôi loại email này và cố gắng khiến tôi hành động nhanh chóng đến vậy? Tại sao ngân hàng của tôi lại yêu cầu tôi tải xuống phần mềm hoặc thúc giục tôi nhấp vào một liên kết kỳ lạ? Tại sao ngân hàng của tôi lại gọi tôi là “Kính gửi Khách hàng thân thiết” mặc dù họ đã biết thông tin của tôi?
3. Đừng Sập Bẫy Các Cuộc Gọi Video Giả Mạo (Deepfake Video Scams)
Hãy trao cho con người bất cứ thứ gì, và họ sẽ tìm ra cách sử dụng nó để lừa đảo người khác (đây là lý do tại sao chúng ta không thể có những thứ tốt đẹp). Các vụ lừa đảo video deepfake sử dụng AI cũng đang trở nên khó phân biệt. Kẻ lừa đảo tạo ra các video trông giống thật bằng cách sử dụng đầu vào hình ảnh và video, sau đó dùng các cuộc gọi FaceTime hoặc Zoom để thuyết phục các nạn nhân tiềm năng (người lớn tuổi thường là mục tiêu chính) cung cấp thông tin nhạy cảm.
Mặc dù dễ dàng cho rằng chỉ những người lớn tuổi mới sập bẫy, nhưng những deepfake AI này tinh vi đến mức ngay cả những chuyên gia nghiêm túc cũng bị lừa. Trường hợp ở Hồng Kông là một ví dụ điển hình, khi theo tờ The Guardian, kẻ lừa đảo đã tạo deepfake giám đốc tài chính (CFO) của một công ty và đánh cắp 200 triệu đô la Hồng Kông (khoảng 25 triệu USD) trong một cuộc họp trực tuyến giả mạo.
Để tránh bị lừa, hãy luôn cố gắng kiểm tra tính hợp lệ của nguồn giao tiếp. Vì chúng ta đang nói về phishing, ngay cả khi chúng sử dụng công nghệ AI tiên tiến, kẻ lừa đảo sẽ cố gắng tạo ra sự khẩn cấp để khiến bạn hành động trước khi có thời gian suy nghĩ kỹ. Nếu yêu cầu nghe có vẻ phi thực tế, rất có thể đó là một trò lừa đảo.
Việc xác định một video deepfake không hề dễ dàng. Tuy nhiên, bất chấp sự tinh vi liên quan, kết quả cuối cùng có thể có những vấn đề nhỏ, chẳng hạn như chuyển động giật cục không tự nhiên và ánh sáng, mà bạn có thể nhận thấy nếu xem video vài lần. Đôi khi, việc đồng bộ hóa môi có thể bị trục trặc và lệch nhịp, điều này sẽ gây khó chịu. Hãy chú ý đặc biệt đến các vấn đề xung quanh miệng, vì nó có thể khó khớp với kịch bản mà nó đang hoạt động.
4. Phát Hiện Lừa Đảo Qua Giọng Nói AI (AI Voice Scams)
Lừa đảo qua giọng nói, hay còn gọi là vishing, cũng đang mang một sắc thái đáng sợ khi giờ đây có thể nhân bản giọng nói bằng các thuật toán học sâu. Kết quả vô cùng chính xác đến rợn người. Những vụ lừa đảo này đang gia tăng, và tội phạm mạng thường giả vờ là người thân yêu để yêu cầu chuyển tiền gấp.
Tuy nhiên, việc phân biệt liệu bạn đang đối phó với một nỗ lực lừa đảo hay một trường hợp khẩn cấp thực sự tương đối đơn giản. Bất cứ khi nào bạn nhận được một cuộc giao tiếp như vậy và ai đó đang cố gắng khiến bạn làm điều gì đó ngay lập tức, hãy hít thở sâu và trước tiên xác minh danh tính của người đó. Vì bạn đang giao tiếp với người kia theo thời gian thực, hãy cố gắng phát hiện bất kỳ sự khác biệt nào trong câu chuyện của họ. Bạn có thể nhận thấy những điểm không nhất quán nhỏ trong kịch bản của họ.
Cũng cần lưu ý rằng công nghệ nhân bản giọng nói không hoàn hảo và một số vấn đề có thể làm lộ nó. Giọng nói kỹ thuật số đôi khi có thể nghe hơi “robot” (hơi giống autotune). Bất kỳ khoảng dừng kỳ lạ hoặc kiểu nói chuyện bất thường nào cũng cho thấy có điều gì đó không ổn với cuộc gọi. AI đang phát triển nhanh chóng, và thật đáng sợ khi nghĩ về việc nó sẽ giống con người đến mức nào trong tương lai. Tuy nhiên, ít nhất là hiện tại, bạn vẫn có thể ngăn chặn các nỗ lực lừa đảo AI nếu bạn luôn cảnh giác.
Kết Luận
Trong bối cảnh công nghệ AI ngày càng phát triển vượt bậc, các chiêu trò lừa đảo trực tuyến cũng trở nên tinh vi hơn bao giờ hết. Từ những email lừa đảo với ngữ pháp hoàn hảo, video deepfake đánh lừa thị giác, cho đến những cuộc gọi vishing nhân bản giọng nói gây sốc, kẻ xấu đang tìm mọi cách để lợi dụng sự tin tưởng và thiếu cảnh giác của người dùng.
Để bảo vệ bản thân và những người thân yêu khỏi những mối đe dọa này, điều quan trọng nhất là luôn duy trì sự cảnh giác cao độ. Hãy cẩn trọng với các yêu cầu khẩn cấp, kiểm tra kỹ lưỡng nguồn gốc thông tin, và tin tưởng vào trực giác của bạn khi có điều gì đó cảm thấy không đúng. Việc nắm vững các dấu hiệu nhận biết đã được chia sẻ trong bài viết này sẽ là lá chắn vững chắc giúp bạn an toàn trên không gian mạng. Hãy chia sẻ thông tin hữu ích này để cùng nhau xây dựng một cộng đồng mạng an toàn hơn!
