Trong bối cảnh công nghệ phát triển vượt bậc, trí tuệ nhân tạo (AI) đang trở thành một công cụ mạnh mẽ, không chỉ mang lại lợi ích mà còn tiềm ẩn những rủi ro đáng kể. Giới tin tặc đang ngày càng lợi dụng AI để thực hiện các cuộc tấn công mạng, đặc biệt là lừa đảo, với hiệu quả và chi phí thấp hơn bao giờ hết. Ngay cả khi bạn tự tin vào khả năng phát hiện các cuộc tấn công độc hại, đây vẫn là thời điểm vàng để cập nhật những chiến thuật mới nhất mà chúng sử dụng để khai thác người dùng. Bài viết này của thuthuatmeohay.com sẽ đi sâu vào cách hacker sử dụng AI để lừa đảo và cung cấp những lời khuyên hữu ích giúp bạn bảo vệ bản thân khỏi những mối đe dọa này.
Hacker Dùng AI Để Chọn Mục Tiêu Và Tấn Công Như Thế Nào?
Tin tặc thường dựa vào các hồ sơ mạng xã hội bị đánh cắp để lừa đảo mọi người. Để chiếm đoạt danh tính trực tuyến, chúng thường tạo các hồ sơ giả mạo giống người dùng thật hoặc chiếm quyền kiểm soát các tài khoản hiện có để lợi dụng lòng tin và thao túng nạn nhân.
Người dùng đang chỉ vào biểu tượng Google Chrome, thể hiện mối lo ngại về bảo mật trực tuyến khi đối mặt với các cuộc tấn công mạng sử dụng AI.
Các bot được hỗ trợ bởi AI có thể giúp thu thập ảnh, tiểu sử và bài đăng trên mạng xã hội để tạo ra các tài khoản giả mạo cực kỳ thuyết phục. Một khi kẻ lừa đảo xây dựng xong hồ sơ giả, chúng sẽ gửi yêu cầu kết bạn đến các liên hệ của nạn nhân, đánh lừa họ nghĩ rằng đang tương tác với người quen.
Một tài khoản thật sẽ mở ra nhiều cánh cửa hơn để sử dụng AI cho các cuộc lừa đảo độc đáo, hiệu quả và có mục tiêu cao hơn. Các bot được trang bị AI có thể xác định các mối quan hệ thân thiết, tiết lộ thông tin ẩn và phân tích các cuộc hội thoại trong quá khứ. Từ đó, các chatbot AI có thể tiếp quản và bắt đầu trò chuyện, bắt chước các kiểu nói chuyện, đồng thời thúc đẩy các chiêu trò lừa đảo như liên kết phishing, các trường hợp khẩn cấp giả mạo, yêu cầu tài chính hoặc yêu cầu chia sẻ thông tin nhạy cảm.
Ví dụ, bạn chắc hẳn đã từng thấy tài khoản Facebook của một người bạn bị chiếm đoạt và được dùng để đăng các liên kết phishing lên bảng tin của họ. Đó chỉ là một phần của việc chiếm đoạt tài khoản. Một khi tài khoản bị xâm nhập, kẻ lừa đảo có thể sử dụng các công cụ AI để gửi tin nhắn cho tất cả các liên hệ trong danh sách của tài khoản bị lừa đảo, với hy vọng nhử thêm nhiều nạn nhân.
Do những diễn biến này, nhiều dịch vụ web hiện sử dụng CAPTCHA phức tạp, khó giải, xác thực hai yếu tố (2FA) bắt buộc và các hệ thống theo dõi hành vi nhạy cảm hơn. Tuy nhiên, ngay cả với những biện pháp phòng thủ tăng cường này, con người vẫn luôn là điểm yếu lớn nhất.
Các Loại Lừa Đảo Dùng AI Phổ Biến Bạn Cần Biết
Tội phạm mạng sử dụng AI đa phương thức để tạo bot hoặc giả mạo các cá nhân, tổ chức có ảnh hưởng lớn. Mặc dù nhiều hình thức lừa đảo dựa trên AI sử dụng các kỹ thuật kỹ thuật xã hội thông thường, việc áp dụng AI đã nâng cao hiệu quả và khiến chúng khó bị phát hiện hơn.
Tấn Công Lừa Đảo Phishing và Smishing Nâng Cao Bằng AI
Phishing (lừa đảo qua email) và smishing (lừa đảo qua tin nhắn SMS) từ lâu đã là những chiêu trò quen thuộc của kẻ lừa đảo. Các cuộc tấn công này hoạt động bằng cách giả mạo các công ty, cơ quan chính phủ và dịch vụ trực tuyến nổi tiếng để đánh cắp thông tin đăng nhập và truy cập tài khoản của bạn. Mặc dù phổ biến, các cuộc tấn công phishing và smishing thường dễ bị phát hiện. Kẻ lừa đảo thường phải chơi trò “số lượng” để đạt được kết quả mong muốn.
Một người phụ nữ đang nhìn vào màn hình laptop hiển thị email lừa đảo (phishing), minh họa nguy cơ bị tấn công trực tuyến qua email được AI hỗ trợ.
Ngược lại, các cuộc tấn công lừa đảo có mục tiêu (spear-phishing) lại hiệu quả hơn nhiều. Chúng đòi hỏi kẻ tấn công phải tiến hành nghiên cứu và trinh sát kỹ lưỡng, soạn thảo các email và tin nhắn được cá nhân hóa cao để lừa đảo nạn nhân. Tuy nhiên, các nỗ lực spear-phishing thường hiếm khi xuất hiện trong hộp thư đến của chúng ta vì đòi hỏi nỗ lực đáng kể để thực hiện thành công.
Đây chính là lúc AI trở nên nguy hiểm. Với các chatbot AI và các công cụ AI khác, tội phạm mạng có thể tự động hóa các cuộc tấn công spear-phishing hàng loạt mà không tốn nhiều tài nguyên hoặc thời gian cho chiến dịch. Các video deepfake của những cá nhân quan trọng thậm chí có thể được sử dụng để bổ trợ cho cuộc tấn công và làm cho mồi nhử trở nên hiệu quả hơn. Trong một trường hợp, YouTube đã phải cảnh báo những người sáng tạo về các vụ lừa đảo phishing liên quan đến một video deepfake của CEO của mình, được thiết kế để lừa họ tiết lộ thông tin đăng nhập.
Lừa Đảo Tình Cảm (Romance Scams) Được AI Hỗ Trợ
Lừa đảo tình cảm thao túng cảm xúc để chiếm được lòng tin và tình cảm trước khi khai thác nạn nhân. Không giống như các vụ lừa đảo phishing thông thường, nơi kỹ thuật xã hội kết thúc khi bạn giao nộp thông tin đăng nhập, lừa đảo tình cảm đòi hỏi kẻ lừa đảo phải dành hàng tuần, hàng tháng hoặc thậm chí hàng năm để xây dựng mối quan hệ – một chiến thuật được gọi là “pig butchering” (sát hại lợn). Do sự đầu tư thời gian đáng kể này, tội phạm mạng chỉ có thể nhắm mục tiêu vào một vài người cùng lúc, khiến các vụ lừa đảo này thậm chí còn hiếm hơn các cuộc tấn công spear-phishing thủ công.
Một cặp đôi ẩn sau quả bóng bay hình trái tim với biển báo "SCAM ALERT", tượng trưng cho sự nguy hiểm của lừa đảo tình cảm trực tuyến, đặc biệt là khi có sự can thiệp của AI.
Tuy nhiên, ngày nay, kẻ lừa đảo có thể sử dụng các chatbot AI để xử lý một số khía cạnh tốn thời gian nhất của lừa đảo tình cảm – trò chuyện, nhắn tin, gửi ảnh và video, và thậm chí thực hiện các cuộc gọi điện thoại trực tiếp. Vì nạn nhân thường dễ bị tổn thương về mặt cảm xúc, họ thậm chí có thể vô thức bỏ qua các cuộc trò chuyện do AI tạo ra như những điểm kỳ quặc hoặc thậm chí là quyến rũ.
Tờ The Scottish Sun đã đưa tin về một sự việc một nhà khoa học thần kinh bị mất hàng nghìn bảng Anh trong một vụ lừa đảo tình cảm do AI hỗ trợ. Kẻ lừa đảo đã sử dụng video và tin nhắn do AI tạo ra để giả mạo một mối quan tâm lãng mạn một cách thuyết phục. Chúng bịa ra một câu chuyện phức tạp về việc làm việc trên giàn khoan dầu ngoài khơi và sử dụng công nghệ deepfake để thuyết phục nạn nhân về tính hợp pháp của tất cả các yêu cầu. Việc sử dụng các công cụ AI này cảnh báo chúng ta về các chiến thuật ngày càng tinh vi mà kẻ lừa đảo sử dụng để khai thác nạn nhân.
Lừa Đảo Hỗ Trợ Khách Hàng Nâng Cao Bằng AI
Lừa đảo hỗ trợ khách hàng lợi dụng lòng tin của mọi người vào các thương hiệu lớn bằng cách giả mạo bộ phận trợ giúp. Những vụ lừa đảo này hoạt động bằng cách gửi các cảnh báo giả, cửa sổ bật lên (pop-up) hoặc email khẳng định rằng tài khoản của bạn đã bị khóa, cần xác minh hoặc có vấn đề bảo mật khẩn cấp. Theo truyền thống, kẻ lừa đảo phải tương tác thủ công với nạn nhân, nhưng các chatbot AI đã thay đổi điều đó.
Một robot đang thực hiện cuộc gọi tự động trong một trung tâm cuộc gọi khổng lồ, minh họa việc AI được dùng trong các chiến dịch lừa đảo hỗ trợ khách hàng tự động.
Các vụ lừa đảo hỗ trợ khách hàng được hỗ trợ bởi AI giờ đây sử dụng chatbot để tự động hóa các cuộc trò chuyện và làm cho chúng có vẻ thuyết phục hơn. Với các công cụ tự động hóa như n8n, chatbot có thể phản hồi theo thời gian thực, bắt chước các nhân viên hỗ trợ chính thức và thậm chí tham khảo các cơ sở dữ liệu kiến thức để có vẻ hợp pháp hơn. Chúng thường triển khai các chiến thuật phishing bằng cách sử dụng các trang web giả mạo để lừa nạn nhân nhập thông tin đăng nhập của họ.
Các vụ lừa đảo hỗ trợ AI cũng có thể đi theo hướng ngược lại. Kẻ lừa đảo có thể sử dụng các tác nhân AI để liên hệ với các dịch vụ quan trọng như ngân hàng và các chương trình của chính phủ để lấy dữ liệu của mục tiêu hoặc thậm chí đặt lại thông tin đăng nhập của họ.
Lan Truyền Thông Tin Sai Lệch Và Chiến Dịch Bôi Nhọ Tự Động
Tin tặc hiện đang sử dụng các chatbot AI để lan truyền thông tin sai lệch ở quy mô chưa từng có. Các bot này tạo và chia sẻ các câu chuyện giả mạo trên mạng xã hội, nhắm mục tiêu vào các bảng tin, diễn đàn cộng đồng và phần bình luận bằng các nhận xét bịa đặt. Không giống như các chiến dịch thông tin sai lệch truyền thống yêu cầu nỗ lực thủ công, các tác nhân AI giờ đây có thể tự động hóa toàn bộ quá trình, khiến tin giả lan truyền nhanh hơn và thuyết phục hơn.
Bằng cách tự động tạo tài khoản mạng xã hội thật, bot có thể tạo và tương tác với các bài đăng để lan truyền thông tin sai lệch. Và với đủ số lượng bot này lưu hành trên internet, chúng có thể khiến những người thiếu thông tin hoặc chưa quyết định đứng về phía câu chuyện của chúng.
Ngoài việc lừa dối đơn thuần, hacker còn sử dụng các chiến dịch thông tin sai lệch của AI để điều hướng lưu lượng truy cập đến các trang web lừa đảo. Một số kết hợp tin giả với các ưu đãi gian lận, lừa nạn nhân nhấp vào các liên kết độc hại. Vì những bài đăng này thường lan truyền nhanh chóng trước khi những người kiểm tra thông tin có thể phản hồi, nhiều người vô tình lan truyền thông tin sai lệch thêm nữa.
Làm Thế Nào Để Tự Bảo Vệ Mình Khỏi Lừa Đảo AI?
Mặc dù hacker đang sử dụng AI trong mọi loại nhiệm vụ, nhưng họ đã tìm thấy công dụng lớn nhất trong việc tăng cường các cuộc tấn công kỹ thuật xã hội. Vì vậy, để phòng thủ chống lại hầu hết các vụ lừa đảo do AI hỗ trợ, chúng ta phải nỗ lực hơn trong việc bảo mật quyền riêng tư và xác minh tính hợp pháp của tin nhắn, bài đăng và hồ sơ.
Một email lừa đảo (scam email) trong hộp thư đến Gmail, với dòng cảnh báo màu đỏ, biểu thị nguy cơ thư rác và virus mà người dùng cần cảnh giác.
- Hạn Chế Chia Sẻ Thông Tin Cá Nhân: Tránh trở thành mục tiêu ngay từ đầu. Hãy suy nghĩ kỹ trước khi chia sẻ thông tin cá nhân trên mạng xã hội. Kẻ lừa đảo sử dụng thông tin này để tạo ra các cuộc tấn công có mục tiêu.
- Cảnh Giác Với Các Liên Lạc Không Mong Muốn: Nếu bạn nhận được một cuộc gọi, tin nhắn hoặc email đột ngột từ người mà bạn không quen biết, hãy xác minh lại với bạn bè, gia đình, đồng nghiệp hoặc bất kỳ ai trong mạng lưới của bạn trước khi phản hồi.
- Cẩn Trọng Với Deepfake: Các video deepfake do AI tạo ra có thể bắt chước giọng nói và ngoại hình. Hãy cẩn thận với các cuộc gọi video và tin nhắn không mong muốn từ các tổ chức có ảnh hưởng lớn. Luôn kiểm tra các huy hiệu xác minh, số lượng người theo dõi/đăng ký và các tài khoản tương tác với bài đăng của họ.
- Suy Nghĩ Kỹ Trước Khi Nhấp: Các liên kết phishing trông giống như bài đăng bình thường vẫn còn tràn lan trên mạng xã hội. Nút phát có trông phẳng hoặc đã được chỉnh sửa không? Bài đăng có vẻ khó hiểu không? Nó có được cho là một video nhưng đồng thời cũng là một hình ảnh và một liên kết bên ngoài không? Tốt hơn hết là đừng tương tác với những loại bài đăng đó.
- Kiểm Tra Và Xác Minh Tin Tức: Dù bạn muốn tránh bị lừa bởi kẻ lừa đảo hay muốn cập nhật thông tin, hãy luôn đối chiếu thông tin từ nhiều nguồn. Ngoài ra, hãy kiểm tra phần bình luận — các tài khoản bot thường có tên người dùng kèm theo sự kết hợp của các con số ở cuối để đảm bảo tính khả dụng của tên người dùng trong quá trình tạo.
Các chatbot AI mang lại sự tiện lợi nhưng cũng trang bị cho hacker những công cụ lừa đảo tiên tiến. Tuy nhiên, hãy nhớ rằng, nhiều vụ lừa đảo được AI hỗ trợ vẫn tuân theo các mô hình tương tự như các vụ lừa đảo truyền thống. Chúng chỉ khó bị phát hiện hơn và phổ biến hơn. Bằng cách luôn cập nhật thông tin và xác minh tất cả các tương tác trực tuyến, bạn sẽ tự bảo vệ mình khỏi những mối đe dọa đang phát triển này.
