Trong bối cảnh công nghệ phát triển như vũ bão, trí tuệ nhân tạo (AI) đang dần trở thành một công cụ mạnh mẽ, không chỉ mang lại lợi ích cho con người mà còn bị kẻ xấu lợi dụng. Tin tặc ngày nay đang sử dụng AI để thực hiện các cuộc tấn công lừa đảo tinh vi và hiệu quả hơn bao giờ hết, với chi phí thấp hơn đáng kể. Ngay cả khi bạn tự tin vào khả năng nhận diện các cuộc tấn công độc hại, đây vẫn là thời điểm vàng để cập nhật những chiến thuật mới nhất mà chúng dùng để khai thác và lừa gạt người dùng. Thuthuat360.net cam kết cung cấp những thông tin công nghệ chính xác và đáng tin cậy, giúp bạn luôn đi trước một bước trong cuộc chiến bảo mật thông tin.
Tin Tặc Sử Dụng AI Để Chọn Mục Tiêu Như Thế Nào?
Tin tặc thường dựa vào các hồ sơ mạng xã hội bị đánh cắp để lừa gạt nạn nhân. Để chiếm đoạt danh tính trực tuyến, chúng thường tạo các hồ sơ giả mạo giống hệt người dùng thật hoặc chiếm quyền kiểm soát các tài khoản đã có sẵn để lợi dụng lòng tin và thao túng nạn nhân.
Người dùng thao tác trên máy tính, biểu tượng Google Chrome và mã độc tấn công an ninh mạng
Các bot được hỗ trợ bởi AI có thể giúp thu thập thông tin từ mạng xã hội như ảnh, tiểu sử và bài đăng để tạo ra các tài khoản giả mạo cực kỳ thuyết phục. Khi đã xây dựng xong một hồ sơ giả, kẻ lừa đảo sẽ gửi yêu cầu kết bạn đến danh bạ của nạn nhân, lừa họ tin rằng đang tương tác với người quen.
Một tài khoản thật khi bị chiếm đoạt sẽ mở ra nhiều cánh cửa để tin tặc sử dụng AI cho các chiêu trò lừa đảo tinh vi, độc đáo và có mục tiêu rõ ràng hơn. Các bot hỗ trợ AI có thể xác định các mối quan hệ thân thiết, tiết lộ thông tin ẩn và phân tích các cuộc hội thoại trong quá khứ. Từ đó, chatbot AI có thể tiếp quản và bắt đầu trò chuyện với nạn nhân bằng cách bắt chước giọng điệu, thói quen giao tiếp, và thúc đẩy các hoạt động lừa đảo như gửi liên kết lừa đảo (phishing link), tạo ra các tình huống khẩn cấp giả, yêu cầu chuyển tiền hoặc chia sẻ thông tin nhạy cảm.
Ví dụ, chắc hẳn bạn đã từng thấy tài khoản Facebook của một người bạn bị xâm nhập và dùng để đăng các liên kết lừa đảo trên bảng tin của họ. Đó chỉ là một phần của việc chiếm đoạt tài khoản. Khi tài khoản đã bị xâm nhập, kẻ lừa đảo có thể sử dụng các công cụ AI để nhắn tin cho tất cả danh bạ của tài khoản bị chiếm đoạt, hy vọng thu hút thêm nhiều nạn nhân.
Do những diễn biến này, nhiều dịch vụ web hiện sử dụng các CAPTCHA phức tạp khó giải, xác thực hai yếu tố bắt buộc và các hệ thống theo dõi hành vi nhạy cảm hơn. Tuy nhiên, ngay cả với những lớp phòng thủ bổ sung này, con người vẫn luôn là mắt xích yếu nhất trong bảo mật.
Các Loại Hình Lừa Đảo Sử Dụng AI Mà Bạn Nên Biết
Tội phạm mạng sử dụng AI đa phương thức để tạo bot hoặc giả mạo các cá nhân, tổ chức có ảnh hưởng lớn. Mặc dù nhiều chiêu trò lừa đảo AI vẫn sử dụng các kỹ thuật tấn công phi kỹ thuật (social engineering) thông thường, việc áp dụng AI đã nâng cao hiệu quả và khiến chúng khó bị phát hiện hơn.
Tấn Công Lừa Đảo Phishing và Smishing Bằng AI
Phụ nữ cảnh giác với email lừa đảo (phishing) chứa mã độc trên màn hình máy tính
Các cuộc tấn công lừa đảo qua email (phishing) và tin nhắn (smishing) luôn là chiêu trò phổ biến của kẻ gian. Những cuộc tấn công này hoạt động bằng cách mạo danh các công ty nổi tiếng, cơ quan chính phủ và dịch vụ trực tuyến để đánh cắp thông tin đăng nhập và truy cập vào tài khoản của bạn. Mặc dù phổ biến, các cuộc tấn công phishing và smishing thông thường khá dễ nhận biết. Kẻ lừa đảo thường phải chơi trò “số lượng lớn” để đạt được bất kỳ kết quả nào có lợi.
Ngược lại, các cuộc tấn công spear-phishing (lừa đảo có mục tiêu) hiệu quả hơn nhiều. Chúng yêu cầu kẻ tấn công phải tiến hành nghiên cứu và thu thập thông tin, sau đó tạo ra các email và tin nhắn được cá nhân hóa cao độ để lừa gạt nạn nhân. Tuy nhiên, các nỗ lực spear-phishing thường hiếm khi xuất hiện trong hộp thư đến của chúng ta vì chúng đòi hỏi nỗ lực đáng kể để thực hiện thành công.
Đây chính là lúc AI trở nên nguy hiểm. Với chatbot AI và các công cụ AI khác, tội phạm mạng có thể tự động hóa các cuộc tấn công spear-phishing hàng loạt mà không tốn nhiều tài nguyên hay thời gian để tài trợ cho chiến dịch. Các video deepfake của những cá nhân quan trọng thậm chí có thể được sử dụng để bổ trợ cho cuộc tấn công và khiến mồi nhử trở nên hiệu quả hơn. Trong một trường hợp, YouTube đã phải cảnh báo người sáng tạo về các vụ lừa đảo phishing liên quan đến một video deepfake của CEO của họ, được thiết kế để lừa họ tiết lộ thông tin đăng nhập.
Lừa Đảo Tình Cảm Bằng AI
Biển báo 'SCAM ALERT' cảnh báo lừa đảo tình cảm trực tuyến qua AI
Các vụ lừa đảo tình cảm thao túng cảm xúc để chiếm được lòng tin và tình cảm trước khi khai thác nạn nhân. Không giống như các vụ lừa đảo phishing thông thường, nơi việc thao túng tâm lý kết thúc khi bạn giao nộp thông tin đăng nhập, các vụ lừa đảo tình cảm yêu cầu kẻ lừa đảo phải dành hàng tuần, hàng tháng, hoặc thậm chí hàng năm để xây dựng mối quan hệ—một chiến thuật được gọi là “pig butchering” (giết lợn). Do sự đầu tư thời gian đáng kể này, tội phạm mạng chỉ có thể nhắm mục tiêu vào một vài người cùng lúc, khiến những vụ lừa đảo này thậm chí còn hiếm hơn so với các cuộc tấn công spear-phishing thủ công.
Tuy nhiên, ngày nay kẻ lừa đảo có thể sử dụng chatbot AI để xử lý một số khía cạnh tốn thời gian nhất của các vụ lừa đảo tình cảm—trò chuyện, nhắn tin, gửi ảnh và video, và thậm chí là thực hiện cuộc gọi trực tiếp. Vì nạn nhân thường dễ bị tổn thương về mặt cảm xúc, họ thậm chí có thể vô thức bỏ qua các cuộc trò chuyện do AI tạo ra, coi đó là những điểm kỳ quặc hoặc thậm chí quyến rũ.
Tờ The Scottish Sun đã đưa tin về một sự việc trong đó một nhà thần kinh học mất hàng nghìn bảng Anh trong một vụ lừa đảo tình cảm được hỗ trợ bởi AI. Kẻ lừa đảo đã sử dụng video và tin nhắn do AI tạo ra để thể hiện một cách thuyết phục một người yêu lãng mạn. Chúng đã bịa ra một câu chuyện phức tạp về việc làm việc trên giàn khoan dầu ngoài khơi và sử dụng công nghệ deepfake để thuyết phục nạn nhân về tính hợp pháp của tất cả các tuyên bố của chúng. Việc sử dụng các công cụ AI này cảnh báo chúng ta về các chiến thuật lừa đảo đang phát triển mà kẻ lừa đảo sử dụng để khai thác nạn nhân.
Lừa Đảo Hỗ Trợ Khách Hàng Nâng Cao Bằng AI
Robot AI thực hiện các cuộc gọi lừa đảo tự động trong trung tâm dịch vụ khách hàng giả mạo
Các vụ lừa đảo hỗ trợ khách hàng khai thác lòng tin của mọi người vào các thương hiệu lớn bằng cách mạo danh các bộ phận hỗ trợ. Những vụ lừa đảo này hoạt động bằng cách gửi các cảnh báo giả, cửa sổ bật lên (pop-up) hoặc email giả mạo tuyên bố rằng tài khoản của bạn đã bị khóa, cần xác minh hoặc có vấn đề bảo mật khẩn cấp. Theo truyền thống, kẻ lừa đảo phải tương tác thủ công với nạn nhân, nhưng chatbot AI đã thay đổi điều đó.
Các vụ lừa đảo hỗ trợ khách hàng do AI hỗ trợ hiện sử dụng chatbot để tự động hóa các cuộc trò chuyện và làm cho chúng cảm thấy thuyết phục hơn. Với các công cụ tự động hóa, chatbot có thể phản hồi theo thời gian thực, bắt chước các nhân viên hỗ trợ chính thức và thậm chí tham khảo cơ sở kiến thức để xuất hiện hợp pháp hơn. Chúng thường triển khai các chiến thuật lừa đảo bằng cách sử dụng các trang web giả mạo để lừa nạn nhân nhập thông tin đăng nhập của họ.
Các vụ lừa đảo hỗ trợ AI cũng có thể đi theo hướng ngược lại. Kẻ lừa đảo có thể sử dụng các tác nhân AI để liên hệ với các dịch vụ quan trọng như ngân hàng và chương trình của chính phủ để lấy dữ liệu của mục tiêu hoặc thậm chí đặt lại thông tin đăng nhập của họ.
Lan Truyền Tin Giả và Chiến Dịch Bôi Nhọ Tự Động
Tin tặc hiện đang sử dụng chatbot AI để lan truyền thông tin sai lệch ở quy mô chưa từng có. Các bot này tạo và chia sẻ các câu chuyện giả mạo trên mạng xã hội, nhắm mục tiêu vào các nguồn cấp tin tức, diễn đàn cộng đồng và phần bình luận với các nhận xét bịa đặt. Không giống như các chiến dịch thông tin sai lệch truyền thống yêu cầu nỗ lực thủ công, các tác nhân AI giờ đây có thể tự động hóa toàn bộ quá trình, khiến tin giả lan truyền nhanh hơn và thuyết phục hơn.
Bằng cách tự động hóa việc tạo tài khoản mạng xã hội thật, bot có thể tạo và tương tác với các bài đăng để lan truyền thông tin sai lệch. Và với đủ số lượng bot này lưu hành trên internet, chúng có thể khiến những người không có thông tin hoặc không quyết định được phải đứng về phía câu chuyện của chúng.
Ngoài việc lừa dối đơn giản, tin tặc còn sử dụng các chiến dịch thông tin sai lệch bằng AI để điều hướng lưu lượng truy cập đến các trang web lừa đảo. Một số kết hợp tin giả với các ưu đãi gian lận, lừa nạn nhân nhấp vào các liên kết độc hại. Bởi vì những bài đăng này thường lan truyền nhanh chóng trước khi các bên kiểm chứng thông tin có thể phản hồi, nhiều người vô tình lan truyền thông tin sai lệch đi xa hơn.
Bạn Có Thể Làm Gì Để Tự Bảo Vệ Bản Thân?
Mặc dù tin tặc đang sử dụng AI trong mọi loại tác vụ, nhưng chúng đã tìm thấy nhiều công dụng nhất trong việc tăng cường các cuộc tấn công phi kỹ thuật. Vì vậy, để phòng thủ chống lại hầu hết các vụ lừa đảo do AI hỗ trợ, chúng ta phải nỗ lực hơn trong việc bảo mật quyền riêng tư và xác minh tính hợp pháp của tin nhắn, bài đăng và hồ sơ.
Hộp thư đến Gmail với cảnh báo email lừa đảo (scam email) cần chú ý
- Hạn chế chia sẻ thông tin cá nhân: Tránh trở thành mục tiêu ngay từ đầu. Suy nghĩ kỹ trước khi chia sẻ thông tin cá nhân trên mạng xã hội. Kẻ lừa đảo sử dụng thông tin này để tạo ra các cuộc tấn công có mục tiêu.
- Cảnh giác với các liên lạc không mong muốn: Nếu bạn nhận được một cuộc gọi, tin nhắn hoặc email đột ngột từ người lạ, hãy xác minh với bạn bè, gia đình, đồng nghiệp hoặc bất kỳ ai trong mạng lưới của bạn trước khi phản hồi.
- Cẩn trọng với Deepfake: Các video deepfake do AI tạo ra có thể bắt chước giọng nói và ngoại hình. Cẩn trọng với các cuộc gọi video và tin nhắn bất ngờ từ các thực thể có ảnh hưởng lớn. Luôn kiểm tra các huy hiệu xác minh, số lượng người theo dõi/đăng ký và các tài khoản tương tác với bài đăng của họ.
- Suy nghĩ trước khi nhấp chuột: Các liên kết lừa đảo trông giống như các bài đăng bình thường vẫn đang tràn lan trên mạng xã hội. Nút phát video có vẻ phẳng hoặc đã được chỉnh sửa không? Bài đăng có vẻ khó hiểu không? Nó có trông giống như một video nhưng đồng thời cũng là một hình ảnh và liên kết bên ngoài không? Tốt hơn hết là không nên tương tác với những loại bài đăng đó.
- Kiểm tra và xác minh tin tức: Dù bạn muốn tránh bị lừa bởi kẻ lừa đảo hay muốn cập nhật thông tin, hãy luôn kiểm tra thông tin từ nhiều nguồn. Ngoài ra, hãy kiểm tra phần bình luận—các tài khoản bot thường có tên người dùng với sự kết hợp của các con số ở cuối để đảm bảo tên người dùng khả dụng trong quá trình tạo.
Chatbot AI mang lại sự tiện lợi nhưng cũng trao quyền cho tin tặc những công cụ lừa đảo tiên tiến. Tuy nhiên, hãy nhớ rằng nhiều vụ lừa đảo do AI hỗ trợ vẫn tuân theo các mô hình tương tự như các vụ lừa đảo truyền thống. Chúng chỉ khó phát hiện hơn và phổ biến hơn. Bằng cách luôn cập nhật thông tin và xác minh tất cả các tương tác trực tuyến, bạn sẽ tự bảo vệ mình khỏi những mối đe dọa đang phát triển này. Hãy thường xuyên truy cập thuthuat360.net để không bỏ lỡ những cập nhật mới nhất về bảo mật và công nghệ.
