CẢNH GIÁC: AI biến các vụ lừa đảo và deepfake trở nên nguy hiểm hơn bao giờ hết

[trungthuc]

Sự phát triển vượt bậc của trí tuệ nhân tạo (AI) đã tạo ra sự đột phá lớn trong mọi khía cạnh cuộc sống, từ việc mua sắm, giao dịch ngân hàng, lái xe, tìm kiếm trên internet, đến sáng tạo và tiếp thu nội dung cùng nhiều hoạt động xã hội khác. Tuy nhiên, các chuyên gia an ninh mạng lên tiếng cảnh cáo, AI đang biến các cuộc tấn công theo nhiều phương thức mới, gây nguy hiểm đến sinh hoạt đời sống cá nhân lẫn doanh nghiệp.

3 hình thức tấn công mạng phổ biến với việc sử dụng AI
AI không chỉ mang lại những sự cải tiến vượt bậc trong nhiều ngành nghề kỹ nghệ mà còn trở thành dụng cụ hỗ trợ đắc lực cho các cuộc tấn công mạng. Với khả năng tự động hóa và cá nhân hóa nội dung, AI đã biến các hình thức tấn công như phishing, deepfake âm thanh và deepfake video trở nên tinh vi hơn bao giờ hết, gây ra nhiều hậu quả nặng nề cho cả cá nhân lẫn tổ chức kinh doanh.

Phishing là một hình thức lừa đảo qua mạng nhằm đánh cắp thông tin của người tiêu dùng.

Thứ nhất là phishing, một hình thức lừa đảo qua mạng nhằm đánh cắp thông tin như tài khoản đăng nhập hoặc chi tiết trương mục ngân hàng, đã có nhiều thay đổi mạnh mẽ với sự hỗ trợ của AI. Trước đây, tin nhắn phishing thường dễ nhận biết ra do lỗi sai chính tả hoặc nội dung rất sơ sài. Giờ đây, với các mô hình ngôn ngữ lớn (LLM), kẻ xấu có thể tạo ra các tin nhắn và trang web chuyên nghiệp, đầy sức thuyết phục và cá nhân hóa đến từng đối tượng nhắm đến.

Một ví dụ điển hình là việc kẻ xấu giả danh các ngân hàng lớn gửi email báo động tài khoản của nạn nhân đang có vấn đề. Những email này không chỉ được viết bằng ngôn ngữ trôi chảy mà còn có kèm logo, hình ảnh và đường dẫn đến trang mạng giả mạo, khiến cho người nhận khó phân biệt ra thật giả.

Hơn thế nữa, AI còn có thể phân tích phong cách viết của một cá nhân thông qua số liệu thu thập từ các trang mạng xã hội, từ đó tạo ra các tin nhắn giả mạo giống hệt người quen của nạn nhân. Chẳng hạn, một nhân viên công ty có thể nhận được email từ người sếp yêu cầu chuyển tiền gấp cho một đối tác nào đó.

Ngoài ra, AI còn giúp tạo ra các trang mạng giả mạo với giao diện khá bắt mắt và rất chuyên nghiệp. Những trang này được thiết kế để thu thập thông tin nhạy cảm từ nạn nhân, như mật khẩu hoặc thông tin trong thẻ tín dụng. Điều này khiến cho phishing trở thành một mối đe dọa toàn cầu khó phát hiện.

Thứ 2 là deepfake âm thanh, một ứng dụng khác của AI, cho phép tái tạo ra giọng nói của một người chỉ với vài giây ghi âm. Kẻ tấn công có thể lợi dụng kỹ thuật này để gửi tin nhắn hội thoại giả mạo nhằm lừa đảo nạn nhân. Ví dụ, một người đàn ông ở Anh đã bị lừa chuyển hơn 200,000 USD sau khi nhận cuộc gọi từ giám đốc điều hành của công ty mình. Cuộc gọi này thực chất là giọng nói giả mạo được tạo từ AI, yêu cầu chuyển tiền khẩn cấp cho một đối tác quan trọng.

Theo các chuyên gia an ninh mạng, kẻ xấu thường chiếm quyền kiểm soát tài khoản nhắn tin của nạn nhân, sau đó sử dụng giọng nói giả mạo để yêu cầu bạn bè hoặc người thân của họ chuyển tiền hoặc cung cấp thông tin cá nhân. Với độ chân thực ngày càng cao, các đoạn âm thanh này khiến cho nạn nhân khó lòng nghi ngờ, đặc biệt khi yêu cầu được thực hiện trong những tình huống khẩn cấp.

Thứ 3 là deepfake video, đây là một trong những hình thức tấn công nguy hiểm nhất sử dụng AI. Chỉ cần một bức ảnh hoặc đoạn video ngắn, kẻ xấu có thể tạo ra video giả mạo với khuôn mặt, giọng nói và chuyển động môi đồng bộ với độ chính xác cao. Những video này được sử dụng để phát tán thông tin sai lệch, tổ chức các cuộc họp trực tuyến giả mạo, hoặc thực hiện các chiến dịch lừa đảo với quy mô lớn.

Một ví dụ nổi bật là vụ kẻ xấu sử dụng deepfake của Elon Musk để mời gọi đầu tư vào một dự án năng lượng mới. Video giả mạo cho thấy hình ảnh Elon Musk trình bày dự án và kêu gọi góp vốn, khiến cho nhiều người tin tưởng và đầu tư, dẫn đến mức thiệt hại về tài chính lớn.

Không chỉ dừng lại ở đó, deepfake video còn được sử dụng trong các vụ lừa đảo tình cảm, nơi kẻ xấu tạo ra nhân vật hư cấu để tương tác với nạn nhân qua các cuộc gọi video. Sau khi lấy lòng tin, chúng yêu cầu hỗ trợ tài chính, viện lý do như chi phí khẩn cấp hoặc khoản vay.

Deepfake video cũng được dùng để tạo ra các chiến dịch quảng cáo giả mạo. Một trường hợp khác là video giả mạo Thủ tướng Canada Justin Trudeau quảng cáo về một kế hoạch đầu tư. Video này được phát tán trên nhiều nền tảng, khiến không ít người bị lừa do không thể phân biệt đâu là thật giả.

Cách nhận diện lừa đảo
Từ thực tế đáng báo động, các chuyên gia bảo mật khuyến cáo về cách nhận diện lừa đảo, đặc biệt là những hình thức có sự hỗ trợ của AI.

Thứ nhất, nội dung lừa đảo do các mô hình ngôn ngữ lớn (LLM) tạo ra thường được thiết kế mượt mà và tự nhiên, nhưng đôi khi vẫn để lại những dấu vết khá đặc trưng. Một số cụm chữ như: "Là một mô hình ngôn ngữ AI…" hoặc "Mặc dù tôi không thể làm chính xác điều bạn muốn…" thường xuất hiện trong nội dung chưa được chỉnh sửa kỹ lưỡng. Ngoài ra, các email hoặc tin nhắn lừa đảo thường mang tính khẩn cấp, yêu cầu nạn nhân cung cấp thông tin cá nhân, mật khẩu hoặc thực hiện giao dịch ngay lập tức.

Thứ 2, hãy kiểm tra kỹ địa chỉ email, số điện thoại hoặc đường dẫn liên kết trong các tin nhắn. Địa chỉ giả mạo thường có những biến thể nhỏ, như bỏ thêm ký tự, thay đổi một vài chữ cái để trông giống với địa chỉ thật. Ví dụ, thay vì "bankname.com", địa chỉ giả mạo có thể là "banknam3.com". Đường dẫn lạ hoặc không rõ ràng cũng là dấu hiệu đáng nghi ngờ.

Thứ 3, video hoặc hình ảnh deepfake thường có những dấu hiệu bất thường, đặc biệt khi quan sát kỹ, các chi tiết như chuyển động môi không khớp với giọng nói, ánh sáng không đồng đều, hoặc các vùng mờ nhòe chung quanh khuôn mặt có thể là dâu vết cho nội dung giả mạo. Để kiểm tra, bạn có thể sử dụng các ứng dụng phát hiện ra deepfake, nhiều ứng dụng hiện nay được thiết kế ra để nhận diện các đặc điểm không tự nhiên trong video hoặc hình ảnh.

Thứ 4, phân tích giọng nói "giả mạo". Bởi giọng nói giả mạo (voice fakes) thường có âm sắc đều, thiếu cảm xúc hoặc các đặc điểm tự nhiên. Nếu nhận được cuộc gọi hoặc tin nhắn thoại yêu cầu chuyển tiền hoặc cung cấp thông tin nhạy cảm, hãy đề cao cảnh giác và kiểm tra lại thông tin qua một kênh liên lạc khác. Ví dụ, bạn có thể gọi trực tiếp đến số điện thoại chính thức của người quen hoặc tổ chức liên quan để xác minh kỹ lưỡng hơn.

Thứ 5, hãy cảnh giác với những bài đăng hoặc quảng cáo có nội dung quá tốt để cho là chuyện có thật. Các chiến dịch lừa đảo thường sử dụng hình ảnh hoặc video của các nhân vật nổi tiếng để tạo ra sự tin tưởng. Nếu có nghi ngờ, hãy kiểm tra nội dung này trên các nguồn chính thức hoặc tìm kiếm thông tin qua các trang web đáng tin cậy.

Thứ 6, xem xét tính nhất quán của thông điệp. Các nội dung lừa đảo thường thiếu tính nhất quán trong ngôn ngữ hoặc thông điệp. Ví dụ, một email có thể bắt đầu bằng ngôn ngữ trang trọng nhưng sau đó sử dụng các cụm chữ không tự nhiên hoặc thiếu chuyên nghiệp. Hãy lưu ý các lỗi này và tránh hồi âm với những lời yêu cầu đáng ngờ.

Thứ 7, sử dụng ứng dụng phát hiện lừa đảo. Hiện nay, có nhiều phương cách và ứng dụng được phát minh ra nằm phát hiện các dấu hiệu bất thường trong nội dung do AI tạo ra. Những ứng dụng này có thể giúp xác định giọng nói giả, hình ảnh deepfake hoặc các email phishing. Một số phần mềm cũng cung cấp tính năng quét và báo động nếu phát hiện ra nội dung khả nghi.

Thứ 8, nên kiểm tra tính cách khẩn cấp trong yêu cầu. Hầu hết các cuộc tấn công lừa đảo đều muốn tạo cảm giác khẩn cấp để khiến cho nạn nhân không có đủ thời gian suy nghĩ. Nếu nhận được yêu cầu khẩn cấp có liên quan đến tài chính hoặc thông tin cá nhân, hãy dành thời gian cho kiểm tra và xác minh thông tin qua các kênh đáng tin cậy trước khi hành động.

Thứ 9, nâng cao cảnh giác với các tài khoản bị tấn công. Nếu một người quen gửi tin nhắn với nội dung không giống phong cách thường ngày hoặc có yêu cầu gì bất thường, hãy xác minh lại trước khi hồi âm. Kẻ xấu thường lợi dụng các tài khoản bị chiếm quyền để gửi tin nhắn lừa đảo.

Cuối cùng, trước khi nhấp vào bất cứ đường dẫn nào, hãy kiểm tra kỹ URL để bảo đảm đó là địa chỉ chính thức. Tương tự, các tập tin đính kèm từ nguồn gốc không rõ ràng có thể chứa đựng phần mềm độc hại, hãy tránh mở ra chúng nếu bạn thấy không chắc chắn.

Nhận diện lừa đảo là bước đầu tiên và quan trọng nhất để bảo vệ bản thân trước các mối đe dọa trên mạng. Bằng cách nâng cao nhận thức và áp dụng các biện pháp kiểm tra căn bản, bạn có thể giúp giảm thiểu nguy cơ trở thành nạn nhân của các cuộc tấn công tinh vi này.

Cho nên xin được nhắc nhở với các bạn, hàng ngày có nhiều cú gọi "lạ" đến, không nằm trong danh sách điện thoại thì chớ nên bấm để trả lời vì bọn xấu sẽ thu giọng nói và tên tuổi của mình để giở trò lừa đảo. Nên nhắc nhở với người thân, bạn bè nên nhắn tin trước hoặc để lại lời nhắn nếu không gọi được và nhớ ngăn chận (block) lại tất cả số lạ gọi đến trong iPhone hoặc Android phone!!

Xem theo clip trên YouTube về chuyện lừa đảo qua phone:

SCAM ALERT: FBI Issues Urgent Warning on iPhone & Android Text Scam