Các đối tượng độc hại gần đây đã phát động một chiến dịch phishing AI tinh vi, mạo danh cả OpenAI và dịch vụ AI Sora 2 vừa ra mắt. Kẻ tấn công sao chép các trang đích có vẻ hợp pháp, lừa người dùng gửi thông tin đăng nhập, tham gia các khảo sát “quà tặng” giả mạo và thậm chí trở thành nạn nhân của các vụ lừa đảo tiền điện tử.

Các nhà nghiên cứu bảo mật đã ghi nhận rằng các tên miền lừa đảo này đang thu hút những người dùng không nghi ngờ. Họ khuyến nghị cần xác minh mọi URL trước khi tương tác với bất kỳ dịch vụ AI nào để tránh các mối đe dọa mạng. Để biết thêm thông tin về phòng chống lừa đảo, người dùng có thể tham khảo các khuyến nghị từ CISA.

Phân Tích Kỹ Thuật Chiến Dịch Lừa Đảo AI

Sau khi OpenAI công bố các khả năng AI mới, nhiều trang web lừa đảo đã nhanh chóng xuất hiện. Các trang này sử dụng thương hiệu của OpenAI nhưng lại chứa nội dung hoàn toàn giả mạo, nhắm vào lòng tin của người dùng vào các dịch vụ công nghệ mới nổi.

Kỹ Thuật Giả Mạo Trang Đích và Thu Thập Thông Tin Đăng Nhập

Một tên miền độc hại điển hình là gotosora2.com/pricing, cung cấp các gói đăng ký giả mạo như Starter, Standard, Professional, Advanced và Ultimate. Các gói này được trình bày với mức giá theo điểm và thiết kế giao diện gần như giống hệt cổng thông tin chính thức của OpenAI, tạo ra một màn hình giả mạo rất thuyết phục.

Tuy nhiên, kiểm tra kỹ hơn cho thấy phía dưới giao diện tiếng Anh, siêu dữ liệu ẩn chứa các mô tả và từ khóa tiếng Trung. Đây là bằng chứng rõ ràng của mã nguồn bị sao chép và sử dụng lại trái phép, thiếu tính xác thực.

Nạn nhân khi cố gắng “Chọn gói” sẽ bị chuyển hướng đến các biểu mẫu đăng nhập giả mạo, yêu cầu địa chỉ email và mật khẩu. Kẻ tấn công thu thập các thông tin này để sử dụng cho các mục đích độc hại sau này, bao gồm chiếm quyền kiểm soát tài khoản hoặc bán thông tin.

Ngoài các trang tiếng Anh, chiến dịch còn mở rộng sang các tên miền nhắm mục tiêu đến người nói các ngôn ngữ khác. Một trang web, sora2.tech, trình bày dịch vụ bằng tiếng Nga là “Генерация видео и звука” (tạo video và âm thanh).

Trang này sử dụng văn bản và nút được dịch chuyên nghiệp, mời người dùng “Попробовать бесплатно в SRTFC” (“Dùng thử miễn phí trong SRTFC”) và “Посмотреть примеры работ” (“Xem các ví dụ về công việc”). Sự mở rộng phạm vi ngôn ngữ này cho thấy ý định của kẻ tấn công nhằm thu thập thông tin đăng nhập từ đối tượng toàn cầu, tăng cường hiệu quả của chiến dịch phishing AI.

Mô Hình Lừa Đảo Sau Thu Thập Thông Tin Đăng Nhập

Sau khi người dùng nhập thông tin, họ sẽ được yêu cầu hoàn thành các khảo sát xác minh con người hoặc nhận các ưu đãi quà tặng miễn phí. Đây là một chiêu trò được thiết kế để tăng cường tương tác và thu thập thêm dữ liệu cá nhân, gây ra rủi ro bảo mật nghiêm trọng cho người dùng.

Một trang điển hình có tiêu đề “Final Step: Human Verification Required” (Bước cuối cùng: Yêu cầu xác minh con người). Trang này hướng dẫn người dùng tham gia khảo sát, đăng ký dịch vụ hoặc chia sẻ mã giới thiệu để mở khóa quyền truy cập vào mã Sora 2.

Các khảo sát này thường chuyển hướng người tham gia đến các trang liên kết của bên thứ ba. Điều này tạo ra doanh thu cho kẻ tấn công thông qua các chương trình tiếp thị liên kết, trong khi nạn nhân không hề hay biết về mục đích thực sự.

Mở Rộng Chiến Dịch Sang Lừa Đảo Tiền Mã Hóa

Khi chiến dịch lừa đảo phát triển, các chiến thuật hung hãn hơn đã xuất hiện, đặc biệt là trong lĩnh vực tiền mã hóa. Một số trang giả mạo hiện đang quảng bá các token tiền điện tử giả mạo có tên SORA2 hoặc $SORA2.

Chúng kêu gọi người dùng mua các token này trên các sàn giao dịch phi tập trung như Phantom hoặc thông qua Pump.fun. Phần “tokenomics” (kinh tế học token) tuyên bố nguồn cung 1.000.000.000 token với thuế bằng không và thanh khoản tự động.

Đây là những đặc điểm điển hình của một vụ “rug pull” – một hình thức lừa đảo tiền mã hóa. Trong đó, những kẻ tạo ra token rút cạn thanh khoản khỏi thị trường, khiến các nhà đầu tư sở hữu tài sản vô giá trị. Chiến dịch phishing AI này đã phát triển đa dạng các hình thức lừa đảo.

Những người dùng không nghi ngờ, đã đổi tiền hợp pháp lấy các token giả mạo này, sẽ chỉ còn lại tài sản vô giá trị sau khi kẻ tấn công rút cạn bể thanh khoản. Đây là một hình thức lừa đảo tinh vi, khai thác sự thiếu hiểu biết của nạn nhân về thị trường tiền mã hóa.

Chỉ Số Thỏa Hiệp (IOCs) Của Chiến Dịch

Để hỗ trợ phát hiện và phòng ngừa, dưới đây là các chỉ số thỏa hiệp liên quan đến chiến dịch phishing AI này:

• Tên miền giả mạo:
  • gotosora2.com/pricing
  • sora2.tech
  • Các tên miền tương tự mạo danh OpenAI hoặc Sora 2 (người dùng cần cảnh giác với bất kỳ URL nào không phải là openai.com hoặc sora.so)
• Token tiền mã hóa giả mạo:
  • SORA2
  • $SORA2
• Nguồn gốc nghiên cứu: Các nhà nghiên cứu bảo mật từ Unit 42 của Palo Alto Networks đã chia sẻ thông tin về các tên miền lừa đảo này, cung cấp cảnh báo sớm cho cộng đồng.

Biện Pháp Phòng Ngừa và Nâng Cao An Ninh Mạng

Với sự phổ biến nhanh chóng của các dịch vụ AI và nền tảng tài chính phi tập trung, các tác nhân đe dọa đang khai thác lòng tin của người dùng vào các thương hiệu quen thuộc. Để giảm thiểu rủi ro bảo mật và bảo vệ bản thân, các chuyên gia khuyến nghị các biện pháp sau:

• Xác minh URL kỹ lưỡng: Luôn kiểm tra tên miền so với nguồn chính thức đã biết. Tuyệt đối không nhấp vào các liên kết được chia sẻ qua mạng xã hội, email không rõ nguồn gốc hoặc giới thiệu từ bên thứ ba.
• Kiểm tra siêu dữ liệu trang web: Kiểm tra siêu dữ liệu của trang web để tìm sự không nhất quán, đặc biệt là các chi tiết kỹ thuật hoặc ngôn ngữ không phù hợp với nguồn gốc đáng tin cậy.
• Truy cập trực tiếp: Người dùng nên truy cập trực tiếp vào các trang web chính thức như openai.com hoặc sora.so cho bất kỳ dịch vụ liên quan đến AI nào, thay vì thông qua các liên kết trung gian.
• Kích hoạt Xác thực Đa Yếu tố (MFA): Kích hoạt MFA trên tất cả các tài khoản quan trọng để thêm một lớp bảo vệ chống lại việc thu thập thông tin đăng nhập. Ngay cả khi mật khẩu bị lộ, kẻ tấn công vẫn khó truy cập hơn.
• Sử dụng trình quản lý mật khẩu: Sử dụng các trình quản lý mật khẩu uy tín để tạo và lưu trữ mật khẩu mạnh, độc đáo cho mỗi tài khoản. Điều này giúp giảm thiểu rủi ro từ các tấn công phishing AI.
• Cập nhật thông tin bảo mật: Theo dõi các cảnh báo bảo mật mới nhất và tin tức về các chiến dịch phishing mới từ các nguồn đáng tin cậy để luôn cảnh giác.

Bằng cách cảnh giác cao độ, xác minh mọi URL và thận trọng trước khi chia sẻ thông tin cá nhân, người dùng có thể tự bảo vệ mình khỏi trở thành nạn nhân tiếp theo của các vụ lừa đảo mạo danh này. Đảm bảo an ninh mạng là trách nhiệm chung của mỗi người dùng trong môi trường kỹ thuật số hiện nay.