Các tác nhân đe dọa đang ngày càng tận dụng các công cụ trí tuệ nhân tạo tạo sinh (GenAI) để xây dựng những trang web lừa đảo (phishing) vô cùng thuyết phục, mạo danh các cổng thông tin chính phủ hợp pháp. Sự phát triển này đại diện cho một mối đe dọa mạng nghiêm trọng, thách thức các biện pháp bảo mật truyền thống.

GenAI: Công Cụ Mới Cho Kẻ Tấn Công Mạng

Như Zscaler ThreatLabz đã nhấn mạnh trong các báo cáo gần đây, bản chất lưỡng diện của GenAI đang trở thành một vấn đề an ninh mạng cấp bách. Mặc dù GenAI hỗ trợ tăng năng suất cho người dùng hợp pháp, nó cũng đồng thời cung cấp năng lực đáng kể cho tội phạm mạng.

Các công cụ GenAI như DeepSite AI và BlackBox AI cho phép kẻ tấn công sao chép các trang web chính thức với độ chính xác đáng báo động. Mục tiêu cuối cùng là nhắm vào những người dùng không cảnh giác để trục lợi tài chính.

Hai chiến dịch cụ thể tại Brazil đã minh họa rõ ràng nguy cơ ngày càng tăng này. Các chiến dịch mạo danh Bộ Giao thông Vận tải Nhà nước và Bộ Giáo dục. Những cuộc tấn công này đã khai thác cả sự tinh vi về kỹ thuật và các yếu tố kỹ thuật xã hội để lừa gạt nạn nhân.

Mức Độ Tinh Vi Của Các Chiến Dịch Lừa Đảo

Các chiến dịch lừa đảo được Zscaler ThreatLabz phân tích cho thấy cách tiếp cận tỉ mỉ của các tác nhân đe dọa. Họ sử dụng GenAI để nhân bản các trang web chính phủ, ví dụ như Bộ Giao thông Vận tải Nhà nước và Bộ Giáo dục Brazil. Các bản sao này có tính thẩm mỹ gần như giống hệt bản gốc.

Để tăng cường khả năng tiếp cận đến các nạn nhân tiềm năng, những trang web giả mạo này được đẩy lên trong kết quả tìm kiếm thông qua các kỹ thuật SEO poisoning. Điều này đảm bảo chúng có mức độ hiển thị cao. Thông tin chi tiết về kỹ thuật SEO poisoning có thể được tham khảo tại nguồn ngoài đáng tin cậy.

Dấu Hiệu Nhận Biết Website Lừa Đảo Do AI Tạo Ra

Phân tích kỹ thuật mã nguồn của các trang web lừa đảo này đã phát hiện những dấu hiệu rõ ràng của nội dung được tạo bởi AI. Những dấu hiệu này thường không có trong các bộ công cụ phishing truyền thống.

• TailwindCSS và FontAwesome: Các trang web lừa đảo thường sử dụng các thư viện phổ biến như TailwindCSS cho việc tạo kiểu (styling) và FontAwesome cho các biểu tượng. Việc sử dụng chúng trong các trang giả mạo cho thấy một quy trình phát triển nhanh chóng, thường thấy khi GenAI tổng hợp mã nguồn.
• Bình Luận Mã Nguồn Chi Tiết: Mã nguồn chứa các bình luận mô tả quá mức, ví dụ: “In a real implementation, this would make an API call.”. Những bình luận này, vốn được dùng để hướng dẫn nhà phát triển, lại rất hiếm gặp trong các bộ công cụ lừa đảo thông thường. Các bộ công cụ này thường ưu tiên mã nguồn được che dấu hoặc tối ưu hóa cho kích thước nhỏ gọn.
• Các Yếu Tố Giao Diện Không Hoạt Động: Các yếu tố giao diện người dùng (UI) trên các trang này thường không có chức năng, ví dụ như các nút hoặc liên kết không thể nhấp. Điều này trái ngược hoàn toàn với các trang web hợp pháp và là dấu hiệu rõ ràng của việc sao chép bằng AI mà không có tính tương tác đầy đủ.

Kỹ Thuật Thu Thập Dữ Liệu Tinh Vi Và Tấn Công Mạng

Các trang lừa đảo này cũng sử dụng phương pháp thu thập dữ liệu theo từng giai đoạn. Chúng yêu cầu các thông tin nhạy cảm như mã số thuế Brazil (CPF) và chi tiết địa chỉ cư trú. Cách thức yêu cầu này bắt chước quy trình xác thực của các cổng chính phủ.

Hơn nữa, việc sử dụng xác thực API phía backend giúp tăng cường niềm tin của nạn nhân. Điều này khiến quá trình lừa đảo trở nên khó phân biệt với các giao dịch hợp pháp, làm tăng hiệu quả của cuộc tấn công mạng.

Mục Tiêu Tài Chính: Hệ Thống Thanh Toán Pix

Mục tiêu cuối cùng của những cuộc tấn công này là chiết xuất các khoản thanh toán thông qua Pix, hệ thống thanh toán tức thời của Brazil. Chúng được ngụy trang dưới dạng các khoản phí bắt buộc. Nạn nhân vô tình chuyển tiền trực tiếp cho kẻ tấn công.

Mặc dù hiện tại các chiến dịch này chỉ chiết xuất được số tiền tương đối khiêm tốn (khoảng 16 USD mỗi nạn nhân), chúng tiềm ẩn nguy cơ leo thang đáng kể. Khả năng nhanh chóng tạo ra các bản sao thuyết phục bằng công cụ GenAI cho thấy tiềm năng thực hiện các cuộc tấn công rộng hơn, gây thiệt hại lớn hơn. Những cuộc tấn công này có thể nhắm vào dữ liệu nhạy cảm hoặc các giao dịch tài chính lớn hơn trong tương lai.

Phát Hiện Và Phòng Ngừa Mối Đe Dọa Mạng

Theo báo cáo từ Zscaler, việc áp dụng kiến trúc Zero Trust là cực kỳ quan trọng để giảm thiểu các rủi ro. Ngoài ra, việc tuân thủ các phương pháp tốt nhất để nhận diện các chỉ số lừa đảo cũng đóng vai trò then chốt. Nền tảng bảo mật đám mây của Zscaler phát hiện các mối đe dọa liên quan dưới các mã định danh cụ thể, cung cấp khả năng phát hiện xâm nhập đa lớp chống lại các cuộc tấn công đang phát triển này.

Chỉ Số Bị Xâm Phạm (IOCs)

• Mã định danh phát hiện của Zscaler:HTML.Phish.AIGen

Khuyến Nghị Bảo Mật Và Kiến Trúc Zero Trust

Khi GenAI tiếp tục làm giảm rào cản kỹ thuật để tạo ra các trang web lừa đảo tinh vi, các tổ chức và cá nhân phải luôn cảnh giác. Ưu tiên các biện pháp an ninh mạng mạnh mẽ để đối phó với bước tiến công nghệ hai lưỡi này là điều thiết yếu.

Việc triển khai mô hình Zero Trust yêu cầu xác minh mọi yêu cầu truy cập và giao dịch. Điều này giúp ngăn chặn các cuộc tấn công mạng ngay cả khi kẻ tấn công đã vượt qua lớp phòng thủ ban đầu. Đây là một chiến lược then chốt trong bối cảnh các mối đe dọa ngày càng phức tạp.

Để biết thêm chi tiết về báo cáo này và các chỉ số bị xâm phạm, độc giả có thể tham khảo trực tiếp trên blog của Zscaler: GenAI used in phishing websites impersonating Brazil’s Government.