Trong bối cảnh tội phạm mạng liên tục thay đổi, sự tiến bộ của trí tuệ nhân tạo (AI) trong tấn công mạng và các kỹ thuật social engineering thích ứng đã tạo ra một cuộc cách mạng đáng kể trong các chiến dịch lừa đảo (phishing) và scam. Tin tặc hiện đang khai thác mạng nơ-ron và các mô hình ngôn ngữ lớn (LLM) để tạo ra nội dung lừa đảo siêu thực, tận dụng các sự kiện thời sự và dữ liệu cá nhân để nhắm mục tiêu hiệu quả hơn vào các cá nhân và tổ chức.

Sự Tiến Hóa của Tấn Công Mạng nhờ AI

Sự chuyển đổi này đánh dấu một bước đi khác biệt so với các phương pháp truyền thống, tích hợp các kỹ thuật như deepfake, nhân bản giọng nói (voice cloning) và thu thập dữ liệu tự động. Mục tiêu là để vượt qua các biện pháp bảo mật thông thường và thu thập dữ liệu định danh bất biến (immutable identity data).

Trí tuệ nhân tạo đang cách mạng hóa các chiến thuật phishing bằng cách cho phép tạo ra các thông tin liên lạc hoàn hảo, được tùy chỉnh theo ngữ cảnh và bắt chước các nguồn hợp pháp. Các mô hình này, một ứng dụng mạnh mẽ của AI trong tấn công mạng, xóa bỏ các dấu hiệu nhận biết truyền thống của email lừa đảo.

Tạo Nội Dung Giả Mạo Hoàn Hảo

Các mạng nơ-ron, tương tự như DeepSeek, tạo ra email, tin nhắn tức thời và trang web không có lỗi ngữ pháp hoặc sự không nhất quán về định dạng. Điều này làm tăng đáng kể khả năng nạn nhân click vào các liên kết độc hại hoặc tải xuống tệp đính kèm.

Theo báo cáo của Kaspersky, trong các kế hoạch social engineering như lừa đảo “pig butchering” (sát hại lợn), các bot do AI cung cấp trên các nền tảng bao gồm mạng xã hội và ứng dụng hẹn hò mô phỏng các cuộc trò chuyện giống con người. Chúng xây dựng các mối quan hệ tình cảm để dụ dỗ nạn nhân đầu tư vào các khoản tiền điện tử gian lận. Tham khảo thêm về xu hướng lừa đảo trong báo cáo của Kaspersky: New phishing and scam trends in 2025.

Deepfake và Giả Mạo Giọng Nói/Video

Ngoài văn bản, các bot này tạo ra nội dung âm thanh và hình ảnh tổng hợp cho các cuộc gọi video, làm mờ ranh giới giữa tương tác xác thực và lừa đảo. Công nghệ deepfake càng làm tăng cường mối đe dọa này.

Nhân bản giọng nói tạo điều kiện cho các cuộc gọi tự động (robocalls) mạo danh cảnh báo bảo mật ngân hàng, ép buộc người dùng tiết lộ mật khẩu một lần (OTP) để truy cập tài khoản trái phép. Tương tự, các video giả mạo do AI điều khiển, chẳng hạn như các video tặng quà của người nổi tiếng bịa đặt trên YouTube Shorts, lôi kéo người dùng bằng những lời hứa về giải thưởng, dẫn đến đánh cắp dữ liệu hoặc mất mát tài chính. Đây là những ví dụ điển hình về social engineering AI.

Cá Nhân Hóa Tấn Công và Khai Thác Nền Tảng

Tận Dụng OSINT và LLM

Các công cụ tình báo nguồn mở (OSINT) được hỗ trợ bởi LLM phân tích các tập dữ liệu khổng lồ từ mạng xã hội và các nguồn doanh nghiệp. Điều này cho phép thực hiện các cuộc tấn công được cá nhân hóa cao, bao gồm các thông tin liên lạc giả mạo từ phòng Nhân sự (HR) hoặc các giám đốc điều hành có đề cập đến các quy trình nội bộ.

Các ứng dụng nhắn tin, đặc biệt là Telegram, đã trở thành mảnh đất màu mỡ cho các vụ lừa đảo tăng cường AI do API mở và tích hợp tiền điện tử của chúng. Điều này cho thấy sự linh hoạt của AI trong tấn công mạng.

Kỹ Thuật Khai Thác trên Nền Tảng Nhắn Tin

Các bot độc hại tự động hóa bộ công cụ phishing nâng cao, tạo ra các trang web giả mạo hoặc trực tiếp thu thập dữ liệu thông qua các kế hoạch lừa đảo. Ví dụ phổ biến là các đợt airdrop tiền điện tử yêu cầu gửi tiền để xác minh KYC, hoặc mạo danh các dịch vụ bưu chính để giao bưu kiện.

Chiếm đoạt tài khoản thông qua social engineering thường liên quan đến các liên kết được ngụy trang nhằm thu thập mã xác minh. Kẻ tấn công sử dụng các tính năng chỉnh sửa tin nhắn để né tránh phát hiện, một dấu hiệu của các chiến dịch phishing nâng cao.

Kỹ Thuật Che Giấu và Né Tránh Phát Hiện

Tích Hợp Dịch Vụ Hợp Pháp

Để kéo dài thời gian tồn tại của các tài nguyên phishing, tội phạm mạng tích hợp với các dịch vụ hợp pháp. Telegraph lưu trữ các trang chuyển hướng, Google Translate làm che giấu các URL độc hại thông qua thao tác tên miền phụ, và việc triển khai CAPTCHA cản trở các máy quét chống phishing tự động.

Blob URLs để Che Giấu Nội Dung

Các Blob URL, được tạo thông qua JavaScript để truy cập dữ liệu cục bộ tạm thời, tiếp tục che giấu các cuộc tấn công bằng cách lưu trữ nội dung phishing trong phiên trình duyệt của nạn nhân. Điều này làm phức tạp việc phát hiện từ phía máy chủ, một chiến thuật phổ biến trong các chiến dịch phishing nâng cao do AI trong tấn công mạng hỗ trợ.

Mục Tiêu Mới: Dữ Liệu Bất Biến và Vượt Qua MFA

Một điểm khác biệt đáng chú ý trong mục tiêu của tội phạm mạng liên quan đến việc theo đuổi dữ liệu không thể thu hồi. Các dữ liệu này bao gồm dữ liệu sinh trắc học, chữ ký số và dấu vân tay giọng nói. Chúng tạo điều kiện truy cập vào các hệ thống chính phủ điện tử, ngân hàng và doanh nghiệp được bảo vệ bởi xác thực đa yếu tố (MFA).

Các trang phishing có thể yêu cầu quyền truy cập camera để xác minh giả mạo, thu thập dữ liệu khuôn mặt. Trong khi đó, các cuộc tấn công spear-phishing nhắm mục tiêu vào các dịch vụ như DocuSign để đánh cắp chữ ký điện tử, gây ra thiệt hại nghiêm trọng về danh tiếng. Các chiến thuật đa giai đoạn, bao gồm gửi OTP giả mạo sau đó là các cuộc gọi đe dọa mạo danh cơ quan chức năng, đã vượt qua nhận thức của người dùng về các trò lừa đảo truyền thống. Đây là minh chứng cho sự tinh vi của social engineering AI.

Biện Pháp Giảm Thiểu và Phòng Chống

Để giảm thiểu các mối đe dọa này, người dùng nên đánh giá kỹ lưỡng các thông tin liên lạc không được yêu cầu. Luôn xác minh đích đến của liên kết mà không cần nhấp vào và hạn chế chia sẻ OTP.

Kiểm tra nội dung để tìm các dấu hiệu nhận biết deepfake như hình ảnh không tự nhiên, giảm thiểu dấu chân trực tuyến bằng cách tránh các bài đăng nhạy cảm và triển khai các giải pháp bảo mật mạnh mẽ có thể tăng cường khả năng chống lại các cuộc tấn công mạng do AI điều khiển này.