Cách Kẻ Lừa Đảo Và Scammer Lợi Dụng AI

Trí tuệ nhân tạo (AI) đã trao cho tội phạm mạng một loạt công cụ mới để thực hiện hành vi lừa đảo — từ việc tạo deepfake, cho đến triển khai tức thời các website phishing (giả mạo) hoặc chiến dịch email lừa đảo quy mô lớn. Hãy cùng phân tích các xu hướng AI mới nhất trong lĩnh vực lừa đảo và cách phòng vệ an toàn.

Mặc dù AI mang lại vô số cơ hội tích cực, nó cũng đồng thời mở ra cả một hệ sinh thái mối đe dọa mới. Công nghệ Generative AI cho phép kẻ tấn công tạo deepfake, dựng website giả mạo, phát tán spam, thậm chí mạo danh bạn bè hoặc người thân. Bài viết này sẽ tập trung vào cách các mạng nơ-ron đang bị khai thác trong lừa đảo và phishing, đồng thời đưa ra những khuyến nghị bảo mật thiết thực.

“Pig Butchering”, “Catfishing” Và Deepfake

Scammer ngày nay sử dụng AI bot giả làm con người thật, đặc biệt trong các vụ lừa đảo tình cảm (romance scam). Chúng xây dựng hồ sơ ảo, trò chuyện với nhiều nạn nhân cùng lúc để tạo sự gắn kết cảm xúc. Sau nhiều tuần hoặc nhiều tháng, những câu chuyện tình cảm sẽ dần chuyển hướng sang “cơ hội đầu tư sinh lời”. Một khi nạn nhân tin tưởng và rót vốn vào dự án giả mạo, trò lừa đảo khép lại với thiệt hại tài chính nghiêm trọng. Đây chính là kiểu lừa đảo “pig butchering” (mổ heo), vốn từng do các “trại scam” ở Đông Nam Á vận hành, nhưng giờ được AI tự động hóa, giảm đáng kể chi phí nhân lực.

Catfishing — mạo danh danh tính giả hoặc người thật — cũng trở nên dễ dàng hơn nhờ mạng nơ-ron sinh. Chỉ với dữ liệu công khai từ ảnh, video, bài đăng mạng xã hội, thông tin cá nhân, kẻ lừa đảo có thể huấn luyện AI để tái tạo ngoại hình, giọng nói, hoặc phong cách viết của nạn nhân với độ chính xác cao.

Deepfake không chỉ dừng ở văn bản hay hình ảnh tĩnh. Video và giọng nói giả lập đang tạo ra thách thức lớn hơn nhiều. Đã có trường hợp một phụ nữ ở Florida mất 15.000 USD vì tin rằng mình đang nói chuyện với con gái vừa gặp tai nạn. Giọng khóc lóc mà bà nghe được thực chất chỉ là deepfake audio.

Trên dark web, các dịch vụ tạo deepfake theo thời gian thực hiện đang được rao bán chỉ từ 30 USD cho giọng nói và 50 USD cho video — trong khi vài năm trước, chi phí này lên tới hàng chục nghìn USD/phút. Những dịch vụ này bao gồm giả mạo khuôn mặt trong video call, xác thực danh tính, lip-sync ngôn ngữ lạ, hay thậm chí cloning giọng nói để thể hiện cảm xúc mong muốn. Tuy nhiên, ngay cả những “dịch vụ ngầm” này cũng có thể là trò lừa đảo nhắm vào chính các scammer thiếu kinh nghiệm.

Làm Thế Nào Để Giữ An Toàn

• Cảnh giác với mối quan hệ online chưa từng gặp mặt trực tiếp. Ngay cả khi đã trò chuyện lâu, nếu đối phương nhắc đến đầu tư, tiền điện tử hoặc yêu cầu chuyển tiền, khả năng cao là lừa đảo.

• Không tin vào ưu đãi bất ngờ từ người nổi tiếng hoặc thương hiệu lớn trên mạng xã hội. Luôn kiểm chứng tại kênh chính thức, đặc biệt nếu có yêu cầu trả phí, thuế hoặc cung cấp thẻ tín dụng để nhận “giải thưởng”.

• Xác thực danh tính người thân qua kênh khác. Nếu bạn nhận được yêu cầu bất thường, hãy gọi điện trực tiếp, hỏi những chi tiết cá nhân mà scammer không thể biết. Có thể thiết lập “mật khẩu riêng” giữa người thân để đối chiếu khi khẩn cấp.

• Nhận diện deepfake video. Yêu cầu người kia xoay mặt, cử động tay phức tạp, hoặc chú ý dấu hiệu bất thường như không chớp mắt, khẩu hình sai lệch.

• Không bao giờ chia sẻ thông tin nhạy cảm như số thẻ ngân hàng, OTP hoặc mã xác thực bảo mật qua tin nhắn hay cuộc gọi.

Cuộc Gọi Tự Động Giả Mạo

AI đang được dùng để tạo ra cuộc gọi tự động giả mạo ngân hàng, nhà mạng, hoặc cơ quan chính phủ. Người nhận dễ bị đánh lừa vì nhiều doanh nghiệp thật cũng triển khai tổng đài tự động. Nhưng hãy nhớ: không tổ chức uy tín nào chủ động gọi để xin mã xác minh hoặc báo tài khoản bị hack.

Nếu gặp trường hợp này:

• Giữ bình tĩnh, không phản ứng theo “chiêu hù dọa” như “tài khoản bị hack” hay “tiền bị đánh cắp”.

• Ngắt máy và gọi lại qua số chính thức từ website doanh nghiệp.

• Lưu ý rằng scam có thể phối hợp nhiều người, nhiều số điện thoại, giả danh cả cảnh sát hoặc nhân viên nhà nước.

Chatbot Và AI Agent Dễ Bị Phishing

Người dùng ngày càng ưu tiên chatbot AI (như ChatGPT, Gemini) thay cho công cụ tìm kiếm truyền thống. Nhưng điều này tiềm ẩn rủi ro: AI có thể gợi ý link phishing hoặc thậm chí tự động điền thông tin nhạy cảm thay bạn.

Trong một thử nghiệm, các nhà nghiên cứu đã đánh lừa AI agent của trình duyệt Comet bằng email giả danh ngân hàng Wells Fargo. Agent này không chỉ mở link phishing mà còn giúp điền thông tin đăng nhập. Một thử nghiệm khác, AI còn “mua hàng” trên website Walmart giả mạo và tự động nhập thông tin thẻ ngân hàng người dùng.

Điều này cho thấy AI agent dễ dàng rơi vào bẫy social engineering như một người mới trên Internet. Để phòng tránh, cần:

• Kiểm chứng thông tin AI đưa ra.

• Hạn chế quyền truy cập AI agent.

• Sử dụng giải pháp bảo mật có khả năng chặn truy cập website độc hại.

Website Phishing Sinh Tự Động Bằng AI

Những website phishing sơ sài, đầy quảng cáo độc hại đã lỗi thời. AI giúp scammer tạo website giả mạo gần như hoàn hảo: dùng HTTPS, có giao diện đẹp, kèm thỏa thuận người dùng và banner đồng ý cookie. Chúng có thể xuất hiện ở bất kỳ đâu: SMS, email, mạng xã hội, thậm chí cả kết quả tìm kiếm.

Cách Nhận Diện Website Phishing:

• Kiểm tra kỹ URL, tiêu đề, nội dung có lỗi chính tả.

• Tra cứu thời gian đăng ký tên miền.

• Để ý ngôn ngữ mang tính đe dọa hoặc thao túng cảm xúc.

• Bật tính năng kiểm tra link trong phần mềm bảo mật.

• Nếu trình duyệt cảnh báo kết nối không an toàn, rời trang ngay.

• So sánh URL với kết quả tìm kiếm chính thức, cảnh giác với link có nhãn “Ad” hoặc “Sponsored”.

 Với tốc độ phát triển của AI trong tay tội phạm mạng, việc nâng cao nhận thức, sử dụng giải pháp bảo mật tiên tiến và luôn duy trì sự cảnh giác là yếu tố then chốt để bảo vệ bản thân, doanh nghiệp và cộng đồng trước các mối đe dọa mới.