Google đã bày tỏ kế hoạch sử dụng Trí tuệ Nhân tạo (AI) để ngăn chặn các hình thức lừa đảo giả mạo hỗ trợ kỹ thuật trong trình duyệt Chrome.
Với việc phát hành Chrome phiên bản 137, Google dự kiến sẽ sử dụng mô hình ngôn ngữ lớn Gemini Nano chạy trực tiếp trên thiết bị (on-device) để phát hiện và chặn các hành vi lừa đảo dạng này.
Hiện tại, người dùng đã có thể kích hoạt tính năng Bảo vệ nâng cao (Enhanced Protection) bằng cách truy cập Cài đặt > Quyền riêng tư và bảo mật > Bảo mật > Duyệt web an toàn (Safe Browsing).
Lý do mà Google đưa ra là các mô hình ngôn ngữ lớn (LLM) khá hiệu quả trong việc hiểu và phân loại bản chất đa dạng, phức tạp của các trang web. Điều này có nghĩa là, do nhiều trang web độc hại chỉ tồn tại trong thời gian rất ngắn, việc học và nhận diện hành vi của chúng sẽ hiệu quả hơn so với cách liên tục bổ sung các tên miền vào danh sách chặn (một điều mà chính Google cũng từng gặp nhiều khó khăn khi giới thiệu Manifest V3).
Các cuộc lừa đảo giả mạo hỗ trợ kỹ thuật thường có những mẫu hành vi dễ nhận diện, chẳng hạn như:
- Ép trình duyệt chuyển sang chế độ toàn màn hình
- Hiển thị số điện thoại để người dùng gọi, rải khắp mọi nơi
- Giả mạo các bản quét virus và cảnh báo bảo mật
Về phía Google, họ chỉ đề cập đến việc sẽ xem xét hành vi sử dụng Keyboard Lock API.
Nói thêm về Keyboard Lock API, đây là một công nghệ web cho phép các trang web “chiếm quyền” nhập từ bàn phím – nghĩa là chúng có thể chặn một số tổ hợp phím hoặc toàn bộ bàn phím, khiến người dùng không thể sử dụng phím tắt hoặc thao tác như thông thường trên trình duyệt hoặc hệ điều hành. Ban đầu API này được tạo ra cho những mục đích hợp pháp như chơi game trên web hoặc điều khiển từ xa (remote desktop), nhằm tránh các thao tác nhấn nhầm gây gián đoạn. Tuy nhiên, những kẻ lừa đảo đã lợi dụng công nghệ này để khiến nạn nhân không thể rời khỏi trang lừa đảo, làm họ cảm thấy bị “mắc kẹt” và tin rằng hệ thống của mình thực sự bị nhiễm mã độc.
Google giải thích rằng lý do chọn cách xử lý trực tiếp trên thiết bị là vì cách này cho phép họ phát hiện mối đe dọa ngay tại thời điểm người dùng tiếp xúc, với trải nghiệm giống hệt như người dùng.
“Chúng tôi nhận thấy rằng trung bình một trang web độc hại chỉ tồn tại chưa đầy 10 phút, nên việc bảo vệ trên thiết bị cho phép chúng tôi phát hiện và chặn các cuộc tấn công trước cả khi hệ thống quét có thể thu thập được thông tin về chúng.”
Cách hoạt động:
Khi người dùng truy cập vào một trang có dấu hiệu nghi ngờ (do LLM trong máy quyết định, dựa trên các tín hiệu như việc sử dụng Keyboard Lock API), Chrome sẽ cung cấp nội dung của trang cho mô hình LLM để phân tích các tín hiệu bảo mật – ví dụ như mục đích của trang. Các thông tin này sau đó sẽ được gửi đến máy chủ Safe Browsing để đưa ra phán quyết cuối cùng.
Nếu hệ thống Safe Browsing xác định rằng trang web là độc hại, Chrome sẽ ngăn chặn nội dung và hiển thị cho người dùng một màn hình cảnh báo lớn gọi là “interstitial”.
Bằng cách khiến người dùng tin rằng hệ thống của họ đã bị nhiễm mã độc, các đối tượng lừa đảo giả mạo hỗ trợ kỹ thuật nhằm mục tiêu chiếm quyền truy cập từ xa hoặc đánh cắp thông tin thanh toán. Google cho biết:
“Lừa đảo hỗ trợ kỹ thuật là một hình thức tội phạm mạng ngày càng phổ biến, đặc trưng bởi các thủ đoạn đánh lừa nhằm tống tiền hoặc truy cập trái phép vào dữ liệu nhạy cảm.”
Theo dữ liệu từ Browser Guard của Malwarebytes trong tháng vừa qua, 30% số trang web lừa đảo bị chặn thông qua tiện ích trình duyệt là các trang lừa đảo hỗ trợ kỹ thuật.
30% trong số ba nhóm gian lận là TSS
Việc Google để Chrome tích cực hỗ trợ người dùng trong việc ngăn chặn những mối đe dọa này là điều đáng ghi nhận. Tuy nhiên, Chrome không phải là trình duyệt duy nhất. Trên thực tế, chúng tôi đã ghi nhận những trường hợp người dùng gặp phải trang web lừa đảo thông báo máy tính Windows bị nhiễm mã độc khi đang duyệt web bằng trình duyệt Safari trên iPad – cho thấy thủ đoạn lừa đảo ngày càng tinh vi và đa nền tảng.
