Phishing 3.0: Tấn công Social Engineering sử dụng AI và Deepfake-Driven
AI và deepfake đang khiến việc phát hiện các cuộc tấn công phishing trở nên khó khăn hơn. Trong bài viết này Bizfly Cloud tổng hợp 1 số cách các nhà phát triển và đội ngũ IT có thể giúp bảo vệ chống lại các mối đe dọa hiện đại này.
Lừa đảo trực tuyến (phishing) ngày nay không còn là một cuộc tấn công mạng dễ phát hiện nữa. Với sự phát triển của trí tuệ nhân tạo (AI), kẻ tấn công hiện đang triển khai các chiến dịch lừa đảo trực tuyến sử dụng AI để mô phỏng hành vi của con người. Chúng có thể tạo ra các email với nội dung hoàn hảo và sử dụng các cuộc tấn công lừa đảo deepfake.
Các mối đe dọa bảo mật email hiện nay ngày càng nghiêm trọng từ các cuộc tấn công mạo danh bằng AI và lừa đảo lấy thông tin đăng nhập theo thời gian thực. Từ đó, có thể xảy ra tình huống thu thập thông tin đăng nhập hàng loạt. Điều này không chỉ dẫn đến những thiệt hại từ gian lận tiền bạc mà còn gây tổn hại đến danh tiếng doanh nghiệp. Hơn nữa, các tổ chức có thể bị đánh giá về khả năng tuân thủ và thiệt hại từ gián đoạn hoạt động.
Trước tiên, chúng ta hãy cùng tìm hiểu sự phát triển của lừa đảo trực tuyến trong những năm qua.
Sự phát triển của lừa đảo trực tuyến: Từ Spam đến Phishing 3.0
Các mối đe dọa an ninh mạng ngày càng lan rộng và trở nên tinh vi hơn với sự gia tăng của deepfake AI. Từ các cuộc tấn công phishing cơ bản dựa trên các kỹ thuật social engineering đến các deepfake phức tạp hơn, sự phát triển này đã gây ra nhiều thách thức cho các tổ chức. Trên thực tế, một báo cáo của Forbes cho thấy 30% chuyên gia CNTT chưa sẵn sàng ứng phó với các cuộc tấn công deepfake.
Các cuộc tấn công lừa đảo trực tuyến do AI điều khiển đang ngày càng trở nên tinh vi hơn, sử dụng các phương pháp tiên tiến hơn. Tuy nhiên, đây là một quá trình phát triển qua nhiều năm với ba giai đoạn riêng biệt.
Phishing 1.0: Spam chung chung và Lừa đảo hàng loạt
Kỹ thuật cũ trước đây sử dụng social engineering với gửi hàng loạt email nhắm mục tiêu đến người dùng để khai thác họ tiết lộ thông tin, chẳng hạn như thông tin đăng ký, thông tin đăng nhập, v.v. Tuy nhiên, vẫn có những dấu hiệu cảnh báo giúp phát hiện. Ví dụ: email thường chứa lỗi chính tả và lỗi ngữ pháp, cùng với các link đáng ngờ.
Phishing 2.0: Phishing nhắm mục tiêu (Spear Phishing), Phishing qua email doanh nghiệp (BEC), Đánh cắp thông tin đăng nhập
Phishing 2.0 đánh dấu sự thay đổi trong các phương thức social engineering sử dụng để tấn công mạng. Lừa đảo trực tuyến có chủ đích là một phương pháp nhắm mục tiêu vào các tổ chức cụ thể khi kẻ tấn công sử dụng thông tin dạng cá nhân hóa cao để tăng độ tin cậy. Một phương pháp phổ biến khác mà kẻ tấn công mạng sử dụng trong giai đoạn này là Lừa đảo qua email doanh nghiệp (Business Email Compromise - BEC). Có một cộng đồng gồm chức danh được những kẻ tấn công sử dụng để đóng giả làm giám đốc điều hành hoặc đối tác uy tín để lừa nhân viên tiết lộ dữ liệu nhạy cảm.
Phishing 3.0: Nội dung được tạo ra bởi AI, Mạo danh thời gian thực và Social engineering có khả năng target mục tiêu cao
Kẻ tấn công hiện nay đang thực hiện các cuộc tấn công lừa đảo deepfake thông qua các thuật toán học máy tiên tiến. Những cuộc tấn công này vượt xa các kỹ thuật social engineering thông thường. Các công cụ AI phân tích một lượng lớn dữ liệu, chẳng hạn như tài khoản mạng xã hội, public profiles và dữ liệu bị rò rỉ. Dựa trên thông tin này, chúng phát triển các cuộc tấn công siêu cá nhân hóa mà cho cảm giảm như người thật.
Cách AI thúc đẩy social engineering như thế nào?
Sự trỗi dậy của AI tạo sinh (generative AI) đã đưa phishing bước vào một kỷ nguyên mới, thường được gọi là các mối đe dọa Phishing 3.0. Nếu trước kia 1 cuộc tấn công cần nhiều tuần chuẩn bị, viết kịch bản và thực hiện thủ công giờ đây có thể được tự động hóa. Hơn nữa, kẻ tấn công có thể phát động các cuộc tấn công như vậy chỉ trong vài phút với các chiến dịch lừa đảo AI-driven.
Kết quả là các cuộc tấn công trở nên thông minh hơn, nhanh hơn và thuyết phục hơn rất nhiều. Dưới đây là ba trong số những cách đáng báo động nhất mà kẻ tấn công đang sử dụng AI để tăng cường hoạt động lừa đảo qua mạng.
Sử dụng Gen AI như một công cụ đe dọa
Tội phạm mạng hiện đang sử dụng các mô hình ngôn ngữ lớn chuyên về gian lận, ví dụ như WormGPT, cùng với các mô hình được đào tạo dạng tùy chỉnh và được thiết kế cho mục đích xấu. Các công cụ này có thể:
- Tạo email lừa đảo tinh vi, ẩn đi dấu hiệu có thể nhận biết rõ ràng
- Tự động hóa các chiến dịch Spear Phishing đòi hỏi nhiều nỗ lực thủ công
- Cá nhân hóa tin nhắn trên quy mô lớn bằng cách trích xuất dữ liệu từ hồ sơ LinkedIn, chữ ký email hoặc website của công ty
Deepfake trong các chiến dịch phishing
Một trong những diễn biến đáng lo ngại nhất trong các cuộc tấn công AI giả mạo là việc sử dụng deepfake để lừa đảo. Kẻ tấn công giờ đây có thể tái tạo giọng nói hoặc khuôn mặt của một giám đốc điều hành có danh tiếng tốt với độ chính xác đáng kinh ngạc.
Một số ví dụ thường thấy:
- Cuộc gọi giả mạo CEO tới bộ phận tài chính gây áp lực để họ thực hiện chuyển khoản
- Voicemails do AI tạo ra hướng dẫn nhân viên xử lý các khoản thanh toán khẩn cấp
- Các cuộc họp Zoom hoặc Teams giả, trong đó deepfake mạo danh giám đốc điều hành
Những cuộc tấn công phishing bằng deepfake này khai thác hai yếu tố tâm lý quan trọng: sự tin tưởng và tính cấp bách. Nhân viên - những người thường sẽ kiểm tra lại khi nhận email yêu cầu - có xu hướng tuân theo khi họ tin rằng mình đang “nghe” hoặc “nhìn thấy” sếp trực tiếp chỉ đạo.
Các vector tấn công dựa trên danh tính (Identity-Based Attack Vectors)
Mặc dù email vẫn là mục tiêu phổ biến, social engineering sử dụng AI đã lan sang nhiều kênh giao tiếp khác.
- Các nền tảng chat như Slack, Teams và WhatsApp, tại đây kẻ tấn công thường giả mạo đồng nghiệp của nạn nhân.
- Cuộc gọi video, nơi deepfake được dùng để đóng giả quản trị viên IT hoặc bộ phận hỗ trợ kỹ thuật.
- Tương tác với helpdesk, phương thức sử dụng là gửi các yêu cầu giả mạo danh tính nhân sự công ty để đặt lại thông tin đăng nhập cho những nhân sự này.
Thu thập thông tin đăng nhập vẫn là mục tiêu chính của những chiến dịch này, nhưng với AI, mức độ thuyết phục của các cuộc tấn công đã tăng lên đáng kể. Các biện pháp yếu kém như tái sử dụng mật khẩu hoặc thiếu xác thực đa yếu tố khiến tổ chức dễ bị tổn thương hơn.
Đối với các doanh nghiệp, điều này đồng nghĩa rằng phishing không còn giới hạn trong các email lạ. Việc mở rộng bề mặt tấn công đòi hỏi phòng thủ toàn diện hơn — bao gồm phát hiện phishing nâng cao, áp dụng xác thực đa yếu tố, và đào tạo nhận thức về các mối đe dọa phishing để nhân viên hiểu rõ rủi ro của các hình thức lừa đảo được AI hỗ trợ.
Vì sao việc phát hiện trở nên khó khăn hơn?
Khi AI có thể bắt chước hành vi con người, tin tặc dễ dàng tạo ra email, tin nhắn hoặc yêu cầu mang giọng điệu tự nhiên như thật. Sự phức tạp càng tăng khi xuất hiện deepfake. Các video lip-sync hoặc bản ghi âm giọng nói được dùng trong các cuộc tấn công giả mạo bằng AI có thể giống gần như hoàn toàn so với người thật.
Những biện pháp bảo mật truyền thống như SPF, DKIM, DMARC và mã hóa SSL/TLS vẫn rất cần thiết; tuy nhiên, chúng không còn đủ để đảm bảo an toàn. SSL chỉ xác thực rằng dữ liệu được truyền đi an toàn, chứ không xác minh được danh tính thực sự của người gửi. Điều này có nghĩa là ngay cả các tổ chức có hệ thống bảo mật email tốt vẫn có thể bị tấn công bởi phishing sử dụng AI hoặc deepfake.
Thực tế cho thấy ngay cả các công nghệ phát hiện phishing tiên tiến cần nhiều hơn các kỹ thuật tuyến tính bình thường. Các mối đe dọa phishing 3.0 đang thay đổi liên tục, tự học, và ngày càng được cá nhân hóa nhằm né tránh các lớp bảo vệ hiện có. Vì vậy, các tổ chức cần từ bỏ cách tiếp cận truyền thống và chuyển sang các giải pháp bảo mật ứng dụng AI, có khả năng phân tích ngữ cảnh, phát hiện bất thường và nhận diện tấn công theo thời gian thực.
Tác động từ phishing sử dụng AI và deepfake đến hoạt động kinh doanh
Hệ quả của các mối đe dọa mới liên quan đến bảo mật email vượt xa một vụ chiếm đoạt tài khoản đơn lẻ. Về tài chính, kẻ tấn công có thể đánh lừa nhân viên chuyển tiền, đánh cắp dữ liệu giá trị cao hoặc cài đặt ransomware, dẫn đến thiệt hại đáng kể. Nếu khách hàng, đối tác hoặc người mua bị lừa từ việc lãnh đạo công ty bị giả mạo, mức độ tin tưởng dành cho tổ chức sẽ giảm mạnh.
Một rủi ro khác đến từ vấn đề tuân thủ. Các quy định như GDPR, HIPAA hay PCI DSS yêu cầu bảo vệ dữ liệu và quyền riêng tư của người dùng. Chỉ một cuộc tấn công phishing được hỗ trợ bởi AI cũng có thể dẫn đến vi phạm, bị phạt hoặc phải bồi thường pháp lý.
Về vận hành, việc rò rỉ thông tin đăng nhập có thể tạo điều kiện cho các cuộc xâm nhập với hành vi tương tự như hành vi nội gián, gây gián đoạn dịch vụ quan trọng và làm lộ thông tin các hệ thống có giá trị cao.
Xây dựng các lớp phòng thủ trước Phishing 3.0
Để đi trước 1 bước các kỹ thuật tấn công mới, DN cần một chiến lược phòng thủ nhiều lớp, kết hợp giữa biện pháp kỹ thuật và yếu tố con người.
Lớp kiểm soát kỹ thuật
Ngày càng nhiều doanh nghiệp chuyển sang các giải pháp detect tấn công dựa trên AI, sử dụng phân tích hành vi và phát hiện bất thường để nhận diện các nội dung giao tiếp khác thường. Mô hình truy cập zero-trust và xác thực đa yếu tố sẽ giữ vai trò quan trọng trong việc giảm phụ thuộc vào mật khẩu. Quản lý danh tính và phân quyền truy cập ở mức cao giúp đảm bảo chỉ người dùng được ủy quyền mới có thể tiếp cận các hệ thống quan trọng.
Mặc dù SSL và HTTPS vẫn là các biện pháp cơ bản bắt buộc, chúng nên được kết hợp với cơ chế giám sát tín hiệu nhằm chống lại các cuộc tấn công mạo danh do AI hỗ trợ.
Phòng thủ tập trung vào con người
Đây là vấn đề không thể giải quyết chỉ bằng công nghệ. Cho dù bất kể tấn công dưới hình thức nào thì yếu tố con người vẫn là mắt xích mấu chốt để ứng phó. Chương trình đào tạo nhận thức cho nhân viên cần đề cập đến bản chất của các cuộc tấn công deepfake phishing, bao gồm giả mạo giọng nói và video. Việc sử dụng các bài kiểm tra phishing mô phỏng, không giới hạn ở email, là rất quan trọng để giúp nhân viên nhận diện các tình huống tương tự trong thực tế.
Một chiến lược phòng thủ phishing hiệu quả đòi hỏi sự kết hợp giữa công cụ máy học/ML và nhận thức con người, từ đó đảm bảo rằng kẻ tấn công đều gặp phải lớp bảo vệ ở mọi tầng trong tổ chức.
Phòng thủ bằng AI: Dùng chính AI để chống lại AI
Khi tin tặc sử dụng AI để tấn công, bên phòng thủ cũng cần sử dụng AI để đối phó. Các nền tảng phát hiện phishing dựa trên AI có khả năng liên tục thu thập và học từ dữ liệu mới, cho phép cập nhật và điều chỉnh hệ thống theo thời gian thực, đồng thời tự động kích hoạt các biện pháp ngăn chặn thiệt hại.
Thay vì dựa vào các quy tắc cố định, các giải pháp này phát hiện những dấu hiệu bất thường tinh vi - kể đến như cách dùng từ không điển hình, thời điểm đăng nhập bất thường hoặc yêu cầu chia sẻ tệp không phù hợp.
Đối với doanh nghiệp, lúc này AI trở thành công cụ quan trọng không kém, thậm chí ngang hàng, so với những gì kẻ tấn công sở hữu. Khi các hệ thống có khả năng giám sát giao tiếp ở quy mô lớn và phát hiện các yếu tố mà con người không thể nhìn thấy, công cụ AI sẽ bổ sung một lớp kiểm soát thiết yếu trong hệ thống bảo vệ trước Phishing 3.0.
Trong bối cảnh các chiến dịch phishing do AI dẫn dắt vẫn đang phát triển, những tổ chức không triển khai bảo vệ dựa trên AI sẽ luôn bị động và dễ rơi vào thế bị dẫn dắt.
Các bước hành động dành cho doanh nghiệp
Ngay cả khi đã nâng cao nhận thức, DN vẫn còn nhiều việc phải làm để chống lại các cuộc tấn công phishing liên quan đến AI, chứ không chỉ xử lý tình huống tạm thời. Dưới đây là năm bước mà các tổ chức cần ưu tiên:
- Duy trì phương pháp bảo vệ đa tầng bằng cách sử dụng AI kết hợp với sự giám sát từ con người, đồng thời mở rộng bảo vệ trên tất cả các kênh giao tiếp..
- Liên tục kiểm tra SPF, DKIM và DMARC và đảm bảo hiệu quả xác thực email luôn ở mức cao.
- Tăng cường mức độ xác thực thông tin đăng nhập thông qua triển khai mật khẩu mạnh, áp dụng nguyên tắc cấp quyền tối thiểu (least privilege) và thường xuyên sử dụng xác thực đa yếu tố.
- Sử dụng các kịch bản ứng phó sự cố (incident response playbooks) được thiết kế riêng cho các cuộc tấn công phishing sử dụng AI và deepfake.
- Cân nhắc việc điều chỉnh các tiêu chuẩn bảo mật của nhà cung cấp và chuỗi cung ứng sao cho phù hợp với chính sách của doanh nghiệp để tránh các rủi ro từ bên thứ ba.
Kết luận
Các cuộc tấn công phishing hay tấn công deepfake do AI điều khiển đều không phải là một kịch bản của tương lai; mà đã hiện hữu (và đang ngày càng trở nên tinh vi hơn). Các biện pháp phòng thủ thông thường không đủ để đối mặt với các mối đe dọa phishing 3.0, nơi kẻ tấn công lợi dụng lòng tin, tính cấp bách và danh tính ở quy mô lớn.
Các doanh nghiệp cần đảm bảo rằng họ coi an ninh mạng là một hệ thống chủ động, năng động, có khả năng thay đổi khi các thách thức bảo mật thay đổi. Bảo vệ chống phishing đa lớp, kiểm soát danh tính đầy đủ và đào tạo nhân viên toàn diện có thể tạo ra các lớp phòng thủ đan xen, và sẽ rất khó bị phá vỡ bởi các cuộc tấn công mạo danh AI.
Chủ động chính là câu trả lời. Sự kết hợp phù hợp giữa con người, quy trình và các công cụ hỗ từ AI có thể giúp doanh nghiệp luôn đi trước thách thức tấn công lừa đảo trực tuyến hiện đại, đồng thời bảo vệ tính liên tục của hoạt động kinh doanh và niềm tin của khách hàng.
------------------------------------------------------------------------------------------------------
Bizfly Cloud luôn chú trọng việc thường xuyên cập nhật, bảo vệ và tăng cường các lớp phòng thủ cũng như hệ thống bảo mật cho hệ thống hạ tầng, nhằm cung cấp tới khách hàng các giải pháp an toàn hàng đầu. Đồng thời, đội ngũ security top đầu của chúng tôi thực hiện rà soát 24/7 & gửi cảnh báo bảo mật miễn phí tới hệ thống của khách hàng.
👉 Giải pháp phòng chống tấn công website & ứng dụng: Bizfly Cloud WAF & Bizfly Cloud Anti-DDoS ⏮
Doanh nghiệp quan tâm đến các giải pháp Cloud an toàn, bảo mật hàng đầu có thể tham khảo tại: https://bizflycloud.vn/
👉 Đăng ký trải nghiệm miễn phí nhận ưu đãi tại: https://manage.bizflycloud.vn/register
Mọi thắc mắc về chương trình, Quý khách hàng vui lòng liên hệ với Bizfly Cloud bằng cách chọn một trong những kênh sau:
- Hotline: 024 7302 8888 - 028 7302 8888
- Email: support@bizflycloud.vn | sales@bizflycloud.vn
- Fanpage: https://facebook.com/BizflyCloud.VCCorp
