Cách Thức Tin Tặc Sử Dụng AI Để Lựa Chọn Mục Tiêu và Các Hình Thức Lừa Đảo Bạn Cần Biết

Cách Thức Tin Tặc Sử Dụng AI Để Lựa Chọn Mục Tiêu

Tin tặc dựa vào việc đánh cắp các hồ sơ mạng xã hội để lừa đảo người dùng. Để đánh cắp danh tính trực tuyến, họ thường tạo ra các hồ sơ giả mạo giống với người dùng thật hoặc chiếm đoạt các tài khoản thực để khai thác lòng tin và thao túng nạn nhân.

Các bot được trang bị AI có thể giúp thu thập thông tin từ mạng xã hội như ảnh, tiểu sử và bài đăng để tạo ra các tài khoản giả mạo thuyết phục. Khi một kẻ lừa đảo xây dựng được một hồ sơ giả, họ sẽ gửi yêu cầu kết bạn đến các liên hệ của nạn nhân, lừa họ nghĩ rằng họ đang tương tác với người quen.

Một tài khoản thực sẽ mở ra nhiều cơ hội hơn để sử dụng AI cho các chiến dịch lừa đảo hiệu quả, độc đáo và nhắm đến mục tiêu cụ thể. Các bot được trang bị AI có thể xác định các mối quan hệ thân thiết, tiết lộ thông tin ẩn và phân tích các cuộc trò chuyện trước đây. Từ đó, các chatbot AI có thể tiếp quản và bắt đầu trò chuyện với họ bằng cách bắt chước các mẫu nói và đẩy mạnh các chiêu lừa như liên kết phishing, tình huống khẩn cấp giả, yêu cầu tài chính hoặc chia sẻ thông tin nhạy cảm.

Ví dụ, bạn có thể đã từng thấy tài khoản Facebook của bạn bè bị xâm phạm và sử dụng để đăng các liên kết phishing trên bảng tin của họ. Đó chỉ là một phần của việc chiếm đoạt tài khoản. Khi bị xâm phạm, kẻ lừa đảo có thể sử dụng các công cụ AI để nhắn tin cho tất cả các liên hệ trong tài khoản bị lừa, hy vọng sẽ bẫy thêm nhiều nạn nhân.

Do những phát triển này, nhiều dịch vụ web sử dụng các CAPTCHA phức tạp, khó giải quyết, xác thực hai yếu tố bắt buộc và các hệ thống theo dõi hành vi nhạy cảm hơn. Tuy nhiên, ngay cả với những biện pháp phòng thủ bổ sung này, con người vẫn là lỗ hổng lớn nhất.

Người chỉ vào logo Google Chrome

Các Hình Thức Lừa Đảo Sử Dụng AI Bạn Cần Biết

Tội phạm mạng sử dụng AI đa phương tiện để tạo ra các bot hoặc giả mạo các cá nhân hoặc nhóm nổi tiếng. Mặc dù nhiều hình thức lừa đảo sử dụng AI dựa trên các kỹ thuật kỹ thuật xã hội thông thường, việc sử dụng AI làm tăng hiệu quả và khó phát hiện hơn.

Tấn Công Phishing và Smishing Sử Dụng AI

Người phụ nữ sử dụng laptop với email phishing trên màn hình

Phishing và smishing luôn là phương pháp phổ biến trong số các kẻ lừa đảo. Những cuộc tấn công này hoạt động bằng cách bắt chước các công ty nổi tiếng, cơ quan chính phủ và các dịch vụ trực tuyến để đánh cắp thông tin đăng nhập của bạn và truy cập vào tài khoản của bạn. Mặc dù phổ biến, các cuộc tấn công phishing và smishing có thể dễ dàng bị phát hiện. Kẻ lừa đảo thường phải chơi trò chơi số lượng để đạt được kết quả có lợi.

Ngược lại, các cuộc tấn công spear-phishing hiệu quả hơn nhiều. Những cuộc tấn công này yêu cầu kẻ tấn công thực hiện nghiên cứu và trinh sát, tạo ra các email và tin nhắn cá nhân hóa cao để lừa đảo người dùng. Tuy nhiên, các cuộc tấn công spear-phishing hiếm khi xuất hiện trong hộp thư của chúng ta vì chúng đòi hỏi nỗ lực đáng kể để thực hiện thành công.

Đây là nơi AI trở nên nguy hiểm. Với các chatbot AI và các công cụ AI khác, tội phạm mạng có thể tự động hóa các cuộc tấn công spear-phishing hàng loạt mà không cần bỏ ra nhiều tài nguyên hoặc thời gian để tài trợ cho chiến dịch. Các video deepfake của các cá nhân quan trọng thậm chí có thể được sử dụng để bổ sung cho cuộc tấn công và làm cho mồi nhử trở nên hiệu quả hơn. Trong một trường hợp, YouTube đã phải cảnh báo các nhà sáng tạo về các cuộc tấn công phishing liên quan đến video deepfake của CEO của họ, được thiết kế để lừa họ tiết lộ thông tin đăng nhập của mình.

Lừa Đảo Tình Cảm

Người đàn ông và phụ nữ ẩn sau bóng bay với biển báo cảnh báo lừa đảo

Lừa đảo tình cảm thao túng cảm xúc để giành được lòng tin và tình cảm trước khi khai thác nạn nhân. Không giống như các cuộc tấn công phishing thông thường, nơi kỹ thuật xã hội kết thúc khi bạn đầu hàng thông tin đăng nhập của mình, lừa đảo tình cảm yêu cầu kẻ lừa đảo dành nhiều tuần, tháng hoặc thậm chí nhiều năm để xây dựng mối quan hệ – một chiến thuật được gọi là “pig butchering”. Do đầu tư thời gian đáng kể này, tội phạm mạng chỉ có thể nhắm đến một số ít người cùng một lúc, làm cho những vụ lừa đảo này còn hiếm hơn cả các cuộc tấn công spear-phishing thủ công.

Tuy nhiên, ngày nay, kẻ lừa đảo có thể sử dụng các chatbot AI để xử lý một số khía cạnh tốn thời gian nhất của lừa đảo tình cảm – trò chuyện, nhắn tin, gửi ảnh và video, và thậm chí thực hiện các cuộc gọi điện thoại trực tiếp. Vì các mục tiêu thường dễ bị tổn thương về mặt cảm xúc, họ thậm chí có thể vô thức bỏ qua các cuộc trò chuyện do AI tạo ra như là điều kỳ quái hoặc thậm chí là quyến rũ.

The Scottish Sun đã đưa tin về một vụ việc mà một nhà khoa học thần kinh đã mất hàng ngàn bảng Anh vì một vụ lừa đảo tình cảm sử dụng AI. Kẻ lừa đảo đã sử dụng các video và tin nhắn do AI tạo ra để mô tả một mối quan hệ lãng mạn một cách thuyết phục. Họ đã dựng lên một câu chuyện phức tạp về việc làm việc trên một giàn khoan dầu ngoài khơi và sử dụng công nghệ deepfake để thuyết phục nạn nhân về tính hợp pháp của tất cả các tuyên bố của họ. Việc sử dụng các công cụ AI này cảnh báo chúng ta về các chiến thuật ngày càng phát triển mà kẻ lừa đảo sử dụng để khai thác nạn nhân.

Lừa Đảo Hỗ Trợ Khách Hàng Sử Dụng AI

Robot thực hiện cuộc gọi tự động trong trung tâm cuộc gọi khổng lồ

Lừa đảo hỗ trợ khách hàng khai thác lòng tin của người dùng vào các thương hiệu lớn bằng cách giả mạo các bàn trợ giúp. Những vụ lừa đảo này hoạt động bằng cách gửi các cảnh báo giả mạo, cửa sổ bật lên hoặc email tuyên bố rằng tài khoản của bạn đã bị khóa, cần xác minh hoặc có vấn đề bảo mật khẩn cấp. Trước đây, kẻ lừa đảo phải tương tác với nạn nhân một cách thủ công, nhưng các chatbot AI đã thay đổi điều đó.

Các vụ lừa đảo hỗ trợ khách hàng sử dụng AI hiện nay sử dụng các chatbot để tự động hóa các cuộc trò chuyện và làm cho chúng cảm thấy thuyết phục hơn. Với các công cụ tự động hóa như n8n, các chatbot có thể phản hồi theo thời gian thực, bắt chước các đại lý hỗ trợ chính thức và thậm chí tham khảo các cơ sở dữ liệu kiến thức để có vẻ hợp pháp hơn. Chúng thường triển khai các chiến thuật phishing bằng cách sử dụng các trang web giả mạo để lừa nạn nhân nhập thông tin đăng nhập của họ.

Các vụ lừa đảo hỗ trợ sử dụng AI cũng có thể đi ngược lại. Kẻ lừa đảo có thể sử dụng các đại lý AI để liên hệ với các dịch vụ quan trọng như ngân hàng và các chương trình của chính phủ để lấy dữ liệu của mục tiêu hoặc thậm chí đặt lại thông tin đăng nhập của họ.

Chiến Dịch Thông Tin Sai Lệch và Bôi Nhọ Tự Động

Tin tặc hiện nay đang sử dụng các chatbot AI để lan truyền thông tin sai lệch với quy mô chưa từng có. Những bot này tạo ra và chia sẻ các câu chuyện giả mạo trên mạng xã hội, nhắm đến các nguồn cấp tin tức, diễn đàn cộng đồng và các phần bình luận với các bình luận giả mạo. Không giống như các chiến dịch thông tin sai lệch truyền thống đòi hỏi nỗ lực thủ công, các đại lý AI hiện nay có thể tự động hóa toàn bộ quá trình, làm cho tin giả lan truyền nhanh chóng và thuyết phục hơn.

Bằng cách tự động hóa việc tạo ra các tài khoản mạng xã hội thực, các bot có thể tạo ra và tương tác với các bài đăng để lan truyền thông tin sai lệch. Và với đủ số lượng bot này lưu thông trên internet, chúng có thể thuyết phục những người không được thông tin hoặc chưa quyết định đứng về phía câu chuyện của họ.

Ngoài việc đánh lừa đơn giản, tin tặc còn sử dụng các chiến dịch thông tin sai lệch của AI để dẫn dụ lưu lượng truy cập đến các trang web lừa đảo. Một số kết hợp tin giả với các đề nghị gian lận, lừa nạn nhân nhấp vào các liên kết độc hại. Vì những bài đăng này thường trở nên viral trước khi các nhà kiểm tra sự thật có thể phản hồi, nhiều người vô tình lan truyền thông tin sai lệch thêm nữa.