Các chiêu thức mới giúp tội phạm mạng nguy hiểm chưa từng thấy
An toàn thông tin - Ngày đăng : 07:00, 16/04/2025
Các chiêu thức mới giúp tội phạm mạng nguy hiểm chưa từng thấy
Tội phạm mạng đang liên tục đổi mới chiến thuật để đánh lừa người dùng, vượt qua bộ lọc bảo mật, và tăng tính xác thực trong các cuộc tấn công phishing (lừa đảo qua email), khiến các chuyên gia an ninh mạng ngày càng đau đầu.
Phishing vẫn là phương thức tấn công phổ biến dẫn đến vi phạm an ninh mạng, bất chấp những nỗ lực tuyên truyền và đào tạo trong nhiều năm qua. Và giờ đây, với sự hỗ trợ từ công nghệ trí tuệ nhân tạo (AI) và các kỹ thuật xã hội tinh vi hơn, loại hình tấn công này đang ngày càng trở nên khó lường và nguy hiểm.
Dưới đây là các chiến thuật mới mà tội phạm mạng đang sử dụng để tăng cường sức mạnh cho các chiến dịch phishing:
Tận dụng AI tạo sinh để cá nhân hóa và tăng độ tin cậy
Các ứng dụng AI như WormGPT và GhostGPT cho phép tội phạm mạng tạo ra các bức email không sai chính tả, mô phỏng phong cách viết chân thực, và thậm chí trả lời thư theo thời gian thực. Các mô hình ngôn ngữ lớn (LLMs) còn được dùng để tạo ra trang giả mạo một cách tự động, với nội dung tùy chỉnh theo dữ liệu công khai của nạn nhân.
"AI có thể tạo ra hàng ngàn email giả bằng ngôn ngữ bản địa, khiến các email trông tự nhiên hơn và khó bị phát hiện hơn”, Allan Liska, nhà phân thích về các mối đe dọa tại Recorded Future cho biết.
Giả giọng nói và video bằng deepfake
Tội phạm có thể sao chép giọng nói và hình ảnh từ các đoạn video/audio công khai để thực hiện các cuộc gọi hoặc video meeting giả mạo.
Một ví dụ nghiêm trọng là vụ một công ty ở Hồng Kông bị lừa chuyển hơn 25 triệu USD sau một cuộc họp video "deepfake" với giám đốc tài chính (CFO). Deepfake là công nghệ sử dụng AI, đặc biệt là học sâu (deep learning), để tạo ra hoặc chỉnh sửa video, hình ảnh, âm thanh giả mạo nhưng rất chân thực).
Tái sử dụng chuỗi email bị chiếm quyền - tạo nên “zombie threads"
“Zombie threads" là các luồng trong một chương trình đã hoàn thành nhiệm vụ hoặc đã kết thúc, nhưng vẫn tồn tại trong hệ thống vì tài nguyên của chúng chưa được thu hồi hoàn toàn.
Tội phạm mạng chiếm đoạt hộp thư và khôi phục lại các chuỗi email cũ để lừa nạn nhân tin rằng đó là phần tiếp theo của cuộc trò chuyện trước đó. AI giúp điều chỉnh ngữ điệu và nội dung để càng giống với người gửi thực.
Tấn công ClickFix - đánh lừa người dùng chưa thạo về PowerShell
Chiêu thức này lừa người dùng mở hộp thoại Run và dán mã độc PowerShell vào, dẫn đến việc cài đặt phần mềm gián điệp như Lumma Stealer hay NetSupport. Lý do nạn nhân bị dụ thường là do thông báo về “lỗi cần sửa nhanh”.
Mạo danh thương hiệu với độ chính xác cao
Những trang đăng nhập giả dạng Microsoft, DocuSign, hoặc OneDrive ngày càng giống bản thật, bao gồm cả giao diện ADFS. Các domain giả mạo (homoglyph) và địa chỉ email gần giống với tên công ty cũng giúp tội phạm mạng vượt qua các hệ thống lọc email.
Khai thác các dịch vụ tin cậy như Google Drive, Dropbox hoặc DocuSign
Tội phạm mạng tải nội dung độc hại lên các nền tảng đáng tin, rồi gửi link đến nạn nhân. Khi người nhận kiểm tra, họ thấy link dẫn đến một trang hợp pháp, nhưng thực tế là một cái bẫy đã được gài sẵn.
Tấn công bằng mã QR (quishing)
QR code được dùng để đánh lừa bộ lọc email truyền thống. Mã này thường giả dạng thông báo xác thực, yêu cầu đăng nhập hoặc thông tin giao hàng. Có những trường hợp mã QR dẫn đến trang hợp pháp ban đầu, rồi chuyển hướng sau vài giây để đánh cắp thông tin.
Dùng hình ảnh thay văn bản để qua mặt bộ lọc
Email chỉ chứa hình ảnh (nhìn như văn bản) giúp qua mặt bộ lọc nội dung. Những hình ảnh này có thể chứa link ẩn dẫn tới trang độc hại hoặc giả mạo. Tội phạm mạng thường xuyên thay đổi màu sắc, kích thước hình để tránh bị phát hiện bởi AI chống phishing.
Tận dụng tên miền Nga (.ru) để duy trì chiến dịch lâu dài hơn
Từ cuối 2024 đến đầu 2025, KnowBe4 ghi nhận sự gia tăng mạnh các chiến dịch phishing sử dụng tên miền .ru. Nhiều trong số này được lưu trữ bởi dịch vụ “bulletproof hosting”, vốn từ chối xóa các trang độc hại.
Tăng cường thu thập do thám với AI
Công cụ AI có thể rà quét mạng xã hội, LinkedIn, dịch vụ lưu trữ DNS, và cả ảnh đăng trên mạng để thu thập thông tin cá nhân hoặc tổ chức. Mục tiêu là tìm điểm yếu có thể bị khai thác trong các cuộc tấn công xã hội tinh vi hơn.
Chuyên nghiệp hóa với dịch vụ Phishing-as-a-Service (PhaaS)
PhaaS là loại dịch vụ bất hợp pháp được cung cấp trên dark web hoặc các nền tảng quảng cáo, được phép thuê các công cụ, mẫu email lừa đảo (lừa đảo) hoặc thậm chí là toàn bộ chiến dịch lừa đảo mà không cần kiến thức kỹ thuật sâu.
PhaaS ngày càng phổ biến, cung cấp bộ công cụ phishing trọn gói với giao diện quản trị, dịch vụ lưu trữ dữ liệu đánh cắp, và khả năng đánh cắp mã xác thực đa yếu tố (MFA). Tycoon 2FA và Sneaky 2FA là hai nền tảng nổi bật, được dùng để thực hiện các cuộc tấn công "man-in-the-middle".
Phishing không còn là những email có lỗi chính tả được viết sơ sài. Ngày nay, với sự hậu thuẫn của AI và các kỹ thuật tinh vi hơn, nó đã trở thành một hình thức tấn công tinh vi và nguy hiểm hơn bao giờ hết.
Các giám đốc an toàn thông tin (CISO) và các nhóm bảo mật cần liên tục cập nhật các chiêu thức mới, triển khai các hoạt động mô phỏng tấn công, và đào tạo nhân viên để xây dựng khả năng nhận biết và phản ứng trước các mối đe dọa hiện đại này.
Gần đây, Ngân hàng Nhà nước Việt Nam đã cảnh báo về một chiến dịch lừa đảo tinh vi, trong đó kẻ gian giả mạo cơ quan này để gửi email yêu cầu người dân cập nhật thông tin sinh trắc học. Các email này viện dẫn Quyết định số 2345/QĐ-NHNN nhằm tạo sự tin cậy, đồng thời thúc giục người nhận cập nhật thông tin trước ngày 30/8/2024. Mục tiêu của chiến dịch là đánh cắp thông tin cá nhân và tài khoản ngân hàng của nạn nhân. Người dùng được khuyến cáo không nhấp vào các liên kết đáng ngờ và xác minh thông tin qua các kênh chính thức của ngân hàng để tránh rơi vào bẫy lừa đảo.