Trong thời đại AI, hacker không cần phải ngồi thủ công viết từng email lừa đảo nữa.
Với các công cụ trí tuệ nhân tạo, những chiến dịch tấn công lừa đảo, tấn công xã hội (social engineering) có thể được:
Cá nhân hóa (Personalized)
Kẻ tấn công thu thập thông tin từ mạng xã hội và các nguồn công khai khác để làm cho thông điệp trở nên riêng tư và đáng tin:
Khai thác dữ liệu từ Facebook, LinkedIn, TikTok...
Dựa trên sở thích nghề nghiệp như “anh là kỹ sư mạng, em gửi anh tài liệu bảo mật mới…”
Nhắm vào sở thích cá nhân như bóng đá, xe máy, con cái...
Tùy chỉnh (Customized)
Không gửi email hàng loạt kiểu cũ nữa. Mỗi thông điệp giờ đây được “tối ưu hoá” cho nạn nhân:
Gửi qua ứng dụng quen thuộc như Zalo, Viber, Telegram
Tùy định dạng: văn bản, hình ảnh, file PDF
Có lời kêu gọi hành động rõ ràng: “click vào đây để xác minh tài khoản trước 17h!”
Được thiết kế tinh vi (Crafted)
Ngôn ngữ cũng được "lập trình" để giống người địa phương:
Sử dụng ngôn ngữ khu vực như giọng miền Nam/Bắc/Trung
Thêm tiếng lóng để gây thiện cảm: “dự án này ngon lắm anh ơi!”
Thậm chí còn dựa vào độ tuổi, giới tính, chủng tộc để tăng tính thuyết phục
Vì sao điều này nguy hiểm?
Tấn công giờ đây không cần con người viết từng câu chữ. AI có thể tự động hóa hàng ngàn tin nhắn lừa đảo, mỗi tin nhắn lại trông như được viết riêng cho bạn. Điều này khiến:
Người dùng khó nhận biết
Các hệ thống lọc spam khó phát hiện
Tăng tỷ lệ thành công gấp nhiều lần
Bạn cần làm gì?
Cảnh giác khi nhận tin nhắn, dù từ người quen
Không click link lạ ngay cả khi nội dung có vẻ quen thuộc
Đào tạo nhân viên về social engineering hiện đại
Áp dụng AI để phát hiện AI — các giải pháp email security hiện đại có thể phân tích ngữ cảnh và hành vi
Hãy chia sẻ bài viết này để mọi người cùng cảnh giác!
