Lừa đảo trực tuyến sẽ sớm là cuộc chiến giữa các AI

[Romano]

Lừa đảo trực tuyến có thể sớm chỉ là cuộc chiến giữa các trí tuệ nhân tạo (AI), với một bên tấn công và một bên phòng thủ.

Lừa đảo trực tuyến ngày càng trở nên phổ biến và với công nghệ AI mới, chúng có thể trở nên khó tránh hơn nhiều, theo các nhà nghiên cứu của Trường Kinh doanh Harvard.

Các nhà nghiên cứu tại Trường Kinh doanh Harvard công bố một nghiên cứu cho thấy 60% người tham gia đã bị lừa bởi các email phishing do AI tạo ra tự động, tương đương với tỷ lệ thành công của những tin nhắn phishing do con người tạo, theo trang Harvard Business Review.

Phishing là trò lừa đảo dụ người khác chia sẻ thông tin cá nhân. Kẻ lừa đảo thường sẽ gửi email hoặc một số tin nhắn khác giả vờ là công ty hoặc cá nhân đề nghị cung cấp thông tin thẻ tín dụng, mật khẩu hoặc thông tin nhạy cảm khác.

Theo các nhà nghiên cứu, dù trò phishing gần như có tuổi đời ngang với internet, các mô hình ngôn ngữ lớn đang làm gia tăng “mức độ nghiêm trọng của chúng”. Các nhà nghiên cứu phát hiện ra rằng mô hình ngôn ngữ lớn có thể tự động hóa "toàn bộ quá trình phishing", từ việc tạo email, xác định mục tiêu và thu thập thông tin, điều này có thể giảm 95% chi phí thực hiện lừa đảo.

“Vì điều này, chúng tôi dự đoán hoạt động lừa đảo sẽ tăng mạnh về chất lượng và số lượng những năm tới”, các nhà nghiên cứu viết.

Mô hình ngôn ngữ lớn là công nghệ đằng sau các dịch vụ AI tạo sinh như ChatGPT của OpenAI hay Google Geminii. Nó là một loại AI sử dụng các kỹ thuật học sâu và lượng lớn dữ liệu để học cách hiểu và tạo ra ngôn ngữ tự nhiên, có thể thực hiện nhiều nhiệm vụ khác nhau như tạo và tóm tắt văn bản, trả lời câu hỏi, dịch ngôn ngữ, tạo hình ảnh và video… Mô hình ngôn ngữ lớn được đào tạo trên một lượng lớn dữ liệu văn bản, gồm sách, bài báo, trang web và các nguồn văn bản khác.

Mô hình ngôn ngữ lớn có thể khiến các vụ phishing trở nên tồi tệ hơn. Tuy nhiên, các nhà nghiên cứu cho rằng mô hình ngôn ngữ lớn cũng có thể được sử dụng để giúp phát hiện và chống lại lừa đảo.

Một số mô hình ngôn ngữ lớn tốt hơn những cái khác. Các nhà nghiên cứu viết rằng Claude đã xác định chính xác nỗ lực lừa đảo ngay cả trong “các email phishing không rõ ràng, đôi khi vượt trội so với tỷ lệ phát hiện của con người”.

Một số mô hình ngôn ngữ lớn được thử nghiệm trong nghiên cứu cung cấp “các đề xuất tuyệt vời” để phản hồi các email phishing sau khi xác định chính xác chúng là lừa đảo.

“Ví dụ, trong quá trình thử nghiệm của chúng tôi, mô hình ngôn ngữ lớn khuyến khích người nhận được email ưu đãi giảm giá hấp dẫn hãy xác minh ưu đãi trên trang web chính thức của công ty. Đây là một chiến lược tuyệt vời để tránh các cuộc tấn công phishing”, các nhà nghiên cứu viết trên Harvard Business Review.

Ủy ban Thương mại Liên bang Mỹ cho biết cách tốt nhất để tránh lừa đảo phishing là không bao giờ nhấp vào liên kết từ người mà bạn không biết trong email hoặc tin nhắn văn bản. Cơ quan này khuyên bạn kiểm tra xem liệu có mối quan hệ với công ty hoặc biết người đó hay không. Nếu không, hãy báo cáo thông điệp đó cho Anti Phishing Working Group (nhóm công tác chống Phishing của họ).

Các vụ lừa đảo tài chính bằng AI tăng mạnh

Trong một cuộc khảo sát đầu năm 2024 của Hiệp hội các chuyên gia tài chính Mỹ, 65% số người được hỏi nói rằng doanh nghiệp của họ đã từng là nạn nhân của các vụ lừa đảo tài chính trong 2022. Trong số những doanh nghiệp bị thiệt hại, 71% bị lừa đảo qua email. Theo khảo sát này, các doanh nghiệp lớn với doanh thu hàng năm 1 tỉ USD là đối tượng dễ bị lừa đảo qua email nhất.

Một trong những kiểu lừa đảo qua email phổ biến là phishing. Email kiểu này thường giả mạo một nguồn đáng tin cậy, chẳng hạn như Chase hoặc eBay, đề nghị người khác nhấp vào liên kết dẫn đến trang web giả mạo trông có vẻ thuyết phục, rồi đăng nhập và cung cấp một số thông tin cá nhân. Khi có được thông tin này từ nạn nhân, tội phạm mạng có thể truy cập vào tài khoản ngân hàng hoặc thậm chí thực hiện hành vi trộm cắp danh tính.

Spear phishing cũng là một kiểu lừa đảo tương tự nhưng có mục tiêu rõ ràng hơn. Thay vì gửi email chung chung, các email được gửi đến một cá nhân hoặc một tổ chức cụ thể. Bọn tội phạm đã nghiên cứu chức danh công việc, tên đồng nghiệp và thậm chí cả tên người giám sát hoặc người quản lý.

Tất nhiên, những trò lừa đảo này không có gì mới, nhưng AI tạo sinh khiến việc phân biệt đâu là thật và đâu là giả trở nên khó khăn hơn. Giờ đây, tội phạm ở bất cứ đâu trên thế giới đều có thể sử dụng ChatGPT hoặc FraudGPT để tạo các email phishing và lừa đảo có tính thuyết phục. Chúng thậm chí có thể mạo danh giám đốc điều hành hoặc người quản lý trong công ty, sao chép giọng nói của họ để thực hiện cuộc gọi điện thoại giả, hoặc làm giả khuôn mặt họ trong cuộc gọi điện video.

Đó là điều đã xảy ra vào tháng 2 ở Hồng Kông khi một nhân viên tài chính nghĩ rằng đã nhận được tin nhắn từ giám đốc tài chính công ty Arup (có trụ sở tại Anh) yêu cầu chuyển khoản 25,6 triệu USD. Dù ban đầu nghi ngờ rằng đó có thể là một vụ lừa đảo nhưng nỗi lo sợ của nhân viên này đã giảm bớt sau cuộc gọi điện video với giám đốc tài chính và đồng nghiệp khác mà anh biết. Hóa ra, tất cả mọi người trong cuộc gọi đều đã bị làm giả bởi công nghệ deepfake. Chỉ sau khi kiểm tra với trụ sở chính, nhân viên mới phát hiện ra hành vi lừa đảo, nhưng lúc đó tiền đã được chuyển.

Có trụ sở chính tại London (thủ đô Anh), Arup là công ty kỹ thuật quốc tế chuyên về thiết kế, kỹ thuật và tư vấn, tham gia vào nhiều dự án xây dựng nổi tiếng trên thế giới, gồm cả trụ sở chính của Apple (Mỹ) và Nhà hát Opera Sydney (Úc).

Christopher Budd, Giám đốc công ty an ninh mạng Sophos, nói: “Công nghệ để làm cho hình ảnh trở nên đáng tin cậy thực sự khá ấn tượng”.

Những vụ deepfake nổi tiếng gần đây liên quan đến nhân vật của công chúng cho thấy công nghệ này đã phát triển nhanh như thế nào.

“Kẻ xấu ngày càng dễ dàng tạo ra danh tính giả mạo. Chúng sử dụng thông tin đánh cắp được kết hợp với AI tạo sinh để lừa đảo", Andrew Davies, chuyên gia pháp lý tại hãng ComplyAdvantage, cho biết.

“Có rất nhiều thông tin trực tuyến mà bọn tội phạm có thể sử dụng để tạo các email lừa đảo rất chuyên nghiệp. Các mô hình ngôn ngữ lớn được đào tạo trên internet có thể biết về công ty, giám đốc điều hành và giám đốc tài chính của công ty đó", theo Cyril Noel-Tagoe, nhà nghiên cứu bảo mật chính tại Netcea - công ty an ninh mạng tập trung vào các mối đe dọa tự động.

Trong khi AI làm cho các mối đe dọa trở nên dễ xảy ra hơn thì số lượng trang web cũng như ứng dụng xử lý các giao dịch tài chính ngày càng tăng.

Andrew Davies cho biết: “Một trong những chất xúc tác cho gian lận và tội phạm tài chính nói chung là sự chuyển đổi của các dịch vụ tài chính”. Chỉ một thập kỷ trước, có rất ít cách chuyển tiền điện tử. Hầu hết ngân hàng truyền thống đều tham gia. Sự bùng nổ của các giải pháp thanh toán đã mở rộng sân chơi, tạo nhiều cơ hội cho tội phạm mạng tấn công hơn. Các ngân hàng truyền thống ngày càng sử dụng API (giao diện lập trình ứng dụng) để kết nối các ứng dụng và nền tảng, đây là điểm khác dễ bị khai thác.

Tội phạm mạng đang sử dụng AI tạo sinh để tạo ra các thông điệp đáng tin cậy một cách nhanh chóng, sau đó áp dụng tự động hóa để mở rộng quy mô.

Theo Netcea, 22% công ty được khảo sát cho biết họ đã bị tấn công bởi bot tạo tài khoản giả. Với ngành dịch vụ tài chính, con số này tăng lên 27%. Trong số các công ty phát hiện cuộc tấn công tự động bằng bot, 99% cho biết họ thấy số vụ tấn công gia tăng vào năm 2022. Các công ty lớn chứng kiến ​​sự gia tăng đáng kể nhất, với 66% hãng có tài sản từ 5 tỉ USD trở lên. Trong khi tất cả ngành đều có thể hứng chịu lừa đảo bởi tài khoản giả, ngành dịch vụ tài chính là mục tiêu bị nhắm tới nhiều nhất với 30% doanh nghiệp dịch vụ tài chính bị tấn công cho biết có 6% đến 10% tài khoản mới là giả.

Ngành tài chính đang chống lại hành vi gian lận dựa trên AI bằng các mô hình ngôn ngữ lớn của riêng mình. Mastercard gần đây cho biết đã xây dựngmô hình mô hình ngôn ngữ lớn mới để giúp phát hiện các giao dịch lừa đảo bằng cách xác định “các tài khoản lạ” được bọn tội phạm sử dụng để chuyển tiền bị đánh cắp.

Tội phạm ngày càng sử dụng các chiến thuật mạo danh để thuyết phục nạn nhân rằng việc chuyển tiền là hợp pháp và được chuyển đến một cá nhân hoặc công ty thực sự.

Ajay Bhalla, phụ trách bảo mật tại Mastercard, nó: “Các ngân hàng nhận thấy những trò gian lận này cực kỳ khó phát hiện. Khách hàng bị lừa và tự gửi tiền; tội phạm không cần phải phá vỡ bất kỳ biện pháp an ninh nào”. Mastercard ước tính thuật toán của họ có thể giúp các ngân hàng tiết kiệm chi phí mà họ thường phải bỏ ra để loại bỏ các giao dịch giả mạo.