Next-Gen Phishing: Sự trỗi dậy của các cuộc tấn công AI Vishing

Trong lĩnh vực an ninh mạng, các mối đe dọa trực tuyến từ AI có thể có tác động vật chất đáng kể đối với các cá nhân và tổ chức trên toàn thế giới. Các cuộc tấn công lừa đảo truyền thống đã phát triển thông qua việc lạm dụng các công cụ AI, trở nên thường xuyên, tinh vi và khó phát hiện hơn với mỗi năm trôi qua. AI vishing có lẽ là kỹ thuật đáng lo ngại nhất trong số các kỹ thuật đang phát triển này.

AI Vishing là gì?

AI vishing là sự phát triển của việc lừa đảo qua giọng nói (vishing), nơi các kẻ tấn công giả mạo các cá nhân đáng tin cậy, chẳng hạn như đại diện ngân hàng hoặc nhóm hỗ trợ kỹ thuật, để lừa nạn nhân thực hiện các hành động như chuyển tiền hoặc cung cấp quyền truy cập vào tài khoản của họ.

AI nâng cao các cuộc tấn công vishing với các công nghệ bao gồm sao chép giọng nói và deepfakes, mô phỏng giọng nói của các cá nhân đáng tin cậy. Các kẻ tấn công có thể sử dụng AI để tự động hóa các cuộc gọi điện thoại và cuộc trò chuyện, cho phép họ nhắm vào một lượng lớn người trong một khoảng thời gian tương đối ngắn.

AI Vishing trong Thế Giới Thực

Các kẻ tấn công sử dụng các kỹ thuật AI vishing một cách không phân biệt, nhắm vào mọi người từ các cá nhân dễ bị tổn thương đến các doanh nghiệp. Các cuộc tấn công này đã chứng minh được hiệu quả đáng kể, với số lượng người Mỹ mất tiền do vishing tăng 23% từ năm 2023 đến năm 2024. Để đặt điều này vào contexto, chúng tôi sẽ khám phá một số cuộc tấn công AI vishing nổi bật nhất đã xảy ra trong vài năm qua.

Scam Kinh Doanh Ý

Vào đầu năm 2025, các kẻ lừa đảo đã sử dụng AI để mô phỏng giọng nói của Bộ trưởng Quốc phòng Ý, Guido Crosetto, trong một nỗ lực nhằm lừa đảo một số nhà lãnh đạo kinh doanh hàng đầu của Ý, bao gồm nhà thiết kế thời trang Giorgio Armani và người đồng sáng lập Prada, Patrizio Bertelli.

Khi giả mạo Crosetto, các kẻ tấn công tuyên bố cần hỗ trợ tài chính khẩn cấp để giải cứu một nhà báo Ý bị bắt cóc ở Trung Đông. Chỉ có một mục tiêu rơi vào bẫy lừa đảo trong trường hợp này – Massimo Moratti, cựu chủ sở hữu của Inter Milan – và cảnh sát đã thu hồi được số tiền bị đánh cắp.

Khách Sạn và Công Ty Du Lịch Dưới Tấn Công

Theo Wall Street Journal, quý cuối cùng của năm 2024 đã chứng kiến sự tăng đáng kể trong các cuộc tấn công AI vishing vào ngành khách sạn và du lịch. Các kẻ tấn công đã sử dụng AI để giả mạo các đại lý du lịch và các giám đốc điều hành doanh nghiệp để lừa nhân viên lễ tân của khách sạn tiết lộ thông tin nhạy cảm hoặc cấp quyền truy cập không được ủy quyền vào các hệ thống.

Họ đã làm điều này bằng cách hướng dẫn các đại diện dịch vụ khách hàng bận rộn, thường trong giờ hoạt động cao điểm, để mở một email hoặc trình duyệt với tệp đính kèm độc hại. Vì khả năng đáng kể để mô phỏng các đối tác làm việc với khách sạn thông qua các công cụ AI, các cuộc tấn công lừa đảo qua điện thoại được coi là “một mối đe dọa liên tục”.

Lừa Đảo Tình Yêu

Vào năm 2023, các kẻ tấn công đã sử dụng AI để mô phỏng giọng nói của các thành viên trong gia đình đang gặp khó khăn và lừa các cá nhân lớn tuổi ra khoảng 200.000 đô la. Các cuộc gọi lừa đảo rất khó phát hiện, đặc biệt là đối với người lớn tuổi, nhưng khi giọng nói trên đầu dây điện thoại nghe giống hệt như một thành viên trong gia đình, chúng hầu như không thể phát hiện được. Điều đáng chú ý là sự việc này xảy ra hai năm trước – công nghệ sao chép giọng nói AI đã trở nên tinh vi hơn kể từ đó.

AI Vishing-as-a-Service

AI Vishing-as-a-Service (VaaS) đã là một yếu tố đóng góp chính cho sự phát triển của AI vishing trong những năm qua. Các mô hình đăng ký này có thể bao gồm khả năng giả mạo, các lệnh tùy chỉnh và các đại lý thích ứng, cho phép các tác nhân độc hại thực hiện các cuộc tấn công AI vishing trên quy mô lớn.

Tại Fortra, chúng tôi đã theo dõi PlugValley, một trong những người chơi chính trong thị trường AI Vishing-as-a-Service. Những nỗ lực này đã cung cấp cho chúng tôi thông tin về nhóm đe dọa và, có lẽ quan trọng hơn, làm rõ cách tinh vi và phức tạp các cuộc tấn công vishing đã trở nên.

PlugValley: AI VaaS Được Phát Hiện

Bot vishing của PlugValley cho phép các tác nhân độc hại triển khai các giọng nói giống như thật, có thể tùy chỉnh để thao túng các nạn nhân tiềm năng. Bot có thể thích nghi trong thời gian thực, mô phỏng các mẫu giọng nói của con người, giả mạo ID người gọi và thậm chí thêm tiếng ồn của trung tâm cuộc gọi vào các cuộc gọi điện thoại. Nó làm cho các cuộc tấn công lừa đảo AI vishing trở nên thuyết phục nhất có thể, giúp các tội phạm mạng đánh cắp thông tin đăng nhập ngân hàng và mã một lần (OTPs).

PlugValley loại bỏ các rào cản kỹ thuật cho các tội phạm mạng, cung cấp công nghệ gian lận có thể mở rộng với giá đăng ký hàng tháng khiêm tốn.

Các nhà cung cấp AI VaaS như PlugValley không chỉ chạy các cuộc tấn công lừa đảo; họ đang công nghiệp hóa việc lừa đảo. Họ đại diện cho sự tiến hóa mới nhất của kỹ thuật xã hội, cho phép các tội phạm mạng vũ khí hóa các công cụ học máy (ML) và lợi dụng người dân trên quy mô lớn.

Bảo Vệ Chống lại AI Vishing

Các kỹ thuật kỹ sư xã hội dựa trên AI, chẳng hạn như AI vishing, sẽ trở nên phổ biến, hiệu quả và tinh vi hơn trong những năm tới. Do đó, điều quan trọng là các tổ chức phải triển khai các chiến lược chủ động như đào tạo nhận thức của nhân viên, hệ thống phát hiện gian lận nâng cao và thông tin về mối đe dọa theo thời gian thực,

Trên mức độ cá nhân, các hướng dẫn sau có thể giúp xác định và tránh các nỗ lực AI vishing:

• Hãy Cẩn Thận với Các Cuộc Gọi Không Mời: Hãy thận trọng với các cuộc gọi điện thoại không mong muốn, đặc biệt là những cuộc gọi yêu cầu thông tin cá nhân hoặc tài chính. Các tổ chức hợp pháp thường không yêu cầu thông tin nhạy cảm qua điện thoại. ​
• Xác Minh Danh Tính Người Gọi: Nếu người gọi tuyên bố đại diện cho một tổ chức được biết, hãy xác minh danh tính của họ một cách độc lập bằng cách liên hệ với tổ chức trực tiếp sử dụng thông tin liên hệ chính thức. ​WIRED đề xuất tạo một mật khẩu bí mật với gia đình để phát hiện các cuộc tấn công vishing tuyên bố là từ một thành viên trong gia đình.
• Giới Hạn Chia Sẻ Thông Tin: Tránh tiết lộ thông tin cá nhân hoặc tài chính trong các cuộc gọi không được mời. Hãy đặc biệt cảnh giác nếu người gọi tạo ra một cảm giác cấp bách hoặc đe dọa có hậu quả tiêu cực. ​
• Giáo Dục Bản Thân và Người Khác: Hãy cập nhật về các chiến thuật vishing phổ biến và chia sẻ kiến thức này với bạn bè và gia đình. Sự nhận thức là một biện pháp phòng thủ quan trọng chống lại các cuộc tấn công kỹ sư xã hội.​
• Báo Cáo Các Cuộc Gọi Nghi Ngờ: Thông báo cho các cơ quan có liên quan hoặc cơ quan bảo vệ người tiêu dùng về các nỗ lực vishing. Việc báo cáo giúp theo dõi và giảm thiểu các hoạt động gian lận.

Theo mọi dấu hiệu, AI vishing ở đây để ở. Trên thực tế, nó có khả năng tiếp tục tăng về khối lượng và cải thiện về thực hiện. Với sự phổ biến của deep-fakes và sự dễ dàng trong việc áp dụng các mô hình dịch vụ, các tổ chức nên dự kiến rằng họ sẽ, tại một thời điểm nào đó, bị nhắm mục tiêu bởi một cuộc tấn công.

Giáo dục nhân viên và phát hiện gian lận là chìa khóa để chuẩn bị và ngăn chặn các cuộc tấn công AI vishing. Sự tinh vi của AI vishing có thể dẫn даже các chuyên gia an ninh được đào tạo tốt đến việc tin vào các yêu cầu hoặc câu chuyện có vẻ đích thực. Vì vậy, một chiến lược an ninh toàn diện, đa lớp, kết hợp các biện pháp bảo vệ công nghệ với lực lượng lao động được thông tin và cảnh giác một cách nhất quán, là điều cần thiết để giảm thiểu các rủi ro do AI phishing gây ra.