Hôm vừa rồi mình mới gửi tới anh em thông tin mà FTC, ủy ban thương mại liên bang của Mỹ công bố: Năm 2024, người dân Mỹ bị lừa tổng cộng 12.4 tỷ USD, con số này tăng 25% so với năm 2023. Rồi cùng lúc, phía cơ quan quản lý thuộc chính phủ Anh Quốc cũng công bố số liệu, trong năm 2024, người dân vương quốc Anh thiệt hại 11.4 tỷ Bảng Anh vì lừa đảo trực tuyến.

FTC: Người Mỹ bị lừa tổng cộng 12.4 tỷ USD trong năm 2024

Một vấn đề rõ ràng được các nhà nghiên cứu bảo mật chỉ ra từ lâu: Khi công nghệ càng lúc càng phức tạp, thì những kỹ thuật và giải pháp lũ tội phạm công nghệ cao sử dụng để lừa đảo cũng như vậy. Những kỹ thuật lừa đảo trực tuyến đều lợi dụng thực trạng con người càng lúc càng phụ thuộc vào công nghệ nói chung và thiết bị công nghệ nói riêng, kể cả trong cuộc sống hàng ngày lẫn công việc. Chính sự phụ thuộc này đã khiến tội phạm dễ tiếp cận các nạn nhân hơn.

Tệ hơn, cùng thời điểm đó, những công cụ AI đang giúp giảm rất mạnh yêu cầu kỹ năng lập trình hay ứng dụng công cụ để thực hiện hành vi lừa đảo qua mạng. Thế là lũ lừa đảo trực tuyến có thể thực hiện những cuộc tấn công vô cùng phức tạp, không cần kỹ năng lập trình cũng làm được.

Vấn đề mà mọi người phải đối mặt hiện giờ, không chỉ những lỗ hổng công nghệ là thứ đáng ngại, mà chính bản thân con người, mắt xích yếu nhất của toàn bộ chuỗi an ninh mạng càng lúc càng dễ lợi dụng. Chúng ta đang sống ở trong cái thế giới, nơi những công cụ AI cho phép sao chép giọng nói rồi cả gương mặt, chỉ cần vài phút để tạo ra những hình ảnh deepfake vô cùng thuyết phục, hoặc giúp tạo ra những trang web giả mạo với hàng nghìn đánh giá hợp lệ trên các trang thương mại điện tử.

Nói không đâu xa, từng có một nhân viên của một tập đoàn kiến trúc và xây dựng lớn bị lừa, tham gia cuộc họp trực tuyến nơi bọn lừa đảo tạo ra deepfake của giám đốc tài chính của tập đoàn. Kết quả nhân viên này đã thực hiện giao dịch để chuyển cho bọn lừa đảo 25 triệu USD:

Công ty bị lừa 25 triệu USD vì deepfake chính là nhà thiết kế tòa Apple Park & nhà hát opera Sydney

Hệ quả là, những chiêu được gọi chung là “social engineering” để nhắm vào điểm yếu của con người như vậy đang khiến những cá nhân và doanh nghiệp tưởng chừng cẩn trọng và bảo mật nhất vẫn có nguy cơ gặp nguy hiểm.

Công thức tâm lý học của lừa đảo trực tuyến

Trong cuộc sống bận rộn, chúng ta thường phụ thuộc và ngầm tin tưởng vào các hệ thống, cơ chế, con người và thương hiệu xung quanh. Khi bước qua kỷ nguyên AI, chúng ta lại tiếp tục dựa vào những thói quen như thế. Trong lúc chạy xe giữa khung giờ cao điểm, hoặc dưới áp lực tại nơi làm việc căng thẳng, chúng ta thường chọn con đường nhanh nhất thay vì an toàn nhất. Ví dụ, chúng ta có thể sẽ bỏ qua bước kiểm tra lại địa chỉ email của người gửi, hoặc phát hiện liên kết giả mạo, dựa vào sự tin tưởng ngầm để quyết định cho nhanh.

Khi chúng ta thấy một thương hiệu hoặc doanh nghiệp được biết đến và biết rằng chúng uy tín, chúng ta tự động coi nó là an toàn vì nó trông hợp pháp và quen thuộc. Kẻ lừa đảo trực tuyến có thể khai thác sự tin tưởng ngầm mà chúng ta dành cho các hệ thống công nghệ hàng ngày, khai thác nhận thức chọn lọc, một hình thức thiên vị nhận thức, khiến việc phát hiện những mối đe dọa không rõ ràng trở nên khó khăn hơn, đặc biệt là khi chúng ta đang căng thẳng và cố gắng làm nhiều việc cùng lúc.

Vấn đề nằm ở chỗ, việc bị căng thẳng và cố gắng làm nhiều thứ cùng lúc đã trở thành thứ quá quen thuộc trong cuộc sống lao động của chúng ta.

Điều này có nghĩa là để một mối đe dọa vượt qua những áp lực công việc hàng ngày và căng thẳng nhận thức, nó phải rất thu hút sự chú ý. Do đó, các cuộc tấn công được thiết kế để bắt chước hoặc lừa dối hệ thống tư duy quen thuộc của chúng ta, khiến đôi mắt và khối óc coi là an toàn vì trông những hình ảnh và nội dung hợp pháp và quen thuộc.

Kẻ lừa đảo có thể khai thác thiên vị nhận thức này để tận dụng sự bất lợi, biết rằng điều này khiến người ta ít đặt ra thắc mắc về sự giả mạo hay mối đe dọa. Chúng cũng sẽ tận dụng sự lừa dối và tạo ra cảm giác gấp rút và sợ hãi để thao túng nạn nhân, khiến họ tin tưởng hoặc hành động mà không có xác minh.

Kỹ thuật thao túng xã hội này là sự bóp méo cố ý để con người tiết lộ thông tin nhạy cảm hoặc thực hiện các hành động ảnh hưởng đến bảo mật. Nó phổ biến trong các cuộc lừa đảo cá nhân hóa. Bằng cách khai thác các con đường tắt nhận thức, kẻ lừa đảo sẽ tăng khả năng thành công của các cuộc tấn công vì khi điều gì đó trông quen thuộc, chúng ta ít có xu hướng ngờ vực.

Hệ quả là, từ việc đóng giả cơ quan công an để khiến mọi người sợ hãi, cho tới việc đóng giả một doanh nghiệp có tiếng để lừa nhân viên một công ty click vào tệp tin chứa mã độc, thao túng xã hội đang hiện diện ở hầu như mọi hình thái lừa đảo trực tuyến hiện tại.

Áp lực của nhân viên doanh nghiệp

Các nhân viên trong nơi làm việc có thể dễ bị ảnh hưởng bởi loại lừa đảo tâm lý này. Mặc dù các công ty thường đầu tư nguồn lực đáng kể vào hệ thống bảo mật máy tính để bảo vệ cơ sở hạ tầng và doanh thu, nhưng rủi ro con người mà đội ngũ của họ gây ra thường bị bỏ qua.

Trong cuộc sống làm việc bận rộn, một cá nhân trong doanh nghiệp, đang chịu áp lực từ quá nhiều phía, hoàn toàn có thể phê duyệt một khoản giao dịch đáng ngờ mà không xác minh, hoặc không hỏi ý kiến về email giả mạo từ một cấp trên yêu cầu nhấp vào liên kết hoặc chuyển tiền khẩn cấp. Thế là bị lừa.

Đây không chỉ là chuyện "người dùng là vấn đề". Ngay cả khi có các buổi tập huấn nhận thức bảo mật nghiêm ngặt, các nhân viên làm việc quá tải vẫn sẽ gặp phải vấn đề này để rồi bị lợi dụng. Khi bị áp đặt yêu cầu công việc nhanh chóng của doanh nghiệp, đặc biệt khi tải khối lượng việc lớn, và có quá nhiều việc để hoàn thành, khả năng ra quyết định của chúng ta bị suy giảm nhận thức, điều này trở nên tồi tệ hơn khi ngày làm việc dần kết thúc.

Nghiên cứu khoa học cho thấy rằng vào 6 giờ chiều, não bộ con người đưa ra quyết định kém hiệu quả hơn hẳn so với lúc 10 giờ sáng. Ngay cả với các buổi tập huấn bảo mật nghiêm ngặt, các lĩnh vực có khối lượng công việc cao và mức độ căng thẳng cao sẽ luôn bị ảnh hưởng bởi hiệu ứng mệt mỏi lúc ra quyết định, khiến chúng trở nên dễ bị khai thác trong các cuộc tấn công kỹ năng xã hội này.

Các nhân viên bận rộn có thể dễ dàng bỏ qua những dấu hiệu gây nghi ngờ, gây ra hậu quả lớn và có hại cho tổ chức của họ.

Rồi bây giờ, AI có thể tạo ra các thông điệp và văn bản nội dung cá nhân hóa rất thuyết phục, bắt chước được gần như hoàn hảo giọng điệu và văn phong của một công ty hoặc cá nhân. Những công cụ ấy cho phép hacker xây dựng email lừa đảo hoàn hảo tới mức có thể vượt qua các bộ lọc email truyền thống.

Từ tháng 12/2023 đến tháng 12/2024, Darktrace phát hiện được hơn 30.4 triệu tài khoản email lừa đảo và 70% trong số đó đã vượt qua phương pháp xác thực DMARC, vốn là một giải pháp được sử dụng rộng rãi. Với số lượng cuộc tấn công lừa đảo trực tuyến liên tục gia tăng, các mối đe dọa do AI tạo ra đã khiến phức tạp hóa tình hình lừa đảo trực tuyến lên gấp nhiều lần. Những công cụ deepfake đang đặt ra yêu cầu các đội ngũ nhân sự hỗ trợ, cập nhật và bổ sung kiến thức để có thể tự bảo vệ bản thân cũng như doanh nghiệp.

Bảo vệ doanh nghiệp và cá nhân thế nào?

Tác động tiêu cực đối với doanh nghiệp từ tội phạm công nghệ cao và lừa đảo trực tuyến không chỉ dừng lại ở thiệt hại tài chính, nó còn có thể dẫn đến ảnh hưởng danh tiếng doanh nghiệp, thứ đã mất rất nhiều năm để xây dựng.

Nhưng có những bước cần và có thể thực hiện để đảm bảo các doanh nghiệp của anh em không trở thành nạn nhân tiếp theo. Giáo dục và tăng cường kiến thức kỹ thuật số là yếu tố quan trọng trong việc bảo vệ người lao động và tổ chức khỏi những phương thức lừa đảo đang liên tục biến tướng của tội phạm công nghệ cao.

Những nỗ lực này bao gồm các chương trình tập huấn nhân viên toàn diện, tập trung vào việc nhận biết và phản ứng với các hành vi thao túng xã hội. Ngoài ra, các đơn vị và doanh nghiệp cũng nên triển khai các hệ thống kiểm soát và bảo vệ đáng tin cậy cho nhân viên của mình, bao gồm xác thực đa yếu tố và sử dụng giải pháp xác minh nội dung dựa trên tên miền thư điện tử.

Khi lướt web, cần đảm bảo nhân viên không bỏ qua các bước đơn giản để xác minh người gửi, kiểm tra lại đường link, luôn tỉnh táo, cảnh giác và luôn nghi ngờ mọi thứ hiển thị trên màn hình ở mức hợp lý.

Điều quan trọng không kém, là đảm bảo các biện pháp bảo mật được cập nhật và hoạt động tốt, kết hợp với cả sự tỉnh táo và cảnh giác của nhân viên. Khi tội phạm mạng sử dụng AI để biến tướng hành vi lừa đảo, các biện pháp phòng thủ cũng phải tìm được cách chống lại. Không thể tránh khỏi việc con người không thể nhìn thấy, cũng như không thể ngăn chặn được tất cả các hành vi lừa đảo, nên việc hệ thống bảo mật phải đủ mạnh để lấp đầy khoảng trống do con người tạo ra.

Các giám đốc bảo mật và an ninh mạng hoàn toàn có thể tận dụng AI để đối phó với những cuộc tấn công, sử dụng công nghệ tiên tiến để xác định những mối đe dọa tưởng chừng vô hại, và có thể lọt qua các công cụ bảo mật truyền thống. Các hệ thống bảo mật được kết hợp vận hành bởi AI, học hỏi từ chính hành vi và đặc điểm của tổ chức doanh nghiệp, có thể trở thành một phần thiết yếu trong chiến lược an ninh mạng cho doanh nghiệp hiện nay.

Khi AI tiếp tục phát triển, tội phạm mạng sẽ trở nên phức tạp hơn, dễ tiếp cận và có quy mô rộng hơn. Chúng ta đã thấy tác động từ các nhóm tội phạm ứng dụng mã độc tống tiền, cũng như các phương pháp thao túng xã hội nguy hiểm và trông đáng tin hơn. Một điều chắc chắn, tình trạng lừa đảo trực tuyến sẽ chỉ đi theo một xu hướng duy nhất, đó là sẽ phát triển hơn trong tương lai gần.