MinhSec
Writer
Trong thời đại trí tuệ nhân tạo (AI) phát triển mạnh mẽ, vishing hình thức lừa đảo qua điện thoại đang bước sang một kỷ nguyên mới nguy hiểm hơn. Các nhà nghiên cứu của NCC Group cho biết chỉ cần vài phút ghi âm công khai, kẻ tấn công đã có thể tạo ra giọng nói giả gần như hoàn hảo và thực hiện các cuộc gọi lừa đảo theo thời gian thực.
Trước đây, các công nghệ deepfake giọng nói chủ yếu hoạt động ngoại tuyến và thường bị hạn chế bởi độ trễ hoặc phải dùng sẵn tập hợp câu thoại được ghi âm. Điều đó khiến việc lừa đảo qua giọng nói chưa thật sự thuyết phục. Tuy nhiên, nghiên cứu mới cho thấy AI hiện có thể tái tạo giọng nói thời gian thực, giúp những cuộc trò chuyện giả mạo trở nên tự nhiên và khó phát hiện.
Chỉ trong vài giờ huấn luyện từ một đoạn ghi âm dài khoảng năm phút, AI đã có thể sao chép giọng nói của bất kỳ ai từ giám đốc điều hành doanh nghiệp đến một thành viên trong gia đình. Điều này mở đường cho những cuộc tấn công mạo danh thuyết phục hơn, chẳng hạn như một “nhân viên IT” gọi để xin quyền truy cập hệ thống, hay một “người thân” yêu cầu chuyển khoản khẩn cấp.
Thực tế, trong năm nay đã có nhiều vụ việc lớn liên quan đến vishing. Cisco từng bị tấn công khi một nhân viên bị dụ cung cấp thông tin qua điện thoại. Salesforce cũng gặp tình huống tương tự khi kẻ gian giả danh bộ phận hỗ trợ để lấy quyền truy cập. Một số nhóm ransomware thậm chí còn kết hợp email lừa đảo với vishing để xâm nhập hệ thống trước khi triển khai mã độc.
Theo các chuyên gia, vishing AI sẽ khiến ranh giới thật giả ngày càng mờ nhạt. Nguy cơ lớn nhất nằm ở việc giả mạo giọng nói giám đốc, lãnh đạo hoặc nhân viên cấp cao để yêu cầu các hành động nhạy cảm. Không chỉ doanh nghiệp, mà người dùng cá nhân cũng có thể trở thành nạn nhân của các vụ đánh cắp tài khoản, quấy rối hoặc ép buộc.
Để giảm rủi ro, các tổ chức được khuyến nghị triển khai xác thực đa yếu tố (MFA), đào tạo nhân viên nhận diện và xác minh các yêu cầu bất thường, ngay cả khi giọng nói nghe rất quen thuộc. Ngoài ra, cần hạn chế việc công khai giọng nói của lãnh đạo hay nhân sự thường xuyên xuất hiện trước công chúng.
Trong bối cảnh AI ngày càng rẻ và dễ tiếp cận, các chuyên gia dự đoán số vụ vishing sẽ tiếp tục gia tăng, cả ở quy mô rộng lẫn tấn công có mục tiêu cao. Một cuộc gọi tưởng chừng quen thuộc giờ đây có thể là cánh cửa mở ra cho kẻ xấu và sự cảnh giác chính là lớp phòng thủ quan trọng nhất.
Giọng nói giả mạo tinh vi hơn bao giờ hết
Trước đây, các công nghệ deepfake giọng nói chủ yếu hoạt động ngoại tuyến và thường bị hạn chế bởi độ trễ hoặc phải dùng sẵn tập hợp câu thoại được ghi âm. Điều đó khiến việc lừa đảo qua giọng nói chưa thật sự thuyết phục. Tuy nhiên, nghiên cứu mới cho thấy AI hiện có thể tái tạo giọng nói thời gian thực, giúp những cuộc trò chuyện giả mạo trở nên tự nhiên và khó phát hiện.
Chỉ trong vài giờ huấn luyện từ một đoạn ghi âm dài khoảng năm phút, AI đã có thể sao chép giọng nói của bất kỳ ai từ giám đốc điều hành doanh nghiệp đến một thành viên trong gia đình. Điều này mở đường cho những cuộc tấn công mạo danh thuyết phục hơn, chẳng hạn như một “nhân viên IT” gọi để xin quyền truy cập hệ thống, hay một “người thân” yêu cầu chuyển khoản khẩn cấp.
Thực tế, trong năm nay đã có nhiều vụ việc lớn liên quan đến vishing. Cisco từng bị tấn công khi một nhân viên bị dụ cung cấp thông tin qua điện thoại. Salesforce cũng gặp tình huống tương tự khi kẻ gian giả danh bộ phận hỗ trợ để lấy quyền truy cập. Một số nhóm ransomware thậm chí còn kết hợp email lừa đảo với vishing để xâm nhập hệ thống trước khi triển khai mã độc.
Doanh nghiệp và cá nhân cần cảnh giác
Theo các chuyên gia, vishing AI sẽ khiến ranh giới thật giả ngày càng mờ nhạt. Nguy cơ lớn nhất nằm ở việc giả mạo giọng nói giám đốc, lãnh đạo hoặc nhân viên cấp cao để yêu cầu các hành động nhạy cảm. Không chỉ doanh nghiệp, mà người dùng cá nhân cũng có thể trở thành nạn nhân của các vụ đánh cắp tài khoản, quấy rối hoặc ép buộc.
Để giảm rủi ro, các tổ chức được khuyến nghị triển khai xác thực đa yếu tố (MFA), đào tạo nhân viên nhận diện và xác minh các yêu cầu bất thường, ngay cả khi giọng nói nghe rất quen thuộc. Ngoài ra, cần hạn chế việc công khai giọng nói của lãnh đạo hay nhân sự thường xuyên xuất hiện trước công chúng.
Trong bối cảnh AI ngày càng rẻ và dễ tiếp cận, các chuyên gia dự đoán số vụ vishing sẽ tiếp tục gia tăng, cả ở quy mô rộng lẫn tấn công có mục tiêu cao. Một cuộc gọi tưởng chừng quen thuộc giờ đây có thể là cánh cửa mở ra cho kẻ xấu và sự cảnh giác chính là lớp phòng thủ quan trọng nhất.
Được phối hợp thực hiện bởi các chuyên gia của Bkav,
cộng đồng An ninh mạng Việt Nam WhiteHat
và cộng đồng Khoa học công nghệ VnReview