Một làn sóng những kẻ đe dọa đang khai thác AI để tạo nội dung âm thanh, hình ảnh và video tổng hợp được thiết kế để mạo danh những cá nhân đáng tin cậy, chẳng hạn như giám đốc điều hành (CEO), để lừa nhân viên cung cấp thông tin. Tuy nhiên, hầu hết các tổ chức chỉ đơn giản là không chuẩn bị để giải quyết các loại mối đe dọa này. Năm 2021, nhà phân tích Darin Stewart của Gartner - công ty tư vấn và nghiên cứu công nghệ tại Vương quốc Anh - đã viết bài đăng trên blog cảnh báo rằng, “trong khi các công ty đang cố gắng chống lại những cuộc tấn công của mã độc tống tiền, thì họ lại không làm gì để chuẩn bị cho sự tấn công sắp xảy ra của các phương tiện đa dạng, tiên tiến hơn”. Với AI đang phát triển nhanh chóng và các nhà cung cấp như OpenAI dân chủ hóa quyền truy cập vào AI, các tổ chức không thể bỏ qua mối đe dọa kỹ thuật xã hội do Deepfake gây ra, bởi nếu họ làm như vậy, họ sẽ dễ bị vi phạm dữ liệu.

Mặc dù công nghệ Deepfake vẫn còn ở giai đoạn sơ khai, nhưng nó đang ngày càng trở nên phổ biến. Tội phạm mạng đã bắt đầu thử nghiệm nó để khởi động các cuộc tấn công vào người dùng và các tổ chức cả tin. Theo Diễn đàn Kinh tế thế giới (WEF), số lượng video deepfake trực tuyến đang tăng với tốc độ hằng năm là 900%. Đồng thời, Vmware - công ty đại chúng niêm yết tại Sở Giao dịch chứng khoán New York - phát hiện ra rằng, cứ 3 chuyên gia thì có 2 người báo cáo đã phát hiện các phần mềm virus giả mạo độc hại được sử dụng như một phần của cuộc tấn công, tăng 13% so với năm 2021. Những cuộc tấn công này đã và đang cho thấy sức công phá nghiêm trọng của nó. Chẳng hạn, vào năm 2021, tội phạm mạng đã sử dụng tính năng nhân bản giọng nói AI để đóng giả giám đốc điều hành của một công ty lớn và lừa giám đốc ngân hàng của tổ chức đó chuyển 35 triệu USD vào một tài khoản khác để hoàn tất một vụ “mua lại”. Một sự cố tương tự đã xảy ra vào năm 2019. Một kẻ lừa đảo đã gọi điện cho giám đốc điều hành của một công ty năng lượng ở Vương quốc Anh bằng cách sử dụng AI để mạo danh giám đốc điều hành của công ty mẹ ở Đức. Anh ta yêu cầu chuyển gấp 243.000 USD cho một nhà cung cấp Hungary.

Nhiều nhà phân tích dự đoán rằng, lừa đảo Deepfake sẽ tiếp tục gia tăng và nội dung sai lệch do các tác nhân đe dọa tạo ra sẽ trở nên tinh vi và thuyết phục hơn. Nhà phân tích Akhilesh Tuteja của KPMG cho biết: “khi công nghệ Deepfake ngày càng phát triển, các cuộc tấn công sử dụng Deepfake dự kiến sẽ trở nên phổ biến hơn và mở rộng thêm các chiêu trò lừa đảo mới hơn”. “Chúng ngày càng trở nên không thể phân biệt được với thực tế. Thật dễ dàng để nhận ra các video Deepfake cách đây 2 năm, vì chúng có chất lượng chuyển động vụng về, người bị làm giả dường như không bao giờ chớp mắt. Tuy vậy, mọi thứ ngày càng trở nên khó phân biệt hơn”, Tuteja nói.

Ông gợi ý rằng các nhà lãnh đạo an ninh cần chuẩn bị phương pháp bảo mật hiệu quả hơn, nhằm đối phó với những kẻ lừa đảo sử dụng hình ảnh và video tổng hợp để vượt qua các hệ thống xác thực, sử dụng thông tin đăng nhập sinh trắc học. Tin tặc sử dụng AI và máy học để phân tích nhiều loại thông tin, bao gồm ảnh, video và đoạn âm thanh, nhằm thực hiện một cuộc tấn công lừa đảo Deepfake. Họ phát triển một bản sao vi tính hóa của người sử dụng dữ liệu này. David Mahdi - cố vấn CSO và CISO của Sectigo (công ty an ninh mạng) - cho biết: “những kẻ xấu có thể chỉ cần sử dụng bộ mã hóa tự động - một loại mạng nơ-ron tinh vi - để xem phim, phân tích ảnh và nghe bản ghi âm của một người nhằm sao chép các đặc điểm thể chất của cá nhân đó”. Đầu năm nay, một trong những ví dụ điển hình nhất của phương pháp này đã xảy ra. Các tin tặc đã tạo ra một hình ảnh 3 chiều Deepfake của Patrick Hillmann - Giám đốc truyền thông của Binance - sử dụng cảnh quay từ các cuộc phỏng vấn trước đó và các lần xuất hiện trên phương tiện truyền thông. Với cách tiếp cận này, các tác nhân đe dọa không chỉ có thể bắt chước những thuộc tính vật lý của một cá nhân để đánh lừa người dùng thông qua kỹ thuật xã hội, mà chúng còn có thể bỏ qua các giải pháp xác thực sinh trắc học.

Vì lý do này, nhà phân tích Avivah Litan của Gartner khuyến nghị các tổ chức “không nên dựa vào chứng nhận sinh trắc học cho các ứng dụng xác thực người dùng, trừ khi nó sử dụng tính năng phát hiện Deepfake hiệu quả để bảo đảm tính xác thực và tính hợp pháp của người dùng”. Bà Litan cũng chỉ ra rằng, việc phát hiện ra những kiểu tấn công này dự kiến sẽ trở nên khó khăn hơn khi AI lợi dụng những lợi thế sẵn có để xây dựng các hình ảnh và âm thanh thuyết phục hơn. Vấn đề là khi độ chính xác của bộ phân biệt đối xử được cải thiện, những kẻ lừa đảo có thể áp dụng những gì chúng đã học được vào trình tạo để tạo ra tài liệu khó xác định hơn.

Đào tạo nâng cao nhận thức về bảo mật là một trong những cách đơn giản nhất để các doanh nghiệp chống lại hành vi lừa đảo Deepfake. Mặc chưa có phương pháp đào tạo nào bảo đảm rằng sẽ không có nhân viên nào trở thành nạn nhân của nỗ lực lừa đảo cực kỳ tinh vi, chí ít việc đào tạo bài bản có thể làm giảm khả năng xảy ra sự cố và vi phạm bảo mật. Một phương pháp để báo cáo các nỗ lực lừa đảo cho nhân viên an ninh nên được đưa vào như một phần của khóa đào tạo đó. Cục Điều tra Liên bang Mỹ (FBI) khuyến nghị người tiêu dùng nên học cách phát hiện các nỗ lực lừa đảo qua mạng xã hội và lừa đảo Deepfake bằng cách tìm kiếm các dấu hiệu trực quan như biến dạng, hoặc sự khác biệt trong ảnh và video. Đối với các cá nhân trong xã hội, mọi người đều có thể nâng cao sự cảnh giác để đối phó với hình thức lừa đảo tinh vi này. Hãy cảnh giác với những cuộc điện thoại bất thường, đặc biệt là từ những người mà bản thân biết rõ. Điều này không có nghĩa là mọi người phải sắp xếp mọi cuộc gọi, nhưng việc gửi email hoặc nhắn tin trước sẽ có ích. Ngoài ra, đừng dựa vào tài khoản (ID) người gọi vì nó cũng có thể bị giả mạo.

Ví dụ, nếu bạn nhận được cuộc gọi từ một người tự xưng là từ ngân hàng của mình, hãy gác máy và gọi ngay cho ngân hàng để xác nhận tính hợp pháp của cuộc gọi. Sử dụng số điện thoại bạn đã ghi lại, lưu trong danh sách liên hệ hoặc tìm nó trên Google. Hơn nữa, hãy thận trọng khi tiết lộ thông tin nhận dạng cá nhân như số chứng minh thư, địa chỉ nhà riêng, ngày sinh, số điện thoại, tên đệm và thậm chí cả tên của con cái và thú cưng của bạn. Những kẻ lừa đảo có thể sử dụng thông tin này để mạo danh bạn với ngân hàng, người môi giới và những người khác, cho phép họ trục lợi cho bản thân trong khi gây ảnh hưởng tới tài sản, uy tín của bạn. Sự cảnh giác này cũng là một biện pháp ngăn chặn hiệu quả thông tin sai lệch thông qua các hình thức giả mạo./.