Hoạt động rao bán deepfake như một dịch vụ trên dark web đang tăng mạnh, làm dấy lên lo ngại rằng làn sóng lừa đảo “sếp giả” tiếp theo có thể trở nên tinh vi và khó phát hiện hơn nhiều.
Theo báo cáo mới từ nền tảng quản lý phơi nhiễm mối đe dọa NordStellar, các nhà nghiên cứu đã ghi nhận 924 bài đăng liên quan đến deepfakes-as-a-service (DFaaS) trên dark web trong giai đoạn từ tháng 1 đến tháng 5 năm nay. Con số này tăng 39% so với cùng kỳ năm trước, khi chỉ có 663 bài đăng tương tự.
Xu hướng này cho thấy tội phạm mạng không còn cần tự xây dựng toàn bộ công cụ giả mạo hình ảnh, giọng nói hay video. Thay vào đó, chúng có thể thuê hoặc mua sẵn dịch vụ tạo deepfake, từ đó hạ thấp rào cản kỹ thuật và mở rộng quy mô tấn công.
Vakaris Noreika, chuyên gia an ninh mạng tại NordStellar, cho rằng sự phổ biến nhanh chóng của deepfake dạng dịch vụ nhiều khả năng được thúc đẩy bởi những tiến bộ của AI tạo sinh. Công nghệ mới giúp quá trình tạo deepfake nhanh hơn, đồng thời khiến sản phẩm giả mạo trở nên siêu thực hơn.
“Cuối cùng, dịch vụ này hạ thấp rào cản tiếp cận công nghệ deepfake, cho phép các tác nhân đe dọa triển khai những cuộc tấn công có tính đánh lừa cao ở quy mô lớn hơn, bất kể kỹ năng kỹ thuật cá nhân của họ ra sao,” Noreika nói.
Lừa đảo “sếp giả” có thể nguy hiểm hơn
Điều khiến giới an ninh mạng lo ngại là DFaaS có thể thúc đẩy một thế hệ lừa đảo “fake boss” mới. Đây là kiểu tấn công trong đó kẻ gian giả danh lãnh đạo, quản lý hoặc người có thẩm quyền trong doanh nghiệp để yêu cầu nhân viên chuyển tiền, gửi dữ liệu nhạy cảm hoặc thực hiện thao tác nguy hiểm.
Trước đây, hình thức Business Email Compromise (BEC) chủ yếu dựa vào email giả mạo đã là một trong những chiến thuật kiếm tiền hiệu quả nhất của tội phạm mạng. Theo FBI, BEC là phương thức gây thiệt hại lớn thứ hai trong năm ngoái, với tổn thất doanh nghiệp vượt 3 tỷ USD, tăng 11% so với năm 2024.
Khi deepfake giọng nói và video trở nên dễ mua hơn, kịch bản lừa đảo có thể không chỉ dừng ở email. Nhân viên có thể nhận cuộc gọi thoại, tin nhắn video hoặc cuộc họp trực tuyến có vẻ như đến từ chính “sếp” của mình. Nếu hình ảnh, giọng nói và ngữ cảnh đều thuyết phục, việc nhận diện gian lận sẽ khó hơn rất nhiều.
Doanh nghiệp nên phòng thủ như thế nào?
Theo các chuyên gia, việc phòng thủ trước những cuộc tấn công deepfake thuyết phục không dễ, nhưng không phải là bất khả thi. Noreika cho rằng doanh nghiệp nên tập trung vào phòng ngừa và đào tạo nhân viên, bởi họ không thể kiểm soát việc tội phạm có chọn mình làm mục tiêu hay không.
Một trong những bước quan trọng là giảm lượng dữ liệu mà kẻ tấn công có thể thu thập được. Càng có nhiều thông tin nội bộ, thông tin cá nhân, giọng nói, hình ảnh, chức danh và quy trình làm việc, tin tặc càng dễ dựng nên một kịch bản lừa đảo có độ tin cậy cao.
“Càng lấy được nhiều chi tiết và quyền truy cập, kẻ tấn công càng dễ tạo ra các cuộc tấn công có tính nhắm mục tiêu và độ chân thực cao,” Noreika cảnh báo. Ông cho rằng việc giám sát dark web để phát hiện thông tin công ty bị rò rỉ là một bước quan trọng nhằm ngăn tội phạm tìm thấy thông tin đăng nhập hoặc dữ liệu có thể dùng làm tình báo cho cuộc tấn công.
Doanh nghiệp cũng nên thiết lập quy trình xác minh nhiều lớp đối với các yêu cầu nhạy cảm, đặc biệt là chuyển tiền, thay đổi tài khoản nhận thanh toán, cấp quyền truy cập hoặc gửi dữ liệu nội bộ. Một cuộc gọi video trông giống lãnh đạo không nên là bằng chứng duy nhất để hành động.
AI đang làm thay đổi bản chất của lừa đảo mạng
Sự gia tăng 39% trong các cuộc thảo luận về DFaaS trên dark web là tín hiệu cho thấy tội phạm mạng đang nhanh chóng thương mại hóa công cụ AI. Khi deepfake được đóng gói thành dịch vụ, những nhóm ít kỹ năng hơn cũng có thể thực hiện các chiến dịch giả mạo tinh vi.
Với doanh nghiệp, rủi ro không chỉ nằm ở công nghệ deepfake, mà còn ở tâm lý tin tưởng vào những gì “mắt thấy tai nghe”. Trong môi trường làm việc từ xa, họp trực tuyến và trao đổi qua ứng dụng nhắn tin, việc xác minh danh tính cần được xem là một phần bắt buộc của quy trình an ninh.
Nói cách khác, nếu trước đây nhân viên được dạy phải cảnh giác với email lạ, thì giờ đây họ cũng cần được huấn luyện để cảnh giác với cả giọng nói và hình ảnh quen thuộc. Trong kỷ nguyên AI tạo sinh, một khuôn mặt giống thật hoặc một giọng nói giống sếp chưa chắc đã là thật.
