Deepfake vishing là hình thức lừa đảo qua điện thoại sử dụng AI để giả mạo giọng nói người quen của nạn nhân. Kiểu tấn công này ngày càng khó nhận diện và có thể gây thiệt hại nghiêm trọng nếu không cảnh giác kịp thời.
Quy trình thực hiện deepfake vishing
Deepfake vishing dựa vào công nghệ AI để tạo ra giọng nói giả mạo một cá nhân cụ thể, nhằm lừa đảo qua cuộc gọi điện thoại. Quy trình này dễ mở rộng và khó bị phát hiện.
Các bước tấn công điển hình
- Thu thập mẫu giọng nói: Kẻ tấn công lấy mẫu giọng nói nạn nhân từ video, cuộc gọi hoặc hội nghị trực tuyến. Chỉ cần khoảng 3 giây là đủ cho nhiều công cụ AI hoạt động.
- Tạo giọng nói bằng AI: Sử dụng các công cụ speech synthesis như Tacotron 2 (Google), Vall-E (Microsoft) hay dịch vụ từ ElevenLabs, Resemble AI, đối tượng tạo ra giọng nói có ngữ điệu và thói quen trò chuyện giống thật.
- Spoof số điện thoại (tuỳ chọn): Kẻ xấu tạo hiển thị số gọi đến giống với người hoặc tổ chức mà nạn nhân quen biết.
- Gọi điện thực hiện lừa đảo: Giọng nói giả được dùng để yêu cầu chuyển tiền, cung cấp thông tin đăng nhập hoặc truy cập web độc hại. Một số trường hợp còn có thể giả mạo đối thoại theo thời gian thực, giúp đối phó với nghi ngờ của nạn nhân.
- Chiếm đoạt tài sản hoặc thông tin: Khi nạn nhân làm theo yêu cầu, tài sản hoặc dữ liệu sẽ nhanh chóng bị mất kiểm soát.
Các kỹ thuật tấn công nâng cao
Kẻ tấn công sử dụng công nghệ deepfake không chỉ phát giọng nói thu sẵn mà còn có thể đối thoại cùng nạn nhân bằng phần mềm chuyển đổi/thay đổi giọng nói theo thời gian thực. Điều này làm tăng độ tin cậy của kịch bản lừa đảo. Tuy nhiên, các trường hợp tấn công thực tế dạng này còn chưa phổ biến trên diện rộng theo Group-IB.
Bài học từ thực tiễn và lỗ hổng
Minh hoạ từ diễn tập an ninh mạng
Theo Mandiant (Google), trong một bài diễn tập giả lập tấn công nội bộ (red team), nhóm nghiên cứu dễ dàng thu thập mẫu giọng nói cá nhân trong tổ chức từ nguồn công khai. Sau đó, bằng voice deepfake, họ liên hệ với nhân viên dưới quyền, tận dụng tình huống có thật (ví dụ sự cố VPN), thuyết phục nạn nhân vượt qua mọi cảnh báo bảo mật và tải mã độc về máy tính, minh chứng nguy cơ lớn từ voice spoofing.
Cách phòng tránh deepfake vishing
Biện pháp xác thực an toàn
- Thiết lập mật khẩu xác thực: Hai bên thống nhất sử dụng từ khoá bí mật dành riêng cho những trường hợp yêu cầu hành động khẩn cấp.
- Gọi lại xác minh: Ngắt cuộc gọi và gọi lại đúng số điện thoại đã biết của người gọi để xác minh thông tin.
- Người nhận cuộc gọi phải giữ bình tĩnh, thận trọng, đặc biệt trong tình huống bị gây sức ép về thời gian.
Deepfake vishing tận dụng AI giả lập giọng nói để lừa đảo qua điện thoại, với thủ tục đơn giản nhưng tinh vi. Người dùng và tổ chức cần chủ động phòng ngừa bằng các biện pháp xác thực và không nên hành động dựa trên sự cấp bách từ cuộc gọi bất ngờ.