AI website builder: nơi tạo ra trang "web lừa đảo" trong vòng 60 giây

[trungthuc]

Một trong những sự phát hiện đáng lo ngại nhất của các chuyên gia an ninh mạng gần đây là việc AI-powered website builder (chương trình tạo website qua AI) đang bị khai thác một cách triệt để. Các ứng dụng này vốn được thiết kế ra để giúp cho cá nhân, các công ty kinh doanh nhanh chóng thiết lập ra website chuyên nghiệp mà không cần biết qua phương thức lập trình. Nhưng chính qua sự tiện lợi này lại biến chúng trở thành "xưởng sản xuất" ra các trang "web giả mạo" cho tin tặc.

Trong một cuộc cho thử nghiệm mới đây của các chuyên gia an ninh mạng, chỉ cần nhập một đoạn để mô tả ngắn, hệ thống này đã tạo dựng ra một website trông rất chuyên nghiệp trong vòng chưa đầy 60 giây: Từ giao diện, nội dung công ty, dịch vụ, đến các hình ảnh minh họa. Với tốc độ này, tin tặc có thể nhanh chóng tạo dựng lên hàng loạt trang web mạo danh ngân hàng, sàn thương mại điện tử, hay công ty kỹ nghệ để tìm cách đánh lừa người tiêu dùng.

Điểm đáng lo là nhiều trang mạng dạng này không có yêu cầu xác minh bổ sung qua email hay số điện thoại, nghĩa là ai cũng có thể tạo ra website "giả mạo" mà không bị ngăn chặn từ đầu. Đây là "lỗ hổng về kỹ thuật rất là nguy hiểm".

Không chỉ dừng ở website, AI writing assistant (phụ tá viết văn bản qua AI) và chatbot cũng bị lợi dụng. Theo báo cáo cho thấy, có đến
- 40% các ứng dụng bị lạm dụng cho phishing là từ website builder AI.
- 30% thuộc về writing assistant (vốn giúp soạn ra email, bài viết) bị lợi dụng để tạo email lừa đảo thuyết phục đến mức ngay cả những hệ thống lọc thư rác truyền thống cũng khó phát hiện ra.
- Gần 11% có liên quan đến chatbot AI, bị lợi dụng để tương tác với nạn nhân theo kịch bản giả mạo dịch vụ khách hàng.

Các ứng dụng này đã giúp cho bọn tội phạm mạng tăng cường thêm "kỹ xảo tay nghề", không cần phải giỏi về kỹ thuật, không cần biết viết ra văn bản chuyên nghiệp, nhưng vẫn có thể tung ra những chiến dịch lừa đảo trông rất đáng tin.

(Minh họa)

Một báo cáo khác từ các chuyên gia cho thấy ngành kỹ thuật cao đang dẫn đầu trong việc ứng dụng AI (chiếm đến hơn 70%), tiếp theo là ngành giáo dục, viễn thông và dịch vụ chuyên nghiệp tạo ra các tập tin. Đây cũng chính là những lĩnh vực thường xuyên bị tin tặc mạo danh để nhắm mục tiêu vào người tiêu dùng.

Điểm nguy hiểm là:
- Người bình thường khó phân biệt ra đâu là thật-giả vì giao diện và nội dung đều được AI tạo ra hết sức thuyết phục.
- Công ty kinh doanh đối diện nguy cơ bị mất uy tín nhãn hiệu khi bị giả mạo website hoặc dịch vụ hỗ trợ cho khách hàng.
- Hệ thống an ninh truyền thống (lọc email, phát hiện URL, sandbox) chưa đủ mạnh để nhận diện những nội dung được hình thành ra từ AI, bởi vì chúng không còn mắc nhiều lỗi cú pháp hay được thiết kế rẻ tiền như trước đây.
Điều này đồng nghĩa là, trong thời gian sắp tới, các chiêu trò phishing của bọn tin tặc sẽ trở nên tinh vi nhiều hơn, được phát tán lan rộng trên toàn cầu và vượt xa khả năng mức phòng bị thông thường.

Các cuộc tấn công hiện tại tuy vẫn còn ở mức đơn giản, ban đầu, nhưng xu hướng được mở rộng ra càng ngày càng tinh vi. Để đối phó, các chuyên gia an ninh mạng có khuyến cáo cho người tiêu dùng như sau:
1/ Đối với cá nhân:
- Hạn chế tới mức tối đa khi cung cấp thông tin cá nhân của mình cho bất cứ ai, bất cứ bên nào.
- Luôn cho kiểm tra kỹ trang URL trước khi nhập thông tin cá nhân.
- Không bấm vào sự liên kết từ email hoặc tin nhắn lạ, kể cả khi chúng trông rất "chuyên nghiệp".
- Sử dụng việc xác minh nhiều yếu tố (MFA) cho các tài khoản quan trọng.

2/ Đối với công ty kinh doanh:
- Cho triển khai lọc trang URL nâng cao và bảo mật DNS để ngăn chặn việc truy cập vào các website lừa đảo.
- Thường xuyên huấn luyện nhân viên về nhận diện các chiêu trò phishing.
- Theo dõi xu hướng AI để cập nhật các kịch bản tấn công xâm nhập mạng mới.

Sự bùng nổ của AI giống như một con dao hai lưỡi, nó mở ra nhiều cơ hội sáng tạo, nhưng đồng thời cũng trao cho bọn tội phạm mạng một phương tiện lợi hại để xâm nhập và lừa đảo. Những website giả mạo được tạo trong 60 giây, những email phishing được viết trôi chảy như thật… sẽ khiến cho người tiêu dùng ngày càng khó phân biệt đâu là thật, đâu là giả.

Trong bối cảnh thay đổi mới mẽ này, sự cảnh giác và nâng cấp hệ thống phòng vệ là yếu tố sống còn. AI tuy không xấu, nhưng việc thiếu sót các rào chắn và kém ý thức an ninh có thể biến cho AI thành cánh tay đắc lực cho bọn tội phạm mạng.