Bạn có bao giờ tưởng tượng khuôn mặt của mình được sử dụng để lừa đảo người khác? Nhóm hacker BlueNoroff thuộc Triều Tiên đang biến điều không tưởng này thành hiện thực. Họ sử dụng công nghệ AI để tạo ra những cuộc gọi Zoom giả mạo, nhắm vào các giám đốc điều hành trong lĩnh vực tiền điện tử. Thủ đoạn này không chỉ tinh vi mà còn cực kỳ nguy hiểm.

BlueNoroff - một nhánh của nhóm hacker khét tiếng Lazarus, đã nâng tầm nghệ thuật lừa đảo lên một level hoàn toàn mới. Thay vì chỉ gửi email phishing truyền thống, họ giờ đây tạo ra những cuộc họp video giả mạo, sử dụng hình ảnh và giọng nói của chính nạn nhân để thuyết phục các mục tiêu khác. Chúng tôi cho rằng đây là bước tiến nguy hiểm trong ngành tội phạm mạng, khi ranh giới giữa thật và giả ngày càng mờ nhạt.

Khi nạn nhân trở thành đồng phạm không biết

Quy trình tấn công của BlueNoroff diễn ra theo nhiều giai đoạn phức tạp. Đầu tiên, họ tấn công và thu thập dữ liệu cá nhân từ nạn nhân đầu tiên, bao gồm video cuộc gọi, hình ảnh và thông tin cá nhân. Sau đó, những dữ liệu này được "tái chế" để tạo ra avatar AI (artificial intelligence - trí tuệ nhân tạo) có thể bắt chước gương mặt và giọng nói của nạn nhân ban đầu.

Điều đáng sợ nhất là nạn nhân đầu tiên hoàn toàn không hay biết mình đang trở thành công cụ để tấn công người khác. Họ tiếp tục sống và làm việc bình thường, trong khi "phiên bản số" của họ đang được sử dụng để lừa đảo các đối tác, đồng nghiệp trong ngành cryptocurrency. Đây chính là điểm khác biệt lớn so với các cuộc tấn công deepfake (công nghệ tạo video giả bằng AI) trước đây, khi hacker thường sử dụng hình ảnh của những người nổi tiếng.

Công nghệ AI - vũ khí mới trong tay tội phạm mạng

BlueNoroff đã tận dụng sự phát triển vượt bậc của công nghệ AI generative (AI tạo sinh) để nâng cao hiệu quả tấn công. Họ sử dụng các công cụ deepfake tiên tiến để tạo ra những đoạn video thời gian thực, có thể tương tác trực tiếp trong cuộc gọi Zoom. Khác với những video deepfake được dựng sẵn, công nghệ này cho phép "nhân vật giả" phản hồi và trò chuyện một cách tự nhiên.

Chúng tôi nhận thấy đây là lần đầu tiên một nhóm APT (Advanced Persistent Threat - tấn công dai dẳng nâng cao) sử dụng AI một cách có hệ thống và quy mô lớn như vậy. Trước đây, các nhóm hacker Triều Tiên chủ yếu dựa vào kỹ thuật social engineering (kỹ thuật tâm lý xã hội) truyền thống và malware (phần mềm độc hại) để thực hiện các cuộc tấn công. Việc tích hợp AI vào quy trình tấn công cho thấy sự tiến hoá nguy hiểm của tội phạm mạng quốc tế.

Ngành cryptocurrency - mục tiêu béo bở của hacker Triều Tiên

Không phải ngẫu nhiên mà BlueNoroff lại chọn ngành cryptocurrency làm mục tiêu chính. Theo thống kê của Chainalysis, các nhóm hacker Triều Tiên đã đánh cắp hơn 1.7 tỷ USD từ các sàn giao dịch tiền điện tử trong năm 2022. Con số này tăng 40% so với năm trước, cho thấy sự gia tăng đáng báo động trong hoạt động tội phạm mạng nhắm vào lĩnh vực này.

Tại Việt Nam, thị trường cryptocurrency đang phát triển mạnh mẽ với hàng triệu người tham gia đầu tư và giao dịch. Nhiều sàn giao dịch trong nước như VBTC, Remitano hay Coinhako đều có lượng người dùng lớn và giá trị giao dịch hàng ngày lên đến hàng trăm tỷ đồng. Điều này khiến các CEO và lãnh đạo cấp cao của những công ty này trở thành mục tiêu hấp dẫn đối với các nhóm hacker quốc tế.

Biện pháp phòng chống - không chỉ là công nghệ mà còn là nhận thức

Để đối phó với loại hình tấn công mới này, các doanh nghiệp cần áp dụng cách tiếp cận đa lớp trong bảo mật. Đầu tiên, thiết lập quy trình xác thực danh tính nghiêm ngặt cho mọi cuộc họp quan trọng, bao gồm việc xác nhận qua nhiều kênh liên lạc khác nhau trước khi tiến hành thảo luận về vấn đề nhạy cảm. Thứ hai, sử dụng các công cụ phát hiện deepfake chuyên dụng như DeeperForensics hay FakeLocator để kiểm tra tính xác thực của video call.

Chúng tôi khuyến nghị các CEO và lãnh đạo doanh nghiệp Việt Nam nên thiết lập "từ khóa bí mật" với các đối tác thường xuyên, chỉ được tiết lộ qua cuộc gọi điện thoại trực tiếp hoặc gặp mặt tại văn phòng. Đồng thời, cần đào tạo nhân viên nhận biết các dấu hiệu của cuộc gọi deepfake như độ trễ bất thường, chuyển động mắt không tự nhiên, hoặc chất lượng âm thanh dao động. Quan trọng nhất, tuyệt đối không thực hiện bất kỳ giao dịch tài chính nào chỉ dựa trên một cuộc gọi video duy nhất, dù người đối diện có vẻ quen thuộc đến đâu.