Chiêu thức lừa đảo tinh vi hơn, khó nhận diện hơn
Ông Ngô Minh Hiếu, chuyên gia an ninh mạng của hệ thống Chống Lừa Đảo cho biết, bức tranh tội phạm mạng tại Việt Nam và khu vực châu Á đang xuất hiện những dịch chuyển đáng báo động. Nếu như năm 2025 được xem là giai đoạn tích lũy "nhiên liệu", thì năm 2026 sẽ là thời điểm bùng nổ của các cuộc tấn công công nghệ cao, đặc biệt là các hình thức lừa đảo được "AI hóa".
Năm 2025 tiếp tục là "điểm nóng" của các vụ rò rỉ dữ liệu cá nhân, phishing (lừa đảo trực tuyến), ransomware (mã độc tống tiền) và các kịch bản mạo danh đơn thuần. Một vụ lừa đảo sẽ không còn gói gọn trong một cuộc gọi hay một tin nhắn đơn lẻ. Thay vào đó, nạn nhân bị dẫn dụ qua một kịch bản xuyên suốt trên nhiều nền tảng như SMS, mạng xã hội, ứng dụng chat, email…, với sự hỗ trợ của AI hoạt động gần như 24/7.
Trong kỷ nguyên AI, hình ảnh video và giọng nói không còn là bằng chứng đủ tin cậy để xác minh danh tính.
Chuyên gia Ngô Minh Hiếu nhận định, năm 2026 được nhận định là thời điểm các hình thức lừa đảo trực tuyến chuyển mạnh từ mô hình đơn kênh sang tấn công đa kênh, với những chiến dịch được tổ chức bài bản, phối hợp đồng thời trên nhiều nền tảng nhằm tạo niềm tin tuyệt đối cho nạn nhân.
Một kịch bản lừa đảo điển hình thường được triển khai theo từng giai đoạn. Ban đầu, nạn nhân nhận tin nhắn SMS giả mạo ngân hàng, thông báo về giao dịch bất thường. Ngay sau đó, email xác nhận được gửi đến với logo, bố cục và ngôn ngữ giống hệt thông báo chính thức, nhằm củng cố tính xác thực.
Ở bước tiếp theo, nạn nhân được dẫn dắt trò chuyện với chatbot AI trên Facebook, nơi các phản hồi được thiết kế sẵn để hướng dẫn "cách bảo vệ tài khoản". Khi mức độ tin tưởng đã đủ cao, đối tượng lừa đảo thực hiện cuộc gọi video giả mạo nhân viên ngân hàng, yêu cầu xác minh thông tin và cung cấp mã OTP. Cuối cùng, nạn nhân được chuyển sang Telegram hoặc Zalo với lý do "hỗ trợ khẩn cấp", nơi các bước chiếm đoạt tài sản được hoàn tất.
Việc sử dụng nhiều kênh liên tiếp giúp mỗi nền tảng trở thành bằng chứng củng cố cho nền tảng khác, tạo nên một "hệ sinh thái lừa đảo" khép kín, khiến nạn nhân khó nhận ra dấu hiệu bất thường.
Cùng với sự phát triển của trí tuệ nhân tạo, các nhóm tội phạm mạng đang mở rộng quy mô lừa đảo từ phương thức thủ công sang mô hình tấn công công nghiệp hóa. Các chatbot AI bị lợi dụng như những "nhân viên tư vấn" hoạt động liên tục, có khả năng trả lời tự động 24/7 với ngôn ngữ tự nhiên, học hỏi từ từng cuộc trò chuyện để điều chỉnh chiến thuật, đồng thời xử lý hàng nghìn nạn nhân cùng lúc.
Đáng chú ý, AI còn được lập trình để giả vờ cảm thông, tạo kết nối cảm xúc, từ đó làm suy giảm cảnh giác của nạn nhân. Không dừng lại ở khâu tiếp cận, công nghệ này còn được sử dụng để quét và phân tích dữ liệu trên mạng xã hội, xác định đối tượng tiềm năng; tự động tạo các trang web giả mạo chỉ trong vài phút; và tối ưu hóa thời điểm tấn công dựa trên hành vi trực tuyến của từng cá nhân.
Nhờ khả năng cá nhân hóa nội dung, các "mồi nhử" lừa đảo ngày càng được thiết kế sát với tâm lý, hoàn cảnh và nhu cầu của từng nạn nhân, khiến việc nhận diện rủi ro trở nên khó khăn hơn.
"Trong kỷ nguyên AI, hình ảnh video và giọng nói không còn là bằng chứng đủ tin cậy để xác minh danh tính. Những gì "nhìn thấy" hoặc "nghe thấy" qua màn hình hoàn toàn có thể bị làm giả. Xác thực an toàn buộc phải dựa vào quy trình kỹ thuật, kiểm tra chéo nghiêm ngặt và các biện pháp xác minh nhiều lớp, thay vì tin vào cảm nhận trực quan", chuyên gia Ngô Minh Hiếu cho biết.
Với xu thế này, càng nhiều dữ liệu cá nhân bị lộ lọt, tội phạm càng dễ dàng xây dựng các kịch bản lừa đảo khớp hoàn toàn với hoàn cảnh thực tế của nạn nhân. Điều này khiến mức độ thuyết phục tăng cao và tỷ lệ sập bẫy ngày càng lớn.
Đối với doanh nghiệp, bảo vệ dữ liệu khách hàng không còn là tùy chọn, mà đã trở thành vấn đề sống còn. Chỉ một sự cố rò rỉ nhỏ cũng có thể kéo theo làn sóng lừa đảo diện rộng, gây khủng hoảng uy tín khó phục hồi và thiệt hại kinh tế nghiêm trọng.
6 nguyên tắc vàng tự bảo vệ bản thân phòng chống lừa đảo
Chuyên gia Ngô Minh Hiếu cho biết, bước sang năm 2026, bề mặt tấn công cũng có sự dịch chuyển đáng chú ý. Nếu mobile và web cùng là mục tiêu trong năm 2025, thì đến năm 2026, điện thoại di động trở thành bề mặt rủi ro lớn nhất. Nguyên nhân là smartphone gắn liền với ngân hàng số, định danh điện tử (e-KYC), ví điện tử và các dịch vụ chăm sóc khách hàng. Việc thiết bị này lưu trữ gần như toàn bộ thông tin nhạy cảm khiến mức độ rủi ro được xếp vào nhóm rất cao.
Ở quy mô lớn hơn, "ngành công nghiệp" lừa đảo vẫn hoạt động mạnh mẽ. Năm 2025, nhiều trung tâm lừa đảo tập trung tại Đông Nam Á, gắn với các hoạt động rửa tiền và tội phạm xuyên biên giới. Sang năm 2026, mô hình này tiếp tục mở rộng sang nhiều khu vực khác, khiến áp lực lừa đảo khó có thể giảm trong ngắn hạn. Đây là mối đe dọa cao, gây bất ổn an ninh mạng khu vực và đặt ra thách thức lớn cho công tác thực thi pháp luật.
Cuối cùng, dữ liệu cá nhân và tình trạng rò rỉ thông tin vẫn là "nhiên liệu" chính cho các cuộc tấn công. Trong khi năm 2025, dữ liệu bị mua bán và khai thác để nhắm mục tiêu chính xác hơn, thì năm 2026, tội phạm lợi dụng các chủ đề như "cập nhật dữ liệu" hay "định danh số" để mạo danh lừa đảo trong bối cảnh khung pháp lý ngày càng siết chặt. Rủi ro được đánh giá từ trung bình đến cao, đe dọa trực tiếp quyền riêng tư và an toàn tài chính của người dùng.
Trước làn sóng lừa đảo được "AI hóa", chuyên gia khuyến cáo tuân thủ nghiêm 6 quy tắc vàng sau:
Thứ nhất, không vội tin vào video hoặc giọng nói giả mạo. Khi nhận được cuộc gọi video, cuộc gọi thoại hoặc tin nhắn từ người quen với nội dung vay mượn tiền, yêu cầu chuyển khoản gấp, người dùng cần hết sức cảnh giác. Hãy tắt máy và chủ động gọi lại qua số điện thoại đã lưu sẵn để xác minh, tránh bị đánh lừa bởi công nghệ giả giọng, giả hình ảnh.
Thứ hai, chặn "đường dẫn dụ" qua nhiều kênh. Người dùng không nên bấm vào các đường link lạ được gửi qua SMS, email hay mạng xã hội. Thay vào đó, hãy tự gõ địa chỉ website chính thức hoặc mở trực tiếp ứng dụng ngân hàng, dịch vụ cần thiết để truy cập, nhằm tránh rơi vào các trang web giả mạo.
Thứ ba, chuyển tiền chậm và xác minh kỹ trước khi giao dịch. Trước khi chuyển tiền cho bất kỳ ai, cần kiểm tra lại thông tin qua ít nhất một kênh liên lạc khác. Việc chậm lại vài phút để xác minh có thể giúp tránh được những thiệt hại lớn về tài chính.
Thứ tư, bảo vệ điện thoại như "ví tiền". Điện thoại di động chứa nhiều thông tin quan trọng liên quan đến tài chính và danh tính cá nhân. Người dùng cần thường xuyên cập nhật hệ điều hành, không cài đặt ứng dụng không rõ nguồn gốc và thiết lập khóa màn hình, bảo mật sinh trắc học một cách cẩn trọng.
Thứ năm, hạn chế rò rỉ dữ liệu cá nhân. Không đăng tải công khai hình ảnh giấy tờ tùy thân, vé máy bay, thông tin cá nhân nhạy cảm trên mạng xã hội. Đồng thời, sử dụng mật khẩu mạnh, khác nhau cho từng tài khoản và kích hoạt xác thực hai lớp để tăng cường an toàn.
Thứ sáu, khi có dấu hiệu nghi ngờ: Dừng – Lưu – Báo. Ngay khi phát hiện dấu hiệu bất thường, cần dừng mọi tương tác, lưu lại các bằng chứng liên quan như tin nhắn, số điện thoại, đường link, và nhanh chóng báo cho ngân hàng hoặc cơ quan chức năng để được hỗ trợ kịp thời.
Trong kỷ nguyên AI, sự cảnh giác không chỉ nằm ở việc kiểm tra thông tin mà còn nằm ở việc tuân thủ các quy trình xác thực chặt chẽ. Đừng để cảm xúc lấn át sự an toàn của bạn.
