Khi deepfake không còn là “lỗi kỹ thuật” dễ nhận ra
Tháng 2/2024, cảnh sát Hồng Công (Trung Quốc) công bố một vụ lừa đảo được coi là cột mốc nguy hiểm của tội phạm công nghệ cao. Một nhân viên tài chính của chi nhánh công ty đa quốc gia đã chuyển 25 triệu USD sau khi tham dự cuộc họp trực tuyến với những người mà anh tin là Giám đốc tài chính (CFO) và các lãnh đạo cấp cao khác.
Điều tra cho thấy toàn bộ hình ảnh và giọng nói trong cuộc họp đều là deepfake, được tạo ra từ dữ liệu công khai như video họp, phỏng vấn, phát biểu trước đó. Cuộc họp diễn ra hoàn toàn “hợp lý”: gương mặt quen thuộc, giọng nói khớp, nội dung trao đổi mạch lạc. Không có link lạ, không có email giả mạo, không có phần mềm độc hại.
Sai lầm chỉ được phát hiện sau khi giao dịch hoàn tất và nhân viên này xác minh lại qua kênh nội bộ khác. Vụ việc cho thấy: trong bối cảnh hiện nay, việc yêu cầu cá nhân tự phân biệt deepfake bằng mắt thường là điều không thực tế. Công nghệ giả mạo đã đủ “sạch” để vượt qua các dấu hiệu kỹ thuật truyền thống.
Tấn công gây thiệt hại lớn nhưng không cần công nghệ cao
Nhiều năm trước đây, khi nhắc đến lừa đảo trực tuyến, phản xạ phổ biến của xã hội là “tìm dấu hiệu giả”: email có link lạ không, website có tên miền tương tự các website chính thức không, giọng nói trong cuộc gọi có méo mó không, hình ảnh có dấu hiệu deepfake không. Cách tiếp cận này từng hiệu quả trong giai đoạn tội phạm mạng còn thủ công, phụ thuộc vào các công cụ kỹ thuật đơn giản và để lại nhiều “dấu vết”.
Tuy nhiên, bước sang giai đoạn những năm 2024-2025, thực tiễn cho thấy một sự thật đáng lo ngại: công nghệ giả mạo đang tiến nhanh hơn khả năng nhận diện của con người.
Cuộc chiến chống lừa đảo trực tuyến buộc phải chuyển trọng tâm, từ việc cố “vạch mặt cái giả” sang nhận diện hành vi và quy trình bất thường. Đây không phải là một xu hướng lý thuyết, mà là kết luận được rút ra từ hàng loạt vụ việc có thật, gây thiệt hại nghiêm trọng trên toàn cầu và tại Việt Nam.
Ở chiều ngược lại, nhiều vụ việc nghiêm trọng lại không hề cần dựa vào deepfake hay AI phức tạp. Năm 2023, tập đoàn giải trí - khách sạn MGM Resorts (Mỹ) hứng chịu một cuộc tấn công khiến hệ thống bị gián đoạn nhiều ngày, thiệt hại ước tính hơn 100 triệu USD. Theo các báo cáo điều tra và công bố chính thức của doanh nghiệp, điểm khởi đầu không phải là lỗ hổng phần mềm, mà là một cuộc gọi tới bộ phận IT Helpdesk.
Kẻ tấn công đóng giả nhân viên, cung cấp một số thông tin cá nhân thu thập từ mạng xã hội và yêu cầu hỗ trợ cấp lại quyền truy cập. Quy trình xác thực bị phá vỡ, tạo điều kiện cho tấn công lan rộng. Không có “hack” theo nghĩa truyền thống, chỉ có sự thao túng con người và quy trình.
Vụ việc này nhắc lại một chân lý cũ của an ninh mạng: công nghệ có thể rất hiện đại, nhưng quy trình và hành vi con người vẫn là điểm yếu lớn nhất.
Thực tiễn Việt Nam - kịch bản ngày càng tinh vi
Tại Việt Nam, các cảnh báo của Bộ Công an, Ngân hàng Nhà nước Việt Nam và nhiều tổ chức tài chính trong giai đoạn 2023–2025 cho thấy một bức tranh rõ nét: thủ đoạn có thể thay đổi, nhưng kịch bản tâm lý ngày càng được chuẩn hóa.
Những hình thức phổ biến gồm: Giả mạo cán bộ công an, viện kiểm sát, tòa án gọi điện yêu cầu “phục vụ điều tra”; giả mạo người thân, bạn bè, lãnh đạo cơ quan trên mạng xã hội để nhờ chuyển tiền gấp; sử dụng hình ảnh, giọng nói giả (deepfake, voice clone) để tăng độ tin cậy.
Điểm chung của các vụ việc này không nằm ở công nghệ cao hay thấp, mà ở cách ép nạn nhân hành động trái với thói quen và quy trình quen thuộc: Tạo cảm giác khẩn cấp: “xử lý ngay”, “nếu không sẽ bị bắt”, “cơ hội cuối cùng”; cô lập nạn nhân: yêu cầu giữ bí mật, không được hỏi người khác; phá vỡ nguyên tắc an toàn: chuyển tiền ngoài giờ, ngoài kênh, bỏ qua bước xác minh.
Chính trong các tài liệu tuyên truyền cho cộng đồng gần đây, Bộ Công an cũng nhấn mạnh rằng lừa đảo hiện đại là lừa bằng kịch bản, chứ không chỉ bằng công cụ.
Vì sao hành vi và quy trình trở thành “chìa khóa” mới?
Sự dịch chuyển chiến lược này xuất phát từ ba thực tế lớn. Thứ nhất, trí tuệ nhân tạo (AI) làm mờ ranh giới thật - giả. Khi email, website, hình ảnh, giọng nói đều có thể được tạo ra với chất lượng cao, việc dựa hoàn toàn vào dấu hiệu kỹ thuật là cuộc chạy đua không cân sức.
Thứ hai, hành vi con người có tính ổn định cao. Một cá nhân hay tổ chức đều có thói quen làm việc, cách ra quyết định và nhịp sinh hoạt tương đối cố định. Những hành động “lệch chuẩn” - chuyển tiền bất thường, xử lý việc ngoài thẩm quyền, phản ứng quá nhanh trước áp lực - chính là dấu hiệu cảnh báo rõ ràng nhất.
Thứ ba, mọi vụ lừa đảo thành công đều cần nạn nhân phá vỡ một nguyên tắc an toàn. Không có kịch bản nào thành công nếu nạn nhân bình tĩnh kiểm chứng qua kênh độc lập hoặc tuân thủ đầy đủ quy trình.
Cảnh giác không chỉ là “nhận diện chiêu trò”
Bước sang năm 2026, giới chuyên gia an ninh mạng trong nước và quốc tế dự báo một số xu hướng rõ rệt:
Thứ nhất, các ngân hàng và tổ chức tài chính sẽ tăng cường phân tích chuỗi hành vi, không chỉ từng giao dịch đơn lẻ.
Thứ hai, doanh nghiệp sẽ siết chặt quy trình phê duyệt, đặc biệt với các yêu cầu mang tính “khẩn cấp”.
Và cuối cùng là truyền thông và giáo dục cộng đồng sẽ chuyển trọng tâm từ việc “vạch mặt thủ đoạn” sang giúp người dân nhận ra tình huống bất thường.
Câu hỏi quan trọng đối với người dùng không còn là: “Cái này có giả không?” mà là: “Vì sao mình lại bị thúc ép làm điều chưa từng làm, trái với quy trình quen thuộc?”
Theo Chuyên gia an ninh mạng Ngô Minh Hiếu - các yếu tố bất thường nên được soi theo hành vi và quy trình (thay vì chỉ soi công nghệ giả mạo) gồm:
Đăng nhập khác thường: thiết bị/trình duyệt mới, vị trí lạ, “impossible travel”, giờ truy cập khác thói quen, nhiều lần sai mật khẩu liên tiếp.
Thao tác trong phiên bất thường: vào thẳng màn chuyển tiền/đổi thông tin, thao tác quá nhanh hoặc lặp lại máy móc, bỏ qua bước thường làm.
Thay đổi hồ sơ nhạy cảm: đổi số điện thoại/email, reset mật khẩu, thay thông tin khôi phục, vô hiệu MFA (xác thực nhiều lớp) - nhất là ngay trước/sau giao dịch.
Giao dịch bất thường: lần đầu chuyển tới người nhận mới, số tiền vượt “baseline”, chia nhỏ nhiều lệnh, tăng hạn mức đột ngột, chuyển ra kênh khó truy vết.
Dấu hiệu bị “dẫn dắt” (APP scam): nạn nhân tự xác nhận chuyển tiền nhưng bị thao túng (gấp gáp, giữ bí mật, giả danh cơ quan/ngân hàng, ép làm theo kịch bản)
Cuộc chiến chống lừa đảo trực tuyến đang bước vào giai đoạn khó khăn hơn nhưng cũng rõ ràng hơn. Khi công nghệ giả mạo ngày càng hoàn hảo, hành vi bất thường và quy trình bị bẻ cong trở thành dấu hiệu đáng tin cậy nhất để nhận diện rủi ro.
Nâng cao cảnh giác trong năm 2026 không chỉ là cài thêm phần mềm hay học thêm thủ đoạn mới, mà là giữ kỷ luật hành vi, không để cảm xúc và áp lực thời gian dẫn dắt quyết định. Đó không chỉ là lời khuyên an ninh mạng, mà là kỹ năng sinh tồn trong một không gian số ngày càng phức tạp và nhiều cạm bẫy.
