AI Lừa Đảo Danh Tính: Nâng Cấp Tội Phạm Lên Quy Mô Công Nghiệp

Một cuộc điều tra của Bloomberg gần đây đã hé lộ bức tranh đáng báo động về cách trí tuệ nhân tạo tạo sinh (generative AI) và các tác nhân tự động (autonomous agents) đang siêu cấp hóa nạn trộm cắp danh tính tại Mỹ. Từ việc tra cứu số an sinh xã hội trên darknet đến tạo giấy phép lái xe giả mạo bằng deepfake, các công nghệ AI này đang biến tội phạm cá nhân thành một hoạt động quy mô công nghiệp, gây ra những thiệt hại kinh tế khổng lồ và đặt ra thách thức lớn cho cả cá nhân lẫn tổ chức.

AI Lừa Đảo Danh Tính: Mối Đe Dọa Mới Từ Công Nghệ Tạo Sinh

Vài tháng trước, phóng viên Jennah Haque của Bloomberg bất ngờ nhận được gói chào mừng từ Học viện Y khoa Ultimate ở Tampa, Florida, dù cô chưa bao giờ nộp đơn. Ai đó đã gửi 13 đơn đăng ký đại học và nhiều yêu cầu hỗ trợ tài chính dưới tên cô, có khả năng chiếm đoạt hơn 50.000 USD tiền vay sinh viên. Mọi thông tin từ tên, ngày sinh, địa chỉ đến số an sinh xã hội đều khớp hoàn hảo, chỉ có một điểm đáng ngờ duy nhất: một trường trung học ở Alabama mà cô chưa từng đặt chân đến. Trường hợp của Haque không hề đơn lẻ, mà là một minh chứng rõ ràng cho thấy nạn trộm cắp danh tính được tăng cường bởi AI đã đạt đến một cấp độ mới, đúng như các chuyên gia đã lo ngại.

Theo Trung tâm Tài nguyên Trộm cắp Danh tính (ITRC), năm 2025 ghi nhận số vụ xâm phạm dữ liệu cao nhất kể từ khi họ bắt đầu theo dõi vào năm 2005. Các công cụ AI chuyên biệt và công nghệ deepfake giờ đây đã trở thành một phần không thể thiếu trong "sổ tay" của tội phạm. Michael Bruemmer, Phó Chủ tịch Bảo vệ Người tiêu dùng tại Experian – một trong ba cục tín dụng lớn của Mỹ – tiết lộ rằng 40% trong số 5.000 vụ vi phạm dữ liệu mà nhóm của ông xử lý cho các công ty bị ảnh hưởng vào năm ngoái đều có liên quan đến AI. Đối với năm 2026, Experian thậm chí còn dự đoán rằng AI tác nhân (agentic AI) sẽ trở thành động lực chính của các vụ lừa đảo.

Tác Nhân Tự Động và Công Cụ AI: Vũ Khí Mới Của Tội Phạm

Theo Bloomberg, các công cụ AI đã trở nên cực kỳ trưởng thành. Các mô hình ngôn ngữ như FraudGPT, được huấn luyện trên dữ liệu vi phạm, có thể kiểm tra hàng trăm nghìn số an sinh xã hội chỉ trong vài phút cho đến khi tìm thấy một sự kết hợp hợp lệ gắn liền với một tài khoản ít hoạt động. Các tác nhân phụ (sub-agents) khác sẽ lùng sục darknet để tìm kiếm dữ liệu cá nhân có thể sử dụng được, trong khi những tác nhân khác đồng thời liên hệ với nhiều ngân hàng dưới các danh tính khác nhau. Thậm chí, một số tác nhân còn tự động điền các mẫu đơn phức tạp của chính phủ để xin cấp tín dụng.

Một nhân viên hỗ trợ tài chính của Mỹ đã nói với Haque rằng, khối lượng đơn đăng ký đại học được gửi trong một khoảng thời gian ngắn như vậy gần như là không thể nếu không có sự hỗ trợ của AI. Điều này cho thấy khả năng tự động hóa và tăng tốc quá trình lừa đảo của AI đã vượt xa khả năng của con người.

Từ Deepfake Đến Mở Thẻ Tín Dụng: Các Chiêu Trò Lừa Đảo Tinh Vi

Naureen Ali, Trưởng bộ phận Chống gian lận tại TransUnion Hoa Kỳ, mô tả một chiêu lừa đảo "bust-out" phổ biến: những kẻ lừa đảo trước tiên mở các hạn mức tín dụng nhỏ tại các ngân hàng địa phương, sau đó mở các hạn mức lớn hơn tại các tổ chức cho vay. Chúng sử dụng giấy phép lái xe giả mạo bằng deepfake làm bằng chứng nhận dạng vật lý, sau đó rút cạn thẻ và tài khoản. Ali ước tính tổng thiệt hại do gian lận toàn cầu hàng năm lên tới hơn 534 tỷ USD, mặc dù bà không tách riêng phần do AI gây ra.

AI khiến các cuộc tấn công trở nên nhanh hơn, tinh vi hơn và thuyết phục hơn về mặt hình ảnh.

Michael Bruemmer của Experian tóm tắt một cách đơn giản: "AI khiến các cuộc tấn công trở nên nhanh hơn, tinh vi hơn và thuyết phục hơn về mặt hình ảnh." Các email lừa đảo (phishing) giờ đây gần như không thể bị phát hiện bởi hầu hết người nhận. Tamas Kadar, CEO của công ty phòng chống gian lận SEON, cho biết những kẻ lừa đảo giờ đây có thể xây dựng toàn bộ các trang web lừa đảo mà không cần viết một dòng mã nào.

AI Lừa Đảo Danh Tính Hoạt Động Như Thế Nào?

AI lừa đảo danh tính hoạt động bằng cách tận dụng khả năng xử lý dữ liệu khổng lồ, tạo nội dung siêu thực và tự động hóa quy trình. Cụ thể:

• Thu thập và phân tích dữ liệu: AI có thể quét darknet, các cơ sở dữ liệu bị rò rỉ để tìm kiếm thông tin cá nhân như số an sinh xã hội, ngày sinh, địa chỉ, lịch sử tín dụng. Sau đó, nó phân tích dữ liệu này để tìm ra những "con mồi" tiềm năng hoặc những lỗ hổng trong hệ thống.
• Tạo danh tính giả và tài liệu deepfake: Các mô hình AI tạo sinh có thể tạo ra hình ảnh, giọng nói, thậm chí là video giả mạo (deepfake) có độ chân thực cao. Điều này cho phép tội phạm tạo ra giấy tờ tùy thân giả mạo như giấy phép lái xe, hộ chiếu để vượt qua các bước xác minh danh tính.
• Tự động hóa quy trình lừa đảo: Các tác nhân tự động có thể thực hiện hàng loạt các tác vụ liên tiếp mà không cần sự can thiệp của con người. Ví dụ, chúng có thể tự động điền đơn xin vay tiền, mở tài khoản ngân hàng, gửi email lừa đảo hàng loạt hoặc thậm chí tương tác với hệ thống dịch vụ khách hàng.
• Tạo nội dung lừa đảo tinh vi: AI có thể viết email lừa đảo với ngôn ngữ trôi chảy, không mắc lỗi ngữ pháp, và cá nhân hóa nội dung để đánh lừa nạn nhân. Nó cũng có thể tạo ra các trang web giả mạo giống hệt trang web thật, khiến người dùng khó lòng phân biệt được.

Phòng Thủ Bằng AI: Cuộc Chiến Công Nghệ Chống Lại Tội Phạm

Các chuyên gia mà Bloomberg phỏng vấn đều đồng ý rằng vũ khí tốt nhất để chống lại làn sóng tội phạm này chính là AI. TransUnion hiện đang sử dụng các kiểm tra "tính sống động" tự động (automated liveness checks) để phát hiện các bức ảnh selfie được tạo ra bằng AI, đảm bảo rằng người đang xác minh danh tính là một người thật chứ không phải deepfake.

Trong khi đó, SEON phân tích các giao dịch bằng cách sử dụng các điểm rủi ro độc quyền dựa trên AI để phát hiện các hoạt động bất thường. Các hệ thống AI phòng thủ này có thể học hỏi từ các mẫu gian lận mới, liên tục cập nhật để đối phó với những chiêu trò ngày càng tinh vi của tội phạm AI.

Lời Khuyên Cá Nhân: Bảo Vệ Danh Tính Của Bạn Trước Mối Nguy AI

Đối với các cá nhân, những lời khuyên tiêu chuẩn vẫn còn giá trị và ngày càng trở nên quan trọng hơn bao giờ hết:

• Đóng băng tín dụng (Credit freezes): Đây là một biện pháp hiệu quả để ngăn chặn kẻ trộm mở tài khoản mới dưới tên bạn. Khi tín dụng bị đóng băng, không ai có thể truy cập hồ sơ tín dụng của bạn trừ khi bạn cho phép.
• Xác thực đa yếu tố (Multi-factor authentication - MFA): Luôn bật MFA cho tất cả các tài khoản trực tuyến quan trọng của bạn. Điều này thêm một lớp bảo mật, yêu cầu bạn cung cấp thêm một yếu tố xác minh (như mã gửi đến điện thoại) ngoài mật khẩu.
• Khóa truy cập (Passkeys): Sử dụng passkeys thay vì mật khẩu truyền thống khi có thể. Passkeys an toàn hơn, chống lại các cuộc tấn công lừa đảo và dễ sử dụng hơn.
• Tránh Wi-Fi công cộng không có VPN: Mạng Wi-Fi công cộng thường không an toàn, dễ bị tin tặc theo dõi. Sử dụng Mạng riêng ảo (VPN) để mã hóa dữ liệu và bảo vệ thông tin cá nhân của bạn khi truy cập internet ở nơi công cộng.

Điều này có nghĩa gì với bạn?

Sự trỗi dậy của AI trong các hoạt động lừa đảo danh tính không chỉ là vấn đề của các tổ chức tài chính lớn hay chính phủ, mà còn ảnh hưởng trực tiếp đến mỗi cá nhân chúng ta. Nó có nghĩa là bạn cần phải nâng cao cảnh giác hơn bao giờ hết với các mối đe dọa trực tuyến. Các chiêu trò lừa đảo sẽ ngày càng tinh vi, khó phát hiện hơn, và những thông tin cá nhân mà bạn từng nghĩ là an toàn có thể bị lợi dụng theo những cách mà trước đây chưa từng có.

Việc hiểu rõ cách AI được sử dụng trong tội phạm và chủ động áp dụng các biện pháp bảo vệ cá nhân là điều tối quan trọng. Đồng thời, các doanh nghiệp và chính phủ cũng cần đầu tư mạnh mẽ hơn vào các giải pháp AI phòng thủ để tạo ra một môi trường số an toàn hơn. Cuộc chiến chống lại AI lừa đảo danh tính sẽ là một cuộc đua công nghệ không ngừng nghỉ, đòi hỏi sự hợp tác và ý thức từ tất cả mọi người.