Lừa đảo bằng AI và Deepfake: Khi công nghệ trở thành “vũ khí mềm” của tội phạm mạng

Nhận diện những thủ đoạn tinh vi

Nếu trước đây các chiêu trò lừa đảo chủ yếu dựa vào tin nhắn giả mạo, đường link độc hại hoặc các cuộc gọi mạo danh đơn giản, thì nay với sự hỗ trợ của AI, các đối tượng có thể tạo ra hình ảnh, âm thanh và video có độ chân thực rất cao, khiến nạn nhân khó phân biệt thật giả.

Điều nguy hiểm của Deepfake không nằm ở việc tấn công trực tiếp vào thiết bị hay tài khoản điện tử mà ở khả năng thao túng tâm lý và đánh vào niềm tin của con người. Chỉ với vài phút dữ liệu hình ảnh hoặc giọng nói được thu thập trên mạng xã hội, các đối tượng có thể tạo ra cuộc gọi video mang khuôn mặt của người thân hoặc đoạn ghi âm có giọng nói giống lãnh đạo cơ quan, nhân viên ngân hàng để yêu cầu chuyển tiền, cung cấp mã OTP hay thông tin cá nhân.

Nhiều nạn nhân đã mắc bẫy vì tin rằng mình đang trao đổi với người quen hoặc làm việc với cơ quan chức năng. Trong khi đó, toàn bộ hình ảnh và giọng nói họ nhìn thấy, nghe thấy đều do AI tạo dựng.

Theo Thượng tá Nguyễn Đình Đỗ Thi, Phó Trưởng phòng Tham mưu, Cục An ninh mạng và phòng, chống tội phạm sử dụng công nghệ cao (A05- Bộ Công an), AI đang giúp tội phạm tự động hóa việc tìm kiếm mục tiêu, xây dựng các kịch bản lừa đảo được “cá nhân hóa” và giả mạo danh tính với độ chính xác rất cao. Chỉ cần vài phút dữ liệu hình ảnh và giọng nói, các đối tượng đã có thể tạo ra video Deepfake gần như thật để giả danh người thân, cán bộ công an hoặc nhân viên ngân hàng nhằm thao túng tâm lý nạn nhân.

Thực tế cho thấy các hình thức lừa đảo liên quan đến AI ngày càng đa dạng, từ giả danh cơ quan chức năng, lừa đảo đầu tư ngoại hối và tiền số, lừa đảo tình cảm đến tống tiền bằng hình ảnh nhạy cảm hoặc tấn công vào hệ sinh thái tài sản số.

Từ giữa năm 2024, các ngân hàng Việt Nam triển khai xác thực sinh trắc học đối với nhiều giao dịch có giá trị lớn nhằm ngăn chặn các hành vi chiếm đoạt tài sản trực tuyến. Tuy nhiên, tội phạm mạng cũng nhanh chóng tìm cách vượt qua những lớp bảo vệ mới.

Mới đây, Phòng An ninh mạng và phòng, chống tội phạm sử dụng công nghệ cao phối hợp với Phòng Cảnh sát hình sự, Công an TP Hà Nội đã triệt phá đường dây sản xuất, mua bán phần mềm độc hại có khả năng hỗ trợ vượt qua hệ thống xác thực sinh trắc học của một số tổ chức tín dụng. Ngày 27/3/2026, Cơ quan Cảnh sát điều tra, Công an TP đã khởi tố vụ án, khởi tố 5 bị can về hành vi sản xuất, mua bán, trao đổi hoặc tặng cho công cụ, thiết bị, phần mềm nhằm sử dụng vào mục đích trái pháp luật.

Kết quả điều tra cho thấy các đối tượng đã nghiên cứu, phát triển và rao bán phần mềm phục vụ việc qua mặt các bước xác thực sinh trắc học trong giao dịch ngân hàng. Vụ việc tiếp tục gióng lên hồi chuông cảnh báo về cuộc đua giữa các giải pháp bảo mật và thủ đoạn ngày càng tinh vi của tội phạm công nghệ cao.

Chuyên gia an ninh mạng Ngô Minh Hiếu (Giám Đốc mạng lưới Chống lừa đảo; thành viên Liên minh Niềm tin số) cho rằng, dù AI và Deepfake là những công cụ nguy hiểm, nhưng gốc rễ của nhiều vụ lừa đảo vẫn bắt nguồn từ việc người dùng để lộ dữ liệu cá nhân. Khi các thông tin như căn cước công dân, ảnh chân dung, video khuôn mặt, số điện thoại hoặc tài khoản ngân hàng bị thu thập đủ nhiều, tội phạm có thể kết hợp AI, Deepfake, kỹ thuật chiếm quyền SIM hoặc phần mềm độc hại để vượt qua nhiều lớp bảo mật vốn được cho là an toàn.

Những giải pháp căn cơ

Trước sự gia tăng của các loại tội phạm sử dụng AI và Deepfake, yêu cầu đặt ra không chỉ là xử lý hậu quả mà còn phải chủ động nhận diện, ngăn chặn từ sớm, từ xa. Thiếu tướng Nguyễn Quốc Toản, Chánh Văn phòng Bộ Công an cho biết, Bộ đang triển khai đồng bộ nhiều giải pháp nhằm phòng ngừa, đấu tranh với các hành vi lợi dụng công nghệ cao để phạm tội.

Trước hết là tiếp tục hoàn thiện hành lang pháp lý để xử lý các hành vi mới phát sinh trên môi trường số. Bộ Công an đã tham mưu xây dựng Luật Bảo vệ dữ liệu cá nhân, Luật An ninh mạng sửa đổi và các quy định liên quan đến xử lý hành vi lợi dụng AI, Deepfake để phát tán thông tin sai sự thật hoặc thực hiện hành vi lừa đảo.

Cùng với đó, Luật Trí tuệ nhân tạo có hiệu lực từ ngày 1/3/2026 đã quy định rõ các hành vi bị nghiêm cấm như lợi dụng AI để lừa dối, thao túng nhận thức con người hoặc thu thập, sử dụng dữ liệu trái quy định của pháp luật.

Bên cạnh hoàn thiện pháp luật, lực lượng chức năng tập trung tăng cường quản trị AI, kiểm soát thuật toán, gắn nhãn nội dung do AI tạo ra, định danh người dùng trên mạng xã hội và xây dựng không gian mạng an toàn, lành mạnh.

Một nhiệm vụ quan trọng khác là đấu tranh quyết liệt với tội phạm công nghệ cao, đặc biệt là các hành vi mua bán dữ liệu cá nhân, làm lộ lọt thông tin người dùng và phát triển công cụ phục vụ hoạt động phạm tội.

Trong bối cảnh phần lớn các vụ lừa đảo hiện nay mang tính xuyên biên giới, việc tăng cường hợp tác quốc tế về an ninh mạng, phòng chống tội phạm mạng và bảo vệ dữ liệu cũng được xác định là yêu cầu cấp thiết.

Theo Thiếu tướng Nguyễn Quốc Toản, qua thực tiễn điều tra, các đối tượng lừa đảo thường khai thác ba trạng thái tâm lý phổ biến của nạn nhân là lo sợ, tình cảm và hám lợi. Chúng giả danh cơ quan công an, viện kiểm sát để gây áp lực; giả mạo người thân gặp nạn để đánh vào cảm xúc hoặc đưa ra những lời hứa hẹn lợi nhuận cao nhằm kích thích lòng tham của người bị hại.

Trong bối cảnh AI ngày càng phát triển, mỗi người dân cần coi việc bảo vệ dữ liệu cá nhân là tuyến phòng thủ đầu tiên. Không tùy tiện chia sẻ giấy tờ tùy thân, hình ảnh khuôn mặt, thông tin tài khoản ngân hàng; không thực hiện giao dịch tài chính chỉ dựa trên một cuộc gọi hoặc video chưa được xác minh; đồng thời thường xuyên cập nhật kiến thức, kỹ năng an toàn số.

Chuyên gia Ngô Minh Hiếu nhận định, trong 3-5 năm tới, Việt Nam cần chuyển từ mô hình xác thực đơn lớp sang xác thực đa lớp dựa trên đánh giá rủi ro. Bên cạnh nhận diện khuôn mặt, hệ thống cần đồng thời kiểm tra thiết bị đăng nhập, hành vi người dùng, vị trí truy cập, nguồn dữ liệu và các dấu hiệu bất thường liên quan đến Deepfake...