AI CẢNH BÁO THẾ HỆ LỪA ĐẢO TÀI CHÍNH MỚI
Nhân bản giọng nói chỉ là một trong những công cụ mới trong kho vũ khí của những kẻ lừa đảo
Mùa xuân năm ngoái Paddric Fitzgerald nhận được một cú điện thoại ở nơi làm việc. Ông đang nghe nhạc trên điện thoại nên khi nhấc máy, giọng con ông hét lên trong loa điện thoại rằng cô bé đã bị bắt cóc. Sau này, khi nhớ lại Paddric Fitzgerald nói đó là một trong những khoảng khắc kinh khủng nhất trong đời ông, như thể giây phút ấy ông đang sắp chìm vì chết đuối.
Từ chối lời khuyên mua súng của đồng nghiệp, Fitzgerald, nhà quản lý cửa hàng nằm tại miền Tây nước Mỹ, cuống cuồng chạy đi rút tiền từ ngân hàng trong khi tai vẫn nghe điện thoại. “Con gái tôi đang kêu khóc trong điện thoại, nói rằng bọn bắt cóc sẽ cắt cổ con bé trong lúc tôi xếp hàng chờ rút tiền” ông nói “Lúc ấy, tôi đã quyết định rút hết tiền để trả cho chúng”. Nhưng chính một tin nhắn tình cờ của con gái đã vạch trần giọng nói trong điện thoại là giả. Đó là một vụ lừa đảo hết sức tàn ác và tinh vi được tạo ra bằng trí tuệ nhân tạo.
Câu chuyện của Fitzgerald là một ví dụ đáng sợ về cách AI trở thành một loại vũ khí đầy sức mạnh mới của những kẻ lừa đảo, buộc các ngân hàng và fintech phải đầu tư vào công nghệ để theo kịp cuộc chạy đua vũ trang công nghệ cao này. Fitzgerald nói: “Tôi đã không có biện pháp nào bảo vệ con mình vào thời điểm đó, nhưng tôi muốn tìm ra kẻ lừa đảo, khiến chúng nhận ra hành động của chúng xấu xa đến mức nào và chúng đã làm những điều xấu xa ấy chỉ bằng những cú nhấn phím”.
Sự phát triển và tiếp thu liên tục của công nghệ có nghĩa là những kẻ lừa đảo không chỉ gây ra những mối đe dọa cho những người không hiểu biết hoặc dễ bị tổn thương. Ngay cả những người tiêu dùng thận trọng cũng có nguy cơ chịu tổn thất tài chính lớn từ gian lận được AI hỗ trợ.
Tăng mức độ tinh vi
Alex West, chuyên gia về gian lận ngân hàng và thanh toán tại công ty tư vấn PwC, cho biết việc xác định quy mô sử dụng AI của những kẻ lừa đảo là một nhiệm vụ khó khăn. Ông là một trong những tác giả của báo cáo về tác động của AI đối với gian lận và lừa đảo vào tháng 12 năm ngoái với sự cộng tác của liên minh liên Stop Scams UK. Báo cáo này xác định lừa đảo “nhân bản giọng nói” nhắm vào Fitzgerald là một trong những cách lớn nhất mà tội phạm dự định sử dụng AI. Ông cho biết “Những kẻ lừa đảo đã rất thành công và có thể chúng không cần sử dụng loại công nghệ này hoặc có thể chúng đang sử dụng AI, còn chúng tôi không thể phân biệt được khi nào nó được sử dụng. Nhưng rõ ràng công nghệ này sẽ làm tăng những vụ lừa đảo tinh vi hơn”. Steve Cornwell, người đứng đầu bộ phận rủi ro gian lận tại ngân hàng cho vay bán lẻ nhiều chi nhánh cao cấp TSB, cho biết mức độ tinh vi ngày càng tăng của công nghệ này là mối lo ngại lớn đối với các ngân hàng. Ông nói: “Nếu quan sát cách AI tạo sinh đang phát triển, có thể thấy cũng không lâu nữa giải pháp AI có thể trò chuyện theo thời gian thực với bạn bằng cách sử dụng giọng nói tổng hợp”.
Số liệu từ cơ quan quản lý thương mại ngành ngân hàng của nước Anh, UK Finance, cho thấy một xu hướng đáng hoan nghênh với tổn thất do gian lận giảm 8% so với cùng kỳ năm 2022. Nhưng một chính trị gia cấp cao giấu tên nói rằng việc tăng cường áp dụng AI - ChatGPT của OpenAI đạt khoảng 100 triệu người dùng hàng tháng trong hai tháng - có thể đảo ngược xu hướng này. Dữ liệu từ Cifas, một dịch vụ phòng chống gian lận phi lợi nhuận ở Anh, cũng gây lo ngại. Trong khi dữ liệu từ năm 2022 cho thấy gian lận danh tính đã tăng gần một phần tư, thì các báo cáo về việc các công cụ AI được sử dụng để thử và đánh lừa hệ thống của ngân hàng đã tăng 84%. Stephen Dalton, giám đốc tình báo tại Cifas, cảnh báo: “Chúng tôi nhận thấy việc sử dụng hình ảnh, video và âm thanh deepfake ngày càng tăng trong các quy trình ứng dụng, cùng với các danh tính tổng hợp được xác định do quá trình kiểm tra 'sự sống động' hiện đang được thực hiện ở giai đoạn ứng dụng".
Phát biểu tại Davos, Mary Callahan Erdoes, người đứng đầu bộ phận quản lý tài sản của JPMorgan, cho rằng việc tội phạm mạng sử dụng AI là một mối lo ngại lớn. Ngân hàng đã chi 15 tỷ USD hàng năm cho công nghệ trong những năm gần đây và tuyển dụng 62.000 kỹ sư công nghệ, trong đó nhiều người chỉ tập trung vào việc chống lại sự gia tăng của tội phạm mạng. Bà nói thêm: “Những kẻ lừa đảo ngày càng thông minh hơn, quỷ quyệt hơn, nhanh nhẹn hơn, ranh ma hơn và tinh quái hơn”.
PwC và Stop Scams cũng xác định các video được tạo ra giả tạo, hay còn gọi là deepfake, là một nguy cơ lớn. Henry Ajder, một chuyên gia về phương tiện truyền thông do AI tạo ra, người đã tư vấn cho các công ty bao gồm Meta, Adobe và EY, cho biết, công nghệ mới chỉ xuất hiện vào năm 2019 này đã và đang phát triển nhanh chóng. Ông nói: “Những gì đã xảy ra trong 18 tháng qua tương đương với hai thập kỷ tiến bộ so với bốn năm trước đó”. “Rào cản gia nhập thấp hơn nhiều so với trước đây”. Andrew Bud, giám đốc điều hành đồng thời sáng lập nhà cung cấp xác minh danh tính trực tuyến iProov cho biết chất lượng của những video giả này đã được cải thiện rất nhiều. Ông chỉ ra một nghiên cứu gần đây cho thấy hơn 3/4 số người tham gia không thể nhận ra được các video deepfake.
“Các tác phẩm deepfake chất lượng tốt có giá khoảng 150 USD trên web đen” Ông cho biết “Có cả một chuỗi cung ứng đang phát triển để phục vụ cho lừa đảo được hỗ trợ bởi AI, với các bộ phận R&D xây dựng các công cụ tinh vi và kiếm tiền từ chúng trên web đen.” Natalie Kelly, giám đốc rủi ro của Visa Châu Âu, cảnh báo rằng có một loạt các hệ thống tập trung vào tội ác, chẳng hạn như WormGPT, FraudGPT và DarkBART. Bà cho biết: “Ngày nay thật khó để phân biệt đâu là thật đâu là giả”. Bằng cách sử dụng những công cụ đó, có sẵn trên web đen, liên lạc qua các diễn đàn hacking và ứng dụng nhắn tin chuyên dụng, bọn tội phạm có thể cung cấp dịch vụ viết phần mềm độc hại hoặc email lừa đảo nâng cao.
Lừa đảo lan truyền như thế nào?
Các tổ chức tài chính từ lâu đã chỉ trích các nền tảng truyền thông xã hội là phương tiện lan truyền lừa đảo. Mùa hè năm ngoái, một bản deepfake của chuyên gia tiết kiệm Martin Lewis và chủ sở hữu X, Elon Musk, đã lan truyền trên mạng xã hội, để quảng cáo một sản phẩm mà họ gọi là “Trí tuệ nhân tạo lượng tử”. Chính Lewis đã phải lên nền tảng X, trước đây được gọi là Twitter, vào tháng 7 để cảnh báo về hành vi lừa đảo này. Một số video nhắm đến khán giả Anh, có nội dung là các chương trình phát sóng của BBC, trong đó có nội dung giả mạo về thủ tướng Rishi Sunak ca ngợi lợi ích của AI lượng tử. Mặc dù một số video đã bị xóa hoặc không hoạt động, nhưng các tài khoản khác chỉ cần sao chép và dán nội dung tương tự.
AI không hoàn hảo
Trong một video hiện đã bị xóa, người được cho là thủ tướng Sunak đã phát âm sai cách những từ như “provided”. Và, mặc dù có tên là công nghệ cao nhưng việc vận hành lại thủ công một cách đáng ngạc nhiên. Các liên kết (link) từ deepfake sẽ khiến người dùng phải cung cấp số điện thoại của họ. Sau đó, những kẻ lừa đảo sẽ gọi điện, thuyết phục mọi người nộp tiền. Tuy nhiên, West nhấn mạnh, đối với tội phạm, lừa đảo là một trò chơi với số lượng lớn và AI có thể hỗ trợ để khiến cho nó trở nên đáng tin cậy. Ông nói: “Làm cho nội dung trở nên đáng tin cậy hơn, dù chỉ thuyết phục được một tỷ lệ nhỏ người mắc bẫy, cũng có thể mang lại lợi ích lớn cho kẻ lừa đảo”. Một trường hợp như vậy là cựu trợ lý y tế ở Mỹ, người đã trở thành nạn nhân của một kẻ lừa đảo đầu tư trên X, hắn đã sử dụng AI để mạo danh Elon Musk. Một thành viên trong gia đình của nạn nhân cho biết: “Vụ lừa bắt đầu từ tháng 3 và chúng tôi chỉ biết đến vào tháng 8, sau khi cô ấy đã rút một số tiền rất lớn từ tài khoản hưu trí để cố gắng trả cho tài khoản đầu tư rởm”.
Trong quá trình ban đầu sử dụng tin nhắn trực tiếp, tên tội phạm cũng sử dụng một bộ lọc để giả dạng diện mạo của Musk, gọi video cho nạn nhân để thuyết phục cô nộp gần 400.000 USD mà cô này tưởng là sẽ đầu tư vào X. Trong khi đó, trên YouTube của Alphabet, một chương trình tặng quà bitcoin giả có diễn viên là Michael Saylor giả do AI tạ o ra đã khiến cựu giám đố c điều hành MicroStrategy phải đưa ra cảnh báo trên mạng X “Hãy cẩn thận với thế giới bên ngoài và nhớ rằng không có bữa trưa nào miễn phí”. Những video deepfake này, được đăng bởi một loạt tài khoản giờ đã bị cấm, được gắn nhãn là video “trực tiếp” để khiến chúng đáng tin hơn.
Ajder cho biết các nền tảng đã thực hiện các bước để chống lại luồng nội dung ngày càng tăng do AI tạo ra. Vào tháng 9, TikTok thông báo người dùng sẽ được yêu cầu gắn nhãn nội dung do AI tạo ra, còn DeepMind của Google công bố hình mờ cho hình ảnh AI vào tháng 8. Nhưng Ajder cũng quan ngại với báo cáo của các công ty truyền thông xã hội, vốn thường thực hiện các chính sách có vẻ rõ ràng theo kiểu từng phần. Ông cho rằng thiếu nguồn lực dẫn đến việc thực thi không hiệu quả.
Quan điểm của chính phủ Anh về AI và gian lận không nhất quán. Vào tháng 7, giám đốc điều hành của Cơ quan quản lý tài chính (FCA), Nikhil Rathi, đề cập đến tác động tiềm tàng của AI đối với “gian lận mạng, tấn công mạng và gian lận danh tính” trong một bài phát biểu về quy định cho các công nghệ mới. Tại phiên điều trần của ủy ban chọn lọc của của Bộ Tài chính vào tháng 12, Rathi cũng cảnh báo rằng bọn tội phạm đang “sử dụng AI một cách không kiểm soát” để thao túng thị trường. Quan chức FCA cho biết “khi AI được tiếp tục áp dụng, sẽ cần thúc đẩy đầu tư vào phòng chống gian lận, hoạt động và khả năng phục hồi mạng”. Nhưng chính phủ không đề cập rõ ràng đến công nghệ này trong chiến lược chống gian lận vào tháng 5 năm ngoái hoặc trong “điều lệ gian lận trực tuyến” tự nguyện dành cho các nền tảng Big Tech được công bố vào tháng 11. Bộ Nội vụ cho biết họ đang “làm việc với các đối tác trong chính phủ, cơ quan thực thi pháp luật và khu vực tư nhân để tăng cường sử dụng AI nhằm giải quyết tội phạm và bảo vệ cộng đồng”.
Meta tuyên bố quảng cáo deepfake không được phép xuất hiện trên nền tảng của công ty và công ty sẽ xóa nội dung đó ngay lập tức khi bị phát hiện, đồng thời nói thêm rằng công ty “không ngừng làm việc để cải thiện hệ thống của mình”. Chính sách thông tin sai lệch của YouTube cấm các video bị chỉnh sửa hoặc bị thao túng. Năm ngoái, nền tảng này thông báo họ sẽ yêu cầu người sáng tạo tiết lộ tài liệu thực tế đã được biến đổi hay do AI tạo ra.
Chống lại bằng chính AI
Tình hình cũng không hoàn toàn ảm đạm. Mặc dù việc sử dụng AI của những kẻ lừa đảo đang tăng mạnh, nhưng các tổ chức, từ ngân hàng, Visa và Mastercard cho đến các công ty công nghệ chuyên dụng, cũng đang áp dụng công nghệ này. Bud của công ty iProov cho biết: “Nếu mắt người không thể nhận biết được video/hình ảnh có phải là thật hay không thì trò chơi này vẫn chưa kết thúc. Đó là một trò chơi mèo vờn chuột, còn chúng tôi cũng đang lớn mạnh nhanh như những kẻ xấu để luôn dẫn đầu”. Ông cho biết công nghệ của iProov, được thiết kế để giúp chống lại deepfake và các hành vi giả mạo khác, đã được các khách hàng bao gồm Ban phương tiện cơ giới California, Dịch vụ kỹ thuật số của Chính phủ Anh và các ngân hàng lớn ở Nam Mỹ sử dụng.
Catch là một công ty khởi nghiệp khác sử dụng AI để chống gian lận, có trụ sở tại Mỹ. Công ty hướng tới mục đích giúp đỡ những người trưởng thành dễ bị tổn thương bằng cách phát hiện các vụ lừa đảo qua email, giải thích các cảnh báo nguy hiểm và đề xuất các bước tiếp theo. Uri Pearl, nhà đồng sáng lập giải thích “Tiền mà người lớn tuổi bị lừa thường có giá trị lớn đối với họ, trung bình số tiền bị lừa sẽ rất lớn và nếu họ nghỉ hưu, họ sẽ không có thời gian để kiếm lại số tiền đó”.
AI cũng đang được các ngân hàng sử dụng để hỗ trợ đội ngũ nhân viên đánh giá các vi phạm tiềm ẩn đối với các quy định chống rửa tiền. Gudmundur Kristjansson, người sáng lập kiêm giám đốc điều hành của công ty fintech Lucinity của Iceland, cho biết: “Có nhiều công ty nhỏ rất thú vị đang xuất hiện trong lĩnh vực 'hiểu khách hàng của bạn' và họ đang thực hiện nhiều bước phát triển với AI tạo sinh”. Một trong những sản phẩm của Lucinity, có biệt danh là Lucy, lấy dữ liệu và chuyển đổi thành định dạng dễ đọc, góp phần làm tăng tốc quy trình giám sát giao dịch mang tính thủ công cao theo truyền thống.
Mất niềm tin
Nhưng ngay cả những tiến bộ này cũng có thể không đủ khả năng bảo vệ một số lĩnh vực bị tấn công. Bud giải thích: “Đối với giọng nói, cuộc chơi này dường như đã kết thúc. Ngày càng thấy rõ là chẳng có biện pháp bảo vệ hiệu quả nào”. Vì lượng dữ liệu nhỏ trong các tệp âm thanh khiến các công ty công nghệ khó phân biệt được đâu là thật đâu là giả, còn tác động đối với nạn nhân của các vụ lừa đảo do AI điều khiển lại vượt xa những tổn thất tài chính. Fitzgerald cho biết, trải nghiệm từ vụ lừa đảo đã làm thay đổi quan điểm của ông về công nghệ. Ông tránh xa thương mại điện tử và hầu hết các nền tảng truyền thông xã hội, đồng thời, chỉ cảm thấy yên tâm khi rút tiền tại ngân hàng và chi tiêu thay vì sử dụng thẻ./.
Theo Bản tin Khởi nghiệp đổi mới sáng tạo, số 4/2024
Cục Thông tin Khoa học và Công nghệ quốc gia