🔍
Chuyên mục: CNTT - Viễn thông

Khi AI trở thành 'vũ khí' của tội phạm sử dụng công nghệ cao: Bài 3: Bản đồ của tội phạm deepfake tài chính

2 giờ trước
Deepfake không còn là những đoạn video giả mạo gây tò mò trên mạng xã hội. Chỉ trong vài năm, công nghệ này đã trở thành công cụ giúp các băng nhóm tội phạm chiếm đoạt hàng chục triệu USD, qua mặt doanh nghiệp, ngân hàng và cả hệ thống xác thực sinh trắc học.

Những vụ án liên tiếp tại Hong Kong, Singapore, Trung Quốc hay châu Âu cho thấy một thực tế đáng lo ngại: bản đồ tội phạm tài chính toàn cầu đang được AI vẽ lại. Đầu năm 2024, tại văn phòng Hong Kong của một tập đoàn đa quốc gia, một vụ lừa đảo sử dụng deepfake và trí tuệ nhân tạo (AI) để chiếm đoạt khoảng 25 triệu USD đã diễn ra như trong một bộ phim viễn tưởng. Diễn đàn Kinh tế Thế giới (WEF), Financial Times và nhiều cơ quan thực thi pháp luật quốc tế đều xác nhận vụ việc này. Đây cũng được xem là một trong những cột mốc khiến cộng đồng tài chính toàn cầu phải thừa nhận rằng deepfake đã chuyển từ một rủi ro mang tính lý thuyết thành một mối đe dọa gây thiệt hại thực tế.

Làn sóng tội phạm từ châu á đến Châu Âu

Theo đó, một nhà quản lý tài chính nhận được lời mời tham gia cuộc họp trực tuyến khẩn cấp với ban lãnh đạo cấp cao để bàn về một thương vụ bí mật. Trên màn hình, người này nhìn thấy giám đốc tài chính cùng nhiều thành viên hội đồng quản trị. Tất cả đều xuất hiện với khuôn mặt quen thuộc, giọng nói quen thuộc và biểu cảm tự nhiên đến mức không hề tạo ra bất kỳ nghi ngờ nào.

Trong cuộc họp, ban lãnh đạo yêu cầu phê duyệt khẩn cấp một loạt giao dịch chuyển tiền. Tin rằng mình đang làm việc với những người có thẩm quyền, nhà quản lý tài chính đã thực hiện các lệnh chuyển khoản theo chỉ đạo, với tổng số tiền lên tới khoảng 25 triệu USD. Chỉ sau khi giao dịch hoàn tất, sự thật mới được phơi bày: toàn bộ những người xuất hiện trong cuộc họp đều là hình ảnh và giọng nói được tạo ra bằng công nghệ deepfake, do AI dàn dựng một cách hết sức tinh vi.

Vụ việc tại Hong Kong với số tiền bị lừa lên tới 25 triệu USD không phải là trường hợp đơn lẻ. Chỉ hơn một năm sau, vào tháng 3/2025, tại Singapore, một giám đốc tài chính suýt mất hơn 499.000 USD trong một vụ lừa đảo có cùng mô típ: một cuộc gọi Zoom với "CEO" và "CFO" của công ty, nhưng cả hai đều là sản phẩm deepfake, yêu cầu chuyển tiền khẩn cấp. Lần này, may mắn là vụ việc được phát hiện kịp thời trước khi số tiền bị chuyển đi.

Tháng 5/2025, Công an Thái Bình đã triệt phá đường dây đánh bạc 1.000 tỷ đồng, sử dụng công nghệ AI qua mặt sinh trắc học ngân hàng

Báo cáo của Interpol về khu vực châu Á - Thái Bình Dương đã đưa hai vụ việc này làm những ví dụ điển hình cho mô hình "lừa đảo qua video deepfake nhắm vào doanh nghiệp" – biến thể nâng cấp của hình thức lừa đảo qua email doanh nghiệp vốn đã tồn tại từ trước.

Tại Indonesia, mức độ tinh vi của các vụ lừa đảo bằng deepfake còn được đẩy lên một nấc thang mới. Các đối tượng đã sử dụng video deepfake mạo danh chính Tổng thống Prabowo Subianto để quảng bá các chương trình hỗ trợ giả mạo. Nạn nhân được yêu cầu nộp "phí hành chính" để nhận khoản trợ cấp, nhưng khoản tiền hỗ trợ đó dĩ nhiên không bao giờ đến tay họ.

Ở phạm vi rộng hơn, làn sóng tấn công bằng deepfake nhằm vào lĩnh vực tài chính tại châu Á đang gia tăng với tốc độ đáng báo động. Theo Báo cáo 2025/2026 của Interpol, các cuộc thảo luận về deepfake trên các diễn đàn tội phạm và các kênh Telegram phổ biến trong giới tội phạm mạng tại Đông Nam Á đã tăng tới 600% chỉ trong vòng bốn tháng, từ tháng 2 đến tháng 6/2024.

Châu Âu mang đến một góc nhìn lịch sử đáng chú ý: thủ đoạn giả mạo danh tính của các nhân vật cấp cao để lừa đảo tài chính đã xuất hiện từ trước khi AI tạo sinh ra đời. Trường hợp điển hình là vụ giả mạo Bộ trưởng Quốc phòng Pháp Jean-Yves Le Drian. Trong giai đoạn 2015 - 2017, một nhóm tội phạm đã sử dụng mặt nạ silicone được chế tác riêng, kết hợp với bối cảnh văn phòng dàn dựng công phu, để mạo danh ông Le Drian trong các cuộc gọi Skype. Bằng chiêu bài quyên góp tiền chuộc các con tin Pháp bị các nhóm Hồi giáo cực đoan bắt giữ, chúng đã lừa đảo các nguyên thủ quốc gia, cá nhân giàu có và nhiều tổ chức từ thiện. Theo hồ sơ tòa án và các báo cáo điều tra được Sumsub tổng hợp, tổng thiệt hại của vụ việc ước tính từ 55 đến 80 triệu euro.

Vụ Le Drian cho thấy, ngay cả khi chưa có deepfake AI, chỉ với một chiếc mặt nạ silicone được chế tác tinh vi cùng nghệ thuật dàn dựng tâm lý, các đối tượng đã có thể chiếm đoạt hàng chục triệu euro từ những nạn nhân có vị thế. Điều mà AI mang lại sau này không phải là một loại tội phạm hoàn toàn mới, mà là quá trình công nghiệp hóa và mở rộng quy mô của một phương thức phạm tội vốn đã tồn tại, biến thủ đoạn từng đòi hỏi kỹ năng thủ công và sự chuẩn bị công phu thành một "dịch vụ” có thể dễ dàng đặt mua trên Telegram.

Khi công nghệ deepfake xuất hiện, các vụ lừa đảo tương tự nhanh chóng chuyển sang nhắm vào những tập đoàn lớn tại châu Âu. Tháng 7/2024, hãng xe Ferrari suýt trở thành nạn nhân của một vụ lừa đảo bằng deepfake giọng nói khi kẻ tấn công mạo danh CEO Benedetto Vigna trong một cuộc gọi qua WhatsApp. Cuộc gọi hướng đến một lãnh đạo cấp cao của Ferrari với các yêu cầu khẩn cấp liên quan đến một thương vụ mua bán bí mật. Giọng nói giả mạo giống chất giọng đặc trưng của ông Vigna đến mức rất khó phân biệt.

Vụ lừa đảo chỉ thất bại khi vị lãnh đạo của Ferrari yêu cầu người gọi trả lời một câu hỏi xác minh mang tính cá nhân mà chỉ ông Vigna thật mới có thể đáp án. Không thể vượt qua bước xác minh này, kẻ lừa đảo buộc phải ngắt cuộc gọi. Không có khoản tiền nào bị chuyển đi và Ferrari đã lập tức mở cuộc điều tra nội bộ ngay sau đó.

Ảnh minh họa deepfake

Bức tranh thiệt hại toàn cầu

Trung Quốc mang đến một góc nhìn khác về cuộc chiến chống các thủ đoạn vượt qua hệ thống xác thực sinh trắc học. Vấn đề ở đây không chỉ dừng lại ở deepfake kỹ thuật số, mà còn mở rộng sang các hình thức giả mạo bằng mặt nạ vật lý. Theo phân tích của Sumsub, việc sử dụng mặt nạ silicone siêu thực để đánh cắp hoặc giả mạo danh tính đã trở thành mối quan ngại tại Trung Quốc trong nhiều năm. Những sản phẩm này được rao bán công khai trên các sàn thương mại điện tử nội địa với quảng cáo có khả năng đánh lừa hệ thống nhận diện khuôn mặt, cho phép người mua mạo danh người khác trong các môi trường có yêu cầu xác thực an ninh cao hoặc tại nơi làm việc.

Một vụ việc được Sumsub dẫn lại từ truyền thông Trung Quốc cho thấy mức độ phổ biến của thủ đoạn này. Tháng 12/2025, một số nhân viên tại tổ dân phố ở thành phố Ôn Châu đã bị phát hiện và bắt giữ sau khi sử dụng mặt nạ in hình khuôn mặt của đồng nghiệp để vượt qua hệ thống chấm công bằng nhận diện khuôn mặt. Nói cách khác, họ đã "mượn" khuôn mặt của người khác để điểm danh, báo có mặt thay cho đồng nghiệp.

Vụ việc có giá trị thiệt hại tài chính không lớn, nhưng lại mang ý nghĩa đáng chú ý về mặt khái niệm. Nó cho thấy ngay cả những mặt nạ giấy in đơn giản cũng có thể qua mặt các hệ thống nhận diện khuôn mặt nếu tiêu chuẩn xác thực và chống giả mạo (liveness detection) không đủ nghiêm ngặt.

Tổng hợp các báo cáo từ nhiều nguồn cho thấy quy mô thiệt hại do các hành vi gian lận tài chính sử dụng deepfake đang gia tăng theo cấp số nhân. Theo ước tính của Deloitte, được nhiều tổ chức dẫn lại, các hành vi gian lận do AI thúc đẩy sẽ gây thiệt hại lên tới 40 tỷ USD cho các ngân hàng và khách hàng của họ vào năm 2027. Con số này chỉ vài năm trước còn được xem là một dự báo cực đoan, nhưng diễn biến thực tế đang cho thấy tốc độ gia tăng nhanh hơn cả những kịch bản bi quan nhất.

Cũng theo các báo cáo phân tích của hãng tư vấn Fourthline, được tổng hợp từ dữ liệu của ngành tài chính, chỉ trong nửa đầu năm 2025, thiệt hại liên quan đến các vụ gian lận sử dụng deepfake trên toàn cầu đã vượt 410 triệu USD, với một số vụ việc đơn lẻ gây thiệt hại hơn 680.000 USD. Tuy nhiên, đây mới chỉ là phần thiệt hại được ghi nhận. Quy mô thực tế được cho là còn lớn hơn đáng kể do đặc thù khó truy vết của loại tội phạm này, cùng tâm lý e ngại công khai sự cố của nhiều tổ chức bị tấn công.

Các số liệu từ cơ quan quản lý cũng phản ánh xu hướng tương tự. Năm 2025, Cục Dự trữ Liên bang Mỹ (FED) cho biết số vụ tấn công nhằm vào quy trình tiếp nhận khách hàng từ xa của các ngân hàng đã tăng gấp 20 lần chỉ trong vòng ba năm, qua đó bộc lộ những lỗ hổng nghiêm trọng trong các giao thức xác thực từ xa. Làn sóng giả mạo bằng AI ngày càng gia tăng đã buộc các cơ quan quản lý phải đánh giá lại mức độ tin cậy của công nghệ nhận diện khuôn mặt khi được sử dụng như phương thức định danh duy nhất.

Bức tranh tổng thể từ các số liệu trên là rất rõ ràng: deepfake và các công cụ AI có khả năng vượt qua hệ thống xác thực sinh trắc học không còn là rủi ro của tương lai, mà đã trở thành mối đe dọa hiện hữu. Theo một báo cáo phân tích của hãng tư vấn PwC, ngay trong năm 2026, deepfake được dự báo sẽ xuất hiện trong hầu hết các kịch bản gian lận tài chính có tác động lớn, từ quy trình tiếp nhận khách hàng, chiếm đoạt tài khoản, phê duyệt thanh toán cho đến các hành vi lừa đảo nội bộ.

VĂN TOÀN - TÂN PHONG

TIN LIÊN QUAN























Home Icon VỀ TRANG CHỦ