Trong những tuần gần đây, các chuyên gia an ninh mạng liên tục đưa ra cảnh báo về một chiến dịch tấn công quy mô lớn nhắm trực tiếp vào người dùng thiết bị di động tại Việt Nam. Không còn dừng lại ở các phương thức lừa đảo truyền thống như gửi link phishing qua SMS hay gọi điện mạo danh, tội phạm mạng đã nâng cấp kho vũ khí của mình bằng các loại mã độc tinh vi, có khả năng chiếm quyền điều khiển thiết bị và sử dụng Deepfake để giả dạng sinh trắc học.

Cơ chế tấn công: Khi "gương mặt" không còn là chìa khóa an toàn

Điểm khác biệt nguy hiểm của đợt mã độc này nằm ở khả năng thu thập dữ liệu sinh trắc học ngay từ khi người dùng cài đặt ứng dụng độc hại. Theo phân tích từ các phòng thí nghiệm bảo mật, mã độc này thường "núp bóng" dưới dạng các ứng dụng dịch vụ công, phần mềm tối ưu hóa pin hoặc các ứng dụng giả mạo của cơ quan chức năng.

Sau khi xâm nhập vào điện thoại, mã độc sẽ âm thầm ghi lại các cử động khuôn mặt, giọng nói và thông tin cá nhân. Khi nạn nhân thực hiện các giao dịch yêu cầu xác thực eKYC (định danh điện tử qua khuôn mặt), mã độc sẽ kích hoạt tính năng Deepfake để tái tạo lại hình ảnh sống của người dùng trong thời gian thực, từ đó vượt qua các lớp bảo mật của ứng dụng ngân hàng.

"Chúng tôi ghi nhận một sự gia tăng đột biến trong việc sử dụng mã độc chiếm quyền điều khiển Accessibility Service trên Android để thu thập dữ liệu khuôn mặt. Đây là một cuộc tấn công có tổ chức, sử dụng AI để đối đầu với AI. Hơn 2 triệu tài khoản bị đe dọa mới chỉ là con số ước tính dựa trên lượng thiết bị đã bị lây nhiễm các biến thể mã độc này."

Con số báo động và sự chuyển dịch của tội phạm tài chính

Theo số liệu thống kê sơ bộ từ các tổ chức an ninh mạng độc lập, Việt Nam hiện đứng trong nhóm các quốc gia có tỷ lệ lây nhiễm mã độc ngân hàng cao nhất khu vực Đông Nam Á. Chỉ trong quý III năm nay, số lượng các vụ tấn công liên quan đến Deepfake đã tăng 35% so với cùng kỳ năm ngoái.

Đáng chú ý, các đối tượng tấn công không chỉ nhắm vào những người ít am hiểu công nghệ. Ngay cả những người dùng trẻ, vốn quen thuộc với các giao thức bảo mật 2 lớp (2FA), cũng dễ dàng trở thành nạn nhân khi mã độc đã chiếm quyền kiểm soát hoàn toàn hệ điều hành của máy. Một khi mã độc có quyền truy cập, chúng có thể tự động đọc mã OTP từ tin nhắn, chặn thông báo từ ngân hàng và thực hiện lệnh chuyển tiền ngay trong lúc người dùng không sử dụng điện thoại.

Dấu hiệu nhận biết thiết bị đã bị nhiễm mã độc:

• Điện thoại thường xuyên bị nóng bất thường và nhanh hết pin dù không sử dụng.
• Các ứng dụng yêu cầu quyền "Hỗ trợ" (Accessibility Service) một cách vô lý.
• Xuất hiện các yêu cầu xác thực khuôn mặt từ hệ thống trong khi người dùng không thực hiện giao dịch nào.
• Tốc độ mạng di động hoặc Wi-Fi giảm sút do dữ liệu được gửi liên tục về máy chủ của kẻ tấn công.

Khuyến cáo từ cơ quan chức năng và chuyên gia

Trước tình hình diễn biến phức tạp, Ngân hàng Nhà nước và các tổ chức tín dụng đang khẩn trương triển khai các giải pháp phòng chống. Một trong những biện pháp mạnh tay nhất là yêu cầu xác thực sinh trắc học đối với các giao dịch có giá trị cao, đồng thời tích hợp thêm các lớp nhận diện "sự sống" (liveness detection) thế hệ mới có khả năng phân biệt giữa khuôn mặt thật và hình ảnh được tạo ra bởi AI.

Để tự bảo vệ mình, người dùng được khuyến cáo thực hiện các bước sau:

1. Tuyệt đối không cài đặt ứng dụng từ nguồn lạ: Chỉ sử dụng các ứng dụng có trên cửa hàng chính thức như Google Play hoặc App Store. Không tải file APK từ các trang web hoặc tin nhắn.
2. Kiểm soát quyền truy cập: Thường xuyên kiểm tra danh sách các ứng dụng có quyền truy cập vào Accessibility Service và Camera.
3. Cập nhật hệ điều hành: Luôn cài đặt các bản vá bảo mật mới nhất từ nhà sản xuất điện thoại.
4. Sử dụng xác thực đa nhân tố: Nếu có thể, hãy sử dụng các thiết bị xác thực phần cứng hoặc các ứng dụng tạo mã OTP độc lập thay vì nhận mã qua SMS.

Tổng kết và Nhận định xu hướng

Cuộc chiến giữa các đơn vị bảo mật và tội phạm mạng đang bước vào một giai đoạn mới đầy cam go. Khi Deepfake trở nên dễ tiếp cận hơn với chi phí thấp, các vụ tấn công giả mạo sẽ còn tinh vi và khó phát hiện hơn nữa. Con số 2 triệu tài khoản đứng trước nguy cơ chỉ là sự khởi đầu của một làn sóng tấn công AI diện rộng.

Trong tương lai gần, xu hướng bảo mật sẽ dịch chuyển từ "xác thực một lần" sang "giám sát hành vi liên tục". Các ngân hàng có thể sẽ sử dụng AI để phân tích thói quen sử dụng thiết bị, tốc độ gõ phím và cách di chuyển chuột của người dùng để xác định xem đó có phải là chính chủ hay không. Đối với người dùng, sự tỉnh táo và kiến thức về an toàn thông tin vẫn là lớp phòng thủ quan trọng nhất trước khi các công nghệ bảo mật hoàn thiện hơn được áp dụng.