Cảnh báo đỏ kịch bản và công nghệ lừa đảo mùa Tết Bính Ngọ
Khi không khí chuẩn bị Tết Bính Ngọ 2026 đang bắt đầu len lỏi vào đời sống, đặc biệt trên các gian hàng thương mại điện tử tấp nập, đó là lúc cần nâng cao cảnh giác.
Trước tết Nguyên đán là thời điểm mà dòng tiền lưu thông mạnh mẽ nhất trong năm: người người sắm sửa, nhà nhà tất toán công nợ, con cái ở xa gửi tiền về biếu bố mẹ và những bao lì xì điện tử bắt đầu được trao tay. Nhưng cũng chính trong thời điểm "tháng củ mật" đầy bận rộn và hối hả này, sự cảnh giác của chúng ta thường bị lơi lỏng nhất. Đó là cơ hội vàng cho những kẻ lừa đảo online lộng hành. Nếu như vài năm trước, chúng ta chỉ cần cảnh giác với những tin nhắn lạ hay những đường link độc hại, thì năm nay, cuộc chiến bảo vệ túi tiền đã trở nên cam go hơn gấp bội.
Kẻ thù của bạn không còn là những tay mơ gõ phím, mà là những công nghệ Trí tuệ nhân tạo (AI) tối tân. Deepfake – công nghệ giả mạo khuôn mặt và giọng nói – đã có một bước tiến hóa đáng sợ. Nó không còn là những đoạn video cắt ghép cứng đơ, giật cục mà bạn dễ dàng nhận ra. Deepfake 2026 đã đạt đến trình độ "thật hơn cả thật", có thể tương tác trực tiếp, trả lời câu hỏi của bạn và thậm chí vượt qua cả những hàng rào bảo mật sinh trắc học của ngân hàng.
Deepfake 2.0: Khi AI biết "diễn xuất" và vượt rào sinh trắc học
Hãy thử hình dung một buổi tối cận Tết, bạn nhận được cuộc gọi video qua Facebook Messenger từ người cô ruột đang sống ở nước ngoài. Trên màn hình điện thoại, khuôn mặt cô hiện lên rõ nét, miệng mấp máy khớp từng milimet với lời nói, ánh mắt đầy vẻ lo âu. Cô than thở về việc tuyết rơi dày khiến việc đi lại khó khăn, hỏi thăm sức khỏe ông bà ở quê, rồi ngập ngừng nhờ bạn chuyển gấp một khoản tiền vào tài khoản của người bạn làm ăn ở Việt Nam để đặt cọc lô hàng Tết vì tài khoản quốc tế của cô đang bị lỗi hệ thống.
Bạn nhìn thấy mặt người thân, nghe thấy giọng nói quen thuộc, bạn chuyển tiền không chút do dự vì tin rằng "thấy mặt là thấy người". Và chỉ 5 phút sau khi lệnh chuyển tiền thành công, bạn mới bàng hoàng nhận ra mình vừa mất trắng số tiền tích cóp cả năm. Đó chính là sự nguy hiểm khôn lường của Deepfake thời gian thực (Real-time Deepfake).
Khác hoàn toàn với những năm trước, khi kẻ lừa đảo chỉ dùng được video quay sẵn khiến cuộc gọi thường rất ngắn và không thể trả lời câu hỏi, công nghệ hiện nay cho phép chúng thực hiện hoán đổi khuôn mặt ngay trên luồng phát trực tiếp. Kẻ lừa đảo chỉ cần ngồi trước camera máy tính, và một lớp mặt nạ kỹ thuật số của người thân bạn được phủ lên mặt hắn một cách hoàn hảo. Khi kẻ gian cười, AI sẽ điều chỉnh để khuôn mặt giả cười theo; khi kẻ gian nhíu mày hay nghiêng đầu, nhân vật trong video cũng làm y hệt. Độ trễ xử lý của các phần mềm này hiện nay gần như bằng không, khiến cho ranh giới thật và giả bị xóa nhòa hoàn toàn, đánh lừa thị giác của ngay cả những người cẩn trọng nhất.
Chưa dừng lại ở đó, sự nguy hiểm còn được nhân lên gấp bội khi kết hợp với công nghệ nhân bản giọng nói (Voice Clone). Chỉ cần thu thập được một mẫu giọng nói dài từ 3 đến 5 giây của bạn từ các video bạn từng đăng công khai trên TikTok, Reels hay các tin nhắn thoại cũ, AI có thể "học" được chất giọng, ngữ điệu, thậm chí cả tiếng thở và cách nhấn nhá đặc trưng vùng miền của bạn. Kẻ gian giờ đây không cần im lặng hay giả vờ "sóng yếu" để trốn tránh việc giao tiếp nữa, chúng có thể tự tin trò chuyện với nạn nhân bằng chính giọng nói của người thân họ, tạo ra một màn kịch hoàn hảo đánh gục mọi sự nghi ngờ.
Đáng sợ hơn cả là kỹ thuật tấn công tiêm dữ liệu (Injection Attack), một chiêu thức đánh thẳng vào các ứng dụng tài chính ngân hàng. Thông thường, khi bạn mở tài khoản ngân hàng online hoặc xác thực chuyển tiền hạn mức lớn, ứng dụng sẽ yêu cầu bạn quét khuôn mặt (eKYC). Kẻ gian không dại dột đưa một tấm ảnh hay video giả ra trước camera điện thoại, vì các thuật toán phát hiện thực thể sống của ngân hàng sẽ phát hiện ra ngay lập tức.
Thay vào đó, chúng sử dụng các phần mềm chuyên dụng để can thiệp sâu vào hệ thống, "bơm" trực tiếp dữ liệu khuôn mặt giả mạo vào luồng tín hiệu của camera. Ứng dụng ngân hàng bị đánh lừa rằng nó đang nhận tín hiệu từ camera thật, nhưng thực chất đó là dữ liệu do hacker cung cấp. Bằng cách này, chúng có thể mở tài khoản ảo để rửa tiền hoặc chiếm quyền kiểm soát tài khoản của nạn nhân mà không cần khuôn mặt thật xuất hiện.
Những kịch bản "thao túng tâm lý" kinh điển dịp cận Tết
Sở hữu công nghệ tối tân trong tay, các nhóm lừa đảo bắt đầu xây dựng những kịch bản tinh vi, đánh trúng vào tâm lý vội vã, lo âu hoặc lòng tham của người dùng trong dịp Tết nguyên đán. Kịch bản phổ biến nhất nhưng hiệu quả nhất vẫn là những cuộc gọi "cấp cứu tài chính giờ chót". Kẻ gian sau khi chiếm quyền kiểm soát Facebook hoặc Zalo của một người sẽ dùng công nghệ Deepfake gọi video cho bạn bè, người thân trong danh sách.
Lý do đưa ra thường rất cấp bách như đang đi sắm Tết thì thiếu tiền, cần tiền gấp để thanh toán lô hàng về bán Tết, hay thậm chí là bị tai nạn xe cần tiền đền bù ngay lập tức. Điểm chí mạng là chúng thường chọn những thời điểm nhạy cảm như sáng sớm, đêm khuya hoặc giờ nghỉ trưa, lúc nạn nhân kém tỉnh táo nhất để thực hiện cuộc gọi. Sự xuất hiện của khuôn mặt và giọng nói quen thuộc tạo ra niềm tin tuyệt đối, khiến nạn nhân bỏ qua mọi bước xác minh cần thiết.
Bên cạnh đó, một cái bẫy khác tinh vi hơn là chiêu trò "hỗ trợ xác thực danh tính". Bạn có thể nhận được cuộc gọi từ một người tự xưng là nhân viên sàn thương mại điện tử báo đơn hàng Tết giá trị cao bị thất lạc, hoặc nhân viên ngân hàng báo tài khoản của bạn bị khóa do giao dịch bất thường trong dịp cao điểm. Để hỗ trợ giải quyết, chúng yêu cầu bạn gọi video call để xác thực. Thực chất, trong cuộc gọi này, bạn không nhìn thấy chúng, nhưng chúng đang ghi lại khuôn mặt và giọng nói của bạn.
Chúng sẽ khéo léo yêu cầu bạn thực hiện các thao tác như nhìn sang trái, nhìn sang phải, gật đầu hay đọc to dãy số xác thực. Vô tình, bạn đang thực hiện các thao tác eKYC giúp chúng mở khóa tài khoản của chính bạn hoặc dùng dữ liệu sinh trắc học đó để tạo ra các bản Deepfake nhằm đi lừa đảo người khác trong tương lai.
Ngoài ra, đánh vào tâm lý thích may mắn đầu năm, các kịch bản lừa đảo qua lì xì điện tử và voucher ảo cũng nở rộ. Bạn có thể nhận được tin nhắn chúc mừng năm mới kèm thông báo nhận được bao lì xì trị giá lớn từ một nhãn hàng nào đó. Kèm theo là một đường link bắt mắt dẫn đến trang web nhận thưởng. Nhưng khi bấm vào đường link hoặc quét mã QR lạ, điện thoại của bạn có thể bị nhiễm mã độc. Mã độc này sẽ âm thầm thu thập thông tin cá nhân, tài khoản ngân hàng, thậm chí chiếm quyền điều khiển camera và micro, biến chiếc điện thoại của bạn thành công cụ gián điệp ngay trong túi quần mà bạn không hề hay biết.
"Bắt bài" ma trận ảo: Những phép thử đơn giản để bảo vệ ví tiền
Công nghệ AI dù tinh vi đến đâu cũng vẫn là sản phẩm của máy móc, và máy móc thì luôn có những giới hạn và kẽ hở nhất định. Để không trở thành "miếng mồi ngon" cho Deepfake dịp Tết này, mỗi người dùng cần trang bị cho mình bộ lọc kiểm chứng thông minh.
Biện pháp hữu hiệu đầu tiên là sử dụng các "phép thử vật lý" ngay trong cuộc gọi video. Khi nhận được cuộc gọi hỏi vay tiền hay nhờ chuyển khoản, hãy bình tĩnh yêu cầu người gọi thực hiện những hành động khó đối với AI. Bạn có thể yêu cầu người đó quay mặt từ từ sang trái hoặc phải một góc 90 độ. Các thuật toán Deepfake hiện nay thường chỉ học tốt khuôn mặt ở góc chính diện.
Khi khuôn mặt quay nghiêng, lớp mặt nạ ảo thường bị trượt, bị nhòe hoặc biến mất hoàn toàn ở phần mang tai và cổ, để lộ ra những điểm bất thường. Một cách khác là yêu cầu họ đưa bàn tay vuốt qua mặt hoặc che một phần khuôn mặt. AI sẽ bị bối rối trong việc xử lý lớp chồng lấn giữa tay và mặt, khiến hình ảnh bàn tay có thể bị biến dạng hoặc xuyên qua khuôn mặt một cách phi lý.
Một lớp khiên bảo vệ khác mang tính thủ công nhưng hiệu quả tuyệt đối là thiết lập "mật khẩu gia đình". Hãy dành chút thời gian thống nhất với bố mẹ, vợ chồng hoặc con cái một câu hỏi bí mật hoặc một ám hiệu mà chỉ người trong nhà mới biết. Đó có thể là những câu hỏi về ký ức riêng tư như "Tết năm ngoái nhà mình đi chùa nào đầu tiên?" hay tên con vật nuôi trong nhà. Khi người gọi ấp úng, lảng tránh hoặc trả lời sai, bạn có thể khẳng định ngay đó là kẻ lừa đảo và cúp máy. Kẻ gian có thể giả mạo khuôn mặt, giả mạo giọng nói, nhưng chúng không thể giả mạo được ký ức và tình cảm gia đình.
Cuối cùng và quan trọng nhất là nguyên tắc "chậm lại một nhịp". Dù tình huống trong cuộc gọi có cấp bách đến đâu, dù người thân có đang than khóc hay giục giã, hãy luôn ghi nhớ tuyệt đối không chuyển tiền ngay sau cuộc gọi video qua mạng xã hội. Hãy tắt máy và thực hiện một cuộc gọi thoại thông thường qua số điện thoại SIM cho người đó. Kẻ gian có thể hack được tài khoản Facebook, Zalo nhưng chúng không thể cầm được chiếc SIM điện thoại của người thân bạn. Nếu số điện thoại không liên lạc được, hoặc người nghe máy ngơ ngác không hiểu chuyện gì, bạn đã vừa tự cứu mình khỏi một bàn thua trông thấy. Tết là dịp để sum vầy, để trao gửi yêu thương và niềm tin, đừng để lòng tin ấy bị đặt nhầm chỗ bởi những thủ thuật công nghệ lạnh lùng. Hãy là một người dùng thông thái để cả gia đình cùng đón một cái Tết Bính Ngọ an toàn và trọn vẹn.