Cảnh báo AI có thể đưa bạn đến trang nhiễm phần mềm độc hại

Nghiên cứu mới phát hiện AI thường cung cấp URL sai, có thể khiến người dùng đối mặt với các rủi ro như tấn công lừa đảo (phishing) và phần mềm độc hại.

Hacker đang tìm cách tận dụng kẽ hở của AI

Một báo cáo từ Netcraft cho biết, cứ ba liên kết đăng nhập do các mô hình ngôn ngữ lớn (LLM), gồm cả GPT-4.1cung cấp, thì có một liên kết (34%) không thuộc sở hữu của thương hiệu được hỏi. Trong đó, 29% dẫn đến các tên miền chưa được đăng ký, không hoạt động hoặc bị “lấp tên miền” (parked), còn 5% dẫn đến các tên miền hợp pháp nhưng không liên quan. Chỉ có 66% liên kết là đúng với tên miền chính thức của thương hiệu.

Đáng lo ngại, chỉ với những câu hỏi đơn giản như “trang đăng nhập của (thương hiệu hay công ty) là gì”, AI cũng có thể đưa ra kết quả không an toàn – tức là không cần đến những chiêu trò đánh lừa phức tạp.

Cẩn trọng với các liên kết được AI tạo ra cho bạn

Netcraft cảnh báo rằng hạn chế này có thể dẫn đến nguy cơ lừa đảo quy mô lớn, khi người dùng dễ dàng bị dẫn dụ vào các trang web lừa đảo chỉ vì hỏi chatbot một câu hỏi có vẻ hợp lệ.

Những kẻ tấn công, nếu nhận ra lỗ hổng này, có thể nhanh chóng đăng ký các tên miền chưa được sở hữu mà AI gợi ý, rồi sử dụng chúng để triển khai các cuộc tấn công. Một trường hợp thực tế đã xảy ra khi Perplexity AI từng gợi ý một trang Wells Fargo giả mạo.

Báo cáo cho biết các thương hiệu nhỏ dễ bị tổn thương hơn, vì chúng thường bị thiếu dữ liệu huấn luyện trong các mô hình ngôn ngữ lớn, từ đó tăng khả năng AI tạo ra các URL “ảo tưởng” (hallucinated).

Ngoài ra, các tin tặc cũng đã được quan sát là đang tối ưu hóa trang web của mình cho AI thay vì tối ưu cho các công cụ tìm kiếm truyền thống như Google. Ước tính đã có khoảng 17.000 trang phishing trên GitBook nhắm đến người dùng tiền mã hóa được tạo ra theo cách này, trong đó các trang giả mạo thường mô phỏng các trang hỗ trợ kỹ thuật, tài liệu và trang đăng nhập.

Đáng lo hơn nữa là Netcraft đã phát hiện một số nhà phát triển đã sử dụng các URL do AI tạo ra trong mã nguồn của họ. Nhóm nghiên cứu viết: “Chúng tôi tìm thấy ít nhất năm nạn nhân đã sao chép mã độc hại này vào các dự án công khai của họ và một số dự án trong đó cho thấy dấu hiệu được xây dựng bằng công cụ lập trình sử dụng AI , bao gồm cả Cursor”.

Video đang HOT

Cần làm gì để phòng tránh

Việc các mô hình AI có thể tạo ra các URL không chính xác, dẫn đến nguy cơ lừa đảo (phishing) và phần mềm độc hại ( malware ), là một mối lo ngại lớn. Điều này đòi hỏi người dùng phải cảnh giác hơn bao giờ hết khi tương tác với nội dung do AI tạo ra.

Luôn xác minh URL một cách thủ công

Đây là biện pháp quan trọng nhất. Đừng bao giờ nhấp trực tiếp vào các liên kết do AI tạo ra mà không kiểm tra trước.

Nhập URL thủ công: Cách an toàn nhất là tự mình gõ địa chỉ trang web trực tiếp vào thanh tìm kiếm của trình duyệt. Ví dụ, nếu AI cung cấp liên kết “wellsfargo.com”, thay vì nhấp vào đó, hãy mở trình duyệt và gõ “wellsfargo.com” vào thanh địa chỉ.

Sử dụng công cụ tìm kiếm tin cậy: Nếu bạn không chắc chắn về địa chỉ chính xác, hãy sử dụng Google hoặc công cụ tìm kiếm tin cậy khác để tìm trang web chính thức của thương hiệu.

Kiểm tra kỹ lưỡng các liên kết và tên miền

Trước khi quyết định nhấp, hãy kiểm tra các dấu hiệu bất thường:

Di chuột qua liên kết (Hovering): Di chuột qua liên kết mà không nhấp vào. Địa chỉ URL thực tế sẽ hiển thị ở góc dưới cùng của trình duyệt. Hãy kiểm tra xem địa chỉ đó có khớp hoàn toàn với tên miền chính thức của tổ chức không. Kẻ lừa đảo thường sử dụng các tên miền gần giống (ví dụ: g00gle.com thay vì google.com hoặc amaz0n.com thay vì amazon.com).

Kiểm tra tên miền cấp cao nhất (TLD): Đảm bảo tên miền có TLD hợp pháp (ví dụ: .com, .org, .gov, .edu). Cẩn thận với các TLD lạ hoặc ít được biết đến nếu không quen thuộc.

Sử dụng các công cụ kiểm tra URL: Có nhiều dịch vụ trực tuyến miễn phí cho phép bạn dán một URL vào và kiểm tra xem nó có an toàn không (ví dụ: Google Safe Browse, VirusTotal).

Cảnh giác với các dấu hiệu lừa đảo

Yêu cầu thông tin nhạy cảm: Các trang lừa đảo thường yêu cầu thông tin nhạy cảm như mật khẩu, số thẻ tín dụng, số an sinh xã hội hoặc thông tin cá nhân khác. Một trang web hợp pháp sẽ không yêu cầu bạn nhập lại thông tin này một cách bất thường.

Lỗi chính tả, ngữ pháp và thiết kế kém: Các trang lừa đảo thường có lỗi chính tả, ngữ pháp hoặc thiết kế sơ sài, không chuyên nghiệp so với trang web chính thức của một thương hiệu lớn.

Cảm giác cấp bách hoặc đe dọa: Các email hoặc trang lừa đảo thường cố gắng tạo ra cảm giác sợ hãi hoặc cấp bách để bạn hành động nhanh chóng mà không suy nghĩ kỹ.

Nâng cao kiến thức về an ninh mạng

Hiểu biết về “ảo giác” của AI: Nhận thức rằng AI có thể “ảo giác” (hallucinate) hoặc tạo ra thông tin không chính xác, kể cả các URL. Điều này đặc biệt đúng với các thương hiệu nhỏ hoặc thông tin ít phổ biến trong dữ liệu huấn luyện của AI.

Tìm hiểu về các chiêu trò lừa đảo phổ biến: Nắm rõ các phương pháp lừa đảo qua mạng phổ biến (phishing, smishing, vishing) để nhận diện các dấu hiệu cảnh báo.

Cập nhật phần mềm bảo mật

Sử dụng phần mềm diệt virus và tường lửa đáng tin cậy: Đảm bảo máy tính và thiết bị di động của bạn được cài đặt phần mềm diệt virus và tường lửa được cập nhật liên tục để phát hiện và ngăn chặn phần mềm độc hại.

Cập nhật trình duyệt và hệ điều hành: Luôn giữ trình duyệt web và hệ điều hành của bạn ở phiên bản mới nhất để hưởng lợi từ các bản vá bảo mật.

Sử dụng xác thực đa yếu tố (MFA)

Kích hoạt xác thực đa yếu tố (MFA) cho tất cả các tài khoản trực tuyến quan trọng (email, ngân hàng, mạng xã hội..). Điều này cung cấp thêm một lớp bảo vệ ngay cả khi mật khẩu của bạn bị lộ.

AI ngày càng nguy hiểm Nghiên cứu của MIT cho thấy lạm dụng ChatGPT có thể làm suy giảm khả năng tư duy phản biện, đặc biệt ở người trẻ khi não bộ vẫn đang trong quá trình phát triển. Con người có xu hướng lệ thuộc vào AI. Ảnh: MarketWatch. Một nghiên cứu mới từ Phòng thí nghiệm Truyền thông (Media Lab) thuộc Viện Công nghệ Massachusetts...