AI đang làm thay đổi căn bản nền kinh tế của tội phạm mạng, khiến các cuộc tấn công trở nên rẻ hơn, nhanh hơn và dễ mở rộng hơn. Theo Forbes, thiệt hại do tội phạm mạng gây ra dự kiến đạt 14 nghìn tỷ USD vào năm 2028, bất chấp các khoản đầu tư lớn vào phòng thủ. AI vừa là công cụ bảo vệ mạnh mẽ, vừa là nguồn đổi mới cho tội phạm, đặc biệt trong lĩnh vực lừa đảo trực tuyến (phishing) và kỹ thuật xã hội (social engineering).

AI giúp tấn công lừa đảo rẻ hơn và hiệu quả hơn

Các cuộc tấn công phishing và social engineering hiện là hình thức tội phạm mạng phổ biến nhất, mỗi vụ gây thiệt hại trung bình khoảng 4 triệu USD cho doanh nghiệp. Một nghiên cứu học thuật gần đây cho thấy email phishing do AI tự động hóa có tỷ lệ nhấp chuột lên tới 54%, so với chỉ 12% của email phishing thông thường – tương đương với hiệu quả của chuyên gia con người. AI có thể tự động thu thập thông tin, xác định mục tiêu và đánh giá lỗ hổng một cách dễ dàng.

Trước đây, tội phạm mạng bị giới hạn bởi thời gian, nhân lực, chuyên môn và chi phí. AI đang đồng thời giảm tất cả các ràng buộc đó. Khi chi phí tạo ra các chiến dịch phishing thuyết phục giảm xuống trong khi hiệu quả vẫn cao, kẻ tấn công có lợi thế kinh tế đáng kể. Ví dụ, spear phishing – email được cá nhân hóa cho từng nạn nhân – trước đây đòi hỏi nhiều công sức, nhưng nay AI giúp sản xuất và gửi hàng loạt dễ dàng hơn.

AI làm suy yếu các biện pháp phòng thủ truyền thống

Phishing đặc biệt khó phòng thủ vì thường bắt đầu bằng email có vẻ hợp pháp. Trước đây, nhân viên được huấn luyện để phát hiện lỗi chính tả, ngữ pháp kém hoặc định dạng bất thường. Tuy nhiên, AI đang loại bỏ những dấu hiệu này bằng cách tạo ra email giả mạo chân thực hơn, đồng thời hiểu và khai thác quy trình nội bộ của doanh nghiệp.

Một ví dụ điển hình là vụ tấn công nổi tiếng ở Hong Kong, nơi một nhân viên tham gia cuộc họp video với giám đốc tài chính (CFO) giả mạo và được yêu cầu chuyển 25 triệu USD vào các tài khoản ngân hàng khác nhau. Toàn bộ những người trong cuộc gọi video đều là bản sao deepfake do AI tạo ra. Khi các giao tiếp do AI tạo ra ngày càng thuyết phục, nhân viên sẽ khó phân biệt yêu cầu kinh doanh hợp pháp với lừa đảo tinh vi.

Kế hoạch hành động 5 bước cho lãnh đạo

Forbes khuyến nghị lãnh đạo doanh nghiệp cần hành động ngay với 5 bước sau:

  • Đào tạo: Cập nhật tài liệu đào tạo nhân viên (sổ tay, trực tuyến, lớp học) để phản ánh thực tế mới về tấn công mạng do AI thúc đẩy, đặc biệt là phishing và social engineering vốn đã mất đi các dấu hiệu lừa đảo rõ ràng.
  • Kiểm soát quy trình: Đánh giá các quy trình kinh doanh phổ biến như thanh toán, truy cập dữ liệu nhạy cảm và phê duyệt quy trình, đảm bảo có đủ kiểm soát để phát hiện và giảm thiểu các âm mưu social engineering tinh vi.
  • Mô phỏng: Tăng cường kiểm tra kế hoạch ứng phó sự cố thông qua các bài tập bàn và mô phỏng trực tuyến dựa trên các kịch bản AI. Việc sử dụng AI để tạo và quản lý các mô phỏng này sẽ mang lại hiệu quả cao.
  • Công cụ phòng thủ: Nâng cấp hoặc thay thế các cổng email an toàn và công cụ chặn lưu lượng độc hại cũ bằng các công cụ được tối ưu hóa bằng AI để đối phó với tấn công mạng do AI thúc đẩy.
  • Quản trị: Tích hợp hiểu biết và hướng dẫn về tấn công mạng AI vào các cấu trúc quản trị tổ chức như đổi mới, quản lý rủi ro và tin cậy kỹ thuật số.

AI nâng cao mức độ rủi ro cho người phòng thủ

Sự xuất hiện nhanh chóng của AI, đặc biệt là AI tạo sinh (generative AI) từ năm 2022, đã tác động sâu sắc đến cách làm việc của cá nhân và tổ chức. Tuy nhiên, tội phạm mạng nhanh chóng nhận ra AI thay đổi nền kinh tế của các hoạt động của chúng: thực hiện nhanh hơn, quy mô lớn hơn và thu lợi nhiều hơn. Điều này làm thay đổi đáng kể rủi ro từ các mối đe dọa mạng, đặc biệt là phishing và social engineering.

Mặc dù lãnh đạo có nhiều công cụ AI hơn để bảo vệ doanh nghiệp, họ cũng phải đối mặt với thách thức bảo vệ tổ chức khỏi các cuộc tấn công hiệu quả hơn. Các tổ chức không nhận ra cách AI đang định hình lại nền kinh tế tội phạm mạng có nguy cơ chuẩn bị cho các mối đe dọa của ngày hôm qua thay vì ngày mai.

Theo Forbes

Ảnh: vickygharat / Pixabay