Trí tuệ nhân tạo biến dữ liệu cá nhân rò rỉ thành 'miếng mồi' cho tội phạm mạng

Lộ thông tin cá nhân từ mua bán trực tuyến, chia sẻ trên mạng xã hội

Đại tá, Tiến sĩ Nguyễn Hồng Quân, Trưởng Ban An ninh dữ liệu và Bảo vệ dữ liệu cá nhân, Hiệp hội An ninh mạng quốc gia (NCA) thông tin: “Nguy cơ lộ lọt dữ liệu của người dùng Việt Nam hiện rất cao với gần 74% qua mua bán trực tuyến và hơn 62% qua việc chia sẻ trên mạng xã hội.

Không chỉ cá nhân, các doanh nghiệp, tổ chức cũng phải đối mặt với nguy cơ tấn công mạng ransomware nhằm tống tiền, sử dụng công nghệ trí tuệ nhân tạo (AI) trong các vụ tấn công, hoặc bị lừa đảo qua các chatbot tự động. Chia sẻ về vấn đề này, ông Ngô Minh Hiếu, Giám đốc Tổ chức Chống lừa đảo cho biết: “Các đối tượng giờ chỉ cần nhập kịch bản lừa đảo, chatbot sẽ tự động trò chuyện với nạn nhân theo thời gian thực, tăng tốc độ lừa đảo gấp 20 lần so với con người”.

Trong quý II/2025, các vụ tấn công sử dụng AI tăng tới 62%, gây thiệt hại toàn cầu lên tới 18 tỉ USD. Các hacker sử dụng AI để giả mạo khuôn mặt, giọng nói, thậm chí tùy biến các công cụ AI trên “chợ đen” để tạo vi rút, mã độc, vượt qua các phần mềm diệt virus thông thường.

TS Đào Trung Sơn, Giám đốc Chương trình An ninh mạng, Đại học Phenikaa đánh giá, tội phạm trực tuyến hiện kết hợp thế giới thực và ảo, sử dụng các kịch bản cá nhân hóa để thao túng tâm lý nạn nhân. Việc nhận thức về các thủ đoạn thao túng tâm lý còn thiếu trầm trọng, mặc dù có tuyên truyền về phòng chống lừa đảo, nhưng vẫn còn nhiều người bị mắc bẫy hàng ngày.

Đại tá Nguyễn Hồng Quân cho biết, các hoạt động rao bán dữ liệu cá nhân hiện diễn ra công khai, từ lịch sử cuộc gọi đến định vị cá nhân, với chi phí khoảng 500 USD mỗi tháng. Những hành động này xâm phạm nghiêm trọng đời sống cá nhân và minh chứng cho sự cấp bách trong việc hoàn thiện khung pháp lý bảo vệ dữ liệu.

Trên thế giới, châu Âu được xem là hình mẫu với khung pháp lý nghiêm ngặt, trong khi Mỹ bảo vệ dữ liệu thông qua luật về sức khỏe, giáo dục và trẻ em. Ở Đông Nam Á, hầu hết các nước đã có quy định bảo vệ dữ liệu cá nhân. Tại Việt Nam, Nghị định về bảo vệ dữ liệu cá nhân có hiệu lực từ 17/4/2023, Luật Bảo vệ dữ liệu cá nhân sẽ chính thức có hiệu lực từ 1/1/2026.

Sử dụng AI để đối phó với các cuộc tấn công mạng

Các chuyên gia cảnh báo AI không chỉ là công cụ tấn công, mà còn được ứng dụng để phòng thủ. Công nghệ deepfake hiện chỉ mất khoảng 30 giây để giả mạo giọng nói con người, giúp các tội phạm mạng thực hiện các vụ lừa đảo và chiếm đoạt thông tin cá nhân mà không cần kỹ năng hacker cao.

Ông Ngô Minh Hiếu chia sẻ: “Trên thị trường ngầm, chỉ cần 200-300 USD mỗi tháng, bất kỳ ai cũng có thể sở hữu công cụ AI tự động biên dịch kịch bản lừa đảo, sàng lọc nạn nhân, thậm chí tạo ra virus chứa mã độc như ransomware”.

Một mặt trận đặc biệt quan trọng là định danh số (eKYC). Việt Nam hiện có khoảng 27 triệu tài khoản mở định danh điện tử, trở thành “miếng mồi” hấp dẫn đối với hacker. Ông Phan Trọng Quân, Trưởng phòng đánh giá an toàn thông tin VNPT, giải thích: “Tội phạm hiện không cần chiêu trò thô sơ như dán số ID giả, mà sử dụng deepfake để sao chép phần định danh, can thiệp dữ liệu video trong quá trình xác thực”.

Để đối phó, VNPT đã phát triển hệ thống AI phân tích sinh trắc học hành vi, đánh giá những chi tiết nhỏ mà con người khó nhận ra, như cách cầm điện thoại, độ rung lắc hay vùng nhiệt do ngón tay tạo ra. Hệ thống này học thói quen người dùng, phát hiện hành vi bất thường và ngăn chặn các phiên giao dịch gian lận trước khi thiệt hại xảy ra.

Tuy nhiên, công nghệ mạnh mẽ nhất cũng trở nên vô dụng nếu con người không nhận thức rủi ro. Ông Hoàng Mạnh Đức, Đại học FPT khẳng định, mô hình “tường cao hào sâu” đã lỗi thời, thay bằng triết lý “Zero Trust” (không tin cậy), kiểm tra xác thực chặt chẽ mọi kết nối và thiết bị, cả bên trong lẫn bên ngoài hệ thống.

TS Đoàn Trung Sơn chỉ ra rằng vấn đề cốt lõi ở Việt Nam hiện nay là thiếu “văn hóa an ninh mạng”. Đây không chỉ là vấn đề công nghệ mà còn là nhận thức con người, cần được thực thi từ lãnh đạo đến toàn thể nhân viên.

Cuộc chiến bảo vệ không gian mạng tại Việt Nam trở thành một mặt trận mới dựa trên ba trụ cột: Công nghệ, pháp lý và con người. Trong đó, yếu tố con người được xem là mắt xích quan trọng nhất, bởi mọi hệ thống phòng thủ đều có thể bị vô hiệu hóa nếu người dùng không nhận thức được nguy cơ.