Zoohuy logo
HomeAboutWorkBlog
More
Links
Book a call
Thời đại AI: Khi file PDF, mã QR và số điện thoại “hỗ trợ” trở thành mồi nhử

Thời đại AI: Khi file PDF, mã QR và số điện thoại “hỗ trợ” trở thành mồi nhử

Khi AI ngày càng hiện diện trong công việc và đời sống, thì tội phạm mạng cũng không đứng yên. Chúng đang tận dụng công nghệ – đặc biệt là AI – để tạo ra những chiêu thức lừa đảo tinh vi, có chủ đích và cực kỳ khó phát hiện bằng cảm quan thông thường.

Mới đây, một phương thức lừa đảo đang bùng phát mạnh mẽ: TOAD – Telephone-Oriented Attack Delivery, tạm gọi là “lừa đảo qua điện thoại có kịch bản”.

Chiêu lừa mới: PDF + số điện thoại + kịch bản cực kỳ bài bản

Bước 1: Gửi email có file PDF giả mạo

  • Nội dung trông như thật: hoá đơn PayPal, thông báo từ Microsoft, tài liệu từ DocuSign...
  • Không chứa link độc hại hay đính kèm mã độc – nên vượt qua nhiều phần mềm chống spam.
  • Nhưng PDF có số điện thoại hỗ trợ kỹ thuật giả mạo, dụ người dùng gọi đến để “giải quyết sự cố”.

Bước 2: Gọi điện và... rơi vào bẫy

  • Khi gọi, nạn nhân sẽ gặp “nhân viên kỹ thuật” giả mạo, nói giọng chuyên nghiệp, có quy trình hẳn hoi.
  • Họ sẽ yêu cầu bạn chia sẻ thông tin cá nhân, mã xác thực, hoặc cài đặt phần mềm điều khiển từ xa.
  • Một khi đã cài phần mềm (TeamViewer, AnyDesk...), quyền kiểm soát thiết bị gần như bị chiếm trọn.

⚠ Đây là dạng lừa đảo rất nguy hiểm vì

  • Không có link độc hại → khó bị các hệ thống email phát hiện.
  • Không có tệp độc hại trong file PDF → người dùng mở ra thấy “bình thường”.
  • Khi đã nói chuyện qua điện thoại, nhiều người dễ mất cảnh giác, tin vào giọng nói tự tin và cách nói chuyện “có chuyên môn”.

Những chiêu thức nâng cấp, kết hợp AI và hệ sinh thái công nghệ

Các chiêu trò giờ đây không đơn độc mà thường được triển khai như một chuỗi, có kế hoạch bài bản, tận dụng nhiều công cụ hiện đại:

1. QR Code trong PDF dẫn đến trang đăng nhập giả (phishing)

Người dùng scan QR, dẫn đến trang trông giống hệt Microsoft 365, Google Workspace...

→ Nhập email, mật khẩu → bị đánh cắp.

2. Lợi dụng cơ chế Direct Send trong Microsoft 365

Tin tặc cấu hình để gửi email từ tên miền nội bộ mà không cần xác thực đầy đủ.

→ Email trông như từ sếp, phòng IT, hay nội bộ công ty gửi, gây ảo giác tin tưởng.

3. Phát tán trojan ngân hàng trên Android

Qua SMS, quảng cáo giả, hoặc app giả mạo app ngân hàng.

→ Khi cài đặt, trojan sẽ lén đọc OTP, ghi lại thao tác, chụp màn hình.

AI – công cụ lợi hại mà cũng là con dao hai lưỡi

Trong cuộc chiến thông tin, AI không chỉ là nạn nhân – mà đôi khi trở thành “trợ thủ” cho kẻ tấn công:

1. Dựng domain giả để đánh lừa chatbot AI

Tạo các tên miền như microsoft-support.online rồi huấn luyện chatbot AI trả lời: “Đây là trang chính thức”.

→ Người dùng hỏi AI → được hướng dẫn sai → dính bẫy.

2. Đăng API hoặc dự án giả lên GitHub

Dự án trông rất xịn, có readme, có mã mẫu...

→ Khi ai đó copy vào hệ thống → mã độc được thực thi ngay trong môi trường sản xuất.

3. Hacklink từ các website .gov, .edu

Dùng dịch vụ hack SEO, chèn liên kết vào các website uy tín (đôi khi là các bài bị bỏ quên).

→ Google hiểu nhầm đây là trang “tin cậy”, nâng thứ hạng.

→ Trang lừa đảo vươn top, được AI hoặc người thật tìm thấy dễ dàng hơn.

Trong thời đại AI – cảnh giác không còn là lựa chọn, mà là kỹ năng sống số

Nếu như trước đây bạn chỉ cần tránh các email sai chính tả, hay trang web nhìn “phèn”, thì bây giờ:

  • Lừa đảo có thiết kế đẹp, nội dung chuẩn chỉnh, có mã QR, có số điện thoại “hỗ trợ”.
  • Trang giả trông như thật, lại còn có HTTPS, chứng chỉ số hợp lệ.
  • Chatbot AI cũng có thể bị lừa, không thể phân biệt thật – giả nếu thông tin huấn luyện không chính xác.

Những điều bạn nên thực sự làm ngay hôm nay

1. Tuyệt đối không gọi số điện thoại xuất hiện trong email hoặc PDF

Nếu nghi ngờ, hãy vào website chính thức để tìm số hotline.

2. Không scan mã QR từ nguồn không xác định

QR Code có thể dẫn đến địa chỉ mạo danh. Hãy kiểm tra kỹ URL trước khi thực hiện bất kỳ hành động nào.

3. Kích hoạt xác thực 2 bước (2FA) cho tất cả tài khoản quan trọng

Dù có lộ mật khẩu, bạn vẫn còn lớp bảo vệ.

4. Không cài phần mềm điều khiển từ xa theo hướng dẫn từ “nhân viên kỹ thuật” lạ

Nếu bạn không chủ động yêu cầu hỗ trợ, thì bất kỳ cuộc gọi “hỗ trợ kỹ thuật” nào cũng nên bị nghi ngờ.

5. Cẩn thận với chatbot AI

Đừng để AI trở thành “người trung gian bị dụ dỗ” – nếu AI gợi ý một trang web hay công cụ, hãy kiểm tra lại bằng tay.

Kết luận

Trong kỷ nguyên AI, sự tấn công không còn đến từ những cú click bừa bãi – mà đến từ những chiêu thức rất khéo, rất thật, và rất bài bản.

Chúng không đánh vào công nghệ – mà đánh vào thói quen, sự tin tưởng và tâm lý người dùng.

👉 Hãy cập nhật kiến thức an ninh mạng như cách bạn cập nhật phần mềm: thường xuyên và có hệ thống.
👉 Giữ một cái đầu lạnh, và đôi mắt tỉnh táo – kể cả khi AI đang làm thay bạn rất nhiều việc.