Bên trong làn sóng lừa đảo 2026: Tin tặc vũ khí hóa thương hiệu ChatGPT, Claude, DeepSeek và Copilot như thế nào

• Quy mô và mục tiêu: Đợt tấn công ban đầu đã gửi 4.500 email đến các nạn nhân ở Nam Phi. Một chiến dịch lớn hơn, song song, sử dụng cùng hạ tầng đã gửi tới 100.000 email chỉ trong một ngày đến các mục tiêu ở Thụy Sĩ, Áo và Nam Phi, tập trung vào các tổ chức giáo dục đại học và dịch vụ chuyên nghiệp .
• Kỹ thuật: Cuộc tấn công sử dụng chuỗi chuyển hướng nhiều bước. Nạn nhân nhấp vào liên kết "cập nhật thanh toán" sẽ bị điều hướng qua một nền tảng CRM hợp pháp, một tên miền theo dõi của Amazon và một công cụ rút gọn URL trước khi đến một trang thương mại điện tử đã bị xâm phạm. Tại đây, thông tin cá nhân và toàn bộ chi tiết thẻ tín dụng bị đánh cắp qua nhiều trang liên tiếp .

2. Tấn công đối thủ trung gian (AiTM) mạo danh Claude (Ngày 20–22 tháng 4, 2026)

Chiến dịch đánh cắp thông tin xác thực tinh vi này mạo danh Anthropic để vượt qua xác thực đa yếu tố (MFA) .

• Quy mô và mục tiêu: Cuộc tấn công nhắm vào hơn 2.000 tổ chức, với 62% nạn nhân ở Hoa Kỳ, 18% ở Vương quốc Anh và 9% ở Ấn Độ. Các công ty dịch vụ tài chính chiếm 8% mục tiêu .
• Kỹ thuật: Nạn nhân nhận được email tuyên bố vi phạm chính sách sử dụng, kèm theo tệp đính kèm PDF có tên "Fill and Sign Claude Appeal Form.pdf" (mã băm SHA-256: 791efb...d40e) . Tệp PDF này dẫn người dùng qua một lời nhắc xác minh của Cloudflare và một trang đích giả mạo thương hiệu Claude, cuối cùng đến một trang đăng nhập Microsoft giả được thiết kế để chặn mã thông báo phiên (session token) — một kỹ thuật AiTM cổ điển giúp vượt qua MFA .

3. Kho GitHub giả mạo DeepSeek V4 và mã độc đánh cắp thông tin (Ngày 24 tháng 4, 2026)

Chiến dịch này cho thấy tốc độ đáng kinh ngạc mà tội phạm mạng có thể khai thác sự cường điệu về AI để nhắm vào đối tượng kỹ thuật .

• Tốc độ và quy mô: Chỉ trong vòng 45 phút sau khi DeepSeek giới thiệu mô hình V4, kẻ tấn công đã tạo một tổ chức GitHub giả mạo mang tên "DeepSeek-V4", hoàn chỉnh với thương hiệu bị đánh cắp trông rất chân thực và dữ liệu điểm chuẩn chính xác . Kho lưu trữ này đã tích lũy được 91 sao và đứng đầu Bing cho các tìm kiếm như "DeepSeek v4 weights github" trong vòng bốn ngày .
• Tải trọng độc hại: Các tệp lưu trữ trong kho chứa một bộ tải (loader) cài đặt Vidar infostealer, một công cụ được thiết kế để đánh cắp thông tin đăng nhập, cookie trình duyệt và dữ liệu ví tiền mã hóa . Microsoft phát hiện cùng một mã băm của bộ tải này đã được sử dụng lại trong các tệp mạo danh những công cụ AI thịnh hành khác như GPT-5.5, Claude Code và Manus AI, cho thấy một chiến lược "mồi nhử có thể hoán đổi" .

4. Chiến dịch quảng cáo độc hại Storm-3075 với chữ ký mã gian lận (Tháng 3–Tháng 5 năm 2026)

Được cho là của một nhóm môi giới truy cập ban đầu có tên Storm-3075, chiến dịch này sử dụng quảng cáo độc hại để triển khai phần mềm có chữ ký trên quy mô rất lớn .

• Quy mô và mục tiêu: Chỉ riêng ngày 13 tháng 3 năm 2026, một chiến dịch đã nhắm vào hơn 66.000 thiết bị thông qua các cửa sổ bật lên độc hại trên các trang web xem phim miễn phí, quảng bá các sản phẩm giả mạo như "Awesome AI Windows Plugin" và "Flux Pro AI" .
• Kỹ thuật: Phần mềm độc hại được phân phối với chữ ký số hợp lệ có được một cách gian lận từ Fox Tempest, một dịch vụ ký mã độc hại dạng dịch vụ (malware-signing-as-a-service). Điều này làm cho tệp thực thi trông có vẻ hợp pháp với hệ điều hành, qua mặt các kiểm tra tin cậy tiêu chuẩn . Vào ngày 19 tháng 5 năm 2026, Microsoft đã công bố một vụ kiện chống lại Fox Tempest tại Tòa án Quận Hoa Kỳ, Quận phía Nam New York, thu giữ trang web của chúng và vô hiệu hóa hàng trăm máy ảo đang vận hành dịch vụ này .

Bức tranh toàn cảnh: Hệ sinh thái lừa đảo chủ đề AI

Bốn chiến dịch này không phải là những sự cố cá biệt. Chúng là một phần của một hệ sinh thái lừa đảo chủ đề AI rộng lớn và có khả năng thích ứng, dựa trên một bộ công cụ gồm các kỹ thuật tinh vi và có thể tái sử dụng:

• Chuỗi chuyển hướng nhiều bước: Kẻ tấn công thường xuyên định tuyến nạn nhân qua các dịch vụ hợp pháp như CRM, công cụ rút gọn URL và nền tảng đám mây để tránh bị phát hiện tự động trước khi tải trọng độc hại cuối cùng được phân phát .
• Nhiễm độc SEO và kho lưu trữ giả mạo: Chiến dịch DeepSeek cho thấy một sự tiến hóa nguy hiểm trong các cuộc tấn công chuỗi cung ứng. Các kho lưu trữ và trang GitHub giả mạo được tối ưu hóa công cụ tìm kiếm để vượt mặt các nguồn hợp pháp, đặc biệt nhắm vào các nhà phát triển và nhà nghiên cứu đang tìm kiếm mã nguồn và trọng số mô hình .
• Dịch vụ ký mã độc hại dạng dịch vụ: Hành động pháp lý chống lại Fox Tempest đã vạch trần một cơ sở hạ tầng tội phạm chuyên nghiệp, cung cấp chứng chỉ ký mã được cấp gian lận cho nhiều tác nhân, cho phép phần mềm độc hại chưa ký có được sự tin cậy ở cấp hệ điều hành .
• Mồi nhử có thể hoán đổi: Việc sử dụng lại một tệp nhị phân bộ tải duy nhất, được đóng gói lại dưới tên của các mô hình AI khác nhau như GPT-5.5, Claude Code, Kimi và Manus AI, cho thấy kẻ tấn công có thể ngay lập tức điều chỉnh chiến dịch của chúng cho phù hợp với bất kỳ công cụ nào đang tạo ra nhiều sự chú ý nhất của công chúng tại bất kỳ thời điểm nào .

Tại sao sự thay đổi này lại quan trọng

Microsoft đánh giá rằng các mồi nhử theo chủ đề AI "phản ánh một sự thay đổi trong kỹ thuật phi kỹ thuật, có khả năng sẽ tồn tại như một chiến thuật dài hạn được các tác nhân đe dọa, từ các nhóm tội phạm mạng đến các quốc gia, sử dụng" . Điều này không thay thế các mồi nhử lừa đảo truyền thống như hóa đơn giả hay thông báo giao hàng. Thay vào đó, nó tạo ra một bề mặt tấn công mới đầy sức mạnh, được xây dựng trên lòng tin và sự tò mò to lớn của công chúng mà các nền tảng AI đã tạo ra, một rủi ro mà nhiều chương trình đào tạo nâng cao nhận thức an ninh của các tổ chức vẫn chưa giải quyết triệt để . Việc nhắm mục tiêu vào các nhà phát triển thông qua chiến dịch DeepSeek là đặc biệt đáng lo ngại, vì nó chỉ ra một rủi ro chuỗi cung ứng nằm ở thượng nguồn của vô số ứng dụng doanh nghiệp và công cụ nội bộ được xây dựng trên các mô hình này .