Từ phòng thủ con người đến tấn công máy móc

Trong quá khứ, hầu hết các cuộc tấn công mạng đều mang tính thủ công: hacker thu thập thông tin, viết mã độc, gửi email lừa đảo, rồi chờ đợi. Giờ đây, toàn bộ quy trình đó có thể được tự động hóa và tối ưu hóa bằng AI.

Các chuyên gia bảo mật của CMC Telecom đã ghi nhận qua hệ thống Threat Intelligence rằng, chỉ trong nửa đầu năm 2025, số lượng email phishing do AI tạo ra tại Việt Nam đã tăng 68%, mã độc đa hình (polymorphic malware) tăng 60%, và các sự cố deepfake liên quan đến mạo danh tăng tới 71%.

AI Kill Chain – Một chuỗi tấn công hoàn toàn mới

Mô hình AI Kill Chain cho thấy cách AI được tích hợp trong mọi giai đoạn của một cuộc tấn công mạng bao gồm (1) Reconnaissance (Trinh sát); (2) Weaponization (Vũ khí hóa); (3) Delivery (Phân phối); (4) Exploitation & Installation (Tấn công, cài đặt mã độc); (5) Command & Control (Chiếm quyền điều khiển); (6) Actions on Objectives (Ra đòn lên đối tượng).

Mô hình Ai Kill Chain cho thấy AI tích hợp vào trong 6 giai đoạn của cuộc tấn công

Reconnaissance (Trinh sát): AI tự động thu thập thông tin từ mạng xã hội, hồ sơ nhân sự, CV công khai – nhanh hơn và sâu hơn bất kỳ nhóm hacker nào.

Weaponization (Vũ khí hóa): AI sinh ra mã độc liên tục thay đổi (polymorphic), các đoạn mã khai thác CVE, hoặc email lừa đảo không lỗi ngữ pháp.

Delivery (Phân phối): Phân tích thời điểm người dùng online để gửi email phishing đúng lúc, đúng ngữ cảnh.

Exploitation & Installation: Tấn công tùy chỉnh theo hệ điều hành, cài đặt mã độc ngụy trang bằng hành vi người dùng hợp pháp.

Command & Control (C2): Dùng AI để điều phối hệ thống C2, ngụy trang luồng dữ liệu như traffic người dùng thật.

Actions on Objectives: AI trích xuất, phân tích dữ liệu, mã hóa tống tiền hoặc tạo chiến dịch tung tin giả.

Điểm khác biệt lớn nhất và nguy hiểm nhất là hacker dạng này không cần kỹ năng – chỉ cần một tài khoản thuê FraudGPT hay WormGPT từ dark web với giá chỉ vài trăm USD.

Deepfake và lừa đảo doanh nghiệp – Nguy cơ hiện hữu

Một giọng nói giống CEO, một video “gọi chuyển tiền” qua Zoom – giờ không còn là chuyện trong phim. Các tổ chức tại Việt Nam đã bắt đầu ghi nhận các vụ lừa đảo bằng deepfake nhắm vào nhân viên tài chính, yêu cầu giao dịch khẩn cấp và qua mặt xác thực bằng giọng nói.

Ngành tài chính, ngân hàng, bảo hiểm là mục tiêu hàng đầu. Trong bối cảnh dữ liệu người dùng ngày càng số hóa, nguy cơ bị AI khai thác và phản công lại là rất lớn nếu không có lớp phòng vệ tương xứng.

Doanh nghiệp cần làm gì?

Theo một thống kê quốc tế đáng lo ngại gần đây, thời gian trung bình từ lúc hacker tấn công đến khi xâm nhập thành công (breakout time) đã giảm xuống chỉ còn 48 phút. Với tốc độ này, các đội SOC truyền thống khó lòng phản ứng kịp.

CMC Telecom COC nơi các chuyên gia kỹ thuật theo dõi, giám sát 24/7 giúp khách hàng sớm phát hiện các rủi ro tấn công

Để bảo vệ khách hàng của mình, CMC Telecom đã tiên phong triển khai hệ thống Threat Intelligence tích hợp AI. Hệ thống này đang giúp khách hàng phát hiện sớm mã độc biến hình và phishing viết bằng AI; giám sát domain giả mạo 24/7; theo dõi dấu hiệu deepfake mạo danh lãnh đạo doanh nghiệp; cập nhật liên tục các chỉ số tấn công (IOC) để tự động hóa phản ứng sự cố.

Hệ thống này được vận hành bởi đội ngũ chuyên gia bảo mật của CMC Telecom từng được vinh danh Top 1 Hall of Fame của Apple với gần 100 nhân sự sở hữu các chứng chỉ quốc tế như OSCP, OSWE, CREST, CHFI…

Khi AI đang tạo ra một thế hệ hacker hoàn toàn mới – doanh nghiệp không thể tiếp tục dựa vào các giải pháp “chống virus” đơn lẻ. Điều cần thiết lúc này là một chiến lược AI chống AI, sử dụng công nghệ để phát hiện, mô phỏng, phân tích và chủ động ứng phó trước khi bị tấn công.