How can I tell if a video call is a deepfake if the person looks completely real?

Deepfakes often show subtle artifacts: unnatural blinking patterns, misaligned lip-sync during side angles, skin texture that looks too smooth or plastic, inconsistent lighting on the face versus background, or jarring transitions when the person moves their head quickly. Use dedicated deepfake detection software like Microsoft Video Authenticator, which analyzes digital fingerprints in video files. Most importantly, if someone calls you with an urgent request, hang up and call them back at a known number—no AI video can intercept an outbound call from your phone.

Can AI phishing bypass my company's email security system?

Advanced AI phishing can partially bypass some security measures because it uses legitimate authentication protocols and personalizes content in ways that appear normal to content filters. However, no AI phishing bypasses proper MFA implementation. Even if scammers access your email credentials, they cannot access your account if your MFA requires a hardware security key or authenticator app that only you control. Email security also improves dramatically when companies implement strict DMARC policies that reject unauthenticated emails claiming to be from your domain.

I think I clicked a phishing link and entered my password. What should I do immediately?

Change your password from a different device (not the computer where you clicked the link) using a secure network, then contact your IT security team or bank immediately—before the scammers use your credentials. Enable MFA on your account right away if it wasn't already active. Monitor your accounts for unauthorized activity and consider freezing your credit with the three major bureaus (Equifax, Experian, TransUnion) if the attack involved financial information or if you suspect identity theft components.

How can my company prevent AI-powered phishing attacks targeting our employees?

Organizations should implement strict email authentication (SPF/DKIM/DMARC), mandatory hardware security key-based MFA for all employees, regular phishing simulation training that includes AI scenarios, and real-time threat detection systems that flag unusual behavioral patterns. Additionally, establish clear internal protocols where urgent financial requests always require out-of-band verification, and educate employees about verifying requests through established channels rather than using contact information from the suspicious message itself.

Is there a way to protect myself if a scammer clones my voice or creates a deepfake of me?

Register your voice and facial biometrics with fraud prevention services that create authenticated profiles, which can help trusted contacts identify legitimate versus fraudulent communications. Limit the amount of video and audio content you share publicly on social media and YouTube, as this is the primary training data scammers use for AI synthesis. Advise your family and close contacts to use an established verification method before responding to any urgent requests, and consider registering with the FBI's IC3 (Internet Crime Complaint Center) if you believe your identity has been cloned for fraud purposes.

Nghiêm trọng Thiệt hại trung bình: $5,000 Thời gian thường thấy: 1-7 days

Lừa Đảo Phishing Dựa Trên AI: Kẻ Gian Lận Dùng AI Nhắm Đến Bạn Như Thế Nào

Phishing dựa trên AI là một trong những mối đe dọa gian lận tinh vi nhất xuất hiện trong năm 2024. Khác với phishing truyền thống dựa trên email đại trà chung chung, các cuộc tấn công do AI điều khiển phân tích hồ sơ mạng xã hội, các giao tiếp trước đây và dữ liệu cá nhân của bạn để tạo ra những tin nhắn cá nhân hóa đáng ngờ đến mức khó tin. Kẻ gian sử dụng các thuật toán học máy để tạo video deepfake của những người liên hệ đáng tin cậy, tổng hợp giọng nói của CEO hoặc thành viên gia đình, và soạn email mô phỏng hoàn hảo phong cách giao tiếp của ngân hàng bạn — bao gồm logo chính xác, thuật ngữ chuyên ngành và thậm chí số tham chiếu nội bộ lấy từ các vụ rò rỉ dữ liệu. FBI báo cáo mức tăng 350% các vụ phishing hỗ trợ AI trong nửa đầu năm 2024, với thiệt hại trung bình 115 triệu đồng mỗi nạn nhân, trong khi một số biến thể giả mạo CEO đã vượt quá 2,3 tỷ đồng. Các cuộc tấn công này thường diễn ra trong vòng 1-7 ngày, sử dụng chiến thuật tạo cảm giác cấp bách kết hợp với thao túng cảm xúc. Điều làm cho phishing AI đặc biệt nguy hiểm là nó vượt qua nhiều biện pháp bảo mật truyền thống: nó vượt qua kiểm tra xác thực email vì mô phỏng cấu trúc tên miền hợp pháp, cá nhân hóa nội dung đến mức không thể nhận ra là thư rác, và tạo ra bằng chứng deepfake gần như không thể tranh cãi.

Thủ đoạn phổ biến Cách nhận biết Cách tự bảo vệ Ví dụ thực tế Câu hỏi thường gặp Nơi báo cáo

Thủ đoạn phổ biến

• AI phân tích hồ sơ LinkedIn, lịch sử Instagram và siêu dữ liệu email của bạn để xác định chức danh công việc, tên quản lý, dự án gần đây và mẫu giao tiếp, sau đó tạo ra email phishing siêu cá nhân hóa tham chiếu các chi tiết chỉ đồng nghiệp thực sự của bạn mới biết.
• Kẻ gian sử dụng công nghệ video deepfake để tạo ra các video thuyết phục của CEO, giám đốc nhân sự hoặc quản lý ngân hàng yêu cầu chuyển tiền gấp hoặc đặt lại mật khẩu, với biểu cảm khuôn mặt, cách nói chuyện và phông nền văn phòng trích xuất từ các video công khai.
• AI tổng hợp giọng nói tái tạo chính xác đặc điểm giọng nói, giọng địa phương và cách phát âm của những người liên hệ đáng tin cậy, cho phép phishing qua điện thoại khi nạn nhân nghe thấy giọng nói quen thuộc yêu cầu thông tin nhạy cảm trong tình huống 'khẩn cấp' có giới hạn thời gian.
• Mô hình học máy sao chép mẫu email, thương hiệu, cảnh báo bảo mật và thông tin chân trang từ các ngân hàng hoặc công ty hợp pháp, thậm chí kết hợp lịch sử giao dịch thực tế gần đây để tăng độ tin cậy.
• Chatbot AI tham gia vào các cuộc trò chuyện đa lượt thực tế với nạn nhân, đặt câu hỏi thăm dò để xây dựng mối quan hệ và dần dần lấy thông tin đăng nhập thay vì yêu cầu đáng ngờ rõ ràng trong một tin nhắn duy nhất.
• Kẻ gian dùng AI tạo ra thẻ nhân viên giả nhưng hợp lý, thẻ an ninh và tài liệu nội bộ phù hợp với tiêu chuẩn thiết kế của tổ chức bạn, khiến các tuyên bố quyền hạn giả trông hợp pháp.

Cách nhận biết

Bạn nhận được email từ CEO hoặc quản lý yêu cầu hành động khẩn cấp (đặt lại mật khẩu, chuyển tiền, xác minh thông tin đăng nhập) với thương hiệu hoàn hảo và tham chiếu dự án cụ thể, nhưng địa chỉ email thực của người gửi có sự khác biệt tinh vi như 'c0m' thay vì 'com' hoặc tên miền tương tự.
Cuộc gọi video hoặc tin nhắn ghi âm từ người liên hệ đáng tin cậy có vẻ hơi lệch về thời gian hoặc đồng bộ môi, với những khoảng dừng không tự nhiên, chuyển động mắt như rô-bốt hoặc ánh sáng bất thường không phù hợp với thiết lập thông thường của họ.
Bạn nhận được cuộc gọi điện thoại từ người tự xưng là nhân viên phòng chống gian lận của ngân hàng, sử dụng số tài khoản và chi tiết giao dịch gần đây của bạn, nhưng họ yêu cầu thông tin nhạy cảm mà ngân hàng thật của bạn sẽ không bao giờ hỏi.
Email từ bộ phận IT hoặc nhân sự nội bộ sử dụng định dạng và logo chính xác của công ty bạn nhưng yêu cầu bạn nhấp vào liên kết để 'xác minh tài khoản' hoặc 'xác nhận danh tính', đặc biệt nếu nó tạo ra cảm giác cấp bách giả tạo về một sự cố bảo mật không tồn tại.
Bạn nhận thấy trong các cuộc gọi video rằng phông nền, trang phục hoặc môi trường của người đó khớp chính xác với thông tin công khai trên hồ sơ LinkedIn hoặc trang web công ty, trông gần như được dàn dựng hoặc tạo bằng CGI.
Chuỗi tin nhắn cho thấy cuộc trò chuyện tự nhiên nhưng hơi quá hoàn hảo — tham chiếu các sự kiện đời sống gần đây của bạn với độ chính xác bất thường, sử dụng những câu đùa nội bộ đúng lúc hoặc dự đoán phản đối của bạn trước khi bạn kịp nói ra.

Cách tự bảo vệ

Triển khai xác thực đa yếu tố (MFA) cho tất cả email, tài khoản ngân hàng và tài chính bằng ứng dụng xác thực thay vì mã SMS, vì mã SMS dễ bị kẻ gian chặn trong các cuộc tấn công dựa trên AI.
Thiết lập quy trình xác minh ngoài băng tần: khi nhận được yêu cầu khẩn cấp từ lãnh đạo hoặc tổ chức tài chính, luôn gọi lại bằng số điện thoại bạn tự tìm kiếm (không lấy từ email), và không bao giờ nhấp vào liên kết hoặc gọi số điện thoại trong các tin nhắn đáng ngờ.
Sử dụng công cụ xác minh hình ảnh và video ngược như Google Lens hoặc phần mềm phát hiện deepfake chuyên dụng để phân tích các video nghi ngờ trước khi chấp nhận tính xác thực — chú ý các dấu hiệu AI như kết cấu da không tự nhiên, chuyển động mắt, hoặc lỗi nền.
Tự đào tạo để nhận biết các mẫu kỹ thuật xã hội bằng cách dừng lại ít nhất 10 phút trước khi phản hồi các yêu cầu cấp bách tuyên bố khẩn cấp, sự cố hệ thống hoặc yêu cầu hành động ngay lập tức — các tổ chức hợp pháp sẽ chờ xác minh đúng cách.
Cấu hình các tiêu chuẩn xác thực email (SPF, DKIM, DMARC) trên tên miền công ty và bật các cảnh báo xác minh nghiêm ngặt trong trình khách email của bạn để đánh dấu các thư không xác thực hoặc giả mạo, sau đó báo cáo ngay các vụ phishing có xác thực cho đội ngũ bảo mật IT.
Tạo khóa xác minh cá nhân hoặc câu hỏi bảo mật với những người liên hệ tin cậy (gia đình, đồng nghiệp thân thiết, cố vấn tài chính) mà bạn thiết lập trước — khi nhận được yêu cầu khẩn cấp, yêu cầu họ cung cấp câu trả lời cho câu hỏi đã thỏa thuận trước khi tiến hành.

Ví dụ thực tế

Một kỹ sư phần mềm nhận được email dường như từ CTO yêu cầu đặt lại mật khẩu ngay lập tức do 'sự cố bảo mật nghiêm trọng.' Email bao gồm logo chính xác của công ty, sử dụng tên dự án nội bộ chính xác và tham chiếu một vụ rò rỉ thực tế ảnh hưởng đến một nhà cung cấp. Kỹ sư nhấp vào liên kết và nhập thông tin đăng nhập trên trang đăng nhập gần như giống hệt. Trong vài giờ, kẻ gian truy cập kho mã nguồn của công ty và tống tiền 1,15 tỷ đồng.

Một giám đốc tài chính nhận cuộc gọi video từ người dường như là CEO công ty yêu cầu chuyển khoản khẩn cấp 1,95 tỷ đồng để 'đóng một thương vụ mua bán' trước giờ mở cửa thị trường. 'CEO' có nhận diện khuôn mặt hoàn hảo, bộ vest và phông nền văn phòng khớp, và nhắc tên các thành viên hội đồng quản trị cụ thể. Giám đốc tài chính phê duyệt chuyển khoản qua kênh ngân hàng bình thường trước khi nhận ra CEO thật đang ở múi giờ khác và không hề biết về thương vụ này.

Một quản lý nhân sự nhận được chuỗi tin nhắn có vẻ tự nhiên từ sếp yêu cầu xử lý khoản vay khẩn cấp cho một nhân viên và đẩy nhanh chuyển khoản 178 triệu đồng. Cuộc trò chuyện bao gồm tham chiếu đến các thách thức gần đây của công ty và thậm chí nhắc đến việc thăng chức gần đây của một người quen chung. Quản lý thực hiện yêu cầu, chỉ để phát hiện nhân viên đó đã nhận một cuộc tấn công phishing AI tương tự yêu cầu họ cung cấp thông tin ngân hàng để 'xử lý' khoản vay giả.

Câu hỏi thường gặp

Làm sao tôi biết cuộc gọi video có phải deepfake nếu người đó trông hoàn toàn thật?

Deepfake thường có các dấu hiệu tinh vi: nháy mắt không tự nhiên, đồng bộ môi lệch khi nhìn từ góc nghiêng, kết cấu da quá mịn hoặc như nhựa, ánh sáng trên mặt không đồng nhất với phông nền, hoặc chuyển động đầu nhanh gây ra các chuyển tiếp giật cục. Hãy sử dụng phần mềm phát hiện deepfake chuyên dụng như Microsoft Video Authenticator, phần mềm này phân tích dấu vân kỹ thuật số trong file video. Quan trọng nhất, nếu ai đó gọi bạn với yêu cầu khẩn cấp, hãy cúp máy và gọi lại số đã biết — không có video AI nào có thể chặn cuộc gọi đi từ điện thoại của bạn.

Nơi báo cáo — Việt Nam

Các kênh chính thức trong khu vực của bạn để báo cáo lừa đảo này.

Cục An toàn thông tin (Bộ TT&TT)

Tội phạm mạng

Cổng tiếp nhận phản ánh tin nhắn rác, cuộc gọi rác và lừa đảo trực tuyến.

Truy cập →

Bộ Công an - Cảnh báo lừa đảo

Báo cáo

Trang cảnh báo và tiếp nhận tố giác lừa đảo của Bộ Công an.

113 Truy cập →

Cục Cạnh tranh và Bảo vệ người tiêu dùng

Bảo vệ người tiêu dùng

Tổng đài bảo vệ người tiêu dùng — miễn phí cuộc gọi.

1800-6838 Truy cập →

Ngân hàng Nhà nước Việt Nam

Cơ quan tài chính

Báo cáo các trường hợp lừa đảo tài chính, ngân hàng, đầu tư bất hợp pháp.

Truy cập →

Nghi ngờ gặp phải lừa đảo này?

How to cite this guide

Use this when referencing ScamLens content in articles, research, AI responses, or social media.

According to ScamLens (scamlens.org), lừa đảo phishing dựa trên ai: kẻ gian lận dùng ai nhắm đến bạn như thế nào is described at https://scamlens.org/vi/encyclopedia/ai-powered-phishing.

https://scamlens.org/vi/encyclopedia/ai-powered-phishing

Bắt đầu từ đây

Kiểm Tra An Toàn

Tình Báo

Công Cụ & Báo Cáo

Dịch Vụ Cao Cấp

Tiện Ích & API