Cảnh báo về hình thức lừa đảo mới nhắm vào người dùng Gmail sử dụng công cụ trí tuệ nhân tạo (AI)

Một hình thức lừa đảo mới đang nhắm vào người dùng Gmail, lợi dụng công cụ trí tuệ nhân tạo (AI) tích hợp trong dịch vụ này để đánh cắp thông tin cá nhân. Các chuyên gia an ninh mạng đã phát hiện ra những kẻ tấn công đang sử dụng kỹ thuật ‘tiêm lời nhắc gián tiếp’ để lừa AI tạo ra các cảnh báo bảo mật giả, từ đó dụ người dùng cung cấp thông tin đăng nhập hoặc truy cập vào các liên kết độc hại.

Hình thức lừa đảo này hoạt động bằng cách chèn các chỉ dẫn ẩn vào email, sử dụng sự thay đổi kích cỡ và màu chữ để khiến AI có thể ‘đọc’ và phản hồi. Khi người dùng chọn tùy chọn ‘tóm tắt email’, AI sẽ xử lý toàn bộ nội dung, bao gồm cả những đoạn văn bản ẩn trong email. Điều này cho phép những kẻ tấn công lợi dụng AI để tạo ra các cảnh báo bảo mật giả mạo và đánh cắp thông tin cá nhân của người dùng.

Các chuyên gia cảnh báo rằng nếu AI không thể phân biệt được giữa nội dung thực và nội dung ẩn, và Google không chủ động can thiệp, thì rủi ro vẫn còn rất lớn. Đặc biệt, khi AI ngày càng phổ biến trong việc tóm tắt email và tích hợp vào các ứng dụng khác, nguy cơ bị tấn công sẽ tăng lên. Do đó, người dùng cần phải cực kỳ cảnh giác khi sử dụng dịch vụ email và các ứng dụng tích hợp AI.

Để chống lại chiêu thức lừa đảo này, các chuyên gia khuyến nghị các công ty nên cấu hình hệ thống email để phát hiện và vô hiệu hóa nội dung ẩn. Việc triển khai các bộ lọc hậu xử lý để quét hộp thư đến nhằm tìm ra các dấu hiệu bất thường cũng có thể giúp ngăn chặn việc đánh cắp thông tin. Ngoài ra, người dùng cũng nên thường xuyên cập nhật kiến thức về an ninh mạng và các hình thức lừa đảo mới để có thể bảo vệ thông tin cá nhân của mình.

Google đã thừa nhận rằng loại hình tấn công này là một vấn đề đã tồn tại và đã bổ sung một số biện pháp bảo vệ. Tuy nhiên, thực tế cho thấy các cuộc tấn công vẫn đang diễn ra. Google đã cảnh báo người dùng rằng họ không bao giờ gửi cảnh báo bảo mật thông qua bản tóm tắt của Gemini và yêu cầu người dùng xác nhận trước khi thực hiện bất kỳ hành động rủi ro nào.

Mặc dù đã có các biện pháp bảo vệ, người dùng vẫn cần cảnh giác khi nhận được các email đáng ngờ và không nên cung cấp thông tin đăng nhập hoặc truy cập vào các liên kết không rõ nguồn gốc. Người dùng nên thường xuyên kiểm tra hộp thư đến và báo cáo các email đáng ngờ cho nhà cung cấp dịch vụ email để có thể ngăn chặn các cuộc tấn công.

Mỹ đang chuẩn bị triển khai một dự luật tham vọng, còn được gọi là ‘One Big Beautiful Bill’, với kế hoạch đầu tư lên tới 1 tỷ USD trong vòng 4 năm tới. Mục tiêu chính của dự luật này là tăng cường năng lực tấn công mạng của Mỹ, trong bối cảnh căng thẳng với Trung Quốc ngày càng leo thang.

Dự luật này bao gồm nhiều hoạt động như khai thác lỗ hổng phần mềm, triển khai phần mềm gián điệp, cũng như thu thập tình báo và dữ liệu lưu lượng internet. Dự kiến, nguồn tài trợ sẽ được sử dụng để củng cố năng lực của Bộ Tư lệnh Ấn Độ Dương – Thái Bình Dương của Mỹ (US Indo-Pacific Command), nhiều khả năng nhắm vào Trung Quốc – đối thủ địa chính trị hàng đầu của Mỹ hiện nay.

Động thái này diễn ra khi chính quyền liên bang đã sa thải hàng loạt nhân viên an ninh mạng, khiến nhiều chuyên gia lo ngại về tác động tiêu cực đối với năng lực bảo vệ an ninh mạng của Mỹ. Ngân sách an ninh mạng liên bang cũng đã bị cắt giảm hơn 1,2 tỷ USD, mặc dù một phần khoản cắt giảm này đã được tòa án liên bang đảo ngược.

Trước đó, chính phủ Mỹ đã tạm ngưng các chiến dịch tấn công mạng vào Nga, cho thấy sự chuyển hướng trọng tâm khỏi Đông Âu để tập trung vào Trung Quốc. Thượng nghị sĩ Ron Wyden cảnh báo rằng việc mở rộng quy mô tấn công mạng của chính phủ Mỹ sẽ mời gọi các đòn trả đũa từ các quốc gia khác.

Mặc dù có những tranh cãi về việc tạm dừng hoạt động chống Nga, nhưng việc Mỹ chuyển trọng tâm chiến lược mạng sang Trung Quốc là một xu hướng rõ rệt. Các nhà hoạch định chiến lược của Mỹ đang phát triển chiến lược răn đe đáng tin cậy để khiến Trung Quốc phải chịu thiệt hại tương đương hoặc tồi tệ hơn nếu tấn công.

Về dự luật ‘to và đẹp’ của Tổng thống Trump, nhiều chuyên gia và nhà hoạch định chiến lược đang theo dõi sát sao. Tuy nhiên, vẫn còn nhiều câu hỏi về hiệu quả và rủi ro của dự luật này, đặc biệt trong bối cảnh căng thẳng với Trung Quốc và các quốc gia khác đang leo thang.

Trong bối cảnh hiện nay, Mỹ đang tích cực tăng cường năng lực tấn công mạng, trong đó có việc tăng cường năng lực của Bộ Tư lệnh Ấn Độ Dương – Thái Bình Dương. Tuy nhiên, vẫn cần phải đánh giá kỹ lưỡng về hiệu quả và rủi ro của dự luật này.

Các chuyên gia an ninh mạng của Ukraine đã tiến hành một cuộc tấn công mạng mạnh mẽ vào cơ sở hạ tầng của Tập đoàn Gazprom, một trong những tập đoàn năng lượng hàng đầu của Nga. Cuộc tấn công diễn ra vào ngày 17/7, tập trung vào các hệ thống được Gazprom và các công ty con của họ sử dụng. Theo thông tin từ tình báo quân sự Ukraine, Gazprom có liên quan trực tiếp đến việc hỗ trợ các hoạt động quân sự của Nga tại Ukraine.

Gazprom, với vai trò là tập đoàn năng lượng quốc doanh của Nga, nổi tiếng là một trong những nhà sản xuất và xuất khẩu khí đốt lớn nhất thế giới. Cuộc tấn công mạng do Ukraine thực hiện đã gây ra sự cố nghiêm trọng, dẫn đến việc phá hủy một lượng lớn dữ liệu và cài đặt phần mềm tùy chỉnh. Điều này gây ra thiệt hại thêm cho hệ thống thông tin của Gazprom.

Cuộc tấn công đã làm vô hiệu hóa quyền truy cập của gần 20.000 quản trị viên hệ thống trong hệ thống nội bộ của Gazprom và xóa sạch các bản sao lưu của các cơ sở dữ liệu quan trọng. Sự cố này đã ảnh hưởng đến khoảng 390 công ty con và chi nhánh của tập đoàn, bao gồm cả Gazprom Teplo Energo, Gazprom Obl Energo và Gazprom Energozbyt.

Nhóm tấn công đã phá hủy cụm máy chủ cực mạnh, phần mềm chuyên dùng quản lý tài liệu và hợp đồng, dữ liệu phân tích cho các đường ống, van, máy bơm và hệ thống SCADA – những yếu tố then chốt để vận hành cơ sở hạ tầng kỹ thuật của Gazprom. Nhiều máy chủ của Gazprom dường như đã bị vô hiệu hóa hệ điều hành và BIOS của nhiều thiết bị đã bị hỏng, khiến chúng không thể hoạt động nếu không được sửa chữa vật lý.

Tờ Kyiv Independent không thể xác minh độc lập những tuyên bố này. Gazprom và chính quyền Nga chưa đưa ra bình luận công khai về vụ việc. Cuộc tấn công này làm nổi bật sự phụ thuộc ngày càng tăng của các tổ chức vào an ninh mạng và tác động tiềm tàng của các cuộc tấn công mạng đối với các hoạt động quan trọng.

Gazprom đã trở thành mục tiêu của các cuộc tấn công mạng trong quá khứ, nhưng quy mô và phạm vi của cuộc tấn công gần đây vẫn chưa được xác minh. Các chuyên gia an ninh mạng đang theo dõi chặt chẽ tình hình để đánh giá tác động và xác định các biện pháp phòng ngừa tương tự trong tương lai.

Cuộc tấn công mạng đã gây ra sự sụp đổ của công ty hậu cần Knights of Old Group của Anh (KNP Logistics) vào năm 2023 đã được tiết lộ chi tiết qua bộ phim tài liệu Panorama. Sự kiện này bắt đầu từ ngày 26/6/2023 khi tin tặc đột nhập vào hệ thống mạng của công ty thông qua một tài khoản nhân viên với mật khẩu yếu.

Sau khi tiếp cận hệ thống, tin tặc nhanh chóng triển khai mã độc tống tiền, không chỉ mã hóa dữ liệu mà còn đe dọa công bố thông tin nội bộ và dữ liệu khách hàng lên mạng. Chiến thuật tống tiền kép này nhằm gia tăng áp lực buộc công ty phải trả tiền chuộc. Mặc dù Knights of Old tuân thủ các tiêu chuẩn bảo mật dữ liệu quốc tế và có bảo hiểm an ninh mạng, công ty vẫn không thể phục hồi sau những thiệt hại nặng nề về vận hành và uy tín.

Đến tháng 9/2023, công ty buộc phải ngừng hoạt động hoàn toàn, kết thúc hành trình 158 năm và để lại một khoảng trống trong ngành hậu cần Anh quốc. Khoảng 500 xe tải của công ty đã ngừng hoạt động, khiến 700 lao động mất việc sau khi nhóm tin tặc thực hiện cuộc tấn công. Công ty bảo hiểm an ninh mạng Solace Global đã nhận thông tin và xử lý ngay sáng hôm sau. Đại diện Solace cho biết nhóm kỹ thuật đã phát hiện toàn bộ dữ liệu của KNP đã bị mã hóa và các hệ thống quan trọng bị xóa sạch.

Xu hướng tấn công mạng ngày càng gia tăng. Theo công ty an ninh mạng Sophos, số vụ tấn công ransomware trên toàn cầu đã tăng 105% chỉ trong một năm, từ 2022 đến 2023. Các nhóm tin tặc ngày càng hoạt động có tổ chức và tận dụng dữ liệu đánh cắp để thực hiện các đòn tấn công có mục tiêu. Sự phụ thuộc ngày càng lớn của nền kinh tế toàn cầu vào hạ tầng số khiến các doanh nghiệp trở nên dễ bị tổn thương hơn trước các cuộc tấn công mạng.

Sự sụp đổ của Knights of Old là hồi chuông cảnh báo cho các doanh nghiệp. Để tránh rơi vào bi kịch tương tự, các doanh nghiệp cần ghi nhớ một số bài học sống còn. Đầu tiên, đầu tư vào các biện pháp bảo mật, bao gồm bảo mật điểm cuối nâng cao, giám sát hệ thống liên tục và có sẵn kịch bản ứng phó sự cố rõ ràng. Thứ hai, áp dụng xác thực đa yếu tố (MFA). Thứ ba, sao lưu dữ liệu định kỳ và duy trì bản sao lưu an toàn. Thứ tư, đào tạo nhân viên thường xuyên để nâng cao nhận thức và kỹ năng ứng phó với các cuộc tấn công. Cuối cùng, cập nhật thông tin an ninh mạng để phát hiện sớm nguy cơ và các mối đe dọa.

Lumma Stealer, một loại phần mềm đánh cắp thông tin đang ngày càng phổ biến trên toàn cầu, đã thể hiện khả năng phục hồi ấn tượng sau cuộc hành động triệt phá của FBI vào tháng 5 vừa qua. Kẻ đứng sau Lumma Stealer đã nhanh chóng thiết lập lại hệ thống phân phối và triển khai các biện pháp ẩn mình tinh vi hơn nhằm tránh sự phát hiện của các cơ quan chức năng.

Các chuyên gia an ninh mạng từ Trend Micro đã ghi nhận một sự gia tăng đáng kể trong số lượng tài khoản bị tấn công bởi Lumma Stealer trong khoảng thời gian từ tháng 6 đến tháng 7. Điều này cho thấy mối đe dọa từ phần mềm độc hại này vẫn còn hiện hữu và đang ngày càng tinh vi hơn. Lumma Stealer hoạt động dựa trên mô hình malware-as-a-service (một dạng dịch vụ phần mềm độc hại), cho phép các tội phạm mạng khác thuê hoặc mua dịch vụ mà không cần có kiến thức kỹ thuật chuyên sâu.

Một trong những đặc điểm nguy hiểm của Lumma Stealer là khả năng thu thập một lượng lớn dữ liệu nhạy cảm từ các hệ thống bị lây nhiễm. Dữ liệu này bao gồm thông tin đăng nhập, thông tin tài chính, dữ liệu trình duyệt và các thông tin cá nhân khác. Để tiếp cận nạn nhân, Lumma Stealer được phát tán thông qua nhiều kênh và chiến thuật lén lút, bao gồm việc sử dụng phần mềm bẻ khóa, tạo ra các trang web lừa đảo, sử dụng quảng cáo độc hại và tận dụng các chiến dịch trên mạng xã hội.

Trước mối đe dọa ngày càng tăng của Lumma Stealer, các tổ chức cần chủ động hơn trong việc thu thập và phân tích thông tin tình báo về mối đe dọa. Sự hợp tác chặt chẽ giữa các ngành an ninh mạng và cơ quan thực thi pháp luật là chìa khóa để theo dõi và ngăn chặn các biến thể mới của phần mềm độc hại này.

Bên cạnh đó, việc đào tạo nhân viên cách nhận diện và phòng tránh các mối đe dọa từ các chiến dịch của Lumma Stealer cũng là một bước quan trọng. Chỉ khi có sự chuẩn bị và cảnh giác cao độ, các tổ chức mới có thể giảm thiểu rủi ro và bảo vệ thông tin nhạy cảm của mình trước sự tấn công của Lumma Stealer.

Xu hướng trở lại của Lumma Stealer nhấn mạnh sự cần thiết của các biện pháp bảo mật mạnh mẽ và sự cảnh giác liên tục trong việc chống lại các mối đe dọa mạng. Việc hiểu biết về cách thức hoạt động và các phương thức tấn công của Lumma Stealer sẽ giúp các chuyên gia an ninh mạng và người dùng thông thường có thể đề phòng và ứng phó một cách hiệu quả.

Để biết thêm thông tin về Trend Micro và các giải pháp an ninh mạng của họ, bạn có thể tham khảo thêm tại trang web chính thức của công ty.

Ngày 7/7/2025, Microsoft đã phát đi cảnh báo bảo mật khẩn cấp về một chiến dịch tấn công có chủ đích nhắm vào hệ thống SharePoint Server on-premises. Chiến dịch này được cho là do ba nhóm tin tặc Trung Quốc gồm Linen Typhoon, Violet Typhoon và Storm-2603 thực hiện. Các cuộc tấn công đã lợi dụng một chuỗi lỗ hổng nghiêm trọng, cho phép kẻ tấn công vượt qua xác thực, thực thi mã từ xa và chiếm quyền kiểm soát hệ thống nội bộ.

Đặc biệt, vào ngày 18/7/2025, một trong những nạn nhân bị xâm nhập được xác nhận là Cơ quan Quản lý An ninh Hạt nhân Quốc gia Mỹ (NNSA), thuộc Bộ Năng lượng Hoa Kỳ. Mặc dù chỉ một số hệ thống bị ảnh hưởng và chưa phát hiện rò rỉ dữ liệu mật, vụ việc cho thấy quy mô và mức độ tinh vi của làn sóng tấn công.

Microsoft đã xác định bốn lỗ hổng được khai thác trong đợt tấn công, bao gồm CVE-2025-49706, CVE-2025-49704, CVE-2025-53770 và CVE-2025-53771. Những lỗ hổng này ảnh hưởng đến các phiên bản SharePoint Server 2016, 2019 và Subscription Edition cài đặt tại chỗ.

Để bảo vệ hệ thống trước làn sóng tấn công này, Microsoft đã nhanh chóng phát hành các bản vá bảo mật tương ứng. Ngoài ra, Microsoft cũng khuyến nghị các tổ chức triển khai ngay các biện pháp phòng thủ, bao gồm kích hoạt AMSI ở chế độ Full Mode, trang bị Microsoft Defender Antivirus, xoay vòng khóa xác thực ASP.NET và khởi động lại dịch vụ IIS.

CISA đã thêm CVE-2025-53771 vào danh sách cần khắc phục khẩn cấp ngày 22/7/2025, với hạn chót thực hiện chỉ sau đó một ngày. Các chuyên gia an ninh mạng cũng cảnh báo rằng việc kết hợp giữa bypass xác thực và thực thi mã từ xa là công thức lý tưởng cho các chiến dịch tấn công mã hóa dữ liệu.

Do đó, việc cập nhật bản vá không còn là lựa chọn, đó là hành động sống còn trong bối cảnh kẻ tấn công đã có sẵn đường đi, chỉ chờ thời cơ để bước vào. Các tổ chức cần khẩn trương thực hiện các biện pháp bảo mật cần thiết để bảo vệ hệ thống của mình trước làn sóng tấn công này.

Lỗ hổng bảo mật nghiêm trọng trong phần mềm SharePoint của Microsoft đang gây ra những quan ngại đáng kể trong cộng đồng an ninh mạng. Được biết đến với tên gọi ‘ToolShell’, lỗ hổng zero-day này có thể cho phép các tin tặc thực hiện các cuộc tấn công vào hệ thống của nhiều cơ quan chính phủ và doanh nghiệp đang sử dụng phần mềm này để chia sẻ tài liệu nội bộ.

Ông Adam Meyers, Phó Chủ tịch cấp cao của công ty an ninh mạng CrowdStrike, nhận định rằng bất kỳ tổ chức nào sở hữu máy chủ SharePoint được lưu trữ bên ngoài đều có thể bị ảnh hưởng bởi lỗ hổng này. Lỗ hổng ToolShell được đánh giá là có mức độ nghiêm trọng cao, gây rủi ro cho các tổ chức có máy chủ SharePoint cài đặt tại chỗ. Nó cho phép tin tặc truy cập đầy đủ vào các hệ thống tệp SharePoint, bao gồm cả các dịch vụ được kết nối như Teams và OneDrive.

Bộ phận Phân tích mối đe dọa an ninh mạng của Google cũng lên tiếng cảnh báo về lỗ hổng này. Theo họ, lỗ hổng có thể cho phép tin tặc vượt qua các bản vá trong tương lai, đồng thời nhấn mạnh sự cần thiết phải có các biện pháp phòng ngừa và giảm thiểu rủi ro một cách hiệu quả.

Về phía Microsoft, công ty xác nhận rằng dịch vụ SharePoint Online dựa trên đám mây của họ không bị ảnh hưởng bởi lỗ hổng này. Tuy nhiên, ông Michael Sikorski, Giám đốc Công nghệ và Trưởng bộ phận Phân tích mối đe dọa an ninh mạng của Đơn vị Nghiên cứu bảo mật Unit42 tại Palo Alto Networks, cảnh báo rằng nhiều tổ chức và cá nhân vẫn đang ở trong tầm ngắm của tin tặc do lỗ hổng này gây ra.

Các tổ chức an ninh mạng quốc tế đã phát hiện ra một cuộc tấn công quy mô lớn, trong đó hệ thống của khoảng 100 tổ chức khác nhau đã bị xâm nhập. Những tổ chức bị ảnh hưởng bao gồm nhiều doanh nghiệp và cơ quan chính phủ, với phần lớn ở Mỹ và Đức. Trung tâm An ninh mạng quốc gia Anh cũng tuyên bố đã nắm được thông tin về một số lượng hạn chế các mục tiêu ở nước này.

Trước những rủi ro tiềm ẩn, Cơ quan Quản lý An ninh mạng và Cơ sở hạ tầng (CISA) của Mỹ khuyến nghị bất kỳ máy chủ nào bị ảnh hưởng bởi lỗ hổng này cần ngắt kết nối với internet cho đến khi chúng được vá bảo mật. Điều này nhằm ngăn chặn các cuộc tấn công và giảm thiểu rủi ro cho các tổ chức.

Các chuyên gia an ninh mạng tiếp tục kêu gọi các tổ chức nâng cao cảnh giác và thực hiện các biện pháp cần thiết để bảo vệ hệ thống của mình trước lỗ hổng ToolShell trong phần mềm SharePoint của Microsoft. Việc cập nhật và vá bảo mật kịp thời là chìa khóa để giảm thiểu rủi ro và ngăn chặn các cuộc tấn công mạng.

Để cập nhật thông tin mới nhất về lỗ hổng bảo mật này và cách thức phòng ngừa, người dùng có thể truy cập vào trang web của CrowdStrike và Palo Alto Networks để có thêm thông tin chi tiết.

Các tổ chức và cá nhân cũng nên thường xuyên kiểm tra và cập nhật phần mềm để đảm bảo an toàn cho hệ thống của mình. Thêm vào đó, việc áp dụng các biện pháp an ninh mạng cơ bản như sử dụng mật khẩu mạnh và kích hoạt xác thực hai yếu tố cũng có thể giúp giảm thiểu rủi ro bị tấn công.