Liên hệ
YouTube: Mảnh đất màu mỡ cho tội phạm mạng và những chiêu trò lừa đảo tinh vi

YouTube: Mảnh đất màu mỡ cho tội phạm mạng và những chiêu trò lừa đảo tinh vi

  • 4:56 chiều

Những ngày tháng mà YouTube chỉ là nơi để xem các clip hài hước và video âm nhạc đã qua rồi. Với 2,53 tỷ người dùng hoạt động, nó đã trở thành một không gian nơi giải trí, thông tin và sự lừa dối cùng tồn tại.

Bên cạnh các video hàng ngày, trang web này đã chứng kiến nhiều vụ lừa đảo, deepfake và các chương trình khuyến mãi che giấu các liên kết độc hại đằng sau các logo quen thuộc. Phần mềm độc hại được tìm thấy trong các hướng dẫn, tài khoản người sáng tạo bị tấn công và nội dung đầu tư gian lận đã trở thành những vấn đề tái diễn.

Điều gì khiến YouTube dễ bị tấn công

Thiết kế của YouTube gây khó khăn cho việc kiểm soát. Những kẻ tấn công sử dụng các phương pháp tương tác tương tự giúp những người sáng tạo thông thường phát triển. Thời gian xem, lượt thích và bình luận đẩy video lên cao hơn trong các đề xuất, cho phép các vụ lừa đảo lan rộng trước khi người kiểm duyệt có thể can thiệp.

Các nhà nghiên cứu cho biết những vụ lừa đảo này thường sao chép các định dạng video thông thường. Chúng sử dụng cách kể chuyện lạc quan, hình thu nhỏ rõ ràng và các thương hiệu quen thuộc để có vẻ hợp pháp. Một số liên kết các thủ thuật của họ với các chủ đề thịnh hành như bot giao dịch AI hoặc các công cụ phần mềm miễn phí, thu hút những người dùng đang tìm kiếm hướng dẫn đơn giản.

Một vấn đề khác là thị trường tài khoản YouTube cũ. Các kênh này đã có người theo dõi và sự tin tưởng theo thuật toán. Khi kết hợp với các video do AI tạo ra, chúng mang đến cho những kẻ lừa đảo một cách dễ dàng để xuất bản nội dung thuyết phục trên quy mô lớn.

Nền tảng YouTube bị khai thác trong các chiến dịch phần mềm độc hại mở rộng

Các nhà nghiên cứu gần đây đã phát hiện ra một chiến dịch phần mềm độc hại quy mô lớn trên YouTube được gọi là “Mạng lưới ma YouTube”. Nó liên quan đến hơn 3.000 video được tải lên các kênh giả mạo hoặc bị tấn công hứa hẹn phần mềm bẻ khóa hoặc hack trò chơi nhưng thay vào đó dẫn người xem đến các trang lừa đảo hoặc tải xuống phần mềm độc hại.

Các trò gian lận hứa hẹn hiệu suất tốt hơn hoặc khả năng tàng hình trong trò chơi thường thu hút những người chơi trẻ tuổi. Những kẻ lừa đảo lợi dụng sự tò mò của họ và lừa họ tải xuống phần mềm độc hại.

Trong một trường hợp tương tự, Bitdefender đã tìm thấy một vụ lừa đảo đã chuyển từ Quảng cáo trên Facebook sang YouTube và Quảng cáo của Google, sử dụng các ưu đãi về TradingView Premium miễn phí để lôi kéo người dùng. Những kẻ tấn công đã chiếm đoạt tài khoản Quảng cáo của Google của một cơ quan thiết kế Na Uy và, riêng biệt, đã chiếm quyền điều khiển một kênh YouTube đã được xác minh. Với những thứ đó trong tay, họ đã mạo danh TradingView bằng cách giữ huy hiệu đã được xác minh, sử dụng lại các biểu trưng và biểu ngữ chính thức và phản ánh bố cục danh sách phát.

Deepfake thúc đẩy sự gia tăng các vụ lừa đảo tiền điện tử

Khi sự quan tâm đến Bitcoin tăng lên, những kẻ lừa đảo bắt đầu sử dụng video deepfake về những người nổi tiếng để quảng bá các khoản đầu tư giả mạo và lôi kéo nạn nhân.

SentinelLabs đã báo cáo một làn sóng lừa đảo tiền điện tử, trong đó những kẻ tấn công quảng bá một bot giao dịch tiền điện tử ẩn chứa một hợp đồng thông minh được xây dựng để rút tiền. Các kế hoạch này được đẩy mạnh thông qua các video trên YouTube giới thiệu bot và hướng dẫn người xem triển khai hợp đồng trong Remix, IDE Solidity dựa trên web cho các dự án Web3.

Những nhân vật nổi tiếng như Elon Musk và Donald Trump nằm trong số những người bị mạo danh trong các video này, sử dụng hình ảnh của họ để đánh lừa người xem. Người đồng sáng lập Apple Steve Wozniak đã cảnh báo về vấn đề này, chỉ trích YouTube vì không ngăn chặn các vụ lừa đảo như vậy sau khi chính ông bị mạo danh trong một vụ lừa đảo.

Một deepfake về Giám đốc điều hành Nvidia Jensen Huang đã tổ chức một buổi phát trực tiếp GTC giả mạo trên YouTube, thu hút khoảng 100.000 người xem và xuất hiện phía trên luồng chính thức trong tìm kiếm trước khi nó bị gỡ xuống.

Sau một làn sóng lừa đảo trực tuyến, một số chính trị gia ở Vương quốc Anh đang kêu gọi quy định chặt chẽ hơn đối với quảng cáo trên YouTube. Họ lập luận rằng quảng cáo trên nền tảng này phải tuân theo các quy tắc và giám sát tương tự như quảng cáo trên truyền hình.

Những gì mong đợi vào năm 2026

Hoạt động lừa đảo trên YouTube dự kiến sẽ gia tăng vào năm 2026 khi các công cụ AI giảm bớt nỗ lực cần thiết để tạo và chia sẻ video giả mạo. Sản xuất nhanh hơn, rẻ hơn có nghĩa là nhiều vụ lừa đảo sẽ tiếp cận được nhiều đối tượng hơn. Các phiên bản deepfake của những nhân vật nổi tiếng có khả năng thúc đẩy một làn sóng lừa đảo đầu tư và quảng bá mới.

Camellia Chan, Giám đốc điều hành của X-PHY cho biết: “Hãy coi deepfake như bất kỳ mối đe dọa trên mạng nào khác và áp dụng tư duy không tin tưởng. Điều đó có nghĩa là đừng cho rằng bất cứ điều gì là có thật chỉ vì nó trông hoặc nghe có vẻ thuyết phục.

Mô hình đó phản ánh một mối đe dọa tài chính lớn hơn. Deloitte dự đoán rằng GenAI có thể khiến tổn thất do gian lận ở Hoa Kỳ lên tới 40 tỷ đô la vào năm 2027, tăng từ 12,3 tỷ đô la vào năm 2023.

Mạng lưới những người sáng tạo giả mạo phối hợp có khả năng trở nên phổ biến hơn. Các tài khoản này sẽ đăng, bình luận và tương tác với nhau để có vẻ xác thực. Những người khác sẽ tiếp tục mua hoặc chiếm quyền điều khiển các kênh đã được thiết lập với khán giả hiện tại và sự tin tưởng theo thuật toán. Các hệ thống quảng cáo vẫn là điểm yếu, tạo không gian cho những kẻ lừa đảo đặt các liên kết độc hại vào các khu vực có vẻ an toàn cho người dùng.

Giải thích thuật ngữ:

  • Deepfake: Video hoặc hình ảnh giả mạo được tạo ra bằng trí tuệ nhân tạo, trông giống như thật đến mức khó phân biệt.
  • Malware: Phần mềm độc hại, được thiết kế để xâm nhập và gây hại cho hệ thống máy tính.
  • Phishing: Hành vi lừa đảo để đánh cắp thông tin cá nhân như mật khẩu, số tài khoản ngân hàng,…
  • Cryptocurrency: Tiền điện tử, một loại tiền kỹ thuật số được mã hóa để bảo mật các giao dịch.
  • Smart contract: Hợp đồng thông minh, một đoạn mã tự động thực thi các điều khoản của thỏa thuận khi các điều kiện được đáp ứng.
  • Zero-trust mindset: Tư duy không tin tưởng, một phương pháp bảo mật yêu cầu xác minh mọi người và mọi thiết bị trước khi cấp quyền truy cập vào hệ thống.

Chia sẻ với

Share on facebook
Share on twitter
Share on linkedin
Share on pinterest

Bài viết liên quan

CISA Cảnh Báo Về Chiến Dịch Phần Mềm Gián Điệp Nhắm Vào Người Dùng Signal và WhatsApp

CISA cảnh báo về các chiến dịch phần mềm gián điệp đang hoạt động nhắm vào người dùng Signal và …

Molerats Trở Lại: Nhắm Mục Tiêu Chính Phủ Trung Đông Với Chiêu Thức Tinh Vi

Nhóm tin tặc khét tiếng Molerats, hay còn gọi là GazaHackerTeam, vừa tái xuất giang hồ sau hai tháng im …

SuperCard X: Mã độc Android mới cho phép gian lận ATM và POS không tiếp xúc qua tấn công NFC Relay

Một loại mã độc Android mới nổi lên, được gọi là SuperCard X, đang tạo ra mối đe dọa lớn …

Ba Lỗ Hổng React Mới Xuất Hiện Sau Vụ React2Shell

Ba lỗ hổng React mới xuất hiện sau React2Shell CVE-2025-55183, CVE-2025-55184 và CVE-2025-67779 cần được chú ý ngay lập tức Nhóm Nghiên …