Phishing 2025: Cuộc đua giữa trí tuệ nhân tạo và khả năng phòng thủ của con người

phishing

Năm 2025 ghi dấu một bước ngoặt lớn trong sự tiến hóa của các chiến dịch phishing toàn cầu. Không còn những email lỗi chính tả sơ sài hay thông điệp spam đại trà, các chiến dịch tấn công giờ đây đang được tinh chỉnh bằng trí tuệ nhân tạo (AI), hướng đến từng cá nhân với độ chính xác đáng kinh ngạc. Trong bối cảnh tổng số lượng email phishing trên toàn cầu giảm khoảng 20% so với năm 2024, điều đáng lo ngại không nằm ở số lượng, mà ở chất lượng: các cuộc tấn công trở nên tinh vi, cá nhân hóa và khó phát hiện hơn bao giờ hết.

AI thúc đẩy làn sóng tấn công phishing thế hệ mới

Theo dữ liệu từ nhiều hãng bảo mật quốc tế, phishing đã vươn lên trở thành phương thức tấn công phổ biến nhất trong quý I/2025, chiếm đến 50% các sự cố an ninh mạng. Điều này trùng khớp với làn sóng ứng dụng rộng rãi của generative AI – những công cụ cho phép kẻ tấn công mô phỏng ngôn ngữ, văn phong và ngữ cảnh của các email từ sếp, đối tác hay hệ thống nội bộ doanh nghiệp, đến mức gần như không thể phân biệt bằng mắt thường.

“Mô hình phishing spam hàng loạt đã lỗi thời,” Chuyên gia VSEC nhận định. “Các nhóm tấn công giờ đây đang sử dụng generative AI để tạo ra những kịch bản lừa đảo cực kỳ cá nhân hóa, biến từng email, tin nhắn hay cuộc gọi trở thành một hành vi thao túng được tính toán kỹ lưỡng.”

Điểm đáng lo ngại khác là sự phát triển nhanh chóng của mô hình Phishing-as-a-Service (PhaaS), cho phép bất kỳ ai – kể cả những kẻ không có kỹ năng lập trình – cũng có thể tiến hành chiến dịch phishing tinh vi chỉ với một vài cú nhấp chuột. Chỉ trong hai tháng đầu năm 2025, đã có hơn một triệu cuộc tấn công PhaaS được ghi nhận trên toàn cầu. Các nhà nghiên cứu ước tính rằng PhaaS hiện đã chiếm khoảng 30% tổng số vụ đánh cắp thông tin xác thực (credential theft), và con số này có thể vượt mốc 50% vào cuối năm nay.

Chiến thuật kỹ thuật tinh vi nhằm né tránh hệ thống phát hiện

Tội phạm mạng đang sử dụng nhiều thủ thuật mới để né tránh hệ thống phòng vệ. Một xu hướng đang nổi là nhúng mã HTML và JavaScript vào tệp hình ảnh dạng SVG – định dạng cho phép chạy script ngay trong file ảnh. Kỹ thuật này đã được ghi nhận trong hơn 2.800 email phishing chỉ riêng quý I năm nay, và con số vẫn đang tiếp tục gia tăng.

“Không giống như JPEG hay PNG, các tệp SVG có thể chứa mã script đang hoạt động, khiến chúng trở thành phương tiện lý tưởng để ẩn payload phishing dưới dạng hình ảnh vô hại,” theo Chuyên gia Săn tìm mối đe đọa VSEC chia sẻ.

Bên cạnh đó, hình thức quishing – lợi dụng mã QR để dẫn dụ nạn nhân đến các trang web đánh cắp thông tin – ngày càng phổ biến. Đặc biệt nguy hiểm là việc khai thác các dịch vụ kiểm tra liên kết URL hợp pháp như SafeLinks hay Proofpoint để che giấu URL phishing, khiến ngay cả các chuyên gia cũng dễ bị qua mặt.

Đáng lo ngại hơn cả là sự xuất hiện của công nghệ deepfake trong các cuộc tấn công phishing. Các nhóm tấn công hiện đã có thể tạo ra các bản ghi âm hoặc video giả mạo lãnh đạo doanh nghiệp, yêu cầu chuyển tiền khẩn cấp hoặc thay đổi thông tin đăng nhập.

Sự tiến hóa này khiến voice phishing (vishing) – hình thức giả mạo giọng nói qua điện thoại trở nên đặc biệt hiệu quả – hiện đã chiếm tới 60% các cuộc tấn công lừa đảo qua kênh thoại, đặc biệt nhắm vào các nền tảng như Microsoft Teams hay Zoom.

Bản đồ mục tiêu của phishing năm 2025 cho thấy sự dịch chuyển đáng chú ý. Ngành giáo dục là lĩnh vực bị ảnh hưởng nặng nề nhất, với số vụ tấn công tăng tới 224% trong vòng 12 tháng. Các ngành sản xuất và xây dựng cũng đang trở thành mồi ngon, chiếm khoảng 25% tổng số sự cố được ghi nhận trong quý I, phần lớn liên quan đến ransomware như BlackBasta và Cactus. Trong nội bộ doanh nghiệp, các phòng ban nhân sự, tài chính và lương thưởng tiếp tục bị nhắm đến do có quyền truy cập sâu vào dữ liệu nhạy cảm và hệ thống thanh toán.

Mặc dù Hoa Kỳ vẫn là quốc gia bị nhắm đến nhiều nhất, số vụ tấn công tại đây đã giảm 31,8% nhờ vào các biện pháp xác thực email nghiêm ngặt và hệ thống lọc người gửi mới của Google, vốn đã chặn tới 265 tỷ email chưa xác thực trong năm qua. Tuy vậy, các chuyên gia cho rằng sự sụt giảm này chỉ là tạm thời khi AI đang giúp các chiến dịch phishing vượt qua các lớp phòng vệ ngày càng tinh vi.

Chiến lược phát hiện cần thích ứng nhanh hơn

Trước thách thức này, cộng đồng an ninh mạng đang triển khai các chiến lược phòng thủ dựa trên trí tuệ nhân tạo. Các mô hình ensemble learning như AdaBoost hay Stacking đang cho thấy hiệu quả vượt trội trong việc phát hiện phishing cả ở cấp độ email lẫn website. Các nghiên cứu học thuật gần đây chỉ ra rằng các chỉ số như độ chính xác (accuracy), đường cong ROC-AUC hay F-score đều đạt mức rất cao khi áp dụng các mô hình học máy vào phát hiện phishing.

Không chỉ có công nghệ, yếu tố con người cũng đóng vai trò quan trọng. Nhiều tổ chức hiện đang chuyển sang đào tạo nhân viên dựa trên hành vi thực tế – tức là mô phỏng tình huống phishing để người dùng tập phản ứng đúng cách. Các chương trình này đã giúp cải thiện khả năng nhận diện và báo cáo phishing gấp 6 lần chỉ sau 6 tháng, đồng thời giảm tới 86% sự cố liên quan.

Trong suốt năm 2025, cộng đồng an ninh mạng đang chứng kiến một cuộc chạy đua giữa AI của kẻ tấn công và AI của người phòng thủ. Doanh nghiệp buộc phải triển khai các chiến lược bảo mật đa tầng, kết hợp giữa công nghệ, đào tạo người dùng và năng lực phản ứng sự cố nhanh chóng.

“Chủ động, nhận thức và thích ứng là chìa khóa để bảo vệ tài sản cá nhân và tổ chức trước những mối đe dọa đang tiến hóa,” theo ông Phan Hoàng Giáp – Phó Tổng giám đốc VSEC chia sẻ.

Với việc các kỹ thuật phishing ngày càng tinh vi và tận dụng dữ liệu mạnh mẽ, các chuyên gia khuyến cáo tăng cường sử dụng multi-factor authentication, triển khai các giải pháp bảo vệ thiết bị đầu cuối nâng cao và đào tạo nhận thức người dùng là ba mũi nhọn chính để phòng ngừa thế hệ phishing mới được AI hậu thuẫn.

Chỉ khi doanh nghiệp đồng thời nâng cao năng lực phát hiện, tăng cường xác thực đa yếu tố, bảo vệ endpoint và đầu tư đúng vào con người, mới có thể tạo ra một lá chắn đủ mạnh trước thế hệ phishing mới – nơi mà từng email, từng mã QR, thậm chí từng giọng nói cũng có thể là một đòn tấn công nguy hiểm.