Bộ công cụ deepfake AI vượt KYC khiến ngành tiền mã hóa bật cảnh báo đỏ

*Theo CoinDesk đưa tin ngày 6 tháng 4 (giờ địa phương), các công cụ tấn công KYC sử dụng **từ AI**, **từ deepfake**, **từ KYC**, **từ tiền mã hóa** đang khiến ngành tài chính và tiền số phải bật “cảnh báo đỏ”. Những bộ công cụ này cho phép tội phạm dùng *gương mặt giả* và *giọng nói giả* để vượt qua quy trình xác minh danh tính, cho thấy lớp phòng vệ dựa trên video‑call và sinh trắc học ngày càng dễ bị qua mặt.*

Một tài khoản chuyên theo dõi mối đe dọa mạng trên dark web có tên “Dark Web Informer” cho biết, ngày 6 tháng 4, một tác nhân mang bí danh “Jinkusu” đang rao bán bộ công cụ tấn công **từ KYC** trên nền tảng X. Bộ công cụ này kết hợp **từ deepfake** khuôn mặt với giả mạo giọng nói theo thời gian thực, được thiết kế riêng để đánh lừa hệ thống **từ KYC** của ngân hàng và nền tảng **từ tiền mã hóa**. Công cụ được mô tả có khả năng thay mặt nạn nhân xuất hiện trong video xác minh, đồng bộ khẩu hình, âm thanh và thậm chí cả chuyển động khuôn mặt để vượt qua lớp sinh trắc học.

Theo mô tả của các nhà phân tích bảo mật, bộ công cụ mới có thể được vận hành thông qua giao diện khá đơn giản: kẻ tấn công chỉ cần cung cấp ảnh, video hoặc đoạn ghi âm ngắn của nạn nhân, phần còn lại do mô hình **từ AI** xử lý. Điều này khiến những kẻ lừa đảo không am hiểu kỹ thuật vẫn có thể triển khai tấn công xác minh danh tính quy mô lớn, nhắm vào ngân hàng, sàn giao dịch **từ tiền mã hóa** và các ví lưu ký tập trung.

*bình luận: Việc “đóng gói” tấn công deepfake thành sản phẩm thương mại trên dark web cho thấy ranh giới kỹ thuật đang bị xóa nhòa. Từ chỗ chỉ những nhóm APT hoặc hacker lành nghề mới có thể dựng danh tính giả, giờ đây gần như bất kỳ đối tượng nào cũng có thể mua và sử dụng như một dịch vụ.*

Ông Dedi Ravid, Giám đốc điều hành công ty an ninh mạng Cybers, nhận định sự xuất hiện của bộ công cụ này là “tín hiệu cảnh báo” về giới hạn của hệ thống **từ KYC** hiện tại. Ông nhấn mạnh, **từ AI** đang “hạ thấp rào cản” cho các hình thức lừa đảo sử dụng danh tính tổng hợp, biến khâu “cửa vào” – vốn được coi là lớp phòng vệ quan trọng nhất – thành điểm yếu dễ bị công kích. Theo Ravid, các tổ chức tài chính và nền tảng **từ tiền mã hóa** cần khẩn trương kết hợp **từ AI** giám sát theo thời gian thực với mô hình bảo mật đa lớp, thay vì chỉ dựa vào một lần xác minh **từ KYC** duy nhất.

Vấn đề này đã được cảnh báo từ sớm. Ông Jimmy Su, Giám đốc an ninh của Binance, từng lên tiếng vào tháng 5 năm 2023 về rủi ro **từ deepfake** trong quy trình xác minh danh tính. Khi đó, ông cho rằng các thuật toán **từ AI** ngày càng tinh vi đến mức chỉ cần một bức ảnh là đủ tạo ra video giả thuyết phục để vượt qua **từ KYC**. Thực tế hiện nay đang tiến rất gần đến kịch bản đó: những “bộ kit tội phạm” như sản phẩm của Jinkusu giúp kẻ lừa đảo dễ dàng triển khai các chiến dịch “romance scam” (lừa tình – chiếm đoạt tài sản) hay mô hình lừa đảo “pig butchering” (nuôi heo rồi làm thịt) mà không cần nền tảng kỹ thuật sâu.

Hệ quả tài chính đã trở nên rõ ràng. Tính đến năm 2024, đã ghi nhận khoảng 200.000 vụ lừa đảo dạng “pig butchering” với tổng thiệt hại ước tính khoảng 5,5 tỷ USD, phần lớn liên quan đến **từ tiền mã hóa** và các nền tảng đầu tư trực tuyến. Các chuyên gia cho rằng đây mới chỉ là phần nổi của tảng băng, bởi nhiều nạn nhân ngần ngại báo cáo vì tâm lý xấu hổ hoặc sợ bị quy trách nhiệm.

Ngoài ra, còn xuất hiện nghi vấn Jinkusu chính là người đứng sau bộ công cụ lừa đảo “Starkiller” – một phishing kit được phát hiện từ tháng 2 năm nay. Starkiller được thiết kế để đánh cắp thông tin đăng nhập, khóa riêng và dữ liệu ví **từ tiền mã hóa**, đồng thời tích hợp cơ chế tự động triển khai qua email, SMS và mạng xã hội. Nếu Jinkusu thực sự là tác giả của cả hai bộ công cụ, điều này cho thấy xu hướng “dịch vụ hóa” công cụ lừa đảo (scam-as-a-service) đang bước sang giai đoạn mới, nơi kẻ phát triển cung cấp trọn gói từ công cụ phishing đến bộ vượt **từ KYC**.

*bình luận: Sự kết hợp giữa phishing truyền thống và deepfake **từ AI** tạo thành chuỗi tấn công khép kín: đầu tiên đánh cắp dữ liệu, sau đó dùng dữ liệu đó để dựng lên danh tính giả và vượt qua **từ KYC**. Đây là bước tiến nguy hiểm của tội phạm mạng, đặc biệt trong môi trường **từ tiền mã hóa** vốn đã thiếu cơ chế hoàn tiền và bồi thường như hệ thống ngân hàng truyền thống.*

Từ góc độ quản lý rủi ro, vụ việc một lần nữa khẳng định: chỉ dựa vào **từ KYC** ban đầu là không đủ để bảo vệ người dùng **từ tiền mã hóa**. Khi **từ deepfake** và **từ AI** có thể trực tiếp tấn công lớp xác minh danh tính, các ngân hàng và sàn giao dịch **từ tiền mã hóa** buộc phải nâng cấp toàn bộ kiến trúc an ninh, bao gồm:

- Giám sát hành vi giao dịch sau **từ KYC**, phát hiện bất thường theo thời gian thực.

- Kết hợp thêm các yếu tố nhận diện như thiết bị, vị trí, thói quen giao dịch thay vì chỉ dựa vào video và giấy tờ.

- Ứng dụng **từ AI** vào chính các hệ thống chống deepfake, phân tích tín hiệu vi mô trên gương mặt, giọng nói và metadata.

Nhiều chuyên gia nhận định, cuộc đua giữa công nghệ tấn công và phòng thủ đã chuyển sang “thời kỳ **từ AI**”, nơi cả tội phạm lẫn nhà cung cấp dịch vụ tài chính đều dùng **từ AI** để giành lợi thế. Trong bối cảnh đó, người dùng **từ tiền mã hóa** cũng được khuyến nghị nâng cao cảnh giác với mọi lời mời đầu tư, hẹn gọi video, hay yêu cầu xác minh tài khoản bất thường – ngay cả khi hình ảnh và giọng nói trông có vẻ “rất thật”.

Kết lại, sự xuất hiện của bộ công cụ **từ deepfake** vượt **từ KYC** như sản phẩm do Jinkusu rao bán là lời nhắc nhở rõ ràng rằng an ninh trong lĩnh vực **từ tiền mã hóa** đang bước vào giai đoạn rủi ro mới. Khi **từ AI** có thể xuyên thủng những lớp phòng vệ tưởng như chắc chắn nhất, cả ngân hàng lẫn nền tảng **từ tiền mã hóa** cần nhanh chóng xây dựng hệ thống bảo mật đa tầng, giám sát liên tục từ khâu đăng ký đến toàn bộ vòng đời tài khoản, thay vì “khoán trắng” niềm tin cho một lần xác minh **từ KYC** ban đầu.