Mặt tối của YouTube: Liên kết độc hại, lừa đảo qua email và deepfake

YouTube - nền tảng chia sẻ video lớn nhất thế giới - đang trở thành mảnh đất màu mỡ cho tội phạm mạng khai thác. Từ các liên kết độc hại, email giả mạo đến video deepfake tinh vi, những thủ đoạn ngày càng phức tạp đang đe dọa không chỉ người dùng mà cả các nhà sáng tạo nội dung.

Với hàng tỷ người dùng, YouTube trở thành mục tiêu hấp dẫn đối với tội phạm mạng. Lợi dụng tính phổ biến và mức độ tương tác cao của nền tảng này, kẻ xấu đã triển khai nhiều hình thức tấn công tinh vi. Chúng chèn liên kết độc hại vào phần mô tả video và bình luận, gửi email giả mạo các nhà tài trợ nhằm đánh lừa các nhà sáng tạo nội dung cài đặt phần mềm độc hại.

Một số đối tượng còn chiếm quyền kiểm soát các kênh nổi tiếng để quảng bá chương trình tặng tiền mã hóa giả mạo. Thậm chí, các video deepfake sử dụng AI để giả mạo người nổi tiếng cũng đã xuất hiện.

Bài viết này sẽ điểm qua những chiêu trò lừa đảo phổ biến nhất trên YouTube và cách chúng hoạt động.

Phần mềm độc hại trong mô tả và bình luận video

Một chiêu trò phổ biến là chèn các liên kết độc hại vào phần mô tả hoặc bình luận của video. Những liên kết này thường dẫn người dùng đến các trang web chứa phần mềm độc hại, hoặc lừa họ tải về các tập tin nguy hiểm. Chúng có thể trực tiếp chứa phần mềm độc hại hoặc chuyển hướng đến các trang web bên thứ ba được thiết kế để phát tán mã độc.

Năm 2024, công ty bảo mật Proofpoint đã phát hiện một số kênh YouTube phân phối phần mềm độc hại thông qua việc quảng bá các trò chơi được bẻ khóa, thường đi kèm với phần mềm keylogger (phần mềm ghi lại thao tác bàn phím) hoặc công cụ điều khiển từ xa.

Lừa đảo nhà sáng tạo qua các dự án hợp tác giả mạo

Một hình thức lừa đảo phổ biến khác là nhắm trực tiếp đến các nhà sáng tạo nội dung trên YouTube. Theo công ty bảo mật Avast, kẻ xấu gửi email được cá nhân hóa, giả danh đối tác tài trợ và đề nghị hợp tác có trả phí. Sau khi tạo được lòng tin, chúng sẽ gửi đường link chứa phần mềm độc hại, được ngụy trang dưới dạng công cụ làm việc cần thiết.

Những tập tin này thường được thiết kế để đánh cắp cookie phiên đăng nhập, cho phép kẻ tấn công chiếm quyền truy cập vào toàn bộ tài khoản của nhà sáng tạo, thậm chí vượt qua cả bước xác thực hai yếu tố (2FA).

Trong một số trường hợp, những kẻ lừa đảo đã lợi dụng tính năng “Chia sẻ video qua email” của YouTube để gửi thông báo giả mạo về việc cập nhật chính sách kiếm tiền. Email này đính kèm liên kết đến một tài liệu trên Google Drive cùng mật khẩu mở tệp (file), đồng thời cảnh báo các nhà sáng tạo rằng họ chỉ có 7 ngày để phản hồi, nếu không sẽ mất quyền truy cập tài khoản.

Deepfake và các trò lừa đảo tiền điện tử

Deepfake đang nổi lên như một mối đe dọa nghiêm trọng trong các chiêu trò lừa đảo mới xuất hiện trên YouTube. Một mục tiêu phổ biến là tỷ phú Elon Musk - hình ảnh của ông thường bị lợi dụng trong các video quảng bá chương trình tặng tiền điện tử giả, lợi dụng sự ủng hộ công khai của ông đối với Bitcoin.

Những video này có thể trông cực kỳ chân thực, đặc biệt là khi được phát trên các kênh nổi tiếng đã bị chiếm quyền hoặc trông như đã được xác minh chính thức.

Gần đây, những kẻ lừa đảo cũng đã sử dụng công nghệ deepfake do AI tạo ra để giả mạo Giám đốc điều hành YouTube – Neal Mohan trong một vụ lừa đảo, thông báo sai sự thật về những thay đổi trong chính sách kiếm tiền trên nền tảng.

Một số tội phạm mạng thậm chí còn đăng tải các “tài liệu đào tạo” về sextortion (lừa đảo bằng cách đe dọa phát tán hình ảnh/video nhạy cảm) trên YouTube và các nền tảng mạng xã hội khác. Những tài liệu này hướng dẫn chi tiết cách tạo hồ sơ giả mạo một cách thuyết phục, cũng như các chiến thuật nhắm mục tiêu và lừa đảo nạn nhân.

Thách thức pháp lý và trách nhiệm giải trình

Các vụ lừa đảo lan rộng trên YouTube đang đặt ra những câu hỏi nghiêm túc về trách nhiệm của nền tảng trong việc bảo vệ người dùng và cách thức xử lý các hành vi vi phạm.

Việc ngăn chặn các trò lừa đảo ngày càng trở nên phức tạp vì chúng thường liên quan đến những cá nhân từ nhiều quốc gia khác nhau, trong khi mỗi nước lại có hệ thống pháp luật riêng biệt, ảnh hưởng đến cách các nền tảng xử lý nội dung độc hại.

Tại Hoa Kỳ, YouTube hiện được bảo vệ khỏi trách nhiệm pháp lý liên quan đến nội dung do người dùng đăng tải theo Mục 230 của Đạo luật Chuẩn mực Truyền thông (Communications Decency Act). Theo đó, quy định này miễn trừ trách nhiệm pháp lý cho các nền tảng đối với nội dung do người dùng đăng tải.

Ngược lại, Liên minh châu Âu (EU) đã ban hành Đạo luật Dịch vụ Kỹ thuật số (Digital Services Act – DSA), yêu cầu các nền tảng phải thực hiện các biện pháp nghiêm ngặt hơn trong việc xử lý nội dung bất hợp pháp như lừa đảo và tin giả.

Tuy nhiên, việc buộc các nền tảng phải chịu trách nhiệm hoàn toàn đối với mọi nội dung có thể dẫn đến tình trạng kiểm duyệt quá mức nhằm tránh rủi ro pháp lý. Điều này không chỉ làm hạn chế sự đa dạng nội dung mà người dùng có thể tiếp cận, mà còn gây ra thách thức lớn trong bối cảnh số lượng video được tải lên mỗi phút là vô cùng lớn - khiến việc kiểm duyệt toàn bộ trở nên gần như bất khả thi.

Vai trò của AI

Trí tuệ nhân tạo (AI) đang làm thay đổi sâu sắc cả cách thức các vụ lừa đảo được thực hiện lẫn phương thức mà chúng ta sử dụng để đối phó với chúng.

Ở phía tấn công, AI đang trở thành công cụ đắc lực trong tay các đối tượng lừa đảo. Với khả năng tạo ra nội dung một cách nhanh chóng và tinh vi, AI có thể sản xuất hàng loạt video deepfake hoặc tài liệu giả mạo với mức độ chân thực cao đến mức khiến người xem khó phân biệt thật - giả. Điều này góp phần thúc đẩy sự lan truyền của tin giả và thông tin sai lệch với tốc độ chóng mặt, gây tác động tiêu cực đến nhận thức cộng đồng.

Những nội dung giả mạo do AI tạo ra không chỉ làm nhiễu loạn thông tin mà còn có thể dẫn đến hậu quả tâm lý nghiêm trọng. Một video deepfake mô tả một cá nhân trong tình huống nhạy cảm hoặc đáng xấu hổ - dù hoàn toàn là giả, vẫn có thể gây tổn hại nghiêm trọng đến danh tiếng cá nhân hoặc uy tín của tổ chức mà họ đại diện. Trong nhiều trường hợp, ngay cả khi sự thật được làm sáng tỏ sau đó, thì thiệt hại cũng đã xảy ra rồi.

Tuy nhiên, AI cũng là một công cụ quan trọng trong nỗ lực phòng chống lừa đảo. Công nghệ này có thể hỗ trợ việc kiểm duyệt nội dung, phát hiện các mẫu hành vi bất thường và tự động gắn cờ những hoạt động đáng ngờ. Nhờ vậy, nhiều vụ lừa đảo có thể được phát hiện và xử lý nhanh chóng hơn. Dù vậy, AI không phải là giải pháp hoàn hảo - nó vẫn có thể bỏ sót các chiêu trò tinh vi mới xuất hiện, hoặc ngược lại, vô tình gắn cờ nhầm những nội dung hợp pháp.

Cách đảm bảo an toàn khi sử dụng YouTube

Trong bối cảnh các hình thức lừa đảo ngày càng tinh vi trên YouTube, người dùng cần chủ động thực hiện các biện pháp bảo vệ bản thân khi sử dụng nền tảng này. Dưới đây là một số khuyến nghị cho người dùng:

Tránh nhấp vào các liên kết đáng ngờ: Không nhấp vào các liên kết trong phần bình luận hoặc mô tả video, trừ khi chắc chắn là chúng an toàn. Nhiều liên kết độc hại có thể dẫn đến trang web lừa đảo hoặc phát tán phần mềm độc hại.

Cẩn trọng với email giả mạo: Kẻ lừa đảo thường gửi email mạo danh các công ty hoặc nhà tài trợ. Hãy kiểm tra kỹ địa chỉ email người gửi, chú ý đến các dấu hiệu bất thường như lỗi chính tả, ngôn ngữ thiếu tự nhiên hoặc liên kết lạ.

Bật xác thực hai yếu tố (2FA): Đây là một lớp bảo mật bổ sung, yêu cầu mã xác nhận thứ hai khi đăng nhập để bảo vệ tài khoản tốt hơn.

Xác minh danh tính người liên hệ: Nếu ai đó liên hệ và tự nhận là đại diện thương hiệu hoặc nhà tài trợ, hãy kiểm tra kỹ hồ sơ mạng xã hội hoặc trang web chính thức của họ. Những kẻ lừa đảo thường sử dụng hồ sơ giả mạo.

Giữ thông tin cá nhân ở chế độ riêng tư: Không chia sẻ mật khẩu, thông tin thẻ tín dụng hoặc dữ liệu nhạy cảm qua email hay tin nhắn trực tiếp. Các tổ chức uy tín sẽ không yêu cầu cung cấp những thông tin này qua các kênh không bảo mật.

Báo cáo nội dung đáng ngờ: Nếu phát hiện hành vi hoặc nội dung có dấu hiệu đáng ngờ, hãy sử dụng công cụ báo cáo của YouTube để thông báo và giúp nền tảng kịp thời xử lý.

Luôn cập nhật phần mềm: Đảm bảo rằng hệ điều hành, trình duyệt và ứng dụng YouTube luôn được cập nhật phiên bản mới nhất vì các bản cập nhật thường bao gồm bản vá bảo mật để chống lại các mối đe dọa mới./.