Cách một chuyên gia AI sử dụng ChatGPT để lật ngược tình thế với kẻ lừa đảo

Tóm tắt

• Một nhân viên IT ở Delhi tuyên bố đã dùng ChatGPT để tạo một trang thanh toán giả, thu thập vị trí và ảnh của kẻ lừa đảo trong một vụ lừa đảo “chuyển quân đội”.
• Bài đăng trên Reddit đã lan truyền sau khi kẻ lừa đảo hoảng loạn và van xin tha thứ khi bị đối chất với dữ liệu của chính mình.
• Những người dùng Reddit khác đã tái tạo lại kỹ thuật này và xác nhận mã do AI tạo ra có thể hoạt động, nhấn mạnh cách các công cụ tạo sinh đang thay đổi cuộc chơi “dụ lừa đảo” tự làm.

Trung tâm Nghệ thuật, Thời trang và Giải trí của Decrypt.

Khám phá SCENE

Khi một tin nhắn xuất hiện trên điện thoại từ một số lạ tự xưng là người quen cũ thời đại học, một chuyên viên công nghệ thông tin ở Delhi ban đầu cảm thấy tò mò. Người gửi đóng vai một cán bộ Ấn Độ, cho biết một người bạn làm trong lực lượng bán quân sự đang chuẩn bị chuyển công tác và cần bán gấp đồ nội thất, thiết bị cao cấp “giá cực rẻ”.

Đây là một dạng lừa đảo “chuyển quân đội” kinh điển, rất phổ biến ở Ấn Độ. Nhưng thay vì chặn số hoặc trở thành nạn nhân, người này tuyên bố đã quyết định “gậy ông đập lưng ông” bằng chính công nghệ thường bị cáo buộc tiếp tay tội phạm mạng: trí tuệ nhân tạo.

Lừa lại kẻ lừa đảo

Theo một bài viết chi tiết trên Reddit, người dùng với biệt danh u/RailfanHS đã dùng ChatGPT của OpenAI để “vibe code” một trang web theo dõi. Cái bẫy này đã thành công thu thập vị trí và ảnh khuôn mặt của kẻ lừa đảo, dẫn đến một cuộc đối đầu số kịch tính khi kẻ lừa đảo van xin tha thứ.

Mặc dù danh tính của người dùng Reddit này chưa được xác minh độc lập và cá nhân cụ thể vẫn ẩn danh, phương pháp kỹ thuật được mô tả trong bài viết đã được cộng đồng nhà phát triển và đam mê AI trên nền tảng xác minh và phân tích.

Sự việc này làm nổi bật xu hướng ngày càng tăng của “scambaiting”—hành động tự phát của những người am hiểu công nghệ nhử kẻ lừa đảo để chúng mất thời gian hoặc lộ diện—và xu hướng này ngày càng phát triển nhờ AI tạo sinh.

Cuộc chạm trán, được công khai rộng rãi ở Ấn Độ, bắt đầu theo kịch bản quen thuộc. Kẻ lừa đảo gửi ảnh hàng hóa và mã QR, yêu cầu thanh toán trước. Giả vờ gặp sự cố kỹ thuật với việc quét mã, u/RailfanHS đã chuyển sang dùng ChatGPT.

Anh ta nhập yêu cầu vào chatbot AI để tạo ra một trang web mô phỏng cổng thanh toán. Đoạn mã này, được mô tả là “trang PHP 80 dòng”, thực chất được thiết kế bí mật để thu thập tọa độ GPS, địa chỉ IP và ảnh chụp từ camera trước của khách truy cập.

Cơ chế theo dõi này dựa nhiều vào kỹ năng xã hội không kém gì khai thác phần mềm. Để vượt qua tính năng bảo mật trình duyệt thường chặn truy cập camera ngầm, người dùng nói với kẻ lừa đảo rằng cần tải mã QR lên liên kết để “đẩy nhanh quá trình thanh toán”. Khi kẻ lừa đảo truy cập trang và bấm nút tải ảnh, trình duyệt yêu cầu cho phép truy cập camera và vị trí—những quyền mà hắn đã vô tình cấp vì vội vàng nhận tiền. Hình ảnh: RailfanHS trên Reddit

“Bị thúc đẩy bởi lòng tham, sự vội vã và tin tưởng hoàn toàn vào giao diện cổng giao dịch, hắn đã nhấp vào liên kết,” u/RailfanHS viết trên subreddit r/delhi. “Tôi lập tức nhận được tọa độ GPS trực tiếp, địa chỉ IP và, hài lòng nhất, một ảnh chụp rõ nét từ camera trước cảnh hắn đang ngồi.”

Màn đáp trả diễn ra ngay lập tức. Nhân viên IT gửi lại toàn bộ dữ liệu thu thập được cho kẻ lừa đảo. Hiệu ứng, theo bài đăng, là một cơn hoảng loạn tức thì. Điện thoại của kẻ lừa đảo liên tục gọi cho người dùng, kèm theo tin nhắn cầu xin tha thứ và hứa sẽ từ bỏ con đường phạm pháp.

“Hắn bắt đầu van xin, khẳng định sẽ từ bỏ công việc này hoàn toàn và tuyệt vọng xin một cơ hội nữa,” RailfanHS viết. “Dĩ nhiên, có thể hắn sẽ lại đi lừa ai đó ngay giờ sau, nhưng cảm giác lấy lại của kẻ trộm thật sự rất ‘phê’.”

Reddit xác minh phương pháp

Dù những câu chuyện công lý Internet thường bị nghi ngờ, nền tảng kỹ thuật của màn trả đũa này đã được xác nhận bởi những người dùng khác trong chủ đề. Một người dùng với biệt danh u/BumbleB3333 báo cáo đã tái tạo thành công “trang HTML giả” bằng ChatGPT. Họ lưu ý rằng dù AI có rào chắn ngăn tạo mã độc để giám sát ngầm, nó vẫn dễ dàng tạo ra mã cho các trang trông hợp pháp và yêu cầu quyền truy cập người dùng—đúng như cách kẻ lừa đảo bị mắc bẫy.

“Tôi đã tạo được một trang HTML giả với ChatGPT. Nó có thể thu thập vị trí địa lý khi tải ảnh lên sau khi xin quyền truy cập,” u/BumbleB3333 bình luận, xác nhận tính khả thi của chiêu hack này. Một người dùng khác, u/STOP_DOWNVOTING, cho biết đã tạo ra “phiên bản đạo đức” của mã và có thể chỉnh sửa để hoạt động tương tự.

Tác giả bài viết gốc, tự nhận là quản lý sản phẩm AI, thừa nhận đã phải dùng các prompt đặc biệt để vượt qua một số rào chắn của ChatGPT. “Tôi khá quen với việc lách các rào chắn này bằng prompt phù hợp,” anh cho biết, đồng thời nói rằng đã lưu trữ script trên máy chủ riêng ảo.

Các chuyên gia an ninh mạng cảnh báo rằng các hành động “hack ngược” như vậy dù thỏa mãn nhưng nằm trong vùng xám pháp lý và tiềm ẩn rủi ro. Tuy vậy, khó mà cưỡng lại được—và cũng rất thú vị khi chứng kiến.