Code Nguyen
Writer
Một công ty kỹ thuật ở Anh, Arup, từng trở thành nạn nhân của một vụ lừa đảo deepfake khiến họ mất 25 triệu đô la. Thủ phạm đã sử dụng công nghệ deepfake mô phỏng giọng nói và hình ảnh của CEO, thực hiện một cuộc gọi video và yêu cầu nhân viên chuyển tiền khẩn cấp. Cái bẫy ảo nhưng thiệt hại lại rất thật.
Trong năm 2023, các vụ lừa đảo dùng deepfake tăng tới 3.000%. Những công nghệ từng được xem là tuyến phòng thủ vàng như xác thực khuôn mặt, giọng nói hay mã OTP dần mất tác dụng. Deepfake giờ không còn là trò đùa mạng xã hội mà đã trở thành một "vũ khí sinh học" trong chiến tranh thông tin số.
Trước làn sóng deepfake, các hệ thống xác thực không thể đứng yên. Chúng buộc phải tiến hóa. Một mặt, chúng học từ các mẫu deepfake cũ, cập nhật liên tục như một hệ miễn dịch. Mặt khác, các hệ thống mới như MojoAuth không đi theo hướng "bịt lỗ thủng" mà định vị lại luôn cả nền móng bảo mật.
Khóa mã hóa này không phụ thuộc vào sinh trắc học hay dữ liệu có thể bị đánh cắp. Khi xác thực, không cần gửi giọng nói hay gương mặt đi đâu, chỉ là các tín hiệu mã hóa nội bộ được xác minh. Không có gì để giả, không có gì để phát lại.
MojoAuth theo dõi chính thiết bị của người dùng: từ phản ứng, vị trí, đến hành vi sử dụng. Nếu có camera ảo, phần mềm lạ hay cách thao tác bất thường – hệ thống sẽ tự động kích hoạt kiểm tra bổ sung. Deepfake thường cần phần mềm can thiệp để hoạt động, và điều đó để lại "vết chân" kỹ thuật có thể phát hiện.
MojoAuth không kỳ vọng mọi thứ phải hoàn hảo từ đầu. Họ khuyến nghị doanh nghiệp dùng chiến lược phòng thủ nhiều lớp: vừa dùng phương pháp cũ, vừa tích hợp lớp mới. Khi deepfake vượt qua một lớp, hệ thống vẫn còn các lớp khác tự động bật lên bảo vệ.
Hệ thống còn hỗ trợ kiểm tra và mô phỏng tấn công để kiểm nghiệm thực tế, đào tạo nhân viên phát hiện dấu hiệu lạ. Tuy không thể trông cậy vào giác quan con người 100%, nhưng giáo dục nhận thức là phần không thể thiếu trong chuỗi phòng thủ.
Các tiêu chuẩn mới cũng đang bắt đầu ưu tiên khả năng phát hiện deepfake và tuân thủ quy định về nội dung tổng hợp AI. MojoAuth đã đón đầu điều này với nền tảng linh hoạt, dễ tích hợp, không cần thay toàn bộ hệ thống cũ.
Sự trỗi dậy của deepfake buộc ta phải đặt lại toàn bộ niềm tin vào danh tính kỹ thuật số. Xác thực bằng khuôn mặt, giọng nói hay mật khẩu đều có thể bị làm giả. Chỉ có những phương pháp dựa trên chứng cứ mã hóa, không thể giả mạo, mới tồn tại lâu dài.
Tương lai xác thực không còn thuộc về những gì ta nhìn thấy hay nghe thấy. Nó thuộc về những gì có thể xác minh bằng toán học, mã hóa và hành vi người dùng thực sự.
Sự gia tăng 3.000% trong các cuộc tấn công deepfake không chỉ là một số liệu thống kê về an ninh mạng mà còn đánh dấu sự khởi đầu của một kỷ nguyên mới, nơi các phương pháp tiếp cận truyền thống đối với xác minh danh tính kỹ thuật số phải được xem xét lại một cách cơ bản. Các tổ chức nhận ra sự thay đổi này và chủ động ứng phó sẽ thấy mình có những lợi thế đáng kể về bảo mật, tuân thủ và định vị cạnh tranh.
Thất bại của xác thực đa yếu tố truyền thống trước các cuộc tấn công deepfake tinh vi không chỉ là vấn đề kỹ thuật cần giải quyết mà còn là cơ hội chiến lược để các tổ chức triển khai các hệ thống xác thực mạnh mẽ hơn, thân thiện với người dùng và có khả năng chống lại tương lai. Các phương pháp xác thực không cần mật khẩu như phương pháp do MojoAuth cung cấp không chỉ bảo vệ chống lại các mối đe dọa deepfake hiện tại mà còn là nền tảng để thích ứng với bất kỳ kỹ thuật tấn công tổng hợp nào xuất hiện trong tương lai.
Sự hội tụ của các cuộc tấn công và phòng thủ do AI hỗ trợ đang tạo ra một bối cảnh mới, nơi thành công đòi hỏi cả sự tinh vi về công nghệ và tư duy chiến lược. Các tổ chức coi bảo mật xác thực là một năng lực kinh doanh quan trọng thay vì chỉ là một yêu cầu kỹ thuật sẽ có vị thế tốt nhất để phát triển trong môi trường đang thay đổi này.
Cuộc cách mạng deepfake đã ở đây, và tác động của nó đối với bảo mật xác thực sẽ chỉ tăng tốc trong những năm tới. Câu hỏi mà các tổ chức phải đối mặt ngày nay không phải là liệu họ có cần giải quyết những thách thức này hay không, mà là họ có thể triển khai các giải pháp cung cấp cả khả năng bảo vệ tức thời và khả năng thích ứng lâu dài nhanh như thế nào. Tương lai thuộc về những người sẵn sàng tin tưởng không chỉ những gì họ nhìn thấy và nghe thấy, mà còn những gì họ có thể xác minh bằng mật mã.
securityboulevard
Nguồn bài viết: https://securityboulevard.com/2025/...-attacks-are-changing-authentication-forever/
Trong năm 2023, các vụ lừa đảo dùng deepfake tăng tới 3.000%. Những công nghệ từng được xem là tuyến phòng thủ vàng như xác thực khuôn mặt, giọng nói hay mã OTP dần mất tác dụng. Deepfake giờ không còn là trò đùa mạng xã hội mà đã trở thành một "vũ khí sinh học" trong chiến tranh thông tin số.
Trước làn sóng deepfake, các hệ thống xác thực không thể đứng yên. Chúng buộc phải tiến hóa. Một mặt, chúng học từ các mẫu deepfake cũ, cập nhật liên tục như một hệ miễn dịch. Mặt khác, các hệ thống mới như MojoAuth không đi theo hướng "bịt lỗ thủng" mà định vị lại luôn cả nền móng bảo mật.
MojoAuth và tư duy xác thực không cần mật khẩu: Cắt gốc mọi lỗ hổng deepfake
Thay vì dùng khuôn mặt, giọng nói hay mật khẩu (những thứ deepfake có thể giả), MojoAuth chọn xác thực bằng mối quan hệ mật mã giữa người dùng, thiết bị và dịch vụ. Tức là không phải "bạn là ai", mà là "bạn đang cầm đúng thiết bị chứa khóa mã hóa đúng", thứ không thể làm giả nếu không chiếm quyền thiết bị.
MojoAuth theo dõi chính thiết bị của người dùng: từ phản ứng, vị trí, đến hành vi sử dụng. Nếu có camera ảo, phần mềm lạ hay cách thao tác bất thường – hệ thống sẽ tự động kích hoạt kiểm tra bổ sung. Deepfake thường cần phần mềm can thiệp để hoạt động, và điều đó để lại "vết chân" kỹ thuật có thể phát hiện.
Mật khẩu mới trong kỷ nguyên AI và Xây hệ thống phòng thủ đa lớp
Không dừng ở thiết bị, hệ thống còn học cách người dùng thật sự thao tác: họ di chuyển thế nào, phản hồi nhanh hay chậm, thao tác trong ứng dụng ra sao. Những hành vi này deepfake chưa mô phỏng nổi. Trong tương lai, hành vi có thể sẽ là yếu tố xác thực chính.MojoAuth không kỳ vọng mọi thứ phải hoàn hảo từ đầu. Họ khuyến nghị doanh nghiệp dùng chiến lược phòng thủ nhiều lớp: vừa dùng phương pháp cũ, vừa tích hợp lớp mới. Khi deepfake vượt qua một lớp, hệ thống vẫn còn các lớp khác tự động bật lên bảo vệ.
Hệ thống còn hỗ trợ kiểm tra và mô phỏng tấn công để kiểm nghiệm thực tế, đào tạo nhân viên phát hiện dấu hiệu lạ. Tuy không thể trông cậy vào giác quan con người 100%, nhưng giáo dục nhận thức là phần không thể thiếu trong chuỗi phòng thủ.
Xác thực không mật khẩu: Khả năng mở rộng và tiết kiệm tài nguyên
Hệ thống sinh trắc học truyền thống cần phần cứng mạnh, thời gian phân tích lâu. Ngược lại, hệ thống không mật khẩu hoạt động nhanh, nhẹ, có thể mở rộng dễ dàng cho hàng triệu người mà không làm nghẽn hiệu suất.Các tiêu chuẩn mới cũng đang bắt đầu ưu tiên khả năng phát hiện deepfake và tuân thủ quy định về nội dung tổng hợp AI. MojoAuth đã đón đầu điều này với nền tảng linh hoạt, dễ tích hợp, không cần thay toàn bộ hệ thống cũ.
Sự trỗi dậy của deepfake buộc ta phải đặt lại toàn bộ niềm tin vào danh tính kỹ thuật số. Xác thực bằng khuôn mặt, giọng nói hay mật khẩu đều có thể bị làm giả. Chỉ có những phương pháp dựa trên chứng cứ mã hóa, không thể giả mạo, mới tồn tại lâu dài.
Tương lai xác thực không còn thuộc về những gì ta nhìn thấy hay nghe thấy. Nó thuộc về những gì có thể xác minh bằng toán học, mã hóa và hành vi người dùng thực sự.
Sự gia tăng 3.000% trong các cuộc tấn công deepfake không chỉ là một số liệu thống kê về an ninh mạng mà còn đánh dấu sự khởi đầu của một kỷ nguyên mới, nơi các phương pháp tiếp cận truyền thống đối với xác minh danh tính kỹ thuật số phải được xem xét lại một cách cơ bản. Các tổ chức nhận ra sự thay đổi này và chủ động ứng phó sẽ thấy mình có những lợi thế đáng kể về bảo mật, tuân thủ và định vị cạnh tranh.
Thất bại của xác thực đa yếu tố truyền thống trước các cuộc tấn công deepfake tinh vi không chỉ là vấn đề kỹ thuật cần giải quyết mà còn là cơ hội chiến lược để các tổ chức triển khai các hệ thống xác thực mạnh mẽ hơn, thân thiện với người dùng và có khả năng chống lại tương lai. Các phương pháp xác thực không cần mật khẩu như phương pháp do MojoAuth cung cấp không chỉ bảo vệ chống lại các mối đe dọa deepfake hiện tại mà còn là nền tảng để thích ứng với bất kỳ kỹ thuật tấn công tổng hợp nào xuất hiện trong tương lai.
Sự hội tụ của các cuộc tấn công và phòng thủ do AI hỗ trợ đang tạo ra một bối cảnh mới, nơi thành công đòi hỏi cả sự tinh vi về công nghệ và tư duy chiến lược. Các tổ chức coi bảo mật xác thực là một năng lực kinh doanh quan trọng thay vì chỉ là một yêu cầu kỹ thuật sẽ có vị thế tốt nhất để phát triển trong môi trường đang thay đổi này.
Cuộc cách mạng deepfake đã ở đây, và tác động của nó đối với bảo mật xác thực sẽ chỉ tăng tốc trong những năm tới. Câu hỏi mà các tổ chức phải đối mặt ngày nay không phải là liệu họ có cần giải quyết những thách thức này hay không, mà là họ có thể triển khai các giải pháp cung cấp cả khả năng bảo vệ tức thời và khả năng thích ứng lâu dài nhanh như thế nào. Tương lai thuộc về những người sẵn sàng tin tưởng không chỉ những gì họ nhìn thấy và nghe thấy, mà còn những gì họ có thể xác minh bằng mật mã.
securityboulevard
Được phối hợp thực hiện bởi các chuyên gia của Bkav,
cộng đồng An ninh mạng Việt Nam WhiteHat
và cộng đồng Khoa học công nghệ VnReview
