Chiêu trò lừa đảo đầu tư có tên gọi Nomani đã tăng 62%, theo dữ liệu từ ESET, khi các chiến dịch phát tán mối đe dọa này cũng đã mở rộng ra ngoài Facebook để bao gồm các nền tảng mạng xã hội khác, như YouTube.
Công ty an ninh mạng Slovakia cho biết họ đã chặn hơn 64.000 URL duy nhất liên quan đến mối đe dọa này trong năm nay. Phần lớn các phát hiện có nguồn gốc từ Cộng hòa Séc, Nhật Bản, Slovakia, Tây Ban Nha và Ba Lan.
Nomani lần đầu tiên được ESET ghi nhận vào tháng 12 năm 2024, khi nó lợi dụng quảng cáo độc hại trên mạng xã hội (social media malvertising), các bài đăng thương hiệu của công ty và video chứng thực được hỗ trợ bởi trí tuệ nhân tạo (AI) để lừa người dùng đầu tư tiền của họ vào các sản phẩm đầu tư không có thật, hứa hẹn lợi nhuận đáng kể.
Khi nạn nhân yêu cầu thanh toán lợi nhuận đã hứa, họ được yêu cầu trả thêm phí hoặc cung cấp thông tin cá nhân bổ sung, chẳng hạn như thông tin ID và thẻ tín dụng. Như điển hình của các vụ lừa đảo đầu tư kiểu này, mục tiêu cuối cùng là gây thiệt hại tài chính.
Không dừng lại ở đó, những kẻ lừa đảo còn cố gắng lừa gạt nạn nhân thêm lần nữa bằng cách sử dụng các chiêu trò liên quan đến Europol và INTERPOL trên mạng xã hội, hứa hẹn hỗ trợ lấy lại tiền đã mất — chỉ để nạn nhân mất thêm tiền trong quá trình này.
ESET cho biết chiêu trò lừa đảo này kể từ đó đã nhận được một số nâng cấp đáng chú ý, bao gồm việc làm cho các video do AI tạo ra trở nên thực tế hơn nhằm gây khó khăn hơn cho các mục tiêu tiềm năng trong việc phát hiện sự lừa dối.
"Các deepfake của những nhân vật nổi tiếng, được sử dụng làm mồi nhử ban đầu cho các biểu mẫu hoặc trang web phishing, giờ đây có độ phân giải cao hơn, đã giảm đáng kể các chuyển động và hơi thở không tự nhiên, đồng thời cũng cải thiện khả năng đồng bộ hóa âm thanh/hình ảnh (A/V sync) của chúng," công ty lưu ý.
Nội dung giả mạo thường được phát hiện lợi dụng các sự kiện hoặc nhân vật thời sự đang được công chúng quan tâm rộng rãi để tăng thêm độ tin cậy cho kế hoạch. Trong một trường hợp được quan sát ở Cộng hòa Séc, một bài báo giả mạo đã tuyên bố sai rằng chính phủ đang đầu tư thông qua một trong các nền tảng tiền điện tử lừa đảo của chúng và tạo ra lợi nhuận đáng kể.
Để đảm bảo rằng các quảng cáo độc hại của chúng không bị hệ thống của nền tảng phát hiện, những kẻ tấn công (threat actors) đảm bảo rằng các chiến dịch chỉ chạy trong vài giờ. Một thay đổi quan trọng khác liên quan đến việc chuyển hướng người dùng đến các trang che dấu (cloaking pages) lành tính thay vì các biểu mẫu phishing bên ngoài trong trường hợp họ không đáp ứng tiêu chí nhắm mục tiêu.
"Để giảm thiểu dấu vết (footprint) của chúng, những kẻ tấn công ngày càng lạm dụng các công cụ hợp pháp do khuôn khổ quảng cáo mạng xã hội cung cấp, chẳng hạn như các biểu mẫu (forms) và khảo sát thay vì các trang web bên ngoài, để thu thập thông tin nạn nhân," ESET cho biết.
Các cải tiến cũng đã được quan sát thấy trong các mẫu được sử dụng để tạo trang phishing, với các dấu hiệu cho thấy việc sử dụng các công cụ AI để viết mã HTML. Đánh giá này dựa trên sự hiện diện của các hộp kiểm trong các bình luận mã nguồn. Hơn nữa, các kho lưu trữ GitHub chứa các mẫu như vậy cho các vụ lừa đảo đầu tư đã đến từ người dùng Nga và/hoặc Ukraine.
Bất chấp những thay đổi này, số lượng phát hiện Nomani trong nửa cuối năm 2025 đã giảm, một dấu hiệu cho thấy những kẻ tấn công (attackers) có khả năng đang buộc phải cải tiến chiến thuật của mình khi đối mặt với những nỗ lực tăng cường của cơ quan thực thi pháp luật nhằm chống lại các chiêu trò lừa đảo như vậy.
"Về mặt tích cực, mặc dù tổng số phát hiện đã tăng so với năm 2024, nhưng có một dấu hiệu cải thiện, khi số lượng phát hiện trong H2 2025 đã giảm 37% so với H1 2025," ESET cho biết.
