Google kiện mạng lưới Smishing Trung Quốc vì sử dụng Gemini AI để tấn công Phishing

Google vừa đệ đơn kiện một mạng lưới tội phạm mạng Trung Quốc sử dụng AI Gemini để thực hiện các chiến dịch Smishing (Phishing qua tin nhắn) quy mô lớn nhắm vào người Mỹ. Mạng lưới này vận hành bộ công cụ Phishing-as-a-Service mang tên Outsider, cho phép kẻ xấu tạo các trang web giả mạo và đánh cắp thông tin tài chính của hơn 100.000 nạn nhân.
Google kiện mạng lưới Smishing sử dụng Gemini AI

Google vào thứ Sáu cho biết họ đang tiến hành các hành động pháp lý chống lại một mạng lưới tội phạm mạng Trung Quốc, cáo buộc tổ chức này sử dụng tác nhân trí tuệ nhân tạo (AI) Gemini để gửi các tin nhắn văn bản Phishing nhắm vào người Mỹ.

Theo gã khổng lồ công nghệ, mạng lưới này được cho là đứng sau việc phát triển và quản lý một bộ công cụ phần mềm Phishing-as-a-Service (PhaaS) có tên là Outsider.

"Hoạt động này đã vũ khí hóa Gemini để giúp tạo ra các trang Phishing giả mạo và triển khai các cuộc tấn công SMS Phishing ('smishing') quy mô lớn, thường thông qua các tin nhắn văn bản giả mạo các thương hiệu hợp pháp, thông báo cho người nhận về 'vấn đề tài khoản môi giới' hoặc khẳng định họ đủ điều kiện nhận 'phần thưởng thông qua nhà mạng di động của họ'", Google cho biết.

"Các tin nhắn này thúc giục người dùng nhấp vào một liên kết dẫn đến một trang web lừa đảo bắt chước các tổ chức đáng tin cậy để đánh cắp thông tin cá nhân và tài chính."

Google cho biết họ đang đệ đơn kiện để triệt phá cơ sở hạ tầng của mạng lưới này và đang hợp tác với AT&T, T-Mobile và Verizon để chặn các tin nhắn như vậy tiếp cận khách hàng.

Quy mô và phương thức hoạt động của Outsider

Theo công ty, các hoạt động của Outsider được phối hợp thông qua Telegram, với mạng lưới phân phối các bộ công cụ Phishing cho phép các tác nhân đe dọa tung ra các tin nhắn văn bản giả mạo tuyên bố đến từ các thương hiệu đáng tin cậy. Các kịch bản này ước tính đã lừa đảo hơn 100.000 người, dẫn đến thiệt hại hàng triệu USD.

Ngoài ra, 9.000 trang web giả mạo và hơn 1,59 triệu URL lừa đảo liên quan đến dịch vụ Phishing này đã được xác định từ ngày 14 tháng 11 năm 2025 đến ngày 14 tháng 4 năm 2026. Trong khoảng thời gian hai tuần từ ngày 18 tháng 5 đến ngày 1 tháng 6 năm 2026, Outsider chịu trách nhiệm cho 55.000 tin nhắn rác bị người dùng Android gắn thẻ.

Trong cùng khung thời gian đó, 2,5 triệu tin nhắn đã được mạng lưới này gửi đến người dùng Android chứa các liên kết đến các trang web do Outsider tạo ra. Chỉ với 88 USD mỗi tuần, bộ công cụ này cho phép tội phạm tạo các trang web lừa đảo, phát động các chiến dịch Phishing và đánh cắp số thẻ tín dụng, thông tin đăng nhập tài khoản ngân hàng và dữ liệu cá nhân của nạn nhân. Giấy phép có thể được mua thông qua một "bot đặt hàng tự phục vụ" trên Telegram (@OutsiderCodeBot).

Dịch vụ này cũng cung cấp hơn 290 mẫu có sẵn giả mạo các trang web hợp pháp của các tổ chức đáng tin cậy, tính năng ghi nhật ký phím gõ (keystroke logging) thời gian thực và một bảng điều khiển hiệu suất để theo dõi hiệu quả của chiến dịch.

"Như thể sự đơn giản 'cắm-và-chạy' của Outsider chưa đủ đáng báo động, tổ chức này còn làm cho công cụ này trở nên mạnh mẽ hơn bằng cách cung cấp các hướng dẫn từng bước về cách Outsider có thể vũ khí hóa mã nguồn do AI tạo ra", Google nêu rõ trong đơn khiếu nại đệ trình lên tòa án liên bang Manhattan.

"Theo các hướng dẫn đó, các thành viên trong tổ chức có thể sử dụng các công cụ AI để tạo mã lập trình cho một trang web khung (shell website), sau đó sao chép và dán mã đó vào Outsider để biến khung đó thành một trang web lừa đảo có thể được sử dụng để đánh cắp thông tin cá nhân hoặc tài chính từ nạn nhân của chúng."

Google cho biết các câu lệnh (prompts) cho Gemini và các nền tảng AI khác được dàn dựng như những yêu cầu hỗ trợ lập trình vô hại, yêu cầu mô hình tạo mã HTML để thiết kế một "trang đổi quà" với các chức năng và tính năng mong muốn, đồng thời hướng dẫn nó tránh sử dụng JavaScript và sử dụng inline CSS để thực hiện. Khi trang web giả mạo trực tuyến, URL của nó sẽ được gửi đến các nạn nhân tiềm năng qua tin nhắn văn bản.

Cấu trúc của tổ chức tội phạm Outsider

Doanh nghiệp Outsider được cho là bao gồm một số nhóm liên kết với nhau, đóng các vai trò khác nhau nhưng phối hợp để thực hiện các cuộc tấn công Phishing bằng bộ công cụ này, bao gồm:

  • Nhóm Phát triển (Developer Group): Cung cấp phần mềm Phishing và các mẫu giao diện.
  • Nhóm Môi giới Dữ liệu (Data Broker Group): Cung cấp danh sách những người được chọn lọc để nhắm mục tiêu.
  • Nhóm Phát tán (Spammer Group): Cung cấp các công cụ để gửi tin nhắn văn bản lừa đảo hàng loạt.
  • Nhóm Trộm cắp (Theft Group): Giúp kiếm tiền từ thông tin bị đánh cắp (ví dụ: thẻ tín dụng và thông tin đăng nhập) và rửa tiền từ thẻ tín dụng bị đánh cắp.
  • Nhóm Telegram (Telegram Group): Tạo điều kiện cộng tác giữa các thành viên và tuyển dụng thành viên mới.

Lợi thế của các dịch vụ như vậy, tương tự trường hợp của Sniper Dz vừa bị triệt phá gần đây, là chúng làm giảm đáng kể rào cản gia nhập đối với những kẻ lừa đảo mới vào nghề thiếu kiến thức lập trình, những kẻ có thể tận dụng chúng để tổ chức các cuộc tấn công Phishing thuyết phục với nỗ lực tối thiểu và trên quy mô lớn.

"Những kẻ tội phạm đằng sau Outsider Enterprise đã xây dựng một doanh nghiệp dựa trên việc mạo danh các thương hiệu đáng tin cậy để lừa đảo hàng trăm nghìn nạn nhân," Brett Leatherman, phó giám đốc Ban Cyber của Cục Điều tra Liên bang Mỹ (FBI) cho biết. "Tội phạm ngày càng sử dụng AI để làm cho các vụ lừa đảo như thế này trở nên thuyết phục hơn và khó phát hiện hơn."

Diễn biến này xảy ra đúng bảy tháng sau khi Google đệ đơn kiện một nhóm hacker khác có trụ sở tại Trung Quốc đứng sau nền tảng Phishing-as-a-Service (PhaaS) khổng lồ có tên là Lighthouse, vốn đã lừa đảo hơn 1 triệu người dùng trên 120 quốc gia.