5 hình thức lừa đảo trực tuyến đáng sợ nhất năm 2025

5 hình thức lừa đảo trực tuyến đáng sợ nhất năm 2025

Cập nhật lúc 16:39 31/12/2025
Lừa đảo trực tuyến tại Việt Nam đang diễn biến với tốc độ không phen. Trong 8 tháng năm 2025, cả nước ghi nhận hơn 1.500 vụ lừa đảo, tăng 65% so với cùng kỳ năm 2024, với thiệt hại ước tính 1.660 tỷ đồng. Năm 2024, thiệt hại từ lừa đảo trực tuyến đã lên tới 18.900 tỷ đồng, tương đương cứ 220 người dùng smartphone thì có 1 nạn nhân. Sự tinh vi của các thủ đoạn lừa đảo đã tăng vượt bậc, đặc biệt là với sự áp dụng công nghệ AI, deepfake, và các kỹ thuật social engineering tân tiến. Một số hình thức mới như SIM swapping, vishing (lừa đảo qua cuộc gọi), và QR code giả mạo đang trở thành những mối đe dọa hàng đầu

1. Lừa Đầu Tư Giả Mạo – Hình Thức Phổ Biến Nhất

Lừa đầu tư trên nền tảng giả mạo hiện chiếm tỷ lệ lớn nhất trong các vụ lừa đảo tại Việt Nam. Các đối tượng giả danh nhân viên của các sàn giao dịch ngoại hối, tiền ảo, hoặc sàn thương mại điện tử gọi điện thoại cho nạn nhân kêu gọi đầu tư với lợi nhuận cao. Họ sử dụng các trang web, nền tảng, và nhóm mạng xã hội giả mạo để thao túng nhà đầu tư, chỉnh sửa lệnh giao dịch sao cho nạn nhân dễ dàng "thắng" những khoản đầu tư nhỏ ban đầu. Khi nạn nhân đổ vào khoản tiền lớn, họ sẽ "đánh cháy" tài khoản hoặc đánh sập sàn.

Một xu hướng đáng chú ý là sàn lừa đảo ngày càng sử dụng video testimonial sinh bởi AI (Nomani scam) để tạo độ tin cậy. Deepfake video ngày càng trở nên chân thực hơn, với độ phân giải cao, chuyển động tự nhiên hơn, và đồng bộ hóa audio/video tốt hơn. Các cuộc gọi video giả mạo từ các ngôn lĩnh công chúng nổi tiếng cũng được sử dụng để lôi kéo nạn nhân vào các liên kết phishing hoặc trang web lừa đảo.

2. Giả Mạo Danh Tính Cơ Quan Chức Năng – Kỹ Thuật Social Engineering Tinh Vi

Các đối tượng lừa đảo giả danh cán bộ Công an, Viện Kiểm sát, Tòa án, ngân hàng, hoặc các cơ quan thuế và hải quan gọi điện đe dọa nạn nhân liên quan đến các vụ đang điều tra như rửa tiền, buôn bán chất ma túy. Họ yêu cầu nạn nhân chứng minh sự trong sạch bằng cách chuyển tiền vào tài khoản chỉ định hoặc tải ứng dụng giả mạo để chiếm quyền điều khiển thiết bị, từ đó lấy thông tin đăng nhập tài khoản ngân hàng, mã OTP.

Một đặc điểm đáng lưu ý của hình thức này là các đối tượng đã thu thập thông tin cá nhân chi tiết từ trước và đưa ra trong cuộc gọi để tạo niềm tin. Họ thậm chí dựng phòng làm việc giống cơ quan công an, treo quốc kỳ, quốc huy, mặc quân phục, thậm chí còng tay để tạo lòng tin. Với "hậu kỳ" chỉn chu, chúng gọi video nhằm thao túng tâm lý, khiến nạn nhân hoảng sợ, tự cung cấp thông tin cá nhân, tài khoản ngân hàng, mạng xã hội.

3. Lừa Đảo Thu Hồi Vốn Treo – "Lừa Lợi Dụng Lòng Tham"

Tự xưng là cán bộ thuộc lực lượng công an, hội luật sư, các đối tượng quảng cáo dịch vụ "thu hồi vốn treo" – tức giúp lấy lại tiền của người dân bị lừa qua mạng trước đó. Họ tạo video, hình ảnh, trang web, ứng dụng và tài liệu giả để lấy lòng tin, sau đó đưa ra nhiều lý do để người dân chuyển khoản với số tiền lớn. Điều đáng chú ý là một số người bị lừa lần sau còn mất số tiền cao hơn lần đầu.

4. Lừa Đảo Tình Cảm – Trục Lợi Tài Chính

Lừa đảo tình cảm tiếp tục là một trong những hình thức gây thiệt hại lớn nhất. Các scammer giả danh các cá nhân có ngoại hình đẹp, tạo dựng lòng tin thông qua tin nhắn trên mạng xã hội, ứng dụng OTT, sau đó lấy lý do để không gặp mặt trực tiếp. Họ lừa nạn nhân tham gia vào ứng dụng, trang web cờ bạc hoặc đầu tư giả mạo. Theo thống kê quốc tế, lừa đảo tình cảm đã gây ra thiệt hại 1.14 tỷ đô la USD năm 2024, với tổn thất trung bình trên nạn nhân là 2.000 USD.

Một biến thể nguy hiểm hơn là "pig butchering scam" (lừa béo), nơi scammer dành thời gian dài (tuần hoặc tháng) để xây dựng mối quan hệ lãng mạn, sau đó dần dần dẫn nạn nhân vào các sơ đồ đầu tư giả mạo với lợi nhuận hứa hẹn cao.

5. Lừa Đảo Thanh Toán Dịch Vụ – Lợi Dụng Tính Cấp Bách

Các đối tượng mạo danh công ty điện lực, công ty cấp nước, nhà cung cấp viễn thông gọi điện, nhắn tin yêu cầu thanh toán tiền dịch vụ định kỳ, hoặc cập nhật thông tin. Chúng đe dọa sẽ ngừng cung cấp dịch vụ nếu không làm theo yêu cầu, sau đó yêu cầu nạn nhân cài ứng dụng giả mạo, từ đó đánh cắp thông tin cá nhân, tài khoản ngân hàng để chiếm đoạt tài sản. Các lệnh cấp, thông báo khiếp sợ như "tài khoản bị khóa trong 24h", "phát hiện giao dịch bất thường" cũng được sử dụng để tạo tâm lý cấp bách.

Dấu Hiệu Nhận Biết Lừa Đảo

Mặc dù các hình thức lừa đảo ngày càng tinh vi, vẫn có một số dấu hiệu cảnh báo:

  1. Yêu cầu thông tin nhạy cảm: Các cơ quan chính thức không bao giờ gọi điện để yêu cầu mật khẩu, mã OTP, hoặc số CCCD
  2. Đường dẫn và domain lạ: Kiểm tra URL cẩn thận, chú ý đến typo hoặc domain không chính thức
  3. Tình thế cấp bách: Các thông báo yêu cầu hành động ngay lập tức hoặc đe dọa ngừng dịch vụ
  4. Lời hứa lợi nhuận cao: "Lợi nhuận 100%/tháng", "lấy lại tiền nhanh chóng", "sơ hở đặc biệt"
  5. Ứng dụng yêu cầu quyền truy cập quá mức: Các app hợp pháp không cần quyền truy cập danh bạ, tin nhắn nếu không cần thiết
  6. Video/cuộc gọi không tự nhiên: Deepfake thường có dấu hiệu như chuyển động không mượt, giọng nói bất thường, không đồng bộ với môi

Khuyến Cáo Phòng Chống

  • Bật xác thực 2 lớp (2FA): Sử dụng ứng dụng authenticator (Google Authenticator, Authy) thay vì SMS khi có thể
  • Không chia sẻ thông tin cá nhân: Hạn chế công khai thông tin trên mạng xã hội
  • Xác minh trực tiếp: Nếu nghi ngờ, hãy gọi số điện thoại chính thức của tổ chức (từ website chính thức)
  • Cập nhật phần mềm: Bảo đảm OS, ứng dụng ngân hàng, antivirus luôn cập nhật
  • Tải app từ nguồn chính thức: Chỉ tải app từ Google Play Store hoặc Apple App Store
  • Báo cáo ngay: Nếu bị lừa, báo cáo ngay với ngân hàng, nền tảng, và cơ quan chức năng

Xu Hướng Công Nghệ Cao – AI và Deepfake

Xu hướng thiệt hại từ lừa đảo trực tuyến tại Việt Nam (2020-2025)
Xu hướng thiệt hại từ lừa đảo trực tuyến tại Việt Nam (2020-2025)

Phishing Sinh Bởi AI – Mối Đe Dọa Hàng Đầu 2025

Phishing sinh bởi AI đã trở thành mối đe dọa email hàng đầu năm 2025. Công nghệ AI cho phép các scammer:

  • Tạo nội dung cá nhân hóa quy mô lớn: AI phân tích dữ liệu từ Facebook, LinkedIn, Google Maps để tạo ra các tin nhắn, email có chứa chi tiết cá nhân cực kỳ chính xác về nạn nhân, gia đình, công ty. Một thử nghiệm cho thấy AI chỉ cần 5 câu lệnh và 5 phút để tạo ra một chiến dịch phishing hiệu quả bằng 16 giờ công của chuyên gia tấn công.
  • Bypass bộ lọc bảo mật: Các scammer lợi dụng các dịch vụ hợp pháp như Google Translate, Telegram, các form của Facebook để phân phối nội dung phishing, tránh bị phát hiện.
  • Tạo trang web clone gần như hoàn hảo: AI-powered website builders có thể tự động sao chép thiết kế của trang web hợp pháp, tạo giao diện phản hồi, và form đăng nhập. Một số trang clone gần như không thể phân biệt với trang gốc.

Thống kê cho thấy phishing email tăng 1.265% kể từ khi công nghệ generative AI trở nên phổ biến rộng rãi.

Deepfake Cuộc Gọi Video và Voice – Tấn Công Lừa Đảo Mới

Lừa đảo cuộc gọi video Deepfake, Deepvoice sử dụng công nghệ AI để tạo ra các đoạn video hoặc cuộc gọi thoại với hình ảnh khuôn mặt và giọng nói giống hệt như người dùng muốn giả mạo. Kẻ lừa đảo có thể thực hiện cuộc gọi thoại, thậm chí cả video call với giọng nói, hình ảnh của người thân, người quen, sếp, khiến người nhận rất khó phân biệt thật giả.

Một trường hợp nổi bật từ 2024: một công ty tài chính đã bị lừa chuyển 25 triệu USD sau khi nhân viên tài chính nhận cuộc gọi video từ CEO giả mạo (deepfake). Vishing (voice phishing) tăng 442% trong nửa cuối năm 2024.

Các Phương Thức Kỹ Thuật Cao Khác

SIM Swapping – Bypass SMS 2FA

SIM swapping (SIM hijacking) xảy ra khi kẻ gian chuyển số điện thoại của nạn nhân sang SIM card do họ kiểm soát. Tấn công được thực hiện từ xa, thường rất có mục tiêu cao, và trong một số trường hợp các hacker thậm chí còn hối lộ nhân viên nhà cung cấp dịch vụ di động để thực hiện.

Khi thành công, kẻ gian có quyền truy cập vào số điện thoại của nạn nhân, có nghĩa là họ nhận được mã 2FA và có thể truy cập các tài khoản được bảo mật bằng SMS 2FA. Tùy thuộc vào tốc độ mà kẻ tấn công hành động, nạn nhân có thể mất quyền truy cập vào tài khoản ngân hàng, tài khoản mạng xã hội, thậm chí email.

Smishing (SMS Phishing) – Vượt Qua Email Phishing

Smishing sử dụng SMS hoặc tin nhắn văn bản làm kênh phân phối. Các scammer gửi tin nhắn giả mạo từ ngân hàng, dịch vụ giao hàng, hoặc cơ quan chính phủ, thường chứa liên kết đến trang web độc hại hoặc yêu cầu nhập thông tin nhạy cảm. Vì mọi người thường tin tưởng tin nhắn văn bản hơn và hành động nhanh chóng trên chúng, smishing là một cách hiệu quả để tiếp cận người dùng di động.

Thống kê cho thấy smishing đã vượt qua email phishing trở thành phương thức phân phối liên kết độc hại hàng đầu, với khoảng 40% các chiến dịch phishing hiện mở rộng sang các nền tảng khác như Slack, Microsoft Teams, và mạng xã hội. Mỗi ngày, có hơn 3.5 tỷ tin nhắn rác được gửi tới người dùng di động.

QR Code Giả Mạo – "Quishing"

QR code giả mạo được sử dụng để lừa người dùng quét code lừa dỗ để thanh toán thay vì nhận tiền. Khi nạn nhân quét code, thay vì nhận tiền, ứng dụng thanh toán của họ sẽ mở một yêu cầu thanh toán (không phải yêu cầu thu tiền). Nhiều nạn nhân không nhận ra sự khác biệt này vì họ đang mong đợi nhận tiền, nên họ ủy quyền giao dịch, thực hiện gửi tiền của họ cho scammer.

Các ví dụ thực tế bao gồm một giáo sư tại Ấn Độ mất 63.000 rupee khi quét QR code giả từ người mua xe máy của anh ấy, và một người khác mất 1.9 lakh rupee sau khi quét nhiều QR code từ người mua hàng.

Banking Malware – Mobile Trojans Tăng Vọt

Số lượng người dùng gặp Trojan banking di động tăng 3.6 lần so với 2023, từ 69.200 người lên 247.949 người. Trojan-Banker gia đình Mamont là gia đình hoạt động nhất năm 2024 chiếm 36.7%, với các sơ đồ phân phối từ những scam đơn giản đến các âm mưu social engineering phức tạp liên quan đến các cửa hàng giả và ứng dụng theo dõi giao hàng.

Malware như RedHook (phát hiện 2025) nhắm vào người dùng Việt Nam, kết hợp phishing, keylogging, screen capture, và Remote Access Trojan (RAT) để cấp cho kẻ tấn công kiểm soát từ xa hoàn toàn. Fake banking apps, Trojan-Banker gọi các quyền trợ năng để có quyền truy cập admin, chiếm quyền kiểm soát điện thoại từ xa.

Fake Apps – VNeID và App Giả Mạo Chính Phủ

Các ứng dụng giả mạo được thiết kế để đánh cắp thông tin cá nhân, tiền của người dùng. Chúng thường được thiết kế giống các dịch vụ chính thống để lấy thông tin đăng nhập, mã OTP. Một hình thức phổ biến tại Việt Nam là app VNeID giả mạo có chứa mã độc.

Khi người dùng tải và đăng nhập, ứng dụng sẽ yêu cầu các quyền truy cập quan trọng trong thiết bị, từ đó lấy cắp thông tin cá nhân và thông tin thanh toán. Sau khi cài đặt, các đối tượng đã chiếm quyền điều khiển thiết bị, tiếp tục dẫn dụ người dân làm theo hướng dẫn để tìm cách lấy mã OTP tài khoản ngân hàng hoặc lấy dữ liệu sinh trắc học, từ đó chiếm đoạt tiền trong tài khoản.

Lừa đảo trực tuyến tại Việt Nam đang diễn biến với tốc độ và mức độ tinh vi chưa từng có. Việc áp dụng công nghệ AI, deepfake, và các kỹ thuật social engineering tân tiến đã làm cho việc phát hiện lừa đảo trở nên khó khăn hơn bao giờ hết. Tuy nhiên, với sự kết hợp giữa nhận thức cộng đồng, các biện pháp bảo mật mạnh mẽ, và sự giám sát của cơ quan chức năng, có thể giảm thiểu rủi ro. Cộng đồng cần tiếp tục nâng cao kiến thức an ninh mạng, đặc biệt là nhóm người cao tuổi và những người ít am hiểu công nghệ.

timeExc: 230ms, state: HIT, #1767176590719
    vnDev Co., Ltd.
  • Make with ❤️ in Vietnam
  • © Since 2008 - A member of vnDev Co., Ltd.