Ứng Viên Deepfake: Cách Kẻ Lừa Đảo Xâm Nhập Vào Công Ty
Ứng viên deepfake sử dụng AI để vượt qua phỏng vấn video và xâm nhập vào công ty. Tìm hiểu cách lừa đảo phỏng vấn việc làm deepfake hoạt động và cách bảo vệ quy trình tuyển dụng năm 2026.
· Truvizy Research Team · 8 min read
TL;DR
Tội phạm đang sử dụng công nghệ deepfake và danh tính bị đánh cắp để vượt qua các buổi phỏng vấn xin việc từ xa, được tuyển dụng vào các công ty hợp pháp, và sau đó đánh cắp dữ liệu, cài đặt phần mềm độc hại hoặc chuyển tiền lương ra nước ngoài. FBI đã đưa ra cảnh báo từ năm 2022, và mối đe dọa này đã gia tăng với các công cụ AI dễ tiếp cận hơn vào năm 2026. Việc xác minh ứng viên thông qua kiểm tra lý lịch trực tiếp và phỏng vấn phụ trực tiếp hiện là điều cần thiết.
Đội ngũ nhân sự của bạn vừa hoàn thành một buổi phỏng vấn Zoom đầy hứa hẹn cho vị trí kỹ sư phần mềm cấp cao. Ứng viên nói năng lưu loát, có chuyên môn kỹ thuật sắc bén và hồ sơ hoàn hảo. Bạn đưa ra lời mời làm việc. Ba tuần sau khi nhận việc, đội ngũ an ninh của bạn phát hiện hoạt động rò rỉ dữ liệu bất thường từ tài khoản của họ. Một cuộc kiểm toán pháp y tiết lộ rằng "nhân viên" này không phải là người mà họ tự nhận, họ đã sử dụng lớp phủ khuôn mặt do AI tạo ra trong mọi cuộc gọi video, một danh tính bị đánh cắp và tài liệu giả mạo để được tuyển dụng. Mã nguồn, dữ liệu khách hàng và hệ thống nội bộ của công ty bạn đã bị âm thầm cướp phá. Đây là chiêu trò lừa đảo ứng viên deepfake, và nó đang xảy ra ngay bây giờ với các công ty thuộc mọi ngành nghề.
Lừa đảo ứng viên deepfake là gì?
Chiêu trò lừa đảo ứng viên deepfake là một hình thức gian lận tuyển dụng dựa trên danh tính, trong đó tội phạm sử dụng các công cụ hoán đổi khuôn mặt AI theo thời gian thực để mạo danh một người hợp pháp, hoặc một danh tính hoàn toàn bịa đặt, trong các cuộc phỏng vấn xin việc qua video từ xa. FBI đã ban hành cảnh báo chính thức đầu tiên về mối đe dọa này vào tháng 6 năm 2022, cảnh báo các nhà tuyển dụng rằng số lượng báo cáo về ứng viên deepfake nộp đơn vào các vị trí công nghệ từ xa đã tăng lên đáng kể. Đến năm 2025, chiến thuật này đã trở thành một phương pháp lừa đảo phổ biến, chứ không còn là một sự tò mò ngách nữa.
Những kẻ lừa đảo này không chỉ muốn tiền lương. Nhiều kẻ là thành viên của các mạng lưới tội phạm có tổ chức, bao gồm, theo Bộ Tư pháp Hoa Kỳ, các nhân viên IT do nhà nước Triều Tiên bảo trợ, những kẻ xâm nhập vào các công ty Mỹ để tạo ra ngoại tệ mạnh cho các chương trình vũ khí và tiến hành hoạt động gián điệp. Những kẻ khác là tội phạm có động cơ tài chính, kiếm tiền từ thông tin đăng nhập, dữ liệu và quyền truy cập hệ thống bị đánh cắp trên các thị trường dark web.
Vụ lừa đảo này trở nên khả thi nhờ ba yếu tố hội tụ: việc bình thường hóa tuyển dụng từ xa hoàn toàn mà không cần xác minh trực tiếp, sự sẵn có trên thị trường của phần mềm hoán đổi khuôn mặt theo thời gian thực với chi phí dưới 30 đô la mỗi tháng, và nguồn cung cấp danh tính cá nhân bị đánh cắp trên toàn cầu mà những kẻ lừa đảo sử dụng làm nhân vật giả mạo cơ bản.
Các vụ lừa đảo phỏng vấn xin việc bằng deepfake hoạt động như thế nào
Cuộc tấn công bắt đầu vài tuần hoặc vài tháng trước bất kỳ cuộc phỏng vấn nào. Kẻ lừa đảo có được một danh tính bị đánh cắp, tên, lịch sử sơ yếu lý lịch, bằng cấp giáo dục của một người thật, và đôi khi cả hồ sơ LinkedIn của họ, mà chúng sao chép hoặc mạo danh. Chúng có thể trả tiền cho các dịch vụ viết sơ yếu lý lịch chuyên nghiệp và lấp đầy các khoảng trống bằng các tài liệu tham khảo bịa đặt được hỗ trợ bởi số điện thoại và địa chỉ email dùng một lần.
Khi cuộc phỏng vấn video được lên lịch, kẻ lừa đảo tải một công cụ thay thế khuôn mặt theo thời gian thực, phần mềm thay thế nguồn cấp dữ liệu camera trực tiếp của chúng bằng một khuôn mặt tổng hợp được mô phỏng theo ảnh của danh tính bị đánh cắp. Đầu ra được đưa vào nền tảng hội nghị truyền hình dưới dạng một camera ảo. Trong cuộc gọi, kẻ lừa đảo có thể nói chuyện tự nhiên trong khi AI hiển thị một khuôn mặt khác gần như theo thời gian thực. Các cử động đầu, biểu cảm và cử động miệng được mô phỏng, mặc dù hiếm khi hoàn hảo.
Sau khi được tuyển dụng, tội phạm sẽ bắt đầu công việc bằng cách sử dụng VPN hoặc máy tính từ xa để che giấu vị trí địa lý thực của chúng. Chúng có thể "thuê" một nhóm nhân viên thật sự ở hậu trường để xử lý các nhiệm vụ công việc thực tế, trong khi chúng tập trung vào việc đánh cắp dữ liệu. Tiền lương thường được chuyển đến các ví tiền điện tử ở nước ngoài hoặc tài khoản trung gian rửa tiền. Toàn bộ hoạt động có thể diễn ra mà không bị phát hiện trong nhiều tháng.
Bảng dưới đây tóm tắt các giai đoạn tấn công và những gì thường xảy ra ở mỗi giai đoạn:

Các dấu hiệu đáng ngờ để phát hiện ứng viên deepfake
Các chuyên gia nhân sự và quản lý tuyển dụng được đào tạo có thể phát hiện nhiều ứng viên deepfake trước khi đưa ra lời mời làm việc. Các dấu hiệu đáng ngờ sau đây cần được xác minh thêm:
Quét bản ghi phỏng vấn video đáng ngờ bằng Truvizy để phát hiện sự giả mạo deepfake trước khi bạn đưa ra quyết định tuyển dụng.
Cách Truvizy phát hiện gian lận phỏng vấn deepfake
Phân tích đa lớp được hỗ trợ bởi AI của Truvizy được thiết kế chính xác cho mối đe dọa này. Khi bạn tải lên hoặc gửi liên kết đến một cuộc phỏng vấn video đã ghi tại truvizy.app, nền tảng sẽ áp dụng nhận dạng mẫu nâng cao trên các chiều thị giác, thời gian và hành vi. Hệ thống kiểm tra tính nhất quán của khung hình, sự gắn kết của ranh giới khuôn mặt, tính xác thực của biểu cảm vi mô và sự đồng bộ âm thanh-hình ảnh, những mẫu hình bất thường về mặt thống kê trong video do deepfake tạo ra nhưng lại xuất hiện tự nhiên trong các bản ghi âm xác thực.
Khả năng phát hiện của Truvizy cung cấp cho các nhóm nhân sự một điểm tin cậy có thể hành động và phân tích rõ ràng các bất thường được phát hiện. Không giống như các công cụ phân tích video thông thường, Truvizy được đào tạo đặc biệt về các mối đe dọa truyền thông tổng hợp mới nổi và được cập nhật liên tục khi các kỹ thuật tạo deepfake mới xuất hiện. Đối với các công ty tuyển dụng từ xa với số lượng lớn, phân tích của Truvizy bổ sung một lớp xác minh quan trọng mà việc xem xét thủ công không thể cung cấp đáng tin cậy ở quy mô lớn.
Nên làm gì nếu bạn gặp phải một ứng viên deepfake
Nếu bạn nghi ngờ một ứng viên đang sử dụng công nghệ deepfake, đừng cảnh báo họ trong buổi phỏng vấn. Hãy xử lý quy trình một cách bình thường để tránh làm lộ thông tin cho một mạng lưới tội phạm có tổ chức. Sau đó thực hiện các bước sau:

Key Takeaways
- Ứng viên deepfake sử dụng công nghệ hoán đổi khuôn mặt AI để vượt qua các cuộc phỏng vấn video từ xa và sau đó đánh cắp dữ liệu, cài đặt phần mềm độc hại hoặc chuyển hướng lương vào các tài khoản ở nước ngoài.
- FBI đã chính thức cảnh báo về mối đe dọa này từ năm 2022, với những kẻ thực hiện được nhà nước Triều Tiên bảo trợ nằm trong số những kẻ có tổ chức nhất.
- Các tín hiệu phát hiện chính bao gồm độ trễ video khi quay đầu, các vấn đề đồng bộ hóa âm thanh-hình ảnh và ảnh ID không khớp với nguồn cấp dữ liệu camera trực tiếp.
- Yêu cầu xác minh danh tính trực tiếp đối với các ứng viên cuối cùng và quét các bản ghi phỏng vấn bằng Truvizy trước khi đưa ra lời mời làm việc cho các vị trí có quyền truy cập cao.
Trong một cuộc phỏng vấn video, bạn nhận thấy khuôn mặt của ứng viên dường như bị lỗi nhẹ khi họ quay đầu nhanh và các cạnh tóc của họ trông mờ. Bước tiếp theo phù hợp nhất là gì?
- Bỏ qua nó, có lẽ đó chỉ là do kết nối internet kém
- Chấm dứt cuộc phỏng vấn ngay lập tức và buộc tội họ lừa đảo
- Hoàn thành cuộc phỏng vấn như bình thường, sau đó quét bản ghi và yêu cầu xác minh ID trực tiếp trước khi đưa ra bất kỳ lời đề nghị nào
- Yêu cầu họ vẫy tay chào và cho rằng mọi thứ đều ổn nếu họ làm vậy
Answer: Cách tiếp cận đúng đắn là tránh báo động cho kẻ lừa đảo trong khi thu thập bằng chứng. Lưu bản ghi, quét nó bằng các công cụ phát hiện được hỗ trợ bởi AI và yêu cầu xác minh ID trực tiếp hoặc có công chứng trước khi đưa ra bất kỳ lời đề nghị nào. Không bao giờ buộc tội mà không có bằng chứng tài liệu.
Cuộc gọi video deepfake: Cách kẻ lừa đảo mạo danh sếp của bạn trên Zoom — Công nghệ deepfake thời gian thực đang được sử dụng trong các cuộc gọi Zoom và Teams trực tiếp, đây là cách phát hiện và phòng thủ chống lại nó
Cách phát hiện video deepfake: Hướng dẫn phát hiện đầy đủ — Dấu hiệu hình ảnh, dấu hiệu kỹ thuật và các công cụ được hỗ trợ bởi AI để xác định nội dung video tổng hợp
Hướng dẫn bảo vệ khỏi deepfake: Bảo vệ bản thân và tổ chức của bạn — Các chiến lược toàn diện để bảo vệ chống lại các mối đe dọa deepfake ở cấp độ cá nhân và tổ chức
FAQ
Lừa đảo ứng viên deepfake là gì?
Một vụ lừa đảo ứng viên deepfake xảy ra khi một kẻ lừa đảo sử dụng phần mềm hoán đổi khuôn mặt được hỗ trợ bởi AI và danh tính bị đánh cắp hoặc giả mạo để vượt qua buổi phỏng vấn xin việc từ xa qua video. Sau khi được tuyển dụng, tội phạm sử dụng quyền truy cập của mình để đánh cắp dữ liệu công ty, triển khai phần mềm độc hại hoặc chuyển hướng thanh toán lương. Theo FBI, những sự cố này đang gia tăng nhanh chóng và hiện nhắm mục tiêu vào các công ty công nghệ, tài chính và chăm sóc sức khỏe.
Truvizy có thể phát hiện ứng viên deepfake không?
Có. Phân tích đa lớp được hỗ trợ bởi AI của Truvizy có thể phân tích các bản ghi video từ các buổi phỏng vấn xin việc để phát hiện thao tác khuôn mặt tổng hợp, ánh sáng không nhất quán, kiểu chớp mắt không tự nhiên và sự không khớp giữa âm thanh-hình ảnh cho thấy công nghệ deepfake. Các nhóm nhân sự có thể quét các bản ghi phỏng vấn trực tiếp tại truvizy.app trước khi đưa ra lời mời làm việc.
Làm thế nào để biết liệu một ứng viên xin việc có đang sử dụng deepfake không?
Các dấu hiệu cảnh báo chính bao gồm: độ trễ video nhẹ khi ứng viên di chuyển đầu, từ chối quay ngang hoặc cho thấy môi trường xung quanh trên camera, khớp môi không đồng bộ, kết cấu da quá mịn, tóc hoặc cạnh kính bị lỗi (glitch), và sự không nhất quán giữa hình ảnh video của họ và ảnh ID đã nộp. Yêu cầu ứng viên thực hiện một hành động tự phát bất ngờ cũng có thể tiết lộ những hạn chế của deepfake.
Những ngành nào bị nhắm mục tiêu nhiều nhất bởi các vụ lừa đảo việc làm deepfake?
Theo khuyến cáo của FBI IC3, các vai trò công nghệ từ xa thường bị nhắm mục tiêu nhiều nhất, kỹ sư phần mềm, quản trị viên CNTT, quản lý cơ sở dữ liệu và các vai trò cơ sở hạ tầng đám mây. CNTT y tế và fintech cũng là những mục tiêu có giá trị cao vì dữ liệu nhạy cảm mà các vai trò này truy cập. FBI đặc biệt nhấn mạnh rằng các nhân viên CNTT Triều Tiên đã sử dụng phương pháp này để xâm nhập các công ty công nghệ của Hoa Kỳ.
Các công ty nên làm gì nếu họ đã tuyển dụng một ứng viên deepfake?
Ngay lập tức đình chỉ quyền truy cập vào tất cả các hệ thống, thu hồi thông tin xác thực và liên hệ với nhóm ứng phó sự cố hoặc công ty an ninh mạng của bạn. Nộp báo cáo cho FBI IC3 tại ic3.gov. Thông báo cho các phòng ban nhân sự và pháp lý của bạn cũng như bất kỳ khách hàng hoặc người quản lý dữ liệu bị ảnh hưởng nào. Thực hiện kiểm toán đầy đủ về quyền truy cập dữ liệu và các thay đổi hệ thống do nhân viên gian lận thực hiện kể từ khi được tuyển dụng.