Một chiến dịch lừa đảo trực tuyến nguy hiểm vừa xuất hiện trên nền tảng mạng xã hội X (trước đây là Twitter), mạo danh tài khoản chính thức của OpenAI để dụ dỗ người dùng. Kẻ gian hứa hẹn tặng 100 USD credit Codex cho 10.000 người đầu tiên chia sẻ cảm nhận về phiên bản giả định "GPT-5.6 Sol" hoặc lý do chuyển sang sử dụng công cụ này. Đây là một thủ đoạn lừa đảo tinh vi nhắm vào cộng đồng nhà phát triển và những người đam mê công nghệ AI.
Diễn biến chi tiết
Theo ghi nhận từ các bài đăng trên mạng xã hội X, các tài khoản lừa đảo đã phát tán nội dung kêu gọi người dùng viết bài đánh giá để nhận quà tặng. Người dùng được hướng dẫn đăng bài viết trên X, sau đó truy cập vào một liên kết có tên miền dễ gây nhầm lẫn là "switch-to-codex.openai.chatgpt.site" để nhận mã token miễn phí. Chiến dịch này đánh vào tâm lý muốn trải nghiệm sớm các mô hình AI thế hệ mới và nhận tài trợ sử dụng API từ OpenAI nhằm nhanh chóng thu hút lượng lớn nạn nhân sập bẫy.
Phân tích kỹ thuật & Công nghệ
Tên miền được sử dụng trong chiến dịch này được thiết kế cố ý chứa các từ khóa quen thuộc như "openai", "chatgpt" và "codex" nhằm tạo lòng tin giả tạo. Tuy nhiên, phần đuôi tên miền thực tế là ".site" thay vì các tên miền chính thức của hãng. Khi người dùng truy cập, trang web giả mạo này có thể yêu cầu kết nối ví tiền mã hóa, đăng nhập tài khoản OpenAI hoặc cung cấp thông tin cá nhân nhạy cảm để chiếm đoạt tài sản số và quyền truy cập hệ thống.
Ý kiến chuyên gia & Nhận định
Các chuyên gia bảo mật khuyến cáo người dùng tuyệt đối không truy cập vào bất kỳ liên kết lạ nào không bắt nguồn từ các kênh truyền thông chính thức được xác thực của OpenAI. Hiện tại, OpenAI chưa hề công bố bất kỳ phiên bản nào có tên "GPT-5.6 Sol" hay chương trình phát credit Codex thông qua hình thức yêu cầu đăng bài nhận thưởng hàng loạt như trên. Đây là dấu hiệu điển hình của một cuộc tấn công phi kỹ thuật (social engineering).
Tác động & Tương lai
Sự việc này cho thấy các nhóm tội phạm mạng đang ngày càng tận dụng cơn sốt trí tuệ nhân tạo để thực hiện các hành vi lừa đảo nhắm mục tiêu. Độc giả và cộng đồng công nghệ tại Việt Nam cần nâng cao cảnh giác, kiểm tra kỹ lưỡng URL trước khi điền thông tin tài khoản và kích hoạt bảo mật đa nhân tố (MFA) để tự bảo vệ trước các chiến dịch mạo danh thương hiệu công nghệ lớn ngày càng tinh vi.