Skip to main content
HashnodeFPT IS SecurityFPT IS Security

Command Palette

Search for a command to run...

Khi ChatGPT Trở Thành Công Cụ Phishing: Câu Chuyện Đằng Sau Lỗ Hổng ChatGPhish

Updated
11 min read
Khi ChatGPT Trở Thành Công Cụ Phishing: Câu Chuyện Đằng Sau Lỗ Hổng ChatGPhish
L
Lưu Tuấn Anh

Tổng quan chiến dịch

Trong nhiều năm qua, phishing chủ yếu xuất hiện dưới dạng email giả mạo, tin nhắn SMS hoặc website lừa đảo. Các tổ chức đã đầu tư đáng kể vào Secure Email Gateway (SEG), Safe Links, URL Filtering và các chương trình nâng cao nhận thức để giảm thiểu rủi ro từ các hình thức tấn công này.

Tuy nhiên, một nghiên cứu mới từ Permiso Security đã cho thấy một hướng tấn công hoàn toàn khác: thay vì lừa người dùng thông qua email, kẻ tấn công có thể lợi dụng chính ChatGPT để hiển thị nội dung phishing ngay trong giao diện mà người dùng tin tưởng. Kỹ thuật này được đặt tên là ChatGPhish.

Điều đáng chú ý là ChatGPT không bị xâm nhập, không bị thực thi mã độc và cũng không bị chiếm quyền điều khiển. Thay vào đó, kẻ tấn công khai thác cách ChatGPT xử lý nội dung lấy từ các trang web bên ngoài để biến giao diện AI thành một "cầu nối tin cậy" giữa nạn nhân và hạ tầng phishing.

Đây có thể xem là một trong những ví dụ rõ nét nhất về xu hướng AI-Mediated Phishing – nơi AI trở thành mắt xích trung gian trong chuỗi tấn công.

Khi tác vụ tóm tắt website trở thành bề mặt tấn công

Hiện nay, việc sử dụng ChatGPT để thực hiện một loạt các tác vụ như: tóm tắt bài viết, phân tích README trên GitHub, đọc tài liệu kỹ thuật, nghiên cứu đối thủ, dịch báo cáo ngoại văn đã trở thành một hoạt đồng thường nhật của các tổ chức và doanh nghiệp.

Chúng ta cùng lấy một ví dụ cơ bản bằng thao tác rất phổ biến như: " Hãy tóm tắt nội dung của trang web này " sẽ khiến ChatGPT truy xuất nội dung từ nguồn bên ngoài, phân tích và trình bày lại cho người dùng.

Vấn đề xuất hiện khi nội dung của trang web đó chứa các chỉ thị được thiết kế специально để thao túng cách AI phản hồi. Theo nghiên cứu của Permiso, bộ dựng giao diện (renderer) trên phiên bản web của ChatGPT đã tin tưởng quá mức vào một số thành phần Markdown được lấy từ nguồn bên ngoài, đặc biệt là: Hyperlink, hình ảnh từ URL bên ngoài, QR code hay nội dung định dạng giống cảnh báo hệ thống.

Điều này tạo điều kiện cho các cuộc tấn công phishing xuất hiện trực tiếp bên trong cửa sổ hội thoại ChatGPT.

Bản chất thực sự của ChatGPhish

ChatGPhish không phải là lỗ hổng XSS truyền thống. Nó cũng không phải Remote Code Execution. Về bản chất, đây là sự kết hợp tài tình giữa: Indirect Prompt Injection, UI Redressing, Trust Exploitation.

Kẻ tấn công không nhắm vào hệ thống ChatGPT mà thay vào đó, chúng lợi dụng chatGPT để nhắm mục tiêu vào người dùng.

Điểm nguy hiểm nằm ở yếu tố tâm lý. Nếu một liên kết xuất hiện trong email, người dùng thường nghi ngờ. Nhưng nếu liên kết đó xuất hiện trong phản hồi của ChatGPT – một công cụ mà họ sử dụng hàng ngày thì đương nhiên mức độ cảnh giác thường giảm đi đáng kể.

Đây chính là hiện tượng mà giới nghiên cứu gọi là Trust Transfer. Niềm tin của người dùng vào ChatGPT vô tình được chuyển sang nội dung mà AI đang hiển thị.

Kẻ tấn công khai thác như thế nào?

Chuẩn bị Payload

Đầu tiên Attacker tạo hoặc chỉnh sửa một trang web công khai. Đó có thể là: Blog, Wiki, GitHub README, Tài liệu hướng dẫn hoặc các trang FAQ. Trong nội dung, chúng chèn thêm các đoạn Markdown hoặc nội dung được thiết kế để AI diễn giải và hiển thị lại. Mục tiêu là khiến ChatGPT coi chúng như một phần hợp lệ của tài liệu nguồn.

Người dùng yêu cầu ChatGPT tóm tắt

Sau khi đã chuẩn bị môi trường thành công, kẻ tấn công chờ đợi người dùng sử dụng ChatGPT để thực hiện tóm tắt một nội dung bất kì

Ví dụ:

Summarize this page: https://example.com/documentation

ChatGPT truy cập website và đưa nội dung vào ngữ cảnh xử lý. Payload độc hại lúc này cũng được nạp vào context.

AI hiển thị nội dung attacker kiểm soát

Kết quả cuối cùng xuất hiện ngay trong giao diện ChatGPT. Người dùng nhìn thấy: Thông báo bảo mật, liên kết xác thực tài khoản, hình ảnh hay một QR code. Và thường không nhận ra rằng những nội dung này thực chất đến từ website nguồn chứ không phải từ OpenAI.

Kịch bản tấn công

Kịch bản 1: Theo dõi người dùng bằng Tracking Pixel

Đây là kỹ thuật đơn giản nhưng hiệu quả. Tại đây kẻ tấn công sẽ thực hiện nhúng một hình ảnh được lưu trữ trên máy chủ của chúng. Khi ChatGPT hiển thị nội dung và trình duyệt tải ảnh, một kết nối HTTP được gửi tới máy chủ của kẻ tấn công.

Thông qua yêu cầu này, attacker có thể thu thập: Địa chỉ IP, User-Agent, thời gian truy cập, dấu hiệu nhận diện trình duyệt cũng như một số thông tin metadata liên quan đến phiên làm việc.

Mặc dù không đủ để chiếm quyền tài khoản, nhưng những dữ liệu này rất hữu ích trong hoạt động do thám (reconnaissance) và xây dựng hồ sơ mục tiêu.

Kịch bản 2: Giả mạo cảnh báo hệ thống OpenAI

Đây là hình thức nguy hiểm hơn. Kẻ tấn công tạo nội dung giống hệt cảnh báo hệ thống:

Security Warning Your ChatGPT session has expired. Please re-authenticate.

Đi kèm với nội dung này là một liên kết phishing. Từ góc nhìn của người dùng, thông báo xuất hiện ngay trong giao diện ChatGPT. Không có dấu hiệu rõ ràng cho thấy nội dung này thực chất đến từ một website bên ngoài. Nếu nạn nhân nhấp vào liên kết và nhập thông tin đăng nhập, toàn bộ quá trình đánh cắp thông tin xác thực sẽ hoàn tất.

Kịch bản 3: Mobile Pivot thông qua QR Code

Đây là kỹ thuật được đánh giá là nguy hiểm nhất trong nghiên cứu. Thay vì hiển thị liên kết trực tiếp, attacker nhúng một mã QR. Theo logic bình thường khi người dùng đang làm việc trên máy tính và mở ChatGPT nếu thấy QR Code sẽ thực hiện dùng điện thoại để quét mã.

Lúc này cuộc tấn công được chuyển sang thiết bị di động. Điều này giúp kẻ tấn công vượt qua hàng loạt cơ chế bảo vệ: URL Preview, Browser Reputation, Safe Browsing, Password Manager, DNS Filter hay ngay cả EDR trên máy tính khiến các chuyên gia SOC khó ghi nhận và phát hiện.

Toàn bộ chuỗi phòng thủ được triển khai trên workstation gần như bị bỏ qua hoàn toàn. Đây chính là lý do Mobile Pivot đang ngày càng phổ biến trong các chiến dịch phishing hiện đại.

ChatGPhish có CVE hay chưa?

Tại thời điểm nghiên cứu được công bố bởi Permiso Security vào ngày 29/05/2026, chưa có thông tin chính thức về việc lỗ hổng này được cấp mã CVE. Nguyên nhân là vì đây không hoàn toàn là lỗi phần mềm truyền thống. ChatGPhish thuộc nhóm: Logic flaw, Trust boundary issue, Indirect Prompt Injection, Unsafe Rendering Design.

Do đó việc gán CVE và chấm điểm CVSS vẫn là chủ đề đang được thảo luận. Hiện chưa có thông tin chính thức từ OpenAI hoặc NVD về điểm CVSS cho vấn đề này.

Tại sao đây là tín hiệu đáng lo ngại cho bảo mật AI?

ChatGPhish cho thấy bề mặt tấn công đang dịch chuyển. Trong quá khứ Phishing đơn thuần là gửi mail tới User. Hiện nay kẻ tấn công lại thực hiện theo một luồng khác:

Website -> LLM -> AI Interface -> User

AI đang trở thành lớp trung gian mới giữa Internet và con người. Điều này đồng nghĩa mọi dữ liệu mà AI xử lý đều có khả năng ảnh hưởng trực tiếp tới hành vi của người dùng.

Nếu không có cơ chế phân tách nguồn dữ liệu, đánh dấu nội dung bên ngoài hoặc kiểm soát quá trình render, các hệ thống AI có thể vô tình trở thành công cụ hỗ trợ cho phishing và social engineering.

MITRE ATT&CK Mapping

T1566.002 – Spearphishing Link

T1204.001 – Malicious Link

Nhận định chuyên gia

Mặc dù ChatGPhish hiện mới được chứng minh trong môi trường nghiên cứu, nhưng xét dưới góc độ vận hành thực tế, đây là một kịch bản đáng được các tổ chức tại Việt Nam quan tâm.

Trong khoảng hai năm trở lại đây, các nền tảng AI như ChatGPT đã dần trở thành một phần của quy trình làm việc hàng ngày trong nhiều doanh nghiệp. Từ các nhóm kỹ thuật, vận hành SOC, phân tích Threat Intelligence, phát triển phần mềm cho đến các bộ phận kinh doanh, marketing hay nghiên cứu thị trường, việc sử dụng AI để tóm tắt tài liệu, phân tích website, đọc mã nguồn GitHub hoặc xử lý các báo cáo tiếng nước ngoài đã trở nên phổ biến.

Đặc biệt, các nhóm nhân sự kỹ thuật tại Việt Nam như SOC Analyst, Threat Hunter, Malware Researcher, Developer hoặc DevOps Engineer có thể trở thành đối tượng rủi ro cao nhất. Đây là những người thường xuyên sử dụng ChatGPT để phân tích tài liệu kỹ thuật, đọc README trên GitHub, đánh giá mã nguồn hoặc nghiên cứu IOC từ các nguồn công khai. Chính tần suất tương tác lớn với dữ liệu bên ngoài khiến họ có nhiều khả năng tiếp xúc với các nội dung được thiết kế nhằm khai thác cơ chế hiển thị của AI.

Một điểm đáng chú ý khác là kỹ thuật Mobile Pivot thông qua QR Code được đề cập trong nghiên cứu. Trong môi trường doanh nghiệp Việt Nam, việc sử dụng đồng thời máy tính làm việc và điện thoại cá nhân là rất phổ biến. Khi người dùng nhìn thấy mã QR xuất hiện trong phản hồi của ChatGPT, hành động quét mã thường diễn ra gần như theo phản xạ và ít bị nghi ngờ hơn so với việc nhấp trực tiếp vào một liên kết lạ.

Khuyến nghị

Không xem ChatGPT là nguồn xác thực danh tính

  • Nguyên tắc quan trọng nhất là: ChatGPT có thể hiển thị nội dung lấy từ Internet, nhưng không phải mọi nội dung xuất hiện trong cửa sổ chat đều do OpenAI tạo ra hoặc xác thực.

  • Nếu xuất hiện các thông báo như:

    • "Your session has expired"

    • "Security Alert"

    • "Re-authenticate your account"

    • "Verify your credentials"

    • "Account suspension warning"

  • Người dùng không nên thực hiện bất kỳ hành động nào ngay lập tức mà thay vào đó cần

    • Mở một tab trình duyệt mới

    • Truy cập trực tiếp website chính thức

    • Kiểm tra trạng thái tài khoản từ nguồn chính thống

  • Tuyệt đối không đăng nhập thông qua liên kết xuất hiện trong phản hồi AI.

Không nhấp vào các liên kết xuất hiện trong nội dung tóm tắt website

  • Trước khi truy cập:

    • Kiểm tra tên miền đầy đủ

    • So sánh với website chính thức

    • Xác minh URL bằng cách nhập thủ công

    • Không click trực tiếp nếu liên kết yêu cầu đăng nhập

    • Không cung cấp mật khẩu hoặc MFA code

Không quét QR Code xuất hiện trong phản hồi AI

  • Nếu ChatGPT hiển thị QR Code:

    • Xem đó là dữ liệu không đáng tin cậy

    • Tự tìm URL gốc bằng nguồn độc lập

    • Không quét mã QR chỉ vì nó xuất hiện trong cửa sổ ChatGPT

Cảnh giác với hình ảnh hoặc cảnh báo bảo mật bất thường

  • Nếu phản hồi AI xuất hiện:

    • Banner bảo mật

    • Hình ảnh yêu cầu xác thực

    • Nút "Login"

    • Nút "Continue"

    • Nút "Verify"

  • Hãy coi đó là dấu hiệu bất thường. ChatGPT không yêu cầu người dùng đăng nhập lại thông qua nội dung được hiển thị bên trong phản hồi của mô hình.

Không nhập thông tin xác thực sau khi được AI hướng dẫn

  • Nguyên tắc đơn giản: Nếu AI dẫn bạn tới một trang yêu cầu mật khẩu, hãy dừng lại và xác minh nguồn gốc trước khi tiếp tục.

Tham khảo

ChatGPhish Vulnerability Turns ChatGPT Web Summaries Into a Phishing Surface

ChatGPhish: The Page Is the Payload

#chatgpt#chatgphish#ai-mediated-phishing#trust-exploitation#tracking-pixel#mobile-pivot

Comments

Join the discussion

No comments yet. Be the first to comment.

More from this blog

F

FPT IS Security

817 posts

Dedicated to providing insightful articles on cybersecurity threat intelligence, aimed at empowering individuals and organizations to navigate the digital landscape safely.