Harari.ai
← Tất cả tài nguyên
Cho doanh nghiệp · Hướng dẫn · Miễn phí

Cách verify video call — không bị lừa deepfake

Hướng dẫn 5 kỹ thuật đơn giản để xác minh người bên kia video call có thật không. Từ 2024, deepfake video call đã được dùng lừa 25 triệu USD trong vụ Arup (Hong Kong).

Mở tài nguyên → https://go.filum.ai/resources/verify-video-call
Review của Harari.ai

Bối cảnh: Vụ Arup — 25 triệu USD bốc hơi qua Zoom

Tháng 2/2024, một nhân viên tài chính của công ty kỹ thuật Arup (Hong Kong) nhận cuộc gọi video từ “CFO” của công ty, kèm “các đồng nghiệp khác” trong phòng họp. Cuộc gọi diễn ra ~30 phút, yêu cầu chuyển 25 triệu USD cho “một thương vụ bí mật”.

Nhân viên đó chuyển tiền. Sau đó phát hiện: toàn bộ người trong cuộc họp Zoom đều là deepfake — CFO thật không liên quan, các đồng nghiệp không hề dự.

Kẻ lừa đảo đã thu thập video công khai của các giám đốc này (trên LinkedIn, conference talks, YouTube) → dùng AI tạo realtime deepfake → host “cuộc họp” giả.

Đây không phải điện thoại. Đây là video call HD 30 phút mà nhân viên chuyên nghiệp không nhận ra.

Từ đó, các vụ tương tự xuất hiện toàn cầu. Ở Việt Nam, 2025 có các vụ:

  • CFO giả cuộc gọi yêu cầu chuyển tiền (Hà Nội, 6 tỷ VNĐ)
  • “Người thân đang bị giam” kèm video khóc lóc (TP.HCM, 2.3 tỷ)

Không ai miễn nhiễm. Kỹ năng verify là kỹ năng sinh tồn mới.

5 kỹ thuật verify

1. Yêu cầu làm action không đoán trước được

Nói với người bên kia:

  • “Đưa tay phải lên chạm mũi, giữ 3 giây”
  • “Nghiêng đầu sang trái, nhìn lên trần”
  • “Viết số tôi vừa nói vào mảnh giấy và giơ lên”

Deepfake realtime hiện nay (2026) vật lộn với động tác bất ngờ. Nếu khuôn mặt bị che một phần (tay chạm mũi), model có thể break trong 1-2 giây — thấy artifacts, glitch, khuôn mặt “trôi”.

2. Yêu cầu đổi tư thế / nghiêng đầu mạnh

Deepfake tốt với khuôn mặt thẳng, camera chuẩn. Khuôn mặt ở góc xiên > 45° thường làm model lúng túng — training data ít có góc xiên mạnh.

Yêu cầu họ: “Quay đầu sang phải, nhìn qua vai”. Nếu khuôn mặt bị stretch, ghost, hoặc thiếu rõ ràng — dấu hiệu đáng nghi.

3. Hỏi câu mật mã gia đình / công ty

Thiết lập trước: mật mã bí mật chỉ team/gia đình biết. Ví dụ:

  • Gia đình: “Tên con mèo hồi còn nhỏ là gì?”
  • Công ty: một câu trong CFO handbook, trang 12, dòng 3

Kẻ deepfake có thể clone khuôn mặt + giọng, nhưng không có trong đầu họ những kỷ niệm gia đình / fact nội bộ công ty.

4. Báo động đỏ trong cuộc gọi khẩn

Dấu hiệu nghi vấn cao:

  • Audio + mouth không sync hoàn hảo — đặc biệt với phụ âm (p, b, m). Nhìn kỹ môi đóng có trùng âm không.
  • Chớp mắt ít hơn bình thường hoặc đều đặn máy móc. Người thật chớp 12-20 lần/phút, ngẫu nhiên.
  • Răng, tai trông kỳ — deepfake hay lỗi ở rìa khuôn mặt + chi tiết phức tạp.
  • Ánh sáng không đồng nhất — mặt sáng, nhưng cổ/quần áo ánh sáng khác.
  • Background đứng yên quá mức — chỉ có mặt chuyển động, mọi thứ khác đứng im.

5. Chuyển kênh + kiểm tra chéo

Nếu còn nghi:

  • “Tôi tắt Zoom, gọi lại qua số trong danh bạ”.
  • Nếu deepfake → họ không cho làm, đưa lý do khẩn.
  • Nếu thật → không có vấn đề gì việc tắt và gọi lại.

Đây là test quan trọng nhất. Người thật không bao giờ cản bạn verify qua kênh độc lập.

Quy tắc vàng cho doanh nghiệp

Áp dụng ngay, không đợi training:

1. Mọi chuyển khoản > 100 triệu VNĐ phải verify 2 kênh. Email + cuộc gọi video thôi không đủ. Thêm cuộc gọi điện thoại qua số danh bạ cố định, hoặc gặp mặt.

2. CFO không bao giờ yêu cầu giao dịch “bí mật, gấp”. Đây là signature của social engineering. Quy trình chính thức = lý do tồn tại.

3. Mọi nhân viên tài chính được training deepfake call handling. Không phải để “nhận biết” (đã khó), mà để buộc verify đa kênh cho mọi giao dịch lớn.

Nếu đã bị lừa

Time-critical. Chuyển khoản ngân hàng có thể block trong ~30 phút đầu.

  1. Gọi ngân hàng ngay — yêu cầu đóng băng, không cần lý do dài
  2. Báo công an (113)
  3. Screenshot mọi thứ — cuộc gọi, tin nhắn, email liên quan
  4. Báo Cục An toàn thông tin (116)
  5. Báo Harari.ai qua Cần hỗ trợ — chúng tôi ghi nhận case để vận động policy

Thời gian là vàng. Đừng xấu hổ, đừng chờ chứng cứ đầy đủ — gọi ngân hàng trước, giải thích sau.

Điểm mạnh
  • + 5 kỹ thuật ai cũng làm được — không cần tool chuyên dụng
  • + Hoạt động với Zoom, Google Meet, Teams, FaceTime, Messenger
  • + Áp dụng ngay trong cuộc gọi, không cần chuẩn bị trước
  • + Dùng được cho cả iOS, Android, laptop
Cảnh báo
  • ! Công nghệ deepfake tiến bộ nhanh — kỹ thuật hôm nay có thể kém hữu ích 2027
  • ! Không hoàn hảo — vẫn có ~5% bypass được tất cả 5 test
  • ! Một số test cần phối hợp với người thật (mật mã gia đình, etc.)
Kết luận

Bài học đầu tiên nên dạy cho mọi nhân viên, CEO, CFO, phụ huynh. Vụ Arup 2024 cho thấy ngay cả giám đốc tài chính lão làng vẫn bị lừa — không phải vì họ dốt, mà vì họ chưa được train kỹ thuật phòng vệ cơ bản.

Lựa chọn khác
  • ↗ Hotline Cục An toàn thông tin: 116
  • ↗ Trung tâm ứng cứu khẩn cấp máy tính VN (VNCERT)
Mở tài nguyên → ← Tất cả tài nguyên
Về các tác giả

Một người, một AI — đồng sáng lập dự án.

Founder · Human
Human

Viển

Founder của dự án, người đặt ra câu hỏi khó. Đang xây dựng một công ty AI-native, đồng thời dành thời gian giúp doanh nghiệp, người đi làm, và trường học Việt Nam nâng cao năng lực AI.

Co-founder · AI · Anthropic
AI · Anthropic

Claude

Đối tác viết lách, công cụ nghiên cứu, và co-founder AI. Phần lớn bài viết, thiết kế, và cả website này được đồng sáng tạo với Claude — chúng tôi không giấu điều đó.

Đọc thêm về Harari.ai →
Miễn trừ trách nhiệm

Bài viết này được đồng sáng tạo với AI. Các số liệu, trích dẫn và tham chiếu đã được kiểm tra nhưng vẫn có thể có sai sót. Trước khi trích dẫn lại, vui lòng đối chiếu nguồn gốc.

Harari.ai không phải là website chính thức của nhà văn Yuval Noah Harari. Chúng tôi được truyền cảm hứng từ các tác phẩm của ông — Sapiens, Homo Deus, 21 bài học cho thế kỷ 21 — nhưng hoạt động độc lập.