Khi sinh trắc học bị “qua mặt”
Sau khi truy cập tài khoản, người dùng ảnh tĩnh trong điện thoại quét vào ứng dụng ngân hàng để chuyển tiền trên 10 triệu đồng, ứng dụng ngân hàng bị ảnh đánh lừa, cho phép chuyển tiền bình thường.
Trường hợp trên không hiếm. Sau khi Quyết định 2345 của Ngân hàng Nhà nước có hiệu lực và việc đăng ký sinh trắc học tại các ngân hàng đã trở nên mượt mà, một nhóm chuyên gia công nghệ thông tin đã thử nghiệm dùng công nghệ AI và ảnh tĩnh để kiểm tra hệ thống sinh trắc học của các nhà băng, kết quả là có những hệ thống đã bị “qua mặt” một cách dễ dàng.
Ông Phan Thanh Toàn, Giám đốc Trung tâm Nền tảng định danh số, Khối Dịch vụ nền tảng FPT IS rằng, đây một rủi ro mà các nhà băng cần lưu ý, bởi ảnh tĩnh qua mặt sinh trắc học chỉ là trường hợp đơn giản. Gần đây, số lượng và mức độ tinh vi của các vụ lừa đảo đã gia tăng đáng kể khi công nghệ AI phát triển. Các dịch vụ generative AI có thể tạo ra văn bản, hình ảnh và video giống con người, trở thành công cụ mạnh mẽ cho những kẻ gian muốn thao túng và tái tạo hình ảnh của các cá nhân.
Theo thông tin từ Ngân hàng Nhà nước, sau những ngày đầu kể từ khi thực hiện Quyết định 2345, người dân tập trung đăng ký sinh trắc học dẫn đến nghẽn cục bộ ở một số ngân hàng, hiện hệ thống các ngân hàng đã mượt mà. Ghé qua các phòng giao dịch ngân hàng những ngày gần đây, có thể thấy rõ phần lớn khách hàng đến giao dịch, nhân tiện nhờ luôn nhân viên ngân hàng thực hiện thao tác đăng ký sinh trắc học. Tuy nhiên, cách thức xác thực lại mỗi nơi mỗi khác. Tại Techcombank, chuyển khoản 5 triệu đồng cũng yêu cầu khách hàng xác thực bằng cách chụp ảnh khuôn mặt. VPBank lại không yêu cầu khách hàng phải chụp ảnh, mà chỉ cần cầm máy điện thoại di chuyển trước mặt.
Trở lại với chuyện lỗ hổng bảo mật và quản trị rủi ro hệ thống tại các ngân hàng, đại diện ngân hàng X, đơn vị được cho là có lỗ hổng bảo mật trong đoạn video lan truyền trên mạng khi nhận được phản ánh của báo chí đã lập tức cho bộ phận nghiệp vụ kiểm tra. Đại diện ngân hàng cho biết, lỗ hổng bảo mật đã được rà soát để có giải pháp xử lý, đây cũng là kinh nghiệm mà bộ phận công nghệ thông tin của ngân hàng cần rút kinh nghiệm sâu sắc.
Lỗ hổng bảo mật như vậy, theo nhận xét của các chuyên gia công nghệ, sẽ là những rủi ro lớn cho khách hàng, nếu bị kẻ xấu lợi dụng.
Phòng xa bằng lá chắn nhiều lớp
Trung tá Triệu Mạnh Tùng, Phó Cục trưởng Cục An ninh mạng và Phòng, chống tội phạm sử dụng công nghệ cao, Bộ Công an cho biết, hiện nay, có rất nhiều đối tượng lừa đảo, nhất là lừa đảo thông qua không gian mạng. Ngay khi hệ thống ngân hàng triển khai Quyết định 2345, một số đối tượng ở nước ngoài đã liên hệ với cá nhân ở Việt Nam để giả danh nhân viên ngân hàng thực hiện hỗ trợ cập nhật sinh trắc học cho người dân. Do đó, khi Quyết định 2345 đi vào thực tiễn, vẫn cần tiếp tục rà soát và có các biện pháp ứng phó. Các ngân hàng cần phát triển phân tích dữ liệu lớn về việc sử dụng tài khoản của khách hàng để nhận biết dấu hiệu lừa đảo, kịp thời cảnh báo.
Trung tá Tùng cũng đánh giá, số lượng và mức độ tinh vi của lừa đảo trên không gian mạng sẽ còn nhiều hơn nữa trong thời gian tới, song có thể khẳng định rằng, dùng sinh trắc học để xác thực giao dịch là biện pháp tiên tiến nhất hiện nay.
Ông Tùng cũng đề cập, deepfake đã xuất hiện từ khá lâu và nhiều đơn vị đã triển khai các giải pháp chống deepfake. Chúng ta hoàn toàn có thể nâng cấp giải pháp này khi tội phạm bẻ khóa, vượt qua tường lửa.
Triển khai giải pháp sinh trắc học cho gần 40 tổ chức tài chính tại Việt Nam, ông Phan Thanh Toàn cho biết, thực tế ngành ngân hàng khác xa 5-6 năm trước, khi giao dịch trực tuyến đang chiếm tỷ trọng lớn. Trước đây, đa phần ngân hàng chú trọng vào hệ thống nội bộ để quản trị rủi ro nhưng hiện nay, các giao dịch ngoại vi (tức thao tác do khách hàng tự thực hiện) chiếm tỷ trọng và tần suất lớn, việc quản trị rủi ro phức tạp và khó khăn hơn.
Ghi nhận từ thực tế cho thấy, các hành vi gian lận thường nhắm đến lĩnh vực tài chính bởi có giá trị cao. Các vụ tấn công trực tuyến thường được cho là có lý do khách quan nên người sử dụng luôn “nắm đằng lưỡi” và chịu thiệt thòi, thiệt hại lớn về giá trị, trong khi tổ chức tài chính bị mất uy tín, mất khách hàng.
Ngay tại các thị trường tài chính tiên tiến trong khu vực như Hồng Kông, Trung Quốc ghi nhận các vụ gian lận đang được điều tra lên tới hàng chục triệu USD. Tội phạm sử dụng AI giả mạo hình ảnh và giọng nói của giám đốc tài chính, gọi video call cho nhân viên, yêu cầu chuyển tiền vào một tài khoản và tiền đã bốc hơi, không tăm tích.
Ông Toàn cho biết, do xảy ra nhiều tình huống lừa đảo, gian lận nên các ngân hàng và bên cung cấp giải pháp liên tục phải cập nhật, cải tiến hệ thống thường xuyên để có phương án công nghệ và chính sách sử dụng nhằm loại bỏ dần các rủi ro có thể dự phóng. Tuy nhiên, thực tế cũng cho thấy, nhiều ngân hàng chưa nhận thức đúng mức tầm quan trọng của việc đầu tư công nghệ, để từ đó có giải pháp, sản phẩm an toàn cho khách hàng.
Nói về các giải pháp xác thực, ông Toàn cho biết, FPT IS đã đầu tư từ rất sớm và nghiêm túc cho các công nghệ phòng chống Deepfake khuôn mặt như chụp/quay video lại từ một thiết bị khác, sử dụng phần mềm giả lập, ghép khuôn mặt bằng AI… FPT IS đã đạt được chứng chỉ ISO 30107-3 về chống giả mạo sinh trắc học bằng khuôn mặt năm 2022, đồng thời cũng là một trong những doanh nghiệp đầu tiên được Trung tâm dữ liệu quốc gia về dân cư cấp phép kết nối với hệ thống cơ sở dữ liệu Quốc gia về dân cư, và cung cấp sản phẩm, dịch vụ xác thực CCCD gắn chip.
Thực tế này đặt ra tính cấp thiết của việc gia tăng năng lực đảm bảo chống deepfake khi sử dụng các giải pháp xác thực, vấn đề lựa chọn và ứng dụng giải pháp công nghệ phù hợp để bảo vệ quyền lợi người dùng, hạn chế tối đa các trường hợp giả mạo theo đúng quy định của Ngân hàng Nhà nước. Với hàng triệu khách hàng, giao dịch trực tuyến chiếm tỷ trọng chi phối, các ngân hàng hiện khá chịu chi cho đầu tư công nghệ.
Dù vậy, không hẳn giải pháp tốn kém hay sản phẩm gắn mác ngoại đã đem lại hiệu quả tối ưu. Ông Toàn cho biết, trong lĩnh vực này, kinh nghiệm, trải nghiệm tích lũy theo thời gian cũng rất quan trọng. Từ kho dữ liệu mà đơn vị cung cấp giải pháp tích lũy được, các tình huống giả lập, các giải pháp tối ưu nhất được thiết kế và ứng dụng, sẽ hỗ trợ tổ chức tài chính quản trị rủi ro tốt hơn. Quá trình làm mới, nâng cấp này diễn ra liên tục để bảo vệ tối đa người tiêu dùng.
Theo ông Lưu Danh Đức, Phó tổng giám đốc phụ trách Khối Công nghệ thông tin của Ngân hàng SHB, cùng với sự bùng nổ thanh toán số, lừa đảo trên mạng cũng gia tăng và ngày càng tinh vi. Hacker thu thập hình ảnh, video, giọng nói, thông tin cá nhân của khách hàng, sau đó sử dụng AI để hoán đổi khuôn mặt, tạo video deepfake hình ảnh của nạn nhân. Do đó, ngoài tuyên truyền thường xuyên tới khách hàng các giải pháp giao dịch an toàn tự bảo vệ mình, SHB cũng xây dựng hệ thống phòng thủ để ngăn ngừa tấn công mạng. Riêng đối với việc ngăn chặn giả mạo bằng deepfake, SHB đang tiến hành sử dụng AI, Machine Learning; áp dụng các giải pháp sinh trắc học nâng cao.
“Chúng tôi sẽ tiếp tục nghiên cứu hành vi của tội phạm, sử dụng công nghệ để phòng chống lừa đảo và giảm thiệt hại cho khách hàng”, ông Đức nói.
Đây cũng là khuyến nghị của chuyên gia FPT IS với các tổ chức tài chính, đặc biệt là nâng cao ý thức của các bên liên quan, việc gia tăng hàng rào công nghệ bảo mật đóng vai trò tiên quyết vì các thủ đoạn gian lận sẽ ngày càng tinh vi.