Sẽ xóa sổ nạn lừa đảo ngân hàng?
Chỉ còn chưa đến 1 tháng nữa một công cụ mới chống chiếm đoạt tiền từ tài khoản ngân hàng sẽ được áp dụng: xác thực sinh trắc học khi chuyển trên 10 triệu đồng. Quy định này liệu có ngăn chặn được tình trạng lừa đảo ngày càng phức tạp?
Tăng khả năng bảo mật và an toàn cao hơn
Theo Quyết định số 2345/QĐ-NHNN ngày 18/12/2023 Ngân hàng Nhà nước (NHNN), từ 1/7 mọi giao dịch chuyển tiền có giá trị từ 10 triệu đồng trở lên đều phải thông qua bước xác thực bằng sinh trắc học như khuôn mặt hay vân tay của người chuyển tiền. Còn nếu chuyển dưới 10 triệu đồng/lần nhưng tổng số tiền các giao dịch trong ngày từ 20 triệu đồng trở lên, đến lần chuyển tiếp theo trong ngày đó cũng phải bổ sung phương thức xác thực bằng khuôn mặt.
Bên cạnh đó, khách hàng khi thực hiện giao dịch đầu tiên khi cài đặt mới hoặc cài đặt lại ứng dụng di động trên thiết bị mới sẽ cần bổ sung bước xác thực sinh trắc học bằng khuôn mặt.
Các chuyên gia cho rằng các biện pháp xác thực giao dịch truyền thống như mật khẩu và mã xác thực một lần (OTP) ngày càng dễ bị tấn công. Trong khi xác thực sinh trắc học giúp giao dịch an toàn và bảo mật hơn khi sử dụng chính dữ liệu sinh trắc học của khách hàng đã được xác thực với Bộ Công an để giao dịch, mã hóa và bảo vệ thông tin của khách hàng trước các rủi ro tội phạm mạng.
Nếu giao dịch thuộc diện phải xác thực theo quy định, người dân sẽ phải thực hiện 3 bước giao dịch xác thực bằng sinh trắc học trên ứng dụng di động của ngân hàng (app). Đó là nhập các thông tin giao dịch như thông thường (số tiền, thông tin người nhận, ngân hàng nhận…). Với các giao dịch vượt ngưỡng theo quy định của NHNN, ứng dụng sẽ bật camera điện thoại để xác thực hình ảnh khuôn mặt của khách hàng; cuối cùng là nhập mã Smart/SMS OTP để hoàn tất giao dịch.
Quy định xác thực sinh trắc học khi chuyển tiền trên 10 triệu đồng là cần nhưng chưa đủ vì biện pháp này chỉ ngăn chặn được nếu chuyển tiền trực tuyến. Muốn đối phó với nạn lừa đảo ngày càng tinh vi, bên cạnh quy định xác thực sinh trắc học cần thêm biện pháp giải quyết tận gốc là chặn được dòng tiền đến và đi khỏi tài khoản của kẻ lừa đảo.
Luật sư Trần Xoa - Giám đốc Công ty luật Minh Đăng Quang
“Dữ liệu sinh trắc học là đặc điểm nhận dạng duy nhất của một cá nhân, không có bất kỳ ai giống nhau, kể cả sinh đôi. Hiện nay, thông tin sinh trắc học của công dân đã được Bộ Công an thu thập và lưu trữ trong thẻ căn cước công dân - CCCD gắn chip của mỗi công dân” - Giám đốc công nghệ Công ty CP an ninh mạng quốc gia (NCS) Vũ Ngọc Sơn nói.
Bên cạnh đó, xác thực sinh trắc học cung cấp một lớp bảo mật bổ sung cho thanh toán bằng thẻ không tiếp xúc, nhờ đó có thể giúp loại bỏ hoàn toàn những hạn chế của phương thức thanh toán hiện tại, bao gồm việc phải ghi nhớ mã pin và tương tác vật lý với các mã pin, như vậy nếu không cẩn thận vô tình sẽ để lộ thông tin.
Quy định này nhằm ngăn chặn thiệt hại cho chủ tài khoản khi kẻ gian rút tiền nhiều lần với số lượng lớn. Đồng thời, bảo đảm đúng là chính chủ đang thực hiện chuyển tiền, qua đó góp phần bảo đảm an toàn cho chủ tài khoản.
Với việc xác thực sinh trắc học thì người mở tài khoản và người thực hiện giao dịch đó phải là một. Điều này có thể sẽ gây khó khăn cho một số tổ chức tín dụng (như phải đầu tư hạ tầng công nghệ, nhân sự…) nhưng vì lợi ích chung, lợi ích của cả cộng đồng và cả xã hội, bảo vệ an toàn tiền gửi của người dân thì việc này bắt buộc phải làm.
Lừa đảo ngân hàng ngày càng tăng
Thời gian qua có không ít người dân đã bị đối tượng lừa đảo chiếm đoạt tiền. Thủ đoạn của bọn lừa đảo rất tinh vi như tự xưng là cơ quan chức năng như công an, thuế, thanh tra giao thông... rồi đưa ra các tình huống khiến người dân mất cảnh giác, truy cập vào phần mềm và đường link có mã độc. Sau đó, bọn chúng vào tài khoản, thậm chí chiếm quyền kiểm soát điện thoại để lấy sạch tiền trong tài khoản.
Ông M.C (Hà Nội) mới đây bị kẻ lừa đảo chiếm đoạt quyền kiểm soát điện thoại, đột nhập tài khoản ngân hàng và chuyển đi gần 2 tỷ đồng. Trước đó, ông nhận điện thoại của một đối tượng tự xưng là cán bộ công an yêu cầu ông cài đặt định danh mức độ 2. Sau đó ông M.C tải phần mềm mà người này chuyển qua tin nhắn để đăng ký theo hướng dẫn. Sau khi cài đặt, điện thoại ông đã bị mất quyền kiểm soát và số tiền trong tài khoản gần 2 tỷ đồng bị chuyển qua tài khoản lạ.
Không chỉ ông M.C, rất nhiều trường hợp bị lừa khi tải ứng dụng lạ về điện thoại di động, từ đó bị kẻ gian chiếm quyền sử dụng điện thoại, truy cập tài khoản ngân hàng để chuyển số tiền lừa đảo qua tài khoản khác.
Theo cơ quan điều tra, các ứng dụng giả mạo này khi được cài đặt sẽ kiểm soát toàn bộ thông tin được lưu trữ trong điện thoại như: mật khẩu, mã xác thực OTP... Do đó, với các điện thoại đã bị lừa cài đặt ứng dụng giả mạo, và nạn nhân có sử dụng ứng dụng mobile banking sử dụng phương thức xác thực như OTP sẽ bị kẻ xấu chiếm đoạt toàn bộ tiền trong tài khoản mà không cần bất kỳ sự tương tác nào tiếp theo của người dùng. Hacker sau khi xâm nhập thiết bị có cài ứng dụng mobile banking có thể âm thầm chuyển tiền mà nạn nhân không hề hay biết, cho tới khi nhận được thông tin về biến động số dư.
Phó Giám đốc Trung tâm Giám sát an toàn không gian mạng quốc gia, Cục An toàn thông tin (Bộ TT&TT) Phạm Thái Sơn cho biết, năm 2023, trang cảnh báo an toàn thông tin của Bộ này tiếp nhận gần 17.400 phản ánh liên quan đến lừa đảo trực tuyến. Quý I/2024, Cổng cảnh báo an toàn thông tin Việt Nam nhận hơn 4.100 phản ánh, trong đó hơn 60% người dùng truy cập từ điện thoại cá nhân bị lừa đảo trực tuyến, thiệt hại lên đến hàng nghìn tỷ đồng.
Còn theo NHNN, có đến 99% vụ việc lừa đảo qua mạng tội phạm không để lại dấu vết, vì tiền được chuyển đến tài khoản không chính chủ, được đối tượng mua bán trên mạng...
Khó ngăn chặn khi chuyển tiền trực tiếp
PGS.TS Nguyễn Hữu Huân (Đại học Kinh tế TP Hồ Chí Minh) lo ngại, hiện nay công nghệ deepfake rất tinh vi, vẫn có thể giả mạo dấu hiệu sinh trắc học của con người. Nhất là trong bối cảnh nhiều người Việt Nam đã bị lộ thông tin sinh trắc học cá nhân qua các ứng dụng về tạo video AI hoặc rò rỉ thông qua các ứng dụng mà họ sử dụng hàng ngày.
Còn theo Tổng Giám đốc Công ty an ninh mạng SCS Ngô Anh Tuấn, khi chúng ta sử dụng sinh trắc học, kẻ xấu cũng sẽ sử dụng các công nghệ giả mạo như trí tuệ nhân tạo (AI), deepfake để ngụy tạo dữ liệu sinh trắc học. Về lý thuyết và trong các thực nghiệm (PoC), các công nghệ này có thể vẫn tạo ra được dữ liệu giả mạo để đánh lừa hệ thống sinh trắc học. Tuy nhiên, việc tấn công trong thực tế cũng không quá dễ dàng và mức độ an toàn vẫn ở trong ngưỡng chấp nhận được.
Đáng nói là lừa đảo hiện nay không chỉ chiếm đoạt tiền trên môi trường trực tuyến (online) mà còn thao túng tâm lý để nạn nhân chuyển tiền trực tiếp (offline). Các đối tượng phạm tội ngày càng đa dạng, bao gồm người Việt Nam và người nước ngoài hoạt động trong nước và xuyên quốc gia với công nghệ cao. "Săn mồi" qua các ứng dụng hẹn hò, đánh vào lòng tham trúng thưởng, giả mạo các trang web bán hàng điện tử..., với đủ kiểu lừa đảo thông qua mạng xã hội như: Facebook, Telegram, Zalo...
Với vô vàn cách khác nhau, các đối tượng lừa đảo thao túng tâm lý chỉ định nạn nhân đến ngân hàng chuyển tiền. Với thủ đoạn này thì biện pháp xác thực sinh trắc học sẽ bó tay vì việc chuyển tiền do “chính chủ” thực hiện.
Chính vì vậy, theo các chuyên gia, quan trọng nhất vẫn là người dân nâng cao nhận thức và cảnh giác trước các chiêu trò để tránh sập bẫy lừa đảo. Đồng thời, cơ quan quản lý Nhà nước vẫn tiếp tục tăng cường cảnh báo những hiện tượng, chiêu trò lừa đảo để người dân cập nhật thông tin. Phía ngân hàng cũng phải tăng cường biện pháp bảo mật thông tin khách hàng, liên tục nâng cấp hạ tầng công nghệ.