Xác thực sinh trắc học: vẫn cần thêm giải pháp bảo mật

Tuy vậy, khi các vụ lừa đảo trực tuyến đang diễn ra ngày một tinh vi và phức tạp, người dùng vẫn còn những quan ngại, lo lắng trước những rủi ro có thể gặp phải.

Tăng cường an ninh, an toàn tài khoản cho khách hàng

Theo Quyết định số 2345/QĐ-NHNN của Ngân hàng Nhà nước (NHNN), từ ngày 1/7/2024, giao dịch chuyển tiền điện tử có giá trị trên 10 triệu đồng hoặc tổng giao dịch trong ngày trên 20 triệu đồng bắt buộc phải xác thực sinh trắc học. Biện pháp này đã cho thấy hiệu quả rõ rệt trong việc phòng, chống lừa đảo.

Báo cáo từ các tổ chức tín dụng, sau khi thực hiện xác thực sinh trắc học, số lượng vụ lừa đảo đã giảm đến 50% so với trước đây. Đồng thời, số lượng tài khoản nhận tiền lừa đảo cũng giảm trên 70% so với trung bình 7 tháng năm 2024. Đặc biệt, tại một số đơn vị đã không phát sinh vụ việc lừa đảo trong tháng 8 và tháng 9.

Đến tháng 9, đã có trên 38 triệu lượt khách hàng đăng ký thông tin sinh trắc học thành công. Để nâng cao bảo mật thông tin, NHNN cũng quy định từ 01/01/2025, tất cả chủ tài khoản phải hoàn tất đối chiếu sinh trắc học mới thực hiện được giao dịch bằng phương tiện điện tử. Những tài khoản chưa được thu thập thông tin sinh trắc học để kiểm tra bảo đảm chính chủ chỉ được phục vụ tại quầy giao dịch.

Theo NHNN, hoạt động này nhằm bảo vệ an toàn cho khách hàng khi giao dịch trực tuyến, hạn chế tình trạng lừa đảo chuyển tiền vào các tài khoản không chính chủ được các đối tượng thuê, mua, mượn của người khác cho mục đích bất hợp pháp. Phần lớn người dùng đồng ý, xác thực sinh trắc học an toàn hơn khi giao dịch trực tuyến. Tuy vậy, vẫn có người lo ngại về vấn đề bảo mật thông tin cá nhân khi thực hiện sinh trắc học.

“Phải sử dụng hình ảnh thực để xác nhận giao dịch. Điều gì sẽ xảy ra khi kho dữ liệu này bị tấn công, đường truyền, thiết bị đầu cuối bị đe dọa?” - Trần Thế Anh, sinh viên một trường đại học bày tỏ. “Điều gì sẽ bảo đảm kẻ xấu không thể vượt qua bức tường xác thực mới?” - GS Phan Dương Hiệu - Viện Bách khoa Paris cho biết.

Quy trình nghiệp vụ, bao gồm việc định danh và chuyển đổi định danh cho người dùng, nếu không được thiết lập chặt chẽ, cũng có thể là điểm yếu mà tội phạm khai thác. Không chỉ lo lộ thông tin, mà còn có hiện tượng lách xác thực sinh trắc học để mở tài khoản ngân hàng. Đại tá Hoàng Ngọc Bách, Trưởng phòng 4, Cục An ninh mạng và phòng chống tội phạm cao (A05) Bộ Công an cũng đánh giá, A05 nhận thấy quy định xác thực sinh trắc học đã có tác dụng hạn chế tội phạm sử dụng công nghệ cao sử dụng tài khoản cá nhân để chuyển tiền.

Tuy vậy, ông Bách cảnh báo, từ khi NHNN áp dụng xác thực sinh trắc học với tài khoản cá nhân, đối tượng lừa đảo đang chuyển đổi chiêu thức, "dụ" người dân chuyển tiền vào tài khoản DN. Cụ thể, đối tượng phạm tội lập DN ảo, mở tài khoản của DN để lừa người dân chuyển tiền vào. Nhiều người dân phản ánh đã bị lừa mua các sản phẩm làm đẹp, tham gia đầu tư qua mạng, nhận quà tặng... và chuyển tiền vào các tài khoản "ma" này.

Có bảo mật sinh trắc học vẫn bị lừa

Dù đã có giải pháp xác thực sinh trắc học giúp tăng khả năng bảo mật và an toàn, song nhiều người vẫn bị lừa, chiếm đoạt số tiền lớn trong tài khoản. Cuối tháng 9/2024, anh N.H.T (quận Cầu Giấy) nhận được cuộc gọi của một đối tượng giả cán bộ công an, yêu cầu cài đặt phần mềm dịch vụ công. Không chút nghi ngờ, anh T làm theo hướng dẫn, quét mã để xác thực nhận diện chân dung. Tuy nhiên, sau khi nhận diện khuôn mặt, màn hình hiển thị dòng chữ "Đang đợi nhân viên xác thực…" và không còn nhấn cảm ứng hay thao tác bằng phím nguồn được nữa. Nghĩ do lỗi thông thường của điện thoại nên anh T khởi động lại máy, nhưng khi điện thoại bật nguồn trở lại, mới tả hỏa phát hiện tài khoản ngân hàng báo đã bị ai đó rút gần 10 tỷ đồng.

Mới đây, bà H. (quận Long Biên) nhận được cuộc gọi của đối tượng tự xưng nhân viên giao hàng. Không có nhà, nên bà H. đã chuyển khoản tiền hàng cho đối tượng. Tuy nhiên, đối tượng gọi lại báo chưa nhận được tiền rồi hướng dẫn bà vào đường link đối tượng gửi. Làm theo hướng dẫn, bà H. phát hiện 2 tài khoản ngân hàng bị mất gần 100 triệu đồng.

Một chuyên gia trong lĩnh vực phát triển phần mềm cho biết, thông thường các đối tượng lừa đảo sẽ gửi link ứng dụng giả mạo để nạn nhân cài đặt không thông qua App Store (IOS) hay Play Store (Android)... Khi cài đặt, các phần mềm không rõ nguồn gốc này sẽ yêu cầu chủ nhân điện thoại cấp quyền truy cập vào camera, danh bạ, bộ nhớ điện thoại và các ứng dụng khác như Zalo, Facebook...

"Nếu chủ nhân đồng ý để ứng dụng truy cập thì toàn bộ dữ liệu trong điện thoại và các thao tác trên màn hình điện thoại sẽ được ngầm gửi về máy chủ của các đối tượng lừa đảo" - chuyên gia cho biết.

Ngoài ra, các đối tượng còn có thể chiếm quyền điều khiển điện thoại, vô hiệu hóa các tính năng, cài đặt trên điện thoại cũng như truy cập vào các ứng dụng và ngầm chuyển tiền trong tài khoản của nạn nhân. Tinh vi hơn khi gần đây, đối tượng sử dụng AI Deepfake. Hackers thu thập hình ảnh, video, voice, thông tin cá nhân của khách hàng sau đó sử dụng AI để hoán đổi khuôn mặt, tạo video hình ảnh của nạn nhân.

Tội phạm công nghệ ngày càng tinh vi

Ông Nguyễn Đăng Khoa - Trưởng phòng sản phẩm ứng dụng trí tuệ nhân tạo của Công ty VCS cho rằng, ngân hàng cần tiếp tục nâng cao công nghệ eKYC, tăng cường độ chính xác trong việc nhận diện khách hàng, đặc biệt là phòng, chống các kỹ thuật giả mạo. Đồng thời, bổ sung các lớp bảo mật mới như sử dụng SIM để định danh. Cũng cần xây dựng và triển khai các biện pháp bảo vệ quy trình nghiệp vụ, bảo đảm an toàn cho khách hàng.

Phó Thống đốc NHNN Phạm Tiến Dũng thừa nhận xảy ra tình trạng lách quy định bằng mở tài khoản DN, lách xác thực sinh trắc học để gian lận. “Thời gian tới, ngành ngân hàng sẽ chú trọng hơn hoạt động mở tài khoản của DN, để bảo đảm xác thực được người đại diện hợp pháp của DN. Khi thực hiện giao dịch DN, nếu giao dịch lớn thì cần chữ ký để xác định người chịu trách nhiệm, bảo đảm khi xảy ra vấn đề thì chúng ta truy vết được người ký” - ông Dũng nhấn mạnh. Ông Dũng cũng cho biết, về phía ngân hàng, dù có sinh trắc học nhưng không bỏ một bước bảo mật nào, bảo đảm an toàn hơn cho khách hàng. Do tội phạm công nghệ cao ngày càng tinh vi nên công nghệ phải không ngừng nâng cao để bảo vệ tài sản khách hàng được tốt hơn.

Ngoài ra, theo ông Lê Văn Tuấn - Cục trưởng Cục An toàn thông tin, Bộ TT&TT, để bảo đảm an toàn thông tin trong lĩnh vực ngân hàng, các cơ quan chức năng sẽ tăng cường thanh tra, kiểm tra việc thực hiện quy định về an toàn thông tin trong lĩnh vực tài chính - ngân hàng. Các đơn vị trong ngành ngân hàng cũng cần có kế hoạch, chiến lược để phát hiện, bảo vệ, phục hồi sau sự cố cho từng đơn vị. Cùng với đó là đầu tư công nghệ hiện đại và tăng cường khả năng phòng ngừa.