Cẩn trọng bảo vệ tài khoản ngân hàng dù đã sinh trắc học

Chuyên gia an ninh mạng Ngô Minh Hiếu (người sáng lập dự án Chongluadao.vn đồng thời là chuyên viên tại Trung tâm Giám sát An toàn không gian mạng quốc gia, Bộ Thông tin và Truyền thông) cho rằng, có thể các vụ lừa đảo gia tăng liên quan đến việc Quyết định số 2345 của Ngân hàng Nhà nước về giải pháp bảo mật sinh trắc học cho các thanh toán trực tuyến ngân hàng. Từ đó, các đối tượng lừa đảo đã gia tăng tấn công nhằm khai thác các điểm yếu trước khi các biện pháp bảo mật mới được thực thi.

Theo ông Hiếu, Quyết định số 2345 có tác động tích cực, được kỳ vọng sẽ tăng cường an ninh, giảm thiểu rủi ro cho người dùng và hệ thống ngân hàng. Tuy nhiên, hiện nay nhiều người dùng đang thắc mắc có hay không về việc sử dụng ảnh tĩnh, hình ảnh có sẵn có thể qua mặt được bảo mật sinh trắc học; việc đăng ký sinh trắc học có hoàn toàn chặn được lừa đảo hay không. Về việc này, ông Hiếu cho biết, một số trường hợp nếu hệ thống ngân hàng xác thực quá lỏng lẻo và kém trong việc xác định người thật, đối tượng lừa đảo có thể dùng 1 tấm hình tĩnh như ảnh thẻ, ảnh chân dung, hoặc một tấm ảnh chân dung trên máy điện thoại để xác minh eKYC (hình thức định danh điện tử). Từ những hình ảnh đánh cắp này, tin tặc có thể tạo ra các bản eKYC giả thay thế cho danh tính thực sự của chủ tài khoản. Từ đó, kẻ lừa đảo có thể thực hiện một cuộc tấn công xen giữa để đưa hình ảnh deepfake thay cho khuôn mặt thật, can thiệp vào quá trình xác thực giao dịch chuyển khoản; hoặc kẻ tấn công có thể thao túng tâm lý nhằm lừa nạn nhân thu lại hình ảnh video eKYC và từ đó thực hiện các giao dịch đánh cắp sau này; hay nhiều nạn nhân của các vụ lừa đảo đã chủ động chuyển tiền mà không qua xác minh xem thông tin đó có đúng hay không. Trong những trường hợp như vậy, việc áp dụng công nghệ sinh trắc học không hoàn toàn loại bỏ được vấn đề lừa đảo.

"Việc người dùng bị dụ dỗ cài đặt mã độc qua các đường link hoặc ứng dụng giả mạo là một trong những phương thức phổ biến trong năm vừa qua, đặc biệt chúng nhắm tới người dùng sử dụng điện thoại thông minh kể cả các dòng máy Android hay iOS. Đối tượng lừa đảo có thể điều khiển thiết bị từ xa và thực hiện các giao dịch chuyển tiền online trái phép bằng chính sinh trắc học của nạn nhân mà họ không hề hay biết" - ông Hiếu nhấn mạnh.

Về câu chuyện xác thực sinh trắc học khi giao dịch chuyển khoản, ông Lê Đăng Ngọc - Phó Giám đốc phụ trách Khối nền tảng trí tuệ nhân tạo Viettel AI cho hay, các ngân hàng là nhóm doanh nghiệp chuyển đổi số tích cực nhất, tuy nhiên, họ cũng phải đối mặt với một số vấn đề như: Một số ngân hàng sử dụng các sản phẩm do đội ngũ về công nghệ thông tin của riêng họ phát triển. Tuy nhiên, các sản phẩm này chỉ sử dụng nội bộ trong phạm vi hoạt động của một ngân hàng nên ít được cập nhật các chứng chỉ bảo mật so với sản phẩm các công ty bảo mật. Bên cạnh đó, việc một số ngân hàng sử dụng dịch vụ của các đối tác không chuyên nghiệp cũng khiến hệ thống bị lộ điểm yếu. Điều này dẫn đến tình trạng hệ thống xác thực bị qua mặt khi người dùng thử sử dụng một vài hình thức giả mạo để quét khuôn mặt.

“Có trường hợp người dùng chỉ dùng ảnh trên một chiếc điện thoại có tần số quét cao, khoảng 120Hz là đã vượt qua việc xác thực khuôn mặt” - ông Ngọc cho biết.

Theo ông Ngọc, để tăng cường bảo mật trong xác thực, có ngân hàng có thể thuê đội ngũ chuyên gia tư vấn trong ngắn hạn. Nhưng về dài hạn, các ngân hàng nên sử dụng dịch vụ eKYC của các đơn vị uy tín, chuyên nghiệp. Các ngân hàng cần tăng cường các biện pháp bảo mật, đào tạo nhân viên về các kỹ năng phòng, chống lừa đảo, và thiết lập các quy trình ứng phó nhanh chóng khi có sự cố xảy ra; đối với người dùng, ông Ngọc cho rằng, bên cạnh xác thực sinh trắc học, vẫn cần sử dụng các biện pháp bảo mật đa yếu tố khi sử dụng các dịch vụ ngân hàng. Người dùng nên thường xuyên cập nhật kiến thức về an toàn thông tin, theo dõi thông tin từ các nguồn tin cậy để tự bảo vệ tài khoản của mình; đối với các cơ quan chức năng cần phối hợp chặt chẽ với các doanh nghiệp và người dùng, đồng thời đưa ra các chính sách và quy định kịp thời để bảo vệ người dân trên không gian mạng.