“Lá chắn” bảo mật bị xuyên thủng
Trong kỷ nguyên kinh tế số, bảo mật ngân hàng là ưu tiên số 1 để bảo vệ hệ thống tài chính của cá nhân, tổ chức. Quy định của Ngân hàng Nhà nước về việc bắt buộc xác thực sinh trắc học đối với các giao dịch trên 10 triệu đồng được kỳ vọng là “lá chắn thép” để ngăn chặn nạn lừa đảo. Song, trên thực tế ngay cả khi đã áp dụng những phương pháp sinh trắc học tối tân nhất, tiền trong tài khoản của người dân vẫn “không cánh mà bay”.
Thời gian qua, không ít tài khoản ngân hàng dù đã áp dụng các biện pháp sinh trắc học hiện đại (nhận diện khuôn mặt, dấu vân tay...) nhưng vẫn bị các đối tượng xấu “rút ruột” số tiền không nhỏ. Thực trạng trên không chỉ gây bất an cho người sử dụng dịch vụ ngân hàng, mà còn khiến các cơ quan quản lý nhà nước, bảo vệ pháp luật hết sức đau đầu. Điều này đặt ra một câu hỏi nhức nhối: Phải chăng công nghệ càng hiện đại thì tội phạm càng tinh vi, hay thực ra chúng ta đang bỏ quên những lỗ hổng chết người ngay trong hệ thống được coi là an toàn tuyệt đối?
Khi mà chúng ta lầm tưởng sinh trắc học là an toàn tuyệt đối (vì mỗi người có khuôn mặt khác nhau, dấu vân tay là duy nhất), thì tội phạm công nghệ cao đã chứng minh điều ngược lại thông qua 2 “vũ khí chính” là Deepfake và mã độc điều khiển từ xa. Với sự trợ giúp của trí tuệ nhân tạo (AI), công nghệ Deepfake có thể giả dạng khuôn mặt và giọng nói của chủ tài khoản ngân hàng với độ chính xác đến kinh ngạc. Chỉ cần 1 đoạn video chỉ vài giây, hoặc hình ảnh từ mạng xã hội, kẻ gian có thể tạo ra một thực thể số có khả năng “chớp mắt, mỉm cười” để vượt qua các vòng kiểm tra nghiêm ngặt của hệ thống bảo mật ngân hàng.
Nguy hiểm hơn là các loại mã độc (malware) núp bóng ứng dụng dịch vụ giả mạo để lừa người dùng cài đặt trên điện thoại, máy tính bảng, laptop... Khi người dùng vô tình cài đặt, kẻ gian sẽ lập tức chiếm quyền điều khiển điện thoại (Accessibility Service). Lúc này, kẻ gian không cần vượt qua sinh trắc học của ngân hàng một cách trực diện. Chúng chỉ cần đợi người dùng tự thực hiện xác thực khi giao dịch, sau đó âm thầm điều hướng dòng tiền sang tài khoản chỉ định trước tại thời điểm ứng dụng đang được mở. Sinh trắc học lúc này vô tình trở thành “chìa khóa” mà chính nạn nhân “dâng tặng” cho kẻ trộm.
Các chuyên gia IT chỉ ra rằng, dù hệ thống bảo mật ngân hàng luôn được khẳng định đạt chuẩn quốc tế, nhưng thực tế vẫn tồn tại khá nhiều “gót chân A Sin”. Chẳng hạn việc đối soát dữ liệu sinh trắc học giữa ứng dụng ngân hàng và cơ sở dữ liệu dân cư quốc gia đôi khi vẫn có độ trễ hoặc sai số kỹ thuật. Bên cạnh đó, hệ thống giám sát giao dịch chưa đủ thông minh, khả năng phát hiện dấu hiệu bất thường (Fraud Detection) vẫn là 1 lỗ hổng lớn chưa được bù đắp. Có thể lấy ví dụ: Một tài khoản vốn chỉ tiêu xài vài triệu đồng/tháng bỗng nhiên liên tục thực hiện hàng chục giao dịch một cách bất thường nhưng hệ thống lại không tự động phong tỏa, hoặc cảnh báo tới khách hàng.
Ngoài ra, việc thiếu cơ chế cảnh báo sớm dựa trên hành vi (Behavioral Biometrics) khiến sinh trắc học không còn là “lá chắn” bảo mật nữa, mà chỉ còn là một lớp cửa ngăn cách, dễ dàng để kẻ gian vượt qua. Khi kẻ trộm đã vào được nhà thì chúng có thể thong dong dọn sạch tài sản mà không phải cố kỵ điều gì, vì khi đó “chủ nhà” đâu có biết và cũng chẳng nhận được cảnh báo trộm nào từ phía ngân hàng. Vậy nhưng, khi 1 vụ việc xảy ra, thay vì hối hả tìm phương án hỗ trợ khổ chủ thu hồi tài sản, “kịch bản” quen thuộc vẫn luôn là: Hệ thống ngân hàng không có lỗi, chỉ có khách hàng tự làm lộ thông tin nên mới mất tiền. Từ đó dẫn tới việc chậm trễ trong xác minh và thu hồi dòng tiền khiến tội phạm có thời gian tẩu tán tài sản qua tiền ảo hoặc tài khoản nước ngoài gây tổn thất cho khổ chủ.
Về nguyên tắc các ngân hàng phải có nghĩa vụ bảo mật tài sản và cung cấp dịch vụ an toàn cho khách hàng. Vì thế, nếu kẻ gian vượt qua được lớp sinh trắc học bằng kỹ thuật như Deepfake mà hệ thống ngân hàng không nhận diện được, thì đó là lỗi kỹ thuật mà bên cung cấp dịch vụ (ngân hàng) không thể chối bỏ trách nhiệm, đổ lỗi hoàn toàn về phía “thượng đế”. Sẽ là trách nhiệm của người dùng nếu họ thiếu cảnh giác, tự mình cài đặt các phần mềm lạ, cấp quyền truy cập đại trà cho ứng dụng hoặc thực hiện giao dịch theo hướng dẫn của kẻ lừa đảo qua điện thoại. Tuy nhiên, trong một “thế trận” không cân sức về công nghệ, khách hàng luôn là bên yếu thế cần được bảo vệ.
Để sinh trắc học thực sự phát huy tác dụng, nên chăng các ngân hàng cần nâng cấp lên sinh trắc học hành vi (nhận diện cách người dùng cầm máy, tốc độ gõ phím...) thay vì chỉ dừng lại ở khuôn mặt tĩnh. Song, sinh trắc học cũng không phải là “đũa thần vạn năng” để có thể xóa sổ tội phạm. Lỗ hổng lớn nhất không nằm ở mã nguồn hay thuật toán, mà nằm ở sự thiếu đồng bộ giữa công nghệ và nhận thức. Bảo mật là một quá trình, không phải là một đích đến. Trong cuộc đua này, sự tỉnh táo của người dân là cần thiết, nhưng sự dám chịu trách nhiệm và cải tiến không ngừng của hệ thống ngân hàng mới là yếu tố quyết định.
