Deepfake có thể phá được 'hàng rào bảo vệ' sinh trắc học?
Ngay cả khi áp dụng các biện pháp xác thực sinh trắc học, khách hàng cần hết sức cẩn trọng khi thực hiện các giao dịch tài chính. Bởi kẻ xấu không khó để thu thập hình ảnh của một người rồi tạo ra các bản sao giả mạo hoàn hảo với đầy đủ đặc điểm sinh trắc học cá nhân để thực hiện các giao dịch trái phép.
Phó Thống đốc Phạm Tiến Dũng khẳng định, Ngân hàng Nhà nước (NHNN) đã yêu cầu các ngân hàng thực hiện nghiêm túc áp dụng eKYC xác thực định danh khách hàng, phải có chức năng chống giả mạo, chống công nghệ deepfake và giả mạo ảnh tĩnh.
Phương thức lừa đảo liên tục thay đổi
Theo NHNN, toàn hệ thống ngân hàng có hơn 180 triệu tài khoản thanh toán cá nhân đang hoạt động, hơn 87% người trưởng thành đã có tài khoản thanh toán tại ngân hàng và nhiều ngân hàng đã có trên 95% số lượng giao dịch được xử lý trên kênh số.
Thanh toán không dùng tiền mặt tăng trưởng mạnh mẽ, đặc biệt về số lượng giao dịch thanh toán qua di động (Mobile) và QR code bình quân qua các năm từ 2017 - 2023 đạt trên 100%/năm. Hạ tầng công nghệ ngân hàng thường xuyên được đầu tư nâng cấp, phát triển, đảm bảo hoạt động liên tục, thông suốt, an toàn; hệ thống thanh toán điện tử liên ngân hàng xử lý bình quân 830 nghìn tỷ đồng/ngày (tương đương 40 tỷ USD), hệ thống chuyển mạch tài chính và bù trừ điện tử xử lý bình quân 20-25 triệu giao dịch/ngày.
Tình trạng lừa đảo qua mạng không ngừng gia tăng
Tuy nhiên, theo các chuyên gia, thanh toán không dùng tiền mặt ngày càng phát triển thì tình trạng lừa đảo đánh cắp tiền trong tài khoản khách hàng ngày càng gia tăng và hình thức lừa đảo ngày càng tinh vi khiến không chỉ những người dân thiếu kiến thức mà rất nhiều trường hợp nạn nhân của những vụ lừa đảo trong lĩnh vực tài chính - ngân hàng lại là những người có hiểu biết, danh tiếng lẫn địa vị xã hội.
Bên cạnh hình thức lừa đảo giả mạo nhân viên ngân hàng hỗ trợ cập nhật sinh trắc học đang rộ lên những ngày gần đây, các chuyên gia của Bkav cũng cảnh báo nguy cơ lừa đảo Deepfake trong giao dịch ngân hàng.
Ông Vũ Ngọc Sơn, Giám đốc công nghệ Công ty an ninh mạng NCS, cho biết trong những ngày qua, lợi dụng tình trạng nhiều người dùng gặp khó khăn trong việc cài đặt xác thực sinh trắc học trên điện thoại phục vụ giao dịch ngân hàng, một số đối tượng lừa đảo đã lợi dụng điều này để phát tán phần mềm độc hại.
Cụ thể, các đối tượng lừa đảo gọi điện cho người dùng, giả danh ngân hàng hướng dẫn người dùng tải app để thực hiện xác thực nhanh hơn, nhưng thực chất là lừa người dùng cài đặt app giả mạo, có mã độc hại, chủ yếu là tập trung vào người dùng hệ điều hành Android.
Khi người dùng cài app này, cấp quyền truy cập cho app, đặc biệt là quyền accessibility (quyền trợ năng), hacker có thể từ xa điều khiển điện thoại, chiếm quyền và lấy cắp tiền trong tài khoản. "Loại mã độc này vốn đã rất phổ biến tại Việt Nam thời gian trước đây, từng giả mạo các ứng dụng nổi tiếng như VNeID, thuế hay chính phủ", ông Sơn thông tin.
Những ngày qua, hàng loạt ngân hàng như Agribank, Vietcombank, Sacombank, ACB, SHB… đều khuyến cáo: Khách hàng chỉ cập nhật dữ liệu sinh trắc học trên ứng dụng của ngân hàng mở tài khoản thanh toán. Không cập nhật dữ liệu sinh trắc học qua bất kỳ website hay ứng dụng nào khác. Các ngân hàng tuyệt đối không yêu cầu khách hàng cung cấp OTP, mật khẩu, số thẻ… qua điện thoại hoặc đường link. Trường hợp khách hàng gặp khó khăn trong quá trình thu thập sinh trắc học có thể liên hệ tổng đài hoặc đến trực tiếp điểm giao dịch của ngân hàng nơi gần nhất để được hỗ trợ.
Deepfake vẫn có thể lách qua sinh trắc học?
Ông Lưu Danh Đức, Phó Tổng Giám đốc phụ trách Khối Công nghệ thông tin của SHB nhận định, sau dịch COVID-19, các giao dịch trên kênh số bùng nổ cũng kéo theo xu hướng tấn công nhiều hơn vào khách hàng và thiết bị của người dùng.
Đặc biệt, gần đây, chiêu thức lừa đảo của tội phạm còn tinh vi hơn khi sử dụng AI Deepfake. Hacker sẽ thu thập hình ảnh, video, voice, thông tin cá nhân của khách hàng, sau đó sử dụng AI (Deep learning) để hoán đổi khuôn mặt, tạo video deep fake hình ảnh của nạn nhân.
Đại diện SHB nhấn mạnh, để triệt để xử lý gốc rễ vấn đề lừa đảo trên mobile app thì công tác truyền thông/giáo dục tới khách hàng phải được thực hiện mạnh mẽ, đa kênh và hiệu quả hơn nữa để người dân nâng cao ý thức cảnh giác.
Bên cạnh các giải pháp liên tục cảnh báo tới khách hàng, SHB đã xây dựng hệ thống phòng thủ để ngăn ngừa tấn công mạng nhằm bảo vệ tối đa tài sản công cũng như tài sản của khách hàng trong hệ thống.
Riêng đối với ngăn chặn giả mạo bằng Deepfake, SHB cũng đang tiến hành sử dụng AI, Machine learning; áp dụng các giải pháp sinh trắc học nâng cao. "Hiện nay, SHB đang nỗ lực nhằm biến mobile app thành "thành trì" bảo vệ khách hàng bằng việc thiết kế các chức năng thông minh nhằm hiểu được hoạt động của người sừ dụng, phát hiện những hoạt động bất thường..., qua đó giúp ngăn chặn những hành vi gian lận", ông Lưu Danh Đức nói.
Ông Nguyễn Quốc Hùng, Phó Chủ tịch kiêm Tổng Thư ký Hiệp hội Ngân hàng khẳng định: Mục đích chung là các ngân hàng phải xây dựng quy trình bảo vệ khách hàng an toàn, cũng như có sự phối hợp chặt chẽ với nhau. Các đơn vị phải phối hợp bảo đảm tài khoản của khách hàng an toàn, dù là khách hàng của ngân hàng nào.
Phó Thống đốc Phạm Tiến Dũng cho hay: "Quyết định 2345 sẽ góp phần giảm lừa đảo, giảm tài khoản chứa tiền lừa đảo. Ngân hàng nào mà không truy được tài khoản lừa đảo thì ngân hàng đó kém và khách hàng sẽ lựa chọn ngân hàng tốt hơn. Do đó, ngân hàng phải làm và không thể lơ là câu chuyện này". Phó Thống đốc nhấn mạnh, mục đích cuối cùng của giải pháp này là phòng chống lừa đảo trên không gian mạng, bảo vệ người dân.
Các chuyên gia cho rằng mặc dù các biện pháp xác thực sinh trắc học như nhận diện khuôn mặt, vân tay hay giọng nói đang được áp dụng rộng rãi nhằm đảm bảo an toàn cho các giao dịch, Deepfake vẫn có thể lách qua những biện pháp bảo mật này.
Ông Nguyễn Văn Thứ, Tổng giám đốc An ninh mạng của Bkav cho biết: “Với sự bùng nổ của các ứng dụng mạng xã hội như hiện nay, kẻ xấu không khó để thu thập hình ảnh của một người rồi tạo ra các bản sao giả mạo hoàn hảo với đầy đủ đặc điểm sinh trắc học cá nhân để thực hiện các giao dịch trái phép, đặc biệt trong bối cảnh ChatGPT và AI - trí thông minh nhân tạo đang phát triển rất nhanh”.
Chuyên gia Bkav khuyến cáo khách hàng cần hết sức cẩn trọng khi thực hiện các giao dịch tài chính, ngay cả khi đã áp dụng các biện pháp xác thực sinh trắc học. Người dùng cần thường xuyên kiểm tra lịch sử giao dịch, không chia sẻ thông tin cá nhân và đề cao cảnh giác.
Các ngân hàng cũng cần liên tục cập nhật các giải pháp công nghệ tiên tiến, kết hợp nhiều lớp bảo mật để chống lại các cuộc tấn công Deepfake.
“Việc nâng cao nhận thức và sự phối hợp chặt chẽ giữa ngân hàng và khách hàng là rất quan trọng để bảo vệ an toàn tài chính trong kỷ nguyên số”, chuyên gia của Bkav nhấn mạnh.
