Ngân hàng gồng mình chống lừa đảo bằng AI

Đồng thời người dùng cũng cần nâng cao cảnh giác.

Cuối tháng 5 vừa qua, Cơ quan Cảnh sát điều tra (PC02) Công an tỉnh Thái Bình cho biết đã triệt phá chuyên án đánh bạc trên không gian mạng và rửa tiền quy mô lớn. Điều đáng chú ý là đường dây đánh bạc này trị giá hơn 1.000 tỉ đồng và các đối tượng đã sử dụng công nghệ AI để tạo ra video giả mạo sinh trắc học, đánh lừa hệ thống của ngân hàng nhằm chuyển tiền vào trang web cờ bạc. Đây là lần đầu tiên tại Việt Nam ghi nhận hình thức lừa đảo tinh vi như vậy.

Lỗ hổng bảo mật

Sự việc này khiến nhiều người bày tỏ băn khoăn về độ bảo mật của giải pháp xác thực sinh trắc học. Bởi, gần 1 năm trước, vào tháng 7-2024, Ngân hàng Nhà nước (NHNN) đã yêu cầu bắt buộc các chủ tài khoản phải xác thực sinh trắc học mới thực hiện được các giao dịch như chuyển khoản hoặc nạp tiền vào ví điện tử trên 10 triệu đồng. Quy định này giúp tăng cường xác minh danh tính chính chủ, giảm thiểu tình trạng giả mạo và gian lận. Tuy nhiên, biện pháp tưởng như an toàn này lại đang bị các đối tượng lợi dụng nếu hệ thống không đạt chuẩn bảo mật.

Trao đổi với phóng viên Báo Người Lao Động, ông Phạm Anh Tuấn, Vụ trưởng Vụ Thanh toán - NHNN, cho biết sau khi nhận được thông tin từ cơ quan công an, NHNN đã chấn chỉnh và yêu cầu các tổ chức cung ứng dịch vụ liên quan phải rà soát và nâng cấp hệ thống bảo mật. Nếu các đơn vị không đạt các tiêu chuẩn quốc tế sẽ bị đình chỉ cung cấp dịch vụ trực tuyến.

"Chúng ta dùng AI để phát triển công nghệ thì tội phạm cũng dùng AI để vi phạm pháp luật. Trong vụ việc vừa qua, một số nền tảng chưa bảo đảm các chứng chỉ bảo mật quốc tế về định danh điện tử (eKYC), khiến lỗ hổng bị khai thác. Cuộc chiến với tội phạm mạng là không có điểm dừng, vì vậy các tổ chức cần đầu tư nghiêm túc và liên tục nâng cấp bảo mật" - ông Tuấn nhấn mạnh.

Các biện pháp sinh trắc học khi giao dịch ngân hàng vẫn chưa thể an toàn nếu hệ thống ngân hàng không được đầu tư kỹ lưỡng. Ảnh: LAM GIANG

Ông Vũ Ngọc Sơn, Trưởng Ban Nghiên cứu Công nghệ của Hiệp hội An ninh mạng quốc gia, nhận định trong vụ việc tại Thái Bình, có thể các đối tượng sử dụng điện thoại Android đã "root" - tức đã bị can thiệp để truy cập hệ thống ở mức sâu nhất. Với thiết bị như vậy, chúng có thể cài đặt camera ảo, một phần mềm giả lập camera, để đánh lừa ứng dụng ngân hàng khi xác thực khuôn mặt. "Thay vì sử dụng camera thật, phần mềm sẽ phát đoạn video được dựng sẵn hoặc tạo bằng AI, khiến hệ thống tin rằng người dùng đang xác thực thật. Từ đó, quy trình xác thực sinh trắc học bị qua mặt" - ông Sơn giải thích.

Tuy vậy, chuyên gia này cũng cho biết không phải tất cả ứng dụng ngân hàng đều dễ bị "qua mặt" bằng cách này. Vì thế, người dùng không nên quá hoang mang nhưng cần tỉnh táo và không chủ quan khi giao dịch.

Theo PGS-TS Nguyễn Thanh Hiên, nhà sáng lập Công ty NewAI, các mô hình AI hiện nay rất tinh vi, có thể xử lý đa phương thức, bao gồm hình ảnh, âm thanh và văn bản, với mức độ chân thực đến mức khó phân biệt thật giả. Dù vậy, không phải nội dung AI tạo ra nào cũng đủ khả năng đánh lừa hệ thống, nếu hệ thống được xây dựng bài bản.

"AI cần được sử dụng như công cụ chủ lực để chống lại chính những nội dung giả mạo do AI tạo ra. Tuy nhiên, vai trò của con người vẫn rất quan trọng: đó là những chuyên gia bảo mật trực tiếp vận hành, giám sát và phối hợp với công nghệ nhằm phát hiện, ngăn chặn hành vi lừa đảo kịp thời, hiệu quả" - ông Hiên nói.

Loại bỏ hàng triệu tài khoản "rác"

Nhằm tăng cường bảo mật trong giao dịch, ngành ngân hàng đang triển khai nhiều giải pháp, trong đó có yêu cầu xác thực sinh trắc học trên diện rộng. Theo thống kê, cả nước có khoảng 200 triệu tài khoản ngân hàng. Tuy nhiên, sau khi áp dụng xác thực sinh trắc học và đối chiếu với cơ sở dữ liệu quốc gia, chỉ còn 113 triệu tài khoản cá nhân và hơn 711.000 tài khoản tổ chức "sống". Như vậy, khoảng 86 triệu tài khoản có thể là "rác", "ngủ đông" hoặc phục vụ mục đích gian lận - nay không thể tiếp tục hoạt động.

Ông Trần Công Quỳnh Lân, Phó Tổng Giám đốc VietinBank, cảnh báo các hành vi gian lận đang ngày càng tinh vi và có tổ chức, với thủ đoạn luân chuyển tài sản qua nhiều tài khoản khác nhau để gây khó khăn cho khâu truy vết. Về phía người dùng, ông nhấn mạnh cần sử dụng đồng thời nhiều biện pháp bảo mật như sinh trắc học, mật khẩu, mã OTP. Bởi, không có giải pháp nào là tuyệt đối an toàn nhưng nếu phối hợp nhiều lớp bảo mật sẽ tăng cường hiệu quả bảo vệ.

NHNN cũng đã ban hành nhiều quy định mới nhằm kiểm soát rủi ro. Trong đó có yêu cầu các tổ chức tín dụng phải gửi thông tin về tài khoản nghi ngờ gian lận về NHNN để xây dựng kho dữ liệu chung. Tính đến nay, đã có hơn 350.000 tài khoản nghi ngờ được thu thập và chia sẻ nội bộ. Đây là một phần của hệ thống giám sát giao dịch bằng AI, công cụ giúp phát hiện và chặn các giao dịch có dấu hiệu bất thường.

Điển hình là BIDV, ngân hàng đầu tiên áp dụng hệ thống cảnh báo giao dịch nghi ngờ từ ngày 1-4-2025. Khi khách hàng nhập tài khoản người nhận, hệ thống sẽ dò quét và cảnh báo nếu đó là tài khoản nằm trong danh sách nghi ngờ. Trong một tháng thử nghiệm, đã có 40.000 giao dịch bị dừng lại, với tổng giá trị lên tới 160 tỉ đồng.

Đại diện ngân hàng này đánh giá tính năng này đã hỗ trợ hiệu quả người dùng trong việc phát hiện dấu hiệu lừa đảo và góp phần ngăn chặn tổn thất tài chính. BIDV đang phối hợp cùng Bộ Công an và NHNN để cập nhật liên tục cơ sở dữ liệu tài khoản nghi ngờ.

Theo kế hoạch, Vietcombank, MB, VietinBank và Agribank sẽ sớm triển khai hệ thống cảnh báo tương tự. NHNN sẽ tiến hành sơ kết sau tháng 7-2025 và mở rộng triển khai cho toàn ngành.

THÁI PHƯƠNG - LÊ TỈNH