Sim điện thoại sẽ phải xác thực qua VNeID, lừa đảo không còn đất sống?
Theo Dự thảo Thông tư Bộ KH&CN đang xây dựng, tất cả số thuê bao đang hoạt động phải được đánh giá, phân loại theo giấy tờ đăng ký, hoạt động của khách hàng và mức độ tuân thủ pháp luật để lựa chọn hình thức xác thực phù hợp.
Thuê bao di động phải xác thực qua VNeID
Bộ Khoa học và Công nghệ đang lấy ý kiến cho dự thảo Thông tư hướng dẫn việc xác thực thông tin thuê bao đối với số thuê bao viễn thông di động mặt đất. Điểm mới là bổ sung hình thức xác thực trực tuyến thông qua ứng dụng định danh quốc gia VNeID, bên cạnh hai phương thức hiện có là qua ứng dụng hoặc website của doanh nghiệp viễn thông và trực tiếp tại điểm giao dịch.
Thông tư dự kiến áp dụng cho cá nhân, tổ chức đăng ký, sử dụng số thuê bao di động mặt đất tại Việt Nam và các doanh nghiệp viễn thông cung cấp dịch vụ này. Dự thảo quy định tất cả số thuê bao đang hoạt động phải được đánh giá, phân loại theo giấy tờ đăng ký, hoạt động của khách hàng và mức độ tuân thủ pháp luật để lựa chọn hình thức xác thực phù hợp.
Lừa đảo bằng sim rác sẽ được hạn chế rất lớn với những quy định chặt chẽ của Bộ Khoa học và Công nghệ.
Hướng dẫn chi tiết tại phụ lục dự thảo nêu rõ, với công dân Việt Nam đã đăng ký thuê bao bằng số định danh cá nhân, số căn cước hoặc số chứng minh nhân dân 12 số và có tài khoản định danh điện tử mức độ 2, khi có thông báo yêu cầu xác nhận, người dùng sẽ vào VNeID để xem và xác nhận hoặc từ chối việc đang trực tiếp sử dụng số điện thoại.
Ứng dụng sau đó hiển thị mẫu xin sự đồng ý chia sẻ dữ liệu cho doanh nghiệp viễn thông. Khi người dùng chấp nhận, hệ thống sẽ chuyển sang ứng dụng của doanh nghiệp để tiếp tục các bước thu nhận dữ liệu sinh trắc học khuôn mặt và đối soát bốn trường thông tin gồm số định danh cá nhân; họ, chữ đệm và tên; ngày, tháng, năm sinh; dữ liệu sinh trắc học khuôn mặt với Cơ sở dữ liệu quốc gia về dân cư.
Những trường hợp không có tài khoản định danh điện tử mức độ 2 sẽ phải thực hiện xác thực qua ứng dụng, website của doanh nghiệp hoặc trực tiếp tại điểm giao dịch theo quy trình tương ứng.
Dự thảo cũng quy định rõ các nhóm thuê bao và điều kiện xác thực. Với thuê bao di động H2H (có giao tiếp người với người), doanh nghiệp viễn thông phải xác thực điện tử giữa thông tin trên giấy tờ tùy thân, dữ liệu sinh trắc học khuôn mặt với dữ liệu trong Cơ sở dữ liệu quốc gia về dân cư, bảo đảm trùng khớp bốn trường thông tin trên. Khi đăng ký, kích hoạt từ số H2H thứ hai trở đi, người dùng phải xác thực theo quy định và đồng thời xác nhận khớp đúng bốn trường thông tin đã được xác thực điện tử với sim trước đó.
Một điểm đáng chú ý khác là quy định về thay đổi thiết bị đầu cuối. Nếu khách hàng cá nhân thay đổi thiết bị sử dụng số thuê bao di động, họ phải thực hiện xác thực lại thông tin như trường hợp đăng ký từ số thuê bao thứ hai trở đi. Với trường hợp cá nhân chỉ có một số thuê bao, mã xác thực một lần (OTP) sẽ được gửi trực tiếp đến số đó để phục vụ quá trình xác thực.
Dự thảo cũng đặt ra chế tài xử lý đối với các thuê bao không thực hiện hoặc không hoàn tất xác thực. Doanh nghiệp viễn thông sẽ tạm dừng cung cấp dịch vụ một chiều đối với các số thuê bao không xác thực hoặc xác thực không thành công cho đến khi hoàn tất theo quy định.
Lừa đảo sẽ không còn đất sống?
Ông Vũ Ngọc Sơn, Trưởng Ban Nghiên cứu, tư vấn, phát triển công nghệ và Hợp tác quốc tế của Hiệp hội An ninh mạng quốc gia (NCA) cho rằng, xác thực sinh trắc học trước đây thường chỉ được thực hiện một lần tại thời điểm đăng ký mới SIM và không gắn chặt với vòng đời sử dụng của SIM.Khi SIM đã được xác thực ban đầu, hệ thống hầu như không yêu cầu xác thực lại trong các tình huống rủi ro cao như thay đổi thiết bị đầu cuối.
Điều này tạo ra một lỗ hổng phổ biến là các đối tượng có thể đứng tên xác thực SIM hợp lệ, sau đó bán lại SIM cho người khác sử dụng, hoặc chuyển nhượng cho các nhóm lừa đảo mà không bị phát hiện. Đây chính là lý do vì sao dù đã xác thực, SIM không chính chủ và SIM rác vẫn tiếp tục tồn tại và lưu thông trên thị trường.
Dự thảo Thông tư lần này đã trực diện xử lý chính những điểm yếu đó bằng một loạt yếu tố mới mang tính nền tảng. Xác thực sinh trắc học không còn là hành động một lần, mà được gắn với các sự kiện có rủi ro cao trong suốt vòng đời thuê bao, đặc biệt là khi thay đổi thiết bị đầu cuối. Quy định buộc phải xác thực lại trong các tình huống này sẽ ngăn ngừa hình thức mua - bán SIM sau xác thực, vốn đang là "nguồn cung" chính cho các hoạt động lừa đảo.
Bên cạnh đó, dự thảo đã đưa ra chuẩn kỹ thuật tối thiểu mang tính bắt buộc, bao gồm yêu cầu về độ chính xác theo tiêu chuẩn quốc tế, tỷ lệ chấp nhận sai rất thấp và năng lực phát hiện tấn công giả mạo sinh trắc học. Điều này không chỉ nâng mặt bằng chất lượng xác thực giữa các nhà mạng lên cùng một chuẩn chung, mà còn đảm bảo rằng sinh trắc học thực sự phản ánh "con người thật" đứng sau SIM.
Thực tế của việc thành công ứng dụng xác thực sinh trắc học trong lĩnh vực ngân hàng cho thấy, khi danh tính số được kiểm soát chặt chẽ, các tài khoản rác nhanh chóng bị loại bỏ, làm gián đoạn chuỗi trung gian mà tội phạm lừa đảo thường lợi dụng. Áp dụng mô hình này cho SIM số sẽ giúp thu hẹp mạnh "nguồn đầu vào" của lừa đảo qua mạng viễn thông.
Ngoài việc ngăn chặn mua-bán SIM sau xác thực, việc yêu cầu xác thực khi đổi thiết bị cũng sẽ là rào cản kỹ thuật cho các hành vi chiếm đoạt SIM của người dùng. Bởi hiện nay, nếu chiếm được SIM, kẻ gian sẽ kiểm soát được các mã xác thực OTP gửi qua SIM, từ đó có thể chiếm đoạt tài khoản ngân hàng của nạn nhân. Quy định buộc xác thực lại sinh trắc học khi thay đổi thiết bị đầu cuối giúp phá vỡ kịch bản tấn công này.
Ngay cả khi kẻ gian chiếm được SIM vật lý hoặc thông tin cá nhân, chúng vẫn không thể hoàn tất quá trình kích hoạt nếu không vượt qua xác thực sinh trắc học trùng khớp với dữ liệu gốc. Đây là cơ chế "khóa cứng" danh tính, tương tự như các biện pháp bảo vệ đa lớp đang được ngân hàng áp dụng để bảo vệ tài khoản giá trị cao.
Khi SIM rác bị loại bỏ, các hình thức lừa đảo dựa trên gọi điện, nhắn tin hàng loạt chắc chắn sẽ suy giảm mạnh. Tuy nhiên, tội phạm mạng sẽ có xu hướng dịch chuyển sang các kênh khác như mạng xã hội, ứng dụng OTT.
Ông Vũ Ngọc Sơn nhấn mạnh, người dân cần hiểu rằng, xác thực sinh trắc học là lớp bảo vệ nền tảng, nhưng không thay thế hoàn toàn cho ý thức an toàn cá nhân.
Việc tỉnh táo trước các yêu cầu cung cấp thông tin, xác minh lại nguồn liên lạc và chủ động báo cáo các dấu hiệu bất thường vẫn là yếu tố then chốt. Khi công nghệ, chính sách và nhận thức xã hội cùng được nâng cao, "đất sống" của lừa đảo viễn thông sẽ ngày càng bị thu hẹp một cách bền vững.
Ông Vũ Ngọc Sơn khẳng định, việc kiểm soát chặt chẽ SIM số bằng xác thực sinh trắc học, tương tự như cách ngành ngân hàng đã làm với tài khoản, là bước đi tất yếu và có ý nghĩa chiến lược trong bảo đảm an ninh mạng quốc gia và bảo vệ người dân trong không gian số.
