App ngân hàng nguy cơ bị 'lừa' bởi ảnh tĩnh khi xác thực chuyển tiền?

Xôn xao app ngân hàng bị "lừa" bởi ảnh tĩnh

Một vài ngày đầu khi Quyết định 2345/QĐ-NHNN có hiệu lực, nhiều người phản ánh thử nghiệm một số app ngân hàng tại Việt Nam cho thấy hệ thống xác thực chuyển tiền bị đánh lừa bởi ảnh chụp sẵn, thay vì khuôn mặt thật của người dùng. Có nghĩa là người chuyển tiền không cần phải quét mặt thật của mình mà chỉ cần quét một tấm ảnh chân dung.

Nhiều người hoang mang khi chỉ dùng ảnh tĩnh vẫn có thể xác thực sinh trắc học để chuyển tiền.

Trên mạnh xã hội, nhiều người thắc mắc về hiện tượng trên và lo lắng chế độ bảo mật không hiệu quả, nguy cơ thất thoát tài sản có thể xảy ra.

Tuy nhiên, hiện nay, việc chuyển tiền chỉ nhờ quét ảnh tĩnh để xác thực sinh trắc học đã không còn diễn ra.

Nói về hiện tượng trên, ông Vũ Ngọc Sơn, Giám đốc kỹ thuật Công ty cổ phần Công nghệ an ninh mạng quốc gia Việt Nam (NCS) cho hay, đây không phải là lỗi. Đó là do tính năng Liveness Detection bị tắt sau đó được bật lại.

Ông Sơn lý giải, các nhà cung cấp công nghệ xác thực sinh trắc học thường cung cấp tính năng Liveness Detection, giúp phát hiện ảnh thu được từ camera là ảnh thu của vật thể sống hay là ảnh tĩnh hoặc video clip. Nếu ngân hàng tắt tính năng này đi, một số người có thể dùng ảnh hoặc clip để xác thực sinh trắc học.

Theo ông Sơn, tình huống trên xảy ra chỉ trong vòng một vài phút vào ngày 1/7 - thời điểm ngân hàng bắt đầu thực hiện xác thực sinh trắc học để chuyển tiền.

Ông Sơn khẳng định xác suất xảy ra việc xác thực bằng ảnh tĩnh là rất thấp, chỉ khi người chuyển tiền vào đúng thời điểm ngân hàng tắt tính năng. Đây không phải là lỗi hệ thống nên không nguy hiểm. Vì vậy, người dân không nên quá hoang mang.

Trong hội nghị diễn ra ngày 4/7, Phó Thống đốc Ngân hàng Nhà nước (NHNN) Phạm Tiến Dũng xác nhận có một số thử nghiệm cho thấy hệ thống xác thực của ngân hàng bị đánh lừa bởi ảnh tĩnh thay vì khuôn mặt thật của người dùng. Nguyên nhân là do số lượng giao dịch trong những ngày đầu tiên tăng đột biến nên một số ngân hàng đã tạm tắt chức năng Liveness trong sinh trắc học để đảm bảo tính ổn định, thông suốt của hệ thống.

Theo ông Dũng, Liveness trong xác thực sinh trắc học là thêm một lớp bảo vệ, tức các lớp bảo vệ khác vẫn hoạt động bình thường khi lớp này tắt. Khi bật chức năng này lên, lỗ hổng xác thực bằng ảnh tĩnh không còn.

Phó Thống đốc cho hay, hiện nay, tình trạng dùng ảnh tĩnh để "vượt" hệ thống sinh trắc học đã được khắc phục.

Để tránh lỗ hổng này, NHNN đã yêu cầu các ngân hàng thực hiện việc eKYC - giải pháp xác thực định danh khách hàng trực tuyến, phải có chức năng chống giả mạo, Deepfake và ảnh tĩnh.

Theo ông Huỳnh Tuấn Kiệt, Giám đốc công nghệ một startup về tài chính tại TP HCM, nhiều ngân hàng phải dùng giải pháp sinh trắc học từ bên thứ ba. Việc xác thực chia ra nhiều cấp độ, từ việc đối chứng ảnh từ kho dữ liệu và ảnh của người dân khi giao dịch đến việc xác định hình ảnh có bị mạo danh hay không. Trong khi đó, các giải pháp phức tạp như phát hiện ảnh tĩnh, ảnh động, thực thể sống, ảnh Deepfake tốn nhiều tài nguyên và thời gian.

Cẩn trọng với tội phạm công nghệ

Theo các chuyên gia, thanh toán không dùng tiền mặt càng phát triển thì tình trạng lừa đảo đánh cắp tiền trong tài khoản khách hàng càng gia tăng và hình thức lừa đảo càng tinh vi.

Ngay cả khi áp dụng các biện pháp xác thực sinh trắc học, khách hàng cần hết sức cẩn trọng khi thực hiện các giao dịch tài chính. Bởi kẻ gian không khó để thu thập hình ảnh của một người rồi tạo ra các bản sao giả mạo hoàn hảo với đầy đủ đặc điểm sinh trắc học cá nhân để thực hiện các giao dịch trái phép.

Trung tá Triệu Mạnh Tùng, Phó Cục trưởng Cục An ninh mạng và Phòng, chống tội phạm sử dụng công nghệ cao, Bộ Công an, cho hay, hiện có hàng trăm hàng nghìn phương thức lừa đảo. Mỗi khi có một chính sách mới, có sự kiện mới, các đối tượng lại tiếp tục nghiên cứu kịch bản để dẫn dụ người bị hại vào cạm bẫy, thậm chí tinh vi hơn như lợi dụng chính sách chuyển đổi số, chính sách cập nhật thông tin để dẫn dụ người dùng cài ứng dụng có chứa mã độc hoặc truy cập vào đường link chứa mã độc để chiếm dụng điện thoại, chiếm đoạt tài sản.

Các ngân hàng đều phải đầu tư vào nền tảng công nghệ để khi người dùng quét vân tay hoặc quét khuôn mặt thì phải là khuôn mặt sống, vân tay sống của người giao dịch. Nhưng chúng ta vẫn phải đối mặt với một vài rủi ro chẳng hạn như sử dụng Deepfake để vượt qua một vài chốt chặn xác thực sinh trắc học của các ngân hàng. Nếu có những phương thức mới, ngân hàng phải tiếp tục xây dựng hệ thống để trang bị công nghệ chống lại hình thức gian lận này.

Ông Nguyễn Văn Thứ, Tổng giám đốc An ninh mạng của Bkav chia sẻ, với sự bùng nổ của các ứng dụng mạng xã hội như hiện nay, kẻ xấu không khó để thu thập hình ảnh của một người rồi tạo ra các bản sao giả mạo hoàn hảo với đầy đủ đặc điểm sinh trắc học cá nhân để thực hiện các giao dịch trái phép, đặc biệt trong bối cảnh ChatGPT và AI - trí thông minh nhân tạo đang phát triển rất nhanh.

Người dùng cần thường xuyên kiểm tra lịch sử giao dịch, không chia sẻ thông tin cá nhân và đề cao cảnh giác. Còn các ngân hàng cũng cần liên tục cập nhật các giải pháp công nghệ tiên tiến, kết hợp nhiều lớp bảo mật để chống lại các cuộc tấn công Deepfake.

Về phía ngân hàng, ông Lưu Danh Đức - Phó Tổng Giám đốc Ngân hàng Sài Gòn - Hà Nội (SHB) cho hay: "Ngoài nhìn thẳng, khách hàng còn phải quay trái, quay phải. Đó cũng là yếu tố để chúng tôi tránh giả mạo ảnh tĩnh, tiếp tục cài đặt thêm chức năng cùng nhà cung cấp giải pháp sinh trắc học chống giả mạo Deepfake".