Xác thực sinh trắc học không phải 'đũa thần' chống lừa đảo

Phương pháp tốt nhất hiện nay

Bắt đầu từ 1/7, giao dịch chuyển tiền trực tuyến trên 10 triệu một lần hoặc lũy kế trên 20 triệu đồng mỗi ngày phải xác thực khuôn mặt với mẫu khớp với cơ sở dữ liệu tập trung về dân cư.

Trước khi quy định này có hiệu lực, các ngân hàng, ví điện tử và người dùng đang chạy đua xác thực tài khoản. NHNN mới đây cũng đã có văn bản hướng dẫn chi tiết tới các tổ chức tín dụng, chi nhánh ngân hàng nước ngoài, tổ chức cung ứng dịch vụ trung gian thanh toán.

Đại diện của nhiều tổ chức tín dụng đều đồng tình với quy định mới của NHNN. Chia sẻ tại một sự kiện, Tổng Giám đốc ACB Từ Tiến Phát khẳng định, yêu cầu xác thực khuôn mặt trong giao dịch chuyển khoản trên 10 triệu đồng/lần hoặc trên 20 triệu đồng/ngày là cần thiết để ngăn chặn tội phạm đánh cắp tiền trong tài khoản người dùng.

Chia sẻ với VietnamFinance, TS Joshua Dwight, Giảng viên ngành Công nghệ thông tin, Đại học RMIT Việt Nam cho biết: “Xác thực sinh trắc học là một trong những phương thức đảm bảo an toàn thông tin tốt nhất hiện nay và thường là một phần không thể thiếu trong các khuôn khổ tuân thủ bảo mật”.

Ông lý giải, các quy định mới này tập trung vào xác thực đa yếu tố (multi-factor authentication - MFA). MFA thường liên quan đến việc sử dụng ít nhất hai trong ba yếu tố xác thực sau: thứ bạn có, thứ bạn biết và/hoặc một thứ thuộc về con người bạn. Ví dụ, “thứ bạn có” là một thiết bị như điện thoại thông minh, “thứ bạn biết” là mật khẩu hoặc mã PIN, “thứ thuộc về con người bạn” là dấu vân tay hoặc hình scan khuôn mặt – hay còn gọi là xác thực sinh trắc học.

“Một trong những lợi ích to lớn của việc sử dụng xác thực sinh trắc học là thông tin này độc bản và phức tạp hơn, khiến kẻ xấu khó sao chép hoặc bắt chước. Một lợi ích khác là tính tiện dụng. Hầu hết mọi người đều không giỏi ghi nhớ mật khẩu hoặc mã PIN, vì vậy việc sở hữu một chiếc điện thoại thông minh với khả năng sinh trắc học sẽ giúp giảm một số rủi ro an toàn thông tin khi thực hiện chuyển khoản cho cả người tiêu dùng và các tổ chức tài chính”, ông nói.

Tại nhiều quốc gia trên thế giới, người dân cũng sẵn sàng áp dụng sinh trắc học. Theo báo cáo Thanh toán kỹ thuật số năm 2023 (Digital Payments 2023) của Pymnts.com dựa trên khảo sát 3.200 người tiêu dùng Hoa Kỳ, hơn 50% cho biết họ sẽ áp dụng sinh trắc học nếu họ sử dụng thiết bị di động của mình để giao dịch.

Vẫn phải đánh đổi

Song, TS Joshua Dwight cũng cho rằng, “bất kỳ quy định hoặc quyết định mới nào đều đi kèm với sự đánh đổi nhất định”.

Đầu tiên, TS Joshua Dwight cho rằng, cả tổ chức tài chính lẫn khách hàng sử dụng dịch vụ ngân hàng có thể sẽ phải gánh thêm một số chi phí gia tăng. Những chi phí phát sinh này có thể liên quan tới việc triển khai, vận hành, bảo trì và quản lý hệ thống xác thực sinh trắc hoặc chi phí bảo mật.

Một trở ngại khác là việc phổ cập điện thoại thông minh với chức năng phù hợp. Về cơ bản, khách hàng phải sở hữu một thiết bị thông minh có khả năng quét và lưu trữ sinh trắc học để tiến hành xác thực sinh trắc học.

Trở ngại thứ ba là các tổ chức tài chính cần phải có đội ngũ nhân viên giàu kinh nghiệm, có đầy đủ kỹ năng và kiến ​​thức để quản lý hệ thống sinh trắc học.

Liên quan đến vấn đề áp dụng sinh trắc học, không ít ý kiến bày tỏ sự nghi ngại về tính bảo mật của phương pháp này. Nhiều người cho rằng việc cung cấp thông tin sinh trắc học cho ngân hàng sẽ là mối đe dọa về an ninh dữ liệu nếu thông tin vô tình lọt vào tay kẻ xấu, bị sử dụng sai mục đích. Điều này giống như tình trạng thông tin cá nhân (số điện thoại, địa chỉ,…) bị rao bán trên mạng lâu nay.

Trước những lo ngại trên, ông Joshua Dwight cho biết: “Quyền riêng tư dữ liệu và việc lạm dụng thông tin nhận dạng cá nhân là những vấn đề đáng lo ngại, đặc biệt là ở Việt Nam”.

Do đó, ông Joshua Dwight khuyến nghị các tổ chức tài chính phải thận trọng trong việc bảo vệ dữ liệu bằng cách áp dụng các biện pháp kiểm soát truy cập và mã hóa bài bản nhằm bảo vệ dữ liệu được lưu trữ. Không nên cho phép bất kỳ ai trong tổ chức cũng có quyền dễ dàng truy cập và sao chép thông tin (bao gồm dữ liệu sinh trắc học), nhằm phòng ngừa kẻ xấu trong nội bộ tổ chức có hành vi phi đạo đức hoặc hành vi lệch chuẩn.

Song song với đó, các ngân hàng cũng nên áp dụng mô hình bảo mật zero-trust (theo đó tất cả người dùng và thiết bị đều mặc định được coi là không đáng tin cậy) hoặc nguyên tắc đặc quyền tối thiểu để chỉ cho phép nhân viên truy cập dữ liệu cần thiết trong khuôn khổ trách nhiệm công việc của họ.

Các ngân hàng cũng cần bảo vệ dữ liệu đang truyền, tức là dữ liệu trong quá trình trung chuyển giữa chính phủ, ngân hàng và người tiêu dùng bằng cách sử dụng nhiều phương pháp kỹ thuật khác nhau như tokenization (token hóa dữ liệu) nhằm tạo ra một phiên bản đại diện dạng kỹ thuật số cho dữ liệu nhạy cảm, hoặc sử dụng kỹ thuật mã hóa nhằm ứng dụng thuật toán toán học để thay đổi dữ liệu thành các ký tự khó hiểu.

Đồng thời, ông cũng nhấn mạnh việc áp dụng sinh trắc học chỉ giúp chặn được chuyển tiền trong một số trường hợp, không phải “cây đũa thần” giúp tránh được mọi hình thức lừa đảo.

“Các mối đe dọa phổ biến nhất là tấn công giả mạo (phishing) và lừa đảo trực tuyến. Các cuộc tấn công phi kỹ thuật (social engineering) như vậy là mối lo ngại lớn bởi chúng có thể qua mặt được xác thực đa yếu tố, bao gồm cả sinh trắc học.

Nhất là trong những trường hợp chủ tài khoản - người có danh tính được xác thực và được ủy quyền - bị lừa để tự nguyện cung cấp thông tin và quyền truy cập vào tài khoản ngân hàng của họ hoặc tự chuyển tiền cho một kẻ lừa đảo ác ý. Chính vì thế, không ai khác mà chính chủ tài khoản phải tự ý thức bảo vệ tài khoản của chính mình.

Nhiều đối tượng lừa đảo sử dụng các thủ đoạn tâm lý như giả làm người có thẩm quyền (cán bộ công an,..) hoặc lợi dụng những kẽ hở của pháp luật để buộc nạn nhân phải đưa ra quyết định sai lầm. Vì vậy, khi được liên hệ qua email, ứng dụng nhắn tin hoặc cuộc gọi điện thoại, chủ tài khoản cần suy nghĩ chậm rãi và thấu đáo, và xác thực thông tin để ngăn chặn các hành vi lừa đảo.

“Nhân viên ngân hàng, cơ quan thực thi pháp luật và những người khác không được yêu cầu chủ tài khoản cung cấp mật khẩu một lần (OTP) gửi tới điện thoại của bạn hoặc thông tin đăng nhập vào tài khoản của bạn. Nói chung, chủ tài khoản nên bỏ qua đối tượng đã liên lạc với mình và liên hệ trực tiếp với ngân hàng để xác minh liệu đang có vấn đề gì không”, ông khuyến nghị.