Hacker vẫn có thể trộm tiền ngay cả khi xác thực khuôn mặt

Trong bối cảnh thanh toán không tiền mặt tăng nhanh, xuất hiện tình trạng kẻ xấu lợi dụng nhiều thủ đoạn khác nhau để trục lợi và lừa đảo người dùng.

Để hạn chế điều này, từ 1/7/2024, tất cả giao dịch chuyển khoản có giá trị trên 10 triệu đồng bắt buộc phải kiểm tra khuôn mặt của người giao dịch với người mở tài khoản ngân hàng.

Khuôn mặt chủ tài khoản khi mở tài khoản phải được kiểm tra với thông tin trên căn cước công dân (CCCD) gắn chip. Ngoài ra, nếu giao dịch của người dùng trong một ngày đạt ngưỡng 20 triệu, họ sẽ phải thực hiện việc xác thực lại khuôn mặt.

Đây là một nội dung trong Quyết định số 2345/QĐ-NHNN về triển khai các giải pháp an toàn, bảo mật trong thanh toán trực tuyến và thanh toán thẻ ngân hàng.

Tại Tọa đàm phòng, chống lừa đảo trên không gian mạng do Hiệp hội An ninh mạng Quốc gia tổ chức, Phó Thống đốc Ngân hàng Nhà nước Việt Nam Phạm Tiến Dũng cho biết, 91% các vụ lừa đảo liên quan đến tài khoản ngân hàng. Việc tất cả giao dịch ngân hàng có giá trị trên 10 triệu đồng sẽ bắt buộc phải kiểm tra khuôn mặt sẽ giúp tăng cường an toàn, bảo mật trong thanh toán trực tuyến.

Theo ông Dũng, trước kia, giao dịch viên rất khó xác định đâu là giấy tờ thật, giả bằng mắt thường. Tuy nhiên, điều này có thể được giải quyết bằng công nghệ. CCCD gắn chip sẽ đảm bảo việc người mở tài khoản ngân hàng là thật, không sử dụng giấy tờ giả. 

Với công nghệ xử lý hình ảnh hiện nay, chuyên gia Thái Trí Hùng, CTO ví điện tử MoMo cho rằng, quy trình xác thực khuôn mặt thường chỉ mất khoảng 2-3 giây là hoàn thành. 

"Quy trình xác thực của chúng tôi sử dụng công nghệ nhận diện khuôn mặt dựa trên công nghệ AI và các thuật toán phòng chống giả mạo. Khi thực hiện xác thực khuôn mặt, người dùng sẽ cần chụp một bức ảnh khuôn mặt qua ứng dụng. Hệ thống sẽ so sánh bức ảnh này với ảnh trong cơ sở dữ liệu CCCD gắn chip để xác minh danh tính", CTO MoMo chia sẻ.

Bình luận về quy định mới, ông Ngô Minh Hiếu, nhà sáng lập dự án Chống lừa đảo cho hay, yêu cầu xác thực sinh trắc học với các giao dịch giá trị lớn có thể giúp giảm thiểu rủi ro về an toàn thông tin. Tuy vậy, vẫn tồn tại các lỗ hổng tiềm ẩn mà đối tượng tội phạm có thể lợi dụng.

Nhiều nạn nhân của các vụ lừa đảo đã chủ động chuyển tiền dựa trên thông tin sai lệch mà họ nhận được nhưng không xác minh. Trường hợp này, việc áp dụng công nghệ sinh trắc học không hoàn toàn loại bỏ được vấn đề lừa đảo, do kẻ gian vẫn có thể thuyết phục nạn nhân thực hiện các giao dịch một cách tự nguyện. 

Bên cạnh đó, còn một lỗ hổng khác khi điện thoại của người dùng bị kẻ lừa đảo cài cắm mã độc để điều khiển thiết bị từ xa, thu lại video các thao tác trên máy, bao gồm cả hình ảnh, video khuôn mặt của nạn nhân. Với những thông tin này, kẻ xấu có thể dùng chúng để thực hiện hành vi rút tiền từ tài khoản của nạn nhân bằng chính khuôn mặt họ.

"Mặc dù nhận dạng sinh trắc học là một bước tiến trong việc bảo mật giao dịch, nhưng để đối phó hiệu quả với tội phạm lừa đảo, việc xây dựng và triển khai một hệ thống “báo động đỏ liên ngân hàng” cũng rất quan trọng. Đây có thể xem là một phần của giải pháp tổng thể nhằm tăng cường an ninh và an toàn thông tin cho các giao dịch tài chính" ông Hiếu nói.

Để tăng cường bảo mật cho các giao dịch chuyển khoản, các ngân hàng cần tuân thủ các tiêu chuẩn bảo mật quốc tế, tổ chức đào tạo liên tục về nhận diện và ứng phó với các mối đe dọa an ninh mạng. 

Các ngân hàng cũng cần triển khai công nghệ AI và học máy để phát hiện và ngăn chặn các cuộc tấn công mạng; kiểm tra, đánh giá bảo mật định kỳ, cập nhật thường xuyên để vá các lỗ hổng bảo mật, áp dụng nguyên tắc "ít quyền nhất" trong quản lý quyền truy cập.

Theo ông Hiếu, để tăng cường bảo mật cho các giao dịch chuyển khoản, người dùng nên sử dụng mật khẩu mạnh và thay đổi mật khẩu thường xuyên, kích hoạt xác thực hai yếu tố (2FA). 

“Người dùng cũng cần cảnh giác và có biện pháp xác thực khi nhận thông tin từ người lạ, hạn chế sử dụng mạng WiFi công cộng, giữ bảo mật thông tin cá nhân bằng cách khóa thẻ giao dịch online khi không sử dụng, nên thanh toán bằng mã QR để tránh mất thông tin thẻ”, nhà sáng lập dự án Chống lừa đảo khuyến nghị.