Ảnh tĩnh có thể qua mặt sinh trắc học ?
Ngay sau khi ngành ngân hàng (NH) triển khai xác thực khuôn mặt khi chuyển tiền trên 10 triệu đồng/lần, trên mạng hiện nay lan truyền clip một cô gái sử dụng hình ảnh chụp sẵn (ảnh tĩnh) và thực hiện thành công chuyển khoản NH khi quét xác thực sinh trắc học. Clip này khiến nhiều người hoang mang vì nếu ảnh tĩnh, ảnh qua xử lý công nghệ AI, Deepfake cũng có thể qua mặt sinh trắc học để thực hiện chuyển khoản tiền thành công thì nguy cơ bị lừa đảo vẫn cao.
Lý giải hiện tượng này, Ngân hàng Nhà nước (NHNN) cho biết trong những ngày đầu thực hiện cài đặt thông tin sinh trắc học, một số NH rơi vào tình trạng quá tải nên đã tắt tính năng Liveness Detection (giúp phát hiện ảnh thu được từ camera là ảnh thu của vật thể sống hay là ảnh tĩnh, ảnh cắt từ video clip - PV) nhằm đảm bảo giao dịch thông suốt. Khi NH bật lại chức năng này thì người dùng sẽ không thể xác thực bằng ảnh tĩnh.
Ông Ngô Tấn Vũ Khanh, Giám đốc đại diện Công ty Kaspersky tại VN, cũng đồng tình rằng có thể một số NH quá tải trong những ngày đầu nên mới xảy ra một số trường hợp khách hàng thử dùng ảnh tĩnh để xác thực sinh trắc học. Theo ông Khanh, đây không phải lỗ hổng hay lỗi bảo mật. Câu chuyện dùng ảnh tĩnh để xác thực sinh trắc học từng gây tranh cãi cách đây khoảng 10 năm khi Apple ra mẫu điện thoại mới sử dụng tính năng này. Tuy nhiên đó không bị xem là lỗ hổng. Thực tế, việc xác thực sinh trắc học bằng ảnh tĩnh cũng chỉ xảy ra ở một thời gian nhất định vào ngày đầu. Theo dõi những ngày gần đây thì không còn thực hiện được thao tác này nữa nên khách hàng có thể yên tâm.
Dù vậy, NHNN cũng vừa có Công văn 5675 yêu cầu các NH, tổ chức cung ứng dịch vụ trung gian thanh toán áp dụng biện pháp xác thực sinh trắc học theo quy định và phải kết hợp với biện pháp xác thực OTP gửi qua SMS/Voice hoặc SoftOTP/TokenOTP. Đồng thời rà soát, thiết lập các tiêu chí kỹ thuật của giải pháp xác thực sinh trắc học bảo đảm xác định chính xác chủ thể thực hiện giao dịch, có tính năng phát hiện các hành vi giả mạo dấu hiệu sinh trắc học của vật thể sống (Liveness Detection) để phòng chống gian lận, giả mạo khách hàng qua hình ảnh (ảnh tĩnh, ảnh động), video, mặt nạ 3D và các hình ảnh, video được tạo bởi công nghệ Deepfake. NHNN yêu cầu các đơn vị báo cáo kết quả triển khai trước ngày 20.7.
Thận trọng với các thủ đoạn lừa cài mã độc
Theo ông Ngô Tấn Vũ Khanh, về mặt công nghệ, cài đặt sinh trắc học trong thanh toán sẽ giúp tăng độ bảo mật, an toàn tài khoản cho khách hàng hơn. Còn vướng mắc giữa an toàn, bảo mật và trải nghiệm thuận tiện thì lúc nào cũng tồn tại. Ở thời điểm hiện tại, trong bối cảnh tình trạng lừa đảo xảy ra khá nhiều tại VN thì cần tăng cường hơn nữa các giải pháp bảo mật, an toàn cho người dùng. Báo cáo của Liên minh chống lừa đảo toàn cầu (GASA) năm 2023 cũng phản ánh người dân VN đang phải vật lộn với các vụ lừa đảo có tần suất đáng báo động. 70% số người được khảo sát cho biết họ gặp phải các vụ lừa đảo ít nhất mỗi tháng 1 lần.
Thống kê của Cục An ninh mạng và phòng chống tội phạm công nghệ cao - Bộ Công an cụ thể hơn khi cho biết trong năm 2023, cơ quan này tiếp nhận gần 16.000 phản ánh lừa đảo qua mạng và gần 10.000 tỉ đồng đã bị chiếm đoạt. Ông Khanh đánh giá tình trạng thiệt hại của các vụ lừa đảo sẽ giảm đi trong thời gian tới, nhất là những vụ lừa đảo chiếm quyền kiểm soát điện thoại và thực hiện lệnh chuyển tiền số lượng lớn. Tuy nhiên, các vụ lừa đảo dưới 20 triệu đồng/ngày có thể sẽ tăng và chiếm số lượng lớn khi giao dịch ở mức này không bị yêu cầu thêm bước xác thực sinh trắc học. Ngoài ra, khách hàng cũng nên thận trọng hơn đối với những thủ đoạn lừa đảo khác như yêu cầu chủ tài khoản tự chuyển tiền.
Đặc biệt, lợi dụng việc các NH triển khai cài đặt sinh trắc học cho khách hàng, gần đây nổi lên thủ đoạn mạo danh NH để hỗ trợ cài sinh trắc học nhưng thực chất là lấy thông tin khách hàng. Thêm vào đó, hàng loạt các NH cảnh báo thủ đoạn ứng dụng (app) giả mạo chứa mã độc đánh cắp thông tin và chiếm đoạt tiền trong tài khoản. Theo Vietcombank, một số app thường bị giả mạo cho mục đích lừa đảo như app dịch vụ công, VNeID, Chính phủ, cơ quan thuế, Bộ Công an… Đối tượng liên hệ và dẫn dụ nạn nhân với một số kịch bản phổ biến như thông tin định danh trên hệ thống không đồng bộ, quá hạn làm sổ hộ khẩu điện tử, hỗ trợ định danh VNeID mức 2, tải app để bốc số thứ tự trước, không cần chờ khi lên công an quận làm thủ tục, lên công an quận cập nhật thông tin bằng lái xe…
Kẻ lừa đảo gửi đường link rồi yêu cầu khách hàng truy cập để tải và cài đặt ứng dụng chứa mã độc vào máy. Ứng dụng giả mạo sẽ yêu cầu khách hàng cài đặt từ nguồn không xác định và cấp quyền truy cập thiết bị ở mức cao (đọc tin nhắn, kiểm soát điện thoại từ xa…). Để nhận biết app giả mạo, Vietcombank chỉ ra một số dấu hiệu như ứng dụng không được cài đặt từ các chợ ứng dụng mà thông qua đường link do đối tượng lừa đảo hướng dẫn; không thao tác được trên màn hình thiết bị, màn hình bị đen hoặc treo; máy chạy chậm, nóng, nhanh hết pin sau khi cài đặt; ứng dụng tự động bật ngay cả khi không sử dụng.
Mới nhất, cuối tuần qua, Bộ Công an khuyến cáo người dân về thủ đoạn lừa đảo tin nhắn giả thương hiệu để chiếm đoạt tài sản. Tội phạm sử dụng các trạm phát sóng BTS giả mạo Bộ Công an, Vietcombank, Techcombank… để gửi tin nhắn kèm theo đường dẫn giả mạo đề nghị người dân truy cập, nhập thông tin tài khoản để chiếm đoạt hoặc cài đặt ứng dụng chứa mã độc để chiếm quyền điều khiển thiết bị. Các điện thoại với tính năng tự động kết nối vào các trạm BTS có cường độ sóng mạnh, do cơ chế này nên các máy điện thoại tự động kết nối vào trạm BTS giả đang phát sóng ở gần. Các đối tượng đem thiết bị lên ô tô hoặc xe máy để di chuyển đến những nơi đông người, phát tán tin nhắn tới những thuê bao kết nối vào trạm BTS giả.
Ngoài ra, các đối tượng có thể sử dụng các phần mềm spam tin nhắn iMessage để phát tán tin nhắn giả mạo thương hiệu đến người dùng sử dụng thiết bị có hệ điều hành iOS. Bên cạnh đó, do tính năng tự động nhận diện thương hiệu trên điện thoại nên các tin nhắn giả mạo nhận được hoàn toàn giống những tin nhắn chính thống đã nhận được trước đó. Bộ Công an lưu ý người dân không nhấp vào các đường dẫn có dấu hiệu đáng ngờ, kiểm tra kỹ tên miền trên trang web; tuyệt đối không chia sẻ thông tin cá nhân, tài khoản NH, mã OTP...
Thời gian gần đây thường xuyên xuất hiện các thủ đoạn dẫn dụ người dân đăng nhập vào đường link có cài mã độc. Từ đó tội phạm theo dõi các hoạt động trên thiết bị đó, thu lại chính khuôn mặt của chủ tài khoản. Hay chủ tài khoản chủ động chuyển tiền cho tội phạm sau khi bị thao túng tâm lý. Các thủ đoạn lừa đảo ngày càng tinh vi, sử dụng công nghệ cao nên người dân cần thận trọng. Biện pháp phòng tránh tốt nhất là người dân nâng cao ý thức phòng chống lừa đảo, không nghe điện thoại của người lạ hay cài đặt các app, nhấp vào đường link lạ.
Ông Ngô Minh Hiếu, chuyên gia bảo mật từ dự án chongluadao.vn.