Trong thời gian gần đây, nhiều người tiêu dùng đang bàn tán xôn xao về tình trạng các ứng dụng ngân hàng bị "lừa" trong quá trình xác thực giao dịch chuyển tiền bằng cách sử dụng một bức ảnh chân dung đã được chuẩn bị sẵn. Điều này có nghĩa là người gửi tiền không cần phải quét mặt thật của mình mà chỉ cần quét một tấm ảnh chân dung.
Tuy nhiên, ông Vũ Ngọc Sơn, Giám đốc kỹ thuật Công ty cổ phần Công nghệ an ninh mạng quốc gia Việt Nam (NCS), khi trả lời phỏng vấn của VTC News, đã xác nhận: "Đó không phải là một lỗi. Đó là do tính năng Liveness Detection đã bị tắt và sau đó được bật lại".
Việc xác minh sinh trắc học bằng hình ảnh đang trở nên hạng hái. (Ảnh: Minh Đức)
Theo ông Sơn, các nhà cung cấp công nghệ xác thực sinh trắc học thường cung cấp tính năng Phát hiện tính thích ứng. Công nghệ này giúp phát hiện xem ảnh thu được từ camera có phải là ảnh của vật thể sống hay không, hay là ảnh tĩnh, hoặc video clip. Hiện nay, công nghệ này khá phổ biến. Khi ngân hàng tắt tính năng này, một số người có thể sử dụng ảnh hoặc clip để xác thực sinh trắc học.
Theo nhận định của ông Sơn, tình huống trên diễn ra chỉ trong vài phút vào ngày 1/7 - thời điểm ngân hàng bắt đầu thực hiện xác thực sinh trắc học để chuyển tiền. Bên cạnh đó, khách hàng cũng phải đáp ứng nhiều điều kiện như: phải sở hữu tài khoản ngân hàng đã được xác thực trên một thiết bị di động đã được xác thực và phải đăng nhập trong thời điểm tính năng Liveness Detection đã tắt.
Tương tự, tại hội nghị sáng nay 4/7, Phó Thống đốc Ngân hàng Nhà nước Phạm Tiến Dũng cũng đã xác nhận rằng có một số thử nghiệm cho thấy hệ thống xác thực của ngân hàng đã bị lừa bởi ảnh tĩnh thay vì khuôn mặt thật của người dùng. Tuy nhiên, nguyên nhân là do số lượng giao dịch trong những ngày đầu tiên tăng đột biến nên một số ngân hàng đã tạm tắt chức năng Liveness trong sinh trắc học để đảm bảo tính ổn định, thông suốt của hệ thống.
Theo quan điểm của ông Dũng, sự sống động trong việc xác thực sinh trắc học là một tầng bảo vệ mới, tức là các tầng bảo vệ khác vẫn hoạt động bình thường ngay cả khi tầng này bị ngừng hoạt động.
"Được biết, một số ngân hàng đã ngưng chức năng Liveness vì giao dịch quá lớn đến mức ảnh hưởng đến việc giao dịch của khách hàng. Nguyên nhân chính của tình trạng quá tải là do lượng yêu cầu gửi về hệ thống ngân hàng quá nhiều. Khi chức năng này không còn hoạt động, sẽ có lỗ hổng về xác thực bằng ảnh tĩnh", ông Dũng phân tích.
Khách hàng không nên hoang mang
Để yên tâm khách hàng về tình huống trên, ông Vũ Ngọc Sơn đã phân tích: "Khả năng xảy ra sự cố trong việc xác minh bằng ảnh tĩnh là rất thấp, chỉ khi khách hàng chuyển tiền vào đúng thời điểm mà ngân hàng tạm ngưng tính năng này. Ngân hàng chỉ tạm ngưng tính năng này vào thời điểm đó, khi hệ thống quá tải, sau đó sẽ kích hoạt trở lại. Do đó, điều này không xảy ra thường xuyên”.
Ông Sơn cũng cho biết rằng, theo ông, một tên tội phạm, một hacker để đáp ứng tất cả những yêu cầu trên là vô cùng khó khăn. Điều quan trọng hơn, vấn đề này không phải là sai sót của hệ thống nên không đe dọa, vì vậy mọi người không cần lo lắng quá.
Trung tá Triệu Mạnh Tùng, Phó Cục trưởng Cục An ninh mạng và Phòng, chống tội phạm sử dụng công nghệ cao, Bộ Công an giải thích rằng việc đầu tư vào hệ thống công nghệ là cần thiết đối với các ngân hàng, giúp đảm bảo rằng khi người dùng sử dụng vân tay hoặc quét khuôn mặt thì đó chính là khuôn mặt sống và vân tay sống của họ. Tuy nhiên, vấn đề đáng lo ngại vẫn tồn tại, chẳng hạn như việc sử dụng deepfake để đánh lừa các hệ thống xác thực sinh trắc học của ngân hàng. Để đối phó với các hình thức gian lận mới, các ngân hàng cần phải liên tục cập nhật hệ thống và áp dụng công nghệ mới để ngăn chặn các hành vi gian lận này.
Ông Tùng cảnh báo rằng hiện nay có hàng trăm hàng ngàn phương thức lừa đảo. Mỗi khi có một chính sách mới, một sự kiện mới, các đối tượng lại tiếp tục nghiên cứu kịch bản để mời gọi người bị hại vào cạm bẫy, thậm chí còn tinh vi hơn như lợi dụng chính sách chuyển đổi số, chính sách cập nhật thông tin để mời gọi người dùng cài đặt ứng dụng có chứa mã độc hoặc truy cập vào đường link chứa mã độc để chiếm dụng điện thoại và chiếm đoạt tài sản.
Có những băng nhóm lừa đảo hoạt động với hàng trăm thành viên, chúng hoạt động như một nghề để kiếm sống, chỉ tập trung vào việc sử dụng các phương thức lừa đảo thông qua không gian mạng để tìm kiếm nạn nhân. Một bước quan trọng của các loại tội phạm, đặc biệt là tội phạm mạng, là việc chuyển tiền. Vì vậy, nếu chúng ta không xác định được thông tin của người mở tài khoản hoặc người thực hiện giao dịch, hệ thống thanh toán sẽ đối diện với rất nhiều rủi ro từ phía những kẻ lợi dụng.
Quyết định số 2345/NHNN là các biện pháp chuyên môn được áp dụng để xây dựng các giải pháp để xác minh sinh trắc học của khách hàng khi thực hiện giao dịch với số tiền trên 10 triệu đồng hoặc tổng số giao dịch trong ngày vượt quá 20 triệu đồng. Ông Tùng nhấn mạnh rằng đây là một bước quan trọng, giúp giải quyết những vấn đề cơ bản như xác định danh tính để làm sạch thông tin của khách hàng, đảm bảo rằng người dùng có căn cước công dân thật, và thực hiện mở tài khoản một cách chính xác.
Tuy nhiên, cho đến thời điểm hiện tại, quá trình sử dụng hình ảnh tĩnh để xác minh sinh trắc học để thực hiện giao dịch trên 10 triệu đồng là không thể thực hiện được. (Ảnh: Minh Đức)
Trước đó, nhiều người đã lo lắng vì chỉ sử dụng ảnh tĩnh vẫn có thể xác minh sinh trắc học để thực hiện giao dịch chuyển tiền.
Nguyễn Minh H. từ Hà Nội cho biết rằng khi ngân hàng yêu cầu xác thực sinh trắc học để chuyển khoản tiền từ hơn 10 triệu đồng, anh đã nảy ra ý tưởng thử nghiệm bằng cách sử dụng ảnh chân dung. Anh đã ngạc nhiên khi phát hiện rằng việc chuyển tiền đã thành công.
Khi iPhone và các điện thoại Android khác vừa mới giới thiệu công nghệ FaceID, để đánh giá mức độ an toàn trong việc bảo vệ bằng công nghệ này, các chuyên gia công nghệ đã tiến hành thử nghiệm và kết luận rằng FaceID trên iPhone là phương pháp đáng tin cậy nhất, trong khi nhiều điện thoại khác dễ dàng bị đánh lừa bởi ảnh tĩnh. Liên quan đến ứng dụng xác thực sinh trắc học của ngân hàng, tôi cũng đã thử nghiệm để xác minh xem có đáng tin cậy không", anh H. giải thích về việc làm của mình.
Anh H. tiếp tục chỉ ra rằng: "Khi tôi nghĩ rằng mình gặp trường hợp đó, nhưng khi chia sẻ với bạn bè thì thấy cũng có người xác nhận đã gặp tình huống tương tự. Trên các mạng xã hội, nhiều người đang thắc mắc về hiện tượng này. Mọi người đều hoang mang vì chứng tỏ chế độ bảo mật không hiệu quả, nguy cơ mất mát tài sản có thể xảy ra".
Tuy nhiên, theo khảo sát, đến thời điểm hiện tại, việc chuyển tiền chỉ bằng cách quét ảnh tĩnh để xác minh sinh trắc học đã không còn xảy ra. Lúc 15h chiều ngày 4/7, nhóm phóng viên của VTC News đã thử nghiệm xác minh bằng ảnh tĩnh trên nhiều ứng dụng ngân hàng khác nhau, vào các thời điểm khác nhau. Tuy nhiên, sau khi đã vượt qua bước xác minh bằng OTP, vân tay hoặc FaceID, đến bước xác minh khuôn mặt sinh trắc học, tất cả các ứng dụng đều báo hiệu không nhận dạng được khuôn mặt.
