Xác thực khuôn mặt, vân tay khi chuyển tiền có làm khó được hacker?

Trước quy định của Ngân hàng Nhà nước về việc chuyển tiền bằng phương thức điện tử trên 10 triệu đồng phải xác thực bằng khuôn mặt, vân tay, thời gian qua, nhiều người dân, tổ chức, doanh nghiệp đặt ra câu hỏi, liệu phương pháp này có thực sự đảm bảo an toàn, giúp cho tài khoản của họ bất khả xâm phạm trước các cuộc tấn công của hacker? Nhằm giải đáp thắc mắc này, Nhadautu.vn đã trao đổi với các chuyên gia hàng đầu trong lĩnh vực an ninh mạng tại Việt Nam.

Hacker dễ dàng vượt qua xác thực khuôn mặt bằng deepfake AI

Trao đổi với Nhadautu.vn, ông Ngô Minh Hiếu (Hiếu PC), Giám đốc Công ty TNHH Doanh nghiệp xã hội Chống lừa đảo, chia sẻ, trên thực tế, việc các ngân hàng áp dụng phương pháp xác thực khuôn mặt để rút tiền cũng không gây khó dễ được cho các hacker.

"Hiện tại đã có một số AI trên chợ đen được phát triển bởi tội phạm quốc tế có giá chỉ vài trăm USD/tháng, cách sử dụng rất đơn giản, chỉ cần 1 tấm hình là có thể tạo ra một video deepfake vượt qua được xác thực khuôn mặt của ngân hàng. Do vậy, gần đây rất nhiều ngân hàng, tổ chức tài chính quan tâm đến công nghệ làm sao phát hiện, ngăn chặn được việc mở các tải khoản giả mạo nhằm mục đích rửa tiền, lừa đảo", ông Hiếu thông tin.

Cũng theo ông Hiếu, hiện nay AI đã đạt đến ngưỡng thương mại hóa như một dạng công cụ hỗ trợ cho tội phạm, được buôn bán, trao đổi sôi động trên các diễn đàn thế giới ngầm trên Telegram. Các công cụ AI này có thể tạo ra giọng nói giả mạo giống y hệt giọng thật từ đoạn ghi âm chỉ khoảng 3 phút. Gần đây nhất, từ tháng 2, ở Hồng Kông đã xảy ra một vụ lừa đảo tài chính hơn 25 triệu USD sử dụng công nghệ deepfake AI cả về giọng nói và hình ảnh. Đối tượng lừa đảo đã giả làm giám đốc công ty, lừa một người có chức vụ cao trong công ty để lừa rút tiền ra và chiếm đoạt được 25 triệu USD.

Trước đó cũng đã có rất nhiều vụ khác tương tự với quy mô từ vài trăm nghìn đến vài triệu USD. Vụ lớn nhất xảy ra vào năm 2021, tại Các tiểu vương quốc Ả Rập Thống nhất (UAE), một nhóm lừa đảo dùng công nghệ deepfake giọng nói để giả là lãnh đạo doanh nghiệp, lừa một ngân hàng chuyển 35 triệu USD vào tài khoản riêng.

"Từ đó đến nay đã 3 năm, AI giờ đây đã trở nên phổ biến hơn, thông minh hơn nhưng các mặt trái công nghệ này mang lại cũng nhiều hơn. Các hacker lợi dụng điều này để phát triển những loại virus, mã độc thông minh hơn, thậm chí soạn ra những kịch bản lừa đảo để dẫn dụ các nhân viên trong tổ chức kích hoạt mã độc", chuyên gia an ninh mạng Hiếu PC đánh giá.

Không có giải pháp nào là an toàn tuyệt đối

Về quy định xác thực vân tay để chuyển tiền, ông Vũ Ngọc Sơn, Giám đốc Kỹ thuật Công ty cổ phần Công nghệ An ninh mạng Việt Nam (NCS) cho biết, giải pháp này là tất yếu trong bối cảnh hiện nay, khi xác thực bằng mật khẩu và OTP không còn đủ an toàn.

"Bản chất phương pháp này nhằm ngăn chặn đối tượng lừa đảo tạo ra các tài khoản ngân hàng trung gian bằng thông tin cá nhân của người khác để chuyển tiền. Với xác thực vân tay, việc chuyển tiền buộc phải được thực hiện bởi chính chủ của tài khoản. Việc này giúp hạn chế không gian hoạt động của tội phạm chứ không phải để tăng tính bảo mật cho người dùng cuối", ông Sơn nói thêm.

Giám đốc Kỹ thuật Công ty cổ phần Công nghệ An ninh mạng Việt Nam cũng thông tin, về khả năng tin tặc có vượt qua được xác thực khuôn mặt, vân tay của ngân hàng bằng deepfake hay không còn tùy thuộc phương pháp triển khai cũng như công nghệ mà ngân hàng áp dụng. Hiện nay thị trường đã có những công nghệ phát hiện được deepfake, quan trọng là có áp dụng hay không, áp dụng được đến đâu thì còn tùy thuộc vào điều kiện của mỗi ngân hàng.

Một chuyên gia an ninh mạng của công ty CMC Cyber Security cho rằng, việc áp dụng thêm nhiều biện pháp xác thực sẽ giúp tăng thêm mức độ an toàn cho tài khoản ngân hàng, tuy nhiên không có biện pháp nào giúp đảm bảo an toàn 100%. Quan trọng nhất là người dân, doanh nghiệp phải luôn tỉnh táo trước các chiêu trò của đối tượng lừa đảo, đồng thời thường xuyên theo dõi tin tức để cập nhật các thủ đoạn mới của hacker.

"Các đối tượng lừa đảo thường dẫn dụ mục tiêu cài đặt phần mềm, mã độc vào điện thoại máy tính để đánh cắp dữ liệu, chiếm quyền điều khiển thiết bị. Nếu sơ suất mắc bẫy thì các biện pháp xác thực đều có thể bị vượt qua dễ dàng", chuyên gia của CMC Cyber Security nhận định.

Còn theo ông Ngô Minh Hiếu, trong công tác bảo mật, yếu tố con người là rất quan trọng. "Có rất nhiều công nghệ, máy móc, phần mềm... trên thị trường nhưng vấn đề là doanh nghiệp phải chọn sao cho phù hợp, và phải có một đội ngũ nhân sự phải đủ trình độ, đủ chuyên môn để vận hành những công nghệ đó", ông Hiếu nhấn mạnh.

Bài liên quan

Sẽ minh bạch mức độ tuân thủ quy định pháp luật về an toàn thông tin của các công ty chứng khoán

[Gặp gỡ thứ Tư] 'Cần dành 10% đầu tư dự án công nghệ thông tin cho an ninh mạng'

Ủy ban Chứng khoán Nhà nước yêu cầu VNDirect khắc phục các lỗ hổng bảo mật

PVOIL bị tấn công mã hóa dữ liệu