Tin tặc có thể đối phó với bảo mật sinh trắc học thế nào

Một trong những mục tiêu của xác thực sinh trắc học trong chuyển khoản là giúp ngăn kẻ xấu thực hiện giao dịch có giá trị lớn dù chúng nắm được thông tin đăng nhập như mật khẩu, mã OTP. Để chuyển trên 10 triệu một lần hoặc trên 20 triệu một ngày, giao dịch cần được xác thực bằng khuôn mặt của chính chủ tài khoản đó.

Được đánh giá là phương án an toàn hiện nay, nhưng theo các chuyên gia, không có giải pháp nào là tuyệt đối.

Thao túng điện thoại và người dùng

Với phương thức này, thay vì cố lừa hệ thống xác thực, kẻ gian sẽ tìm cách để chính người dùng thực hiện giao dịch. Có hai thủ đoạn phổ biến gồm dùng mã độc để kiểm soát điện thoại hoặc dẫn dụ người dùng tự chuyển tiền.

Với những kịch bản phổ biến như hỗ trợ cài đặt các phần mềm giả dịch vụ công, VNeID, Vssid…, kẻ gian có thể dụ người dùng bấm vào đường link chứa mã độc và yêu cầu được cấp một số quyền kiểm soát điện thoại. Nếu người dùng đồng ý, kẻ gian có thể thực hiện nhiều hành động như điều khiển thiết bị từ xa, ghi lại thao tác màn hình, mở camera, trong đó bao gồm cả khả năng thao tác với ứng dụng ngân hàng và xác thực ngay khi người dùng cầm máy.

Tại sự kiện bảo mật Vietnam Security Summit 2024 hồi tháng 6, các chuyên gia cũng mô phỏng về phần mềm này.

Ngoài ra, với các thủ đoạn tấn công phi kỹ thuật như đe dọa người dùng vi phạm pháp luật và cần chuyển khoản để xác minh, nhiều người cũng lo sợ và giao tiền cho kẻ gian.

“Trong trường hợp này, việc áp dụng công nghệ sinh trắc học không loại bỏ được vấn đề, do kẻ gian có thể thuyết phục nạn nhân thực hiện giao dịch một cách tự nguyện”, ông Ngô Minh Hiếu, nhà sáng lập dự án Chống lừa đảo, cho biết.

Giả khuôn mặt vật lý hoặc tạo deepfake

Tình trạng giả mạo eKYC (xác minh danh tính điện tử), bao gồm các hình thức như giả mạo giấy tờ, giả mạo khuôn mặt hay deepfake, cũng đã được ghi nhận nhiều tại Việt Nam.

Theo đó, kẻ gian sử dụng mặt nạ, băng dính… để tạo khuôn mặt giả, đồng thời sử dụng giấy tờ giả để mạo danh nạn nhân.

Theo ông Ngô Minh Hiếu, với hình ảnh đánh cắp được từ nạn nhân, tin tặc có thể tạo ra các bản eKYC giả thay thế cho danh tính thực của chủ tài khoản. Ngoài ra, một chiêu thức khác là lừa nạn nhân thực hiện video eKYC. Sau khi có dữ liệu trên, chúng tiến hành cuộc tấn công xen giữa để đưa hình ảnh deepfake thay cho khuôn mặt thật, can thiệp vào quá trình xác thực giao dịch, với các hệ thống sử dụng biện pháp bảo mật lỏng lẻo.

Trên lý thuyết, tin tặc có thể thực hiện các phương thức trên để vượt qua bảo mật bằng sinh trắc học. Tuy nhiên, chuyên gia cho rằng đây vẫn là một trong những biện pháp bảo mật an toàn cho giao dịch dân sự, giúp hạn chế lừa đảo mạng.

Theo chuyên gia Vũ Ngọc Sơn của Hiệp hội An ninh mạng quốc gia, ngoài hạn chế việc chuyển tiền từ tài khoản người dùng, giải pháp xác thực này giúp giảm quy mô của lừa đảo tài chính. Trong nhiều vụ lừa đảo thời gian qua, đích đến của số tiền mà các nạn nhân chuyển đi thường là các tài khoản ngân hàng “rác”, được kẻ gian thuê hoặc mua lại.

Giờ đây, việc xác thực sinh trắc học khiến việc luân chuyển tiền gặp khó khăn hơn hoặc mất nhiều thời gian hơn. “Các tài khoản ảo sẽ không thể hoạt động được do không đúng nhận dạng sinh trắc học, buộc chúng phải sử dụng tài khoản ngân hàng chính chủ. Số này rất ít, vì vậy phạm vi hoạt động của các nhóm cũng bị thu hẹp so với trước”, ông Sơn đánh giá.

Về khả năng vượt qua hệ thống sinh trắc học, chuyên gia này đánh giá đây là công nghệ xuất hiện từ lâu, đã có sự trưởng thành nhất định về độ an toàn. Tuy nhiên, vẫn cần thêm thời gian để kiểm chứng chất lượng và khả năng phát hiện giả mạo trong các giải pháp ứng dụng tại ngân hàng, tổ chức tài chính hiện nay.

Trong bối cảnh đó, người dùng được khuyến nghị cảnh giác với các chiêu trò thao túng diễn ra thời gian qua, đặc biệt là chiêu lừa cài phần mềm giả mạo lên điện thoại, lừa đảo chuyển khoản.

Lưu Quý