Các ngân hàng triển khai giải pháp xác thực bằng sinh trắc học khuôn mặt để ngăn chặn lừa đảo, chiếm đoạt tài sản trên không gian mạng

Lừa đảo giăng bẫy khắp nơi

Ví hình thức lừa đảo trên không gian mạng hiện nay giống như những ma trận và nhẩm tính có tới hơn 20 hình thức lừa đảo, ông Vũ Ngọc Sơn, Trưởng ban Nghiên cứu công nghệ (Hiệp hội An ninh mạng quốc gia), Giám đốc công nghệ Công ty An ninh mạng quốc gia Việt Nam cho rằng, người dùng đang phải đối mặt với các hình thức lừa đảo giăng bẫy khắp nơi.

Không những thế, các đối tượng lừa đảo còn kết hợp nhiều hình thức khác nhau, sinh ra các tổ hợp biến thể, tạo ra số lượng hình thức lừa đảo rất lớn trên quy mô toàn cầu.

Theo báo cáo thống kê của Cybersecurity Ventures, trong năm 2023, thiệt hại bởi các vụ tấn công mạng toàn cầu lên tới 8.000 tỷ USD, tương đương 8% GDP toàn cầu. Năm 2024, mức thiệt hại từ tấn công mạng được dự báo lên tới 9.500 tỷ USD, do sự phát triển của công nghệ quá nhanh so với sự thay đổi của các quy định quản lý.

Các ngân hàng và bên cung cấp giải pháp liên tục phải cập nhật, cải tiến hệ thống thường xuyên để có phương án công nghệ và chính sách sử dụng nhằm loại bỏ dần các rủi ro.

- Ông Phan Thanh Toàn, Giám đốc Trung tâm Nền tảng định danh số, Khối Dịch vụ nền tảng FPT IS

Tại Việt Nam, trong năm 2023, các đối tượng tội phạm mạng trong và ngoài nước liên tục thay đổi phương thức, thủ đoạn, lợi dụng công nghệ mới để tấn công, xâm nhập, lừa đảo quy mô lớn, gây thiệt hại nặng nề về kinh tế và ảnh hưởng xấu đến trật tự an toàn xã hội.

Theo Cục An ninh mạng và phòng, chống tội phạm sử dụng công nghệ cao (A05, Bộ Công an), trong năm 2023, tổng số tiền người dân bị các đối tượng lừa đảo chiếm đoạt trên mạng khoảng 8.000 - 10.000 tỷ đồng, tăng gấp rưỡi so với năm 2022. Đây là con số dựa trên những sự việc người dân đến trình báo cơ quan công an. Trong năm qua, cơ quan chức năng đã khởi tố 1.500 vụ án vì tội lừa đảo trên không gian mạng.

Cùng thời gian này, Bộ Thông tin và Truyền thông đã nhận được gần 17.400 phản ánh về trường hợp lừa đảo trực tuyến hướng đến người dùng Internet Việt Nam. Trong đó, tổng số tiền người dân đã bị lừa đảo được ghi nhận hơn 300 tỷ đồng.

Báo cáo mới nhất từ Dự án Chongluadao.vn cho thấy, trong quý II/2024, số lượng báo cáo các vụ lừa đảo, tấn công qua Chongluadao.vn là hơn 31.210 vụ, tăng gần 7% so quý I/2024. Đáng chú ý, số lượng báo cáo lừa đảo trong tháng 6/2024 tăng lên 11.453 vụ, sau khi giảm nhẹ vào tháng 5/2024.

Tình trạng các vụ lừa đảo gia tăng trong tháng 6 liên quan đến việc Quyết định số 2345/QĐ-NHNN có hiệu lực từ ngày 1/7/2024 của Ngân hàng Nhà nước (NHNN) về triển khai các giải pháp an toàn, bảo mật trong thanh toán trực tuyến và thanh toán thẻ ngân hàng. Các đối tượng lừa đảo đã lợi dụng giai đoạn chuyển giao để tấn công, khai thác những điểm yếu còn tồn tại.

Ngoài ra, thị trường tài sản ảo, một lĩnh vực mới với những khoản lợi nhuận được thổi phồng, dễ dàng khơi dậy lòng tham của cộng đồng… cũng đang là đích nhắm của giới tội phạm công nghệ cao.

Tội phạm thường sử dụng Generative AI (AI tạo sinh) để tạo ra các video giả (deepfake), tài liệu giả mạo có độ chân thực cao nhằm lừa đảo đầu tư, gọi vốn hay tổ chức các cuộc tấn công mạng tinh vi khiến người dùng nhanh chóng rơi vào bẫy. Lừa đảo công nghệ cao trên không gian mạng - Generative AI trở thành công cụ mới khiến nhà đầu tư, doanh nghiệp, người dân hoang mang.

“Vỏ quýt dày có móng tay nhọn”

Tội phạm ngày càng tinh vi và có nhiều thủ đoạn lừa đảo mới. Sự bùng nổ của các deepfake dựa trên nền tảng công nghệ AI cũng làm tăng thêm sự khó khăn cho các tổ chức đối phó với tội phạm công nghệ cao. Do vậy, các nhà cung cấp giải pháp cần kết hợp với các ngân hàng thường xuyên rà soát, nhận biết những thủ đoạn lừa đảo mới.

Với kinh nghiệm triển khai giải pháp sinh trắc học cho gần 40 tổ chức tài chính tại Việt Nam, ông Phan Thanh Toàn, Giám đốc Trung tâm Nền tảng định danh số, Khối Dịch vụ nền tảng FPT IS chia sẻ, trước đây, đa phần ngân hàng chú trọng vào hệ thống nội bộ để quản trị rủi ro, nhưng hiện nay, các giao dịch ngoại vi (thao tác do khách hàng tự thực hiện) chiếm tỷ trọng và tần suất lớn, việc quản trị rủi ro phức tạp và khó khăn hơn.

Ghi nhận từ thực tế cho thấy, các hành vi gian lận thường nhắm đến lĩnh vực tài chính, bởi có giá trị cao. Các vụ tấn công trực tuyến thường được cho là có lý do khách quan, nên người sử dụng luôn “nắm đằng lưỡi” và chịu thiệt thòi, thiệt hại lớn về giá trị, trong khi tổ chức tài chính bị mất uy tín, mất khách hàng.

Theo ông Toàn, do xảy ra nhiều tình huống lừa đảo, gian lận, nên các ngân hàng và bên cung cấp giải pháp liên tục phải cập nhật, cải tiến hệ thống thường xuyên để có phương án công nghệ và chính sách sử dụng nhằm loại bỏ dần các rủi ro. Tuy nhiên, thực tế cũng cho thấy, nhiều ngân hàng chưa nhận thức đúng mức tầm quan trọng của việc đầu tư công nghệ, để từ đó có giải pháp, sản phẩm an toàn cho khách hàng.

Nói về các giải pháp xác thực, ông Toàn cho biết, FPT IS đã đầu tư từ rất sớm cho các công nghệ phòng chống deepfake khuôn mặt như chụp/quay video lại từ một thiết bị khác, sử dụng phần mềm giả lập, ghép khuôn mặt bằng AI… FPT IS đã đạt chứng chỉ ISO 30107-3 về chống giả mạo sinh trắc học bằng khuôn mặt vào năm 2022, đồng thời cũng là một trong những doanh nghiệp đầu tiên được Trung tâm Dữ liệu quốc gia về dân cư cấp phép kết nối với Hệ thống Cơ sở dữ liệu quốc gia về dân cư và cung cấp sản phẩm, dịch vụ xác thực căn cước công dân gắn chip.

“Khi đã nhận biết được đặc trưng của các thủ đoạn, thì chắc chắn sẽ có phương án kỹ thuật để nâng cấp huấn luyện các AI module tự động loại bỏ các giao dịch nghi vấn lừa đảo. Các ngân hàng cũng cần thường xuyên thuê các chuyên gia, tổ chức đánh giá an ninh bảo mật uy tín, chuyên nghiệp định kỳ rà quét sản phẩm cả trước và sau khi đưa sản phẩm ra thị trường”, ông Toàn chia sẻ.

Liên quan vấn đề này, ông Lưu Danh Đức, Phó tổng giám đốc phụ trách Khối Công nghệ thông tin (Ngân hàng SHB) nêu ra nhiều giải pháp, như thực hiện sinh trắc học, đồng thời nghiên cứu thêm các giải pháp ngăn chặn việc tội phạm dùng deepfake giả mạo sinh trắc học lừa đảo.

“Vỏ quýt dày thì có móng tay nhọn. Ngân hàng sẽ tiếp tục nghiên cứu hành vi của tội phạm, sử dụng công nghệ để phòng, chống lừa đảo và giảm thiệt hại cho khách hàng”, ông Đức nói.

Thời gian vừa qua, có tình trạng một số app ngân hàng bị đánh lừa bởi ảnh tĩnh, deepfake. Phó thống đốc NHNN Phạm Tiến Dũng cho biết, nguyên nhân là do họ tắt hệ thống xác thực này để đảm bảo giao dịch thông suốt trong những ngày đầu lưu lượng tăng đột biến. NHNN đã yêu cầu các ngân hàng thực hiện nghiêm túc giải pháp xác thực định danh khách hàng trực tuyến, phải có chức năng chống giả mạo deepfake và ảnh tĩnh. Hiện, tình trạng dùng ảnh tĩnh để vượt hệ thống sinh trắc học đã được khắc phục.

Xác thực sinh trắc học giúp hạn chế lừa đảo, song theo chính các ngân hàng, không có biện pháp nào là an toàn tuyệt đối và kẻ xấu luôn có cách để vượt qua các rào cản công nghệ. Xác thực sinh trắc học là thêm một giải pháp an toàn, nhưng quan trọng nhất vẫn là ý thức tự bảo vệ của mỗi cá nhân.

Theo chuyên gia an ninh mạng Ngô Minh Hiếu, trước đây, chúng ta thường chỉ rà soát lỗ hổng bảo mật, nhưng theo phương thức mới mà thế giới áp dụng, thì thường là rà soát, giám sát, đưa ra quy trình khắc phục. Thế nên, các ngân hàng, tổ chức tài chính cần xây dựng đội ngũ nhân sự, kiểm tra toàn bộ hệ thống, hoặc có thể sử dụng dịch vụ test lỗ hổng để vá kịp thời, từ đó giúp hạn chế rủi ro. Bên cạnh đó, cũng cần đảm bảo giám sát vận hành hệ thống để giảm thiểu rủi ro.

Trong khi đó, bà Nguyễn Vân Hiền, Phó viện trưởng Viện Công nghệ blockchain và trí tuệ nhân tạo (ABAII), cần phổ cập AI, blockchain tại Việt Nam để giảm thiểu lừa đảo.

Do tính chất phức tạp của các vụ lừa đảo công nghệ cao, việc phát hiện và ngăn chặn các hoạt động này đòi hỏi hiểu biết sâu rộng về các hành vi, tâm lý tội phạm, công nghệ AI, blockchain. Các quốc gia cần có lực lượng công vụ đông đảo, năng lực cao, hành lang pháp lý rõ ràng, để quản lý các hành vi này. Giữa các nền kinh tế cũng cần có sự tương trợ và đồng bộ quy định để ngăn ngừa tình trạng phạm tội xuyên biên giới.

Đến giữa năm 2024, châu Âu đã ban hành quy định EU Act điều chỉnh các hành vi liên quan đến nghiên cứu, phát triển, ứng dụng AI. Đối với lĩnh vực blockchain, theo báo cáo của Hội đồng Đại Tây Dương, 32/60 quốc gia đã tham gia khảo sát coi tài sản ảo là hợp pháp. Các nền kinh tế lớn như Mỹ, EU có quy định cụ thể để quản lý tài sản ảo (VA) và nhà cung cấp dịch vụ tài sản ảo (VASP).

Theo bà Hiền, quá trình phổ cập blockchain, AI tại Việt Nam cần sự tham gia của khối tư nhân. Đặc biệt, cần có kế hoạch hành động ở tầm quốc gia nhằm đưa Việt Nam ra khỏi danh sách “vùng xám” trước thời điểm tháng 5/2025.

“Việc phổ cập kiến thức, nâng cao nhận thức cho người dân về blockchain và AI, thúc đẩy xây dựng tiêu chuẩn cộng đồng, đạo đức sẽ góp phần giảm thiểu tình trạng lừa đảo trên không gian mạng, đặc biệt trong lĩnh vực tài sản ảo”, bà Hiền nhấn mạnh.