Trang chủ

Theo Quyết định 2345/QĐ-NHNN ngày 18/12/2023 của Ngân hàng Nhà nước, giao dịch chuyển tiền hoặc nộp tiền trên 10 triệu đồng hoặc tổng giá trị giao dịch chuyển tiền trong ngày vượt quá 20 triệu đồng phải được xác thực bằng sinh trắc học.

Dấu hiệu nhận dạng sinh trắc học của khách hàng có thể kể đến như khuôn mặt, tĩnh mạch ngón tay hoặc bàn tay, vân tay, mống mắt, giọng nói.

Chia sẻ với Viettel Family về các chiêu trò lừa đảo mới của đối tượng xấu, anh Trần Minh Quảng - Giám đốc Trung tâm Phân tích Chia sẻ Nguy cơ An ninh mạng, Công ty An ninh mạng Viettel (VCS) nhấn mạnh việc không hoang mang trước sự cố là cơ sở đầu tiên để bảo đảm an toàn thông tin cá nhân.

- Vừa qua nhiều người dân phản ánh tình trạng gặp khó khăn khi xác định sinh trắc học trên ứng dụng ngân hàng theo yêu cầu của Ngân hàng nhà nước, lý do đến từ đâu, thưa anh?

Theo tôi, có 3 lý do gây ra khó khăn này. Thứ nhất, người dùng gặp khó khăn nhiều nhất trong bước sử dụng thiết bị di động đọc chip NFC của thẻ Căn cước công dân. Hướng dẫn các Ngân hàng đưa ra là hướng dẫn chung, nhưng mỗi điện thoại lại có vị trí đọc chip NFC khác nhau, đôi khi do người dùng chưa đặt đúng vị trí nên điện thoại không nhận diện được.

Thứ hai, đôi khi các lý do về công nghệ camera, ánh sáng trong điều kiện thực tế và thuật toán đằng sau khiến hệ thống không tiếp nhận được thông tin người dùng đưa vào. Cuối cùng là vấn đề nghẽn dịch vụ. Do số lượng người dùng tham gia xác thực quá đông tại một thời điểm khiến hệ thống quá tải và gặp lỗi. Sự cố này là hoàn toàn bình thường do hệ thống không được thiết kế để chịu lượng truy cập đồng thời lớn đến vậy.

Tính năng mới ra đời nên người dân hoang mang là điều dễ hiểu. Tuy nhiên, khi xem xét kỹ lại, các lý do nêu trên đều không quá nghiêm trọng, chỉ cần kiên nhẫn thử lại vài lần là sẽ thực hiện xác thực được. Người dân nên bình tĩnh xử lý các sự cố hoặc đến trực tiếp điểm giao dịch của các ngân hàng để được hỗ trợ. Sự hoang mang của người dùng chính là sơ hở để kẻ gian lợi dụng.

- Khắp mạng xã hội đang xôn xao tin đồn về các thủ đoạn lừa đảo mới qua sinh trắc học, anh đánh giá thế nào về điều này?

Thực tế, không phải đến bây giờ, khi có yêu cầu xác thực sinh trắc học thì các thủ đoạn lừa đảo theo cách này mới ra đời. Đây chỉ là một phương thức “cải tiến mới" được các đối tượng xấu cập nhật theo xu thế.

Trước đây, người dùng đăng nhập vào tài khoản ngân hàng bằng “tài khoản” và “mật khẩu”. Nhưng chỉ cần một người bất kỳ có tài khoản và mật khẩu của người dùng đó, là đã có thể đăng nhập vào và chuyển tiền, lấy tiền rất dễ dàng. Sau đó nhằm nâng cao tính bảo mật thông tin, ngoài việc sử dụng “tài khoản” và “mật khẩu”, Ngân hàng yêu cầu bổ sung thêm lớp OTP - One Time Password trên thiết bị của người dùng. Nhưng các đối tượng lừa đảo lại nghĩ các kịch bản, thủ đoạn lừa đảo rất tinh vi để lừa người dùng đưa mã OTP cho đối tượng đó.

Trên toàn cầu, thậm chí có những nơi các hội nhóm lừa đảo lập ra công ty với quy mô lớn và cách thức vận hành rất chuyên nghiệp, hoạt động như một nghề nghiệp kiếm sống. Hàng chục điện thoại viên ở đó có công việc hàng ngày là gọi điện để lừa người dùng. Quy mô có thể tưởng tượng tương tự như các Call Center của Viettel hiện nay.

Với việc sinh trắc học được sử dụng rộng rãi, nhiều người lầm tưởng kẻ gian sẽ trực tiếp xâm hại hệ thống sinh trắc học của người dùng. Thực tế, việc “qua mặt” hệ thống xác định sinh trắc học là không dễ dàng. Họ chỉ lợi dụng việc hỗ trợ người dùng gặp khó khăn khi xác thực sinh trắc học để thâu tóm các thông tin cá nhân khác.

Các đối tượng lập nick giả mạo "nhân viên ngân hàng" liên hệ khách hàng bằng các hình thức như gọi điện, nhắn tin, kết bạn qua Zalo, Facebook, Viber... để hướng dẫn thu thập thông tin sinh trắc học. Sau đó, họ yêu cầu người dùng cung cấp thông tin cá nhân, thông tin tài khoản ngân hàng, hình ảnh CCCD, hình ảnh khuôn mặt để được hỗ trợ. Đối tượng có thể yêu cầu cuộc gọi video để thu thập thêm giọng nói, cử chỉ…

- Anh nói việc "qua mặt" hệ thống sinh trắc học không dễ dàng, vậy việc xác thực sinh trắc học hiện nay có an toàn 100%?

Hiện tại, trong các phương thức xác thực, sử dụng sinh trắc học là khó giả mạo nhất, có mức độ bảo mật cao nhất. Tuy nhiên một vài thủ pháp tinh vi vẫn có thể “qua mặt” hệ thống do hạn chế nhất định.

Độ chính xác của việc nhận diện khuôn mặt phụ thuộc vào công nghệ camera được sử dụng trên thiết bị. Camera ứng dụng công nghệ càng cao, có độ phân giải và cảm biến hình ảnh càng tốt sẽ cho chất lượng xác thực khuôn mặt chính xác. Ngược lại, thiết bị di động đời càng thấp sẽ càng dễ dàng bị “qua mặt” bởi các thủ tháp đánh lừa.

Ngoài ra, sinh trắc học được kiểm tra dựa trên thông tin khuôn mặt trên căn cước công dân. Trong trường hợp ảnh thẻ trên căn cước công dân không rõ nét, các dấu hiệu nhận diện như nốt ruồi, vết sẹo… không thể hiện rõ trên ảnh căn cước cũng tạo nên lỗ hổng trong quá trình xác thực.

Một vài nghiên cứu cho thấy, khi sử dụng tượng sáp mang khuôn mặt giống hệt người dùng để xác thực khuôn mặt, tính chất về chiều sâu của vật thể có khả năng “qua mặt” hệ thống. Tuy nhiên, tỷ lệ dùng các thủ thuật và vượt qua được hệ thống xác thực rất hy hữu.

- Có cách nào để phòng tránh việc bị kẻ gian lừa đảo chiếm dụng thông tin và cụ thể hơn là qua lừa đảo sinh trắc học?

Để tránh việc việc bị các đối tượng xâm nhập, chiếm dụng thiết bị và tài sản. Thứ nhất, tôi khuyên mọi người chỉ nên truy cập các hệ thống liên quan đến tài chính từ những thiết bị an toàn. Các thiết bị đáng tin cậy có thể kể đến như điện thoại không tải ứng dụng ngoài Appstore, CH Play hay máy tính, laptop không sử dụng các phần mềm crack, không chính thống.

Theo thống kê của thế giới và của riêng VCS, 100% các phần mềm crack đều đi kèm phần mềm lấy cắp thông tin người dùng, đọc thông tin trên máy. Khả năng bị đánh cắp thông tin từ các phần mềm này là rất cao.

Thứ hai, sau vài tháng, người dùng nên tự đổi mật khẩu các tài khoản và không để trùng lặp với mật khẩu trước đó, tránh trường hợp thông tin trước đó đã bị đánh cắp. Ngoài ra, nếu có nhu cầu thực hiện giao dịch qua các trang web, cần đảm bảo vào đúng trang web của ngân hàng có dấu tích xanh.

Với các hình thức liên quan đến sinh trắc học, lời khuyên tốt nhất là không công khai các hình ảnh cá nhân. Ví dụ khi đăng hình lên Facebook, chúng ta chỉ nên để ở chế độ bạn bè. Còn với những trường hợp bắt buộc công khai hình ảnh thì rất khó tránh những rủi ro về việc bị lợi dụng cho những mục đích xấu.

Tình trạng và các hình thức lừa đảo qua mạng sẽ còn gia tăng trong thời gian tới. Tuy nhiên, chỉ cần thực hiện các biện pháp bảo vệ thông tin cá nhân như tôi đã nêu ra, người Viettel hoàn toàn có thể yên tâm.

- Xin cảm ơn anh về cuộc trò chuyện này.

Chuyên gia VCS lưu ý người Viettel bảo vệ thông tin cá nhân

Trao đổi với Viettel Family, đồng chí Trần Minh Quảng cũng đưa ra những gợi ý giúp người Viettel hoạt động an toàn hơn trên không gian mạng.

Thực tế, VCS đánh giá hệ thống viễn thông Viettel có độ bảo mật rất cao. Trong suốt 10 năm qua, mạng viễn thông Viettel đã có rất nhiều cải tiến về bảo mật để hạn chế các hình thức lừa đảo, khắc phục được nhiều lỗ hổng bảo mật nghiêm trọng.

Trong các quy định về an ninh, bảo mật trong nội bộ, Tập đoàn đã đưa ra nhiều khuyến nghị nhằm hạn chế lừa đảo liên quan đến thông tin Tập đoàn. Hệ thống thư điện tử của Viettel chính là một công cụ hỗ trợ đắc lực cho CBNV trong việc chặn lọc thư rác từ bên ngoài và những đường link độc hại được gửi đến. Do đó người Viettel có thể yên tâm về phương thức bảo mật của Tập đoàn.

Ngoài ra, nhân sự Viettel có số lượng lớn, trải dài trên khắp cả nước và quốc tế với nhu cầu phối hợp làm việc cao. Nhằm tránh nguy cơ bị lừa đảo, người Viettel nên giao tiếp trong luồng nội bộ và xác thực liên hệ theo hệ thống thông tin nhân sự. Nếu cần trao đổi qua điện thoại và các phương thức khác, CBNV có thể gửi mail xác nhận trước để quá trình làm việc trở nên thuận tiện hơn.

Trong 6 tháng đầu năm, VCS đã ghi nhận khoảng 3.000 tên miền lừa đảo được tạo mới. Tuy nhiên phần lớn các trang web chỉ tồn tại trong thời gian ngắn vì VCS đã sớm đưa ra biện pháp ngăn chặn. Nỗ lực của các bên trong việc ngăn chặn lừa đảo trên không gian mạng đã khiến tỷ lệ người dùng bị lừa giảm thiểu đáng kể.