Bật mí về cơ chế robot qua mặt sinh trắc học trên ứng dụng ngân hàng

Tô Hội12:22 05/06/2025

Hiện tại, trong các phương thức xác thực, sử dụng sinh trắc học là khó giả mạo nhất, có mức độ bảo mật cao nhất.

Tuy nhiên một vài thủ pháp tinh vi vẫn có thể ‘qua mặt’ hệ thống do hạn chế nhất định.

Thủ thuật thay đổi thuật toán của kẻ gian

Mới đây, cơ quan Cảnh sát điều tra Công an tỉnh Thái Bình vừa ra Quyết định khởi tố vụ án hình sự, khởi tố 21 bị can về tội đánh bạc và rửa tiền. Đường dây này hoạt động tinh vi, đáng chú ý là lần đầu tiên sử dụng công nghệ trí tuệ nhân tạo (AI) để phạm tội tại Việt Nam.

Cơ quan điều tra xác định trang web “KUBET”, có máy chủ ở nước ngoài, tổ chức nhiều hình thức cá cược, đánh bạc ăn tiền qua các trò chơi như xổ số, cá độ bóng đá, tài xỉu. Người chơi tạo tài khoản qua điện thoại và liên kết ngân hàng để nạp/rút tiền. Tại thời điểm triệt phá, đã có hơn 1 triệu tài khoản với số tiền đánh bạc ước tính hơn 1.000 tỷ đồng.

Bảo mật bằng sinh trắc học vẫn có thể bị hack tài khoản nếu không có các biện pháp ngăn chặn.

Ngoài hành vi đánh bạc, các đối tượng còn thực hiện rửa tiền, thuê người mở tài khoản ngân hàng tại Việt Nam cho người chơi nạp tiền.

Sau đó, đối tượng ở Đài Loan (Trung Quốc) điều khiển máy tính kết nối điện thoại đã cài đặt sẵn ứng dụng ngân hàng để chuyển tiền qua nhiều tài khoản khác nhau nhằm che giấu nguồn gốc .

Đặc biệt, với các giao dịch từ 10 triệu đồng trở lên yêu cầu quét sinh trắc học, các đối tượng đã tạo clip AI khuôn mặt của chủ tài khoản để vượt qua lớp bảo mật này mà chủ tài khoản không cần trực tiếp thực hiện.

Video đang HOT

Ông Vũ Ngọc Sơn, Trưởng Ban Nghiên cứu, tư vấn, phát triển công nghệ và Hợp tác quốc tế của Hiệp hội An ninh mạng quốc gia (NCA) cho biết, trong vụ việc các đối tượng lừa đảo dùng thiết bị root để qua mặt xác thực sinh trắc học tại Thái Bình, có một số bạn thắc mắc, các app của Bank phần lớn đã tích hợp khả năng detect điện thoại bị root, cụ thể là nếu thấy thiết bị đã có dấu hiệu bị root thì sẽ không chạy nữa, vậy làm sao mà có thể chuyển tiền được?

Root điện thoại là thuật ngữ chỉ các điện thoại đã có sự can thiệp, chỉnh sửa để người dùng (ở đây là nhóm tội phạm) có thể giành quyền truy cập cấp cao nhất (root access) trên thiết bị.

Ông Sơn phân tích, để hiểu được vấn đề này, hãy lấy một ví dụ tương tự về việc các mã độc mới xuất hiện hàng ngày và by pass được các công nghệ của phần mềm diệt virus. Hacker sẽ test (thử nghiệm) đến khi nào AV (phần mềm diệt virus) không phát hiện ra mã độc nữa thì mới mang đi tấn công người dùng. Tại sao? Vì nguyên tắc AV phát hiện ra mã độc là dựa vào 1 số đặc điểm nhận dạng. Nếu hacker làm cho các đặc điểm nhận dạng không còn tồn tại trên mã độc thì AV sẽ không thể nhận ra.

Điều tương tự đã được làm với điện thoại root. Các đối tượng lừa đảo sẽ tìm cách che dấu, thay đổi các đặc điểm điện thoại bị root để các thuật toán của app ngân hàng không thể nhận ra nữa. Kết quả là mặc dù điện thoại bị root nhưng app ngân hàng vẫn chạy.

Đây là cuộc chiến giữa con người và con người, sẽ không có hồi kết. Các kỹ thuật “phòng thủ” sẽ tìm cách để phát hiện ra dấu hiệu mới của các kỹ thuật “tấn công”. Ngược lại, những kẻ “tấn công” sẽ tìm ra cách để qua mặt (bypass) các kỹ thuật phòng thủ.

Xây dựng kho dữ liệu về các tài khoản lừa đảo

Theo chuyên gia an ninh mạng Trần Minh Quảng, hiện tại, trong các phương thức xác thực, sử dụng sinh trắc học là khó giả mạo nhất, có mức độ bảo mật cao nhất. Tuy nhiên một vài thủ pháp tinh vi vẫn có thể “qua mặt” hệ thống do hạn chế nhất định.

Độ chính xác của việc nhận diện khuôn mặt phụ thuộc vào công nghệ camera được sử dụng trên thiết bị. Camera ứng dụng công nghệ càng cao, có độ phân giải và cảm biến hình ảnh càng tốt sẽ cho chất lượng xác thực khuôn mặt chính xác. Ngược lại, thiết bị di động đời càng thấp sẽ càng dễ dàng bị “qua mặt” bởi các thủ tháp đánh lừa.

Ngoài ra, sinh trắc học được kiểm tra dựa trên thông tin khuôn mặt trên căn cước công dân. Trong trường hợp ảnh thẻ trên căn cước công dân không rõ nét, các dấu hiệu nhận diện như nốt ruồi, vết sẹo… không thể hiện rõ trên ảnh căn cước cũng tạo nên lỗ hổng trong quá trình xác thực.

Một vài nghiên cứu cho thấy, khi sử dụng tượng sáp mang khuôn mặt giống hệt người dùng để xác thực khuôn mặt, tính chất về chiều sâu của vật thể có khả năng “qua mặt” hệ thống. Tuy nhiên, tỷ lệ dùng các thủ thuật và vượt qua được hệ thống xác thực rất hy hữu.

Để tránh việc việc bị các đối tượng xâm nhập, chiếm dụng thiết bị và tài sản, chuyên gia khuyên mọi người chỉ nên truy cập các hệ thống liên quan đến tài chính từ những thiết bị an toàn. Các thiết bị đáng tin cậy có thể kể đến như điện thoại không tải ứng dụng ngoài Appstore, CH Play hay máy tính, laptop không sử dụng các phần mềm crack, không chính thống.

Sau vài tháng, người dùng nên tự đổi mật khẩu các tài khoản và không để trùng lặp với mật khẩu trước đó, tránh trường hợp thông tin trước đó đã bị đánh cắp. Ngoài ra, nếu có nhu cầu thực hiện giao dịch qua các trang web, cần đảm bảo vào đúng trang web của ngân hàng có dấu tích xanh.

Với các hình thức liên quan đến sinh trắc học, lời khuyên tốt nhất là không công khai các hình ảnh cá nhân. Ví dụ khi đăng hình lên Facebook, chúng ta chỉ nên để ở chế độ bạn bè. Còn với những trường hợp bắt buộc công khai hình ảnh thì rất khó tránh những rủi ro về việc bị lợi dụng cho những mục đích xấu.

Ông Phạm Anh Tuấn – Vụ trưởng Vụ Thanh toán, Ngân hàng Nhà nước cho biết, tội phạm công nghệ ngày càng gia tăng đòi hỏi ý thức của tổ chức trong việc đầu tư công nghệ nhằm nâng cao bảo mật và bảo vệ khách hàng. Chúng ta dùng AI để phát triển sản phẩm thì tội phạm cũng lợi dụng AI vào các hoạt động phạm tội. Trong vụ án trên, có tình trạng một số ứng dụng của các tổ chức cung ứng dịch vụ chưa đáp ứng được bảo mật cao nhất, chứng chỉ quốc tế về định danh điện tử – eKYC.

“Sau khi cơ quan công an phát hiện các đối tượng lừa đảo, Ngân hàng Nhà nước đã chấn chỉnh những tổ chức cung ứng dịch vụ liên quan. Tới đây, Ngân hàng Nhà nước sẽ quy định dừng cung cấp dịch vụ trên môi trường trực tuyến nếu tổ chức cung ứng không đáp ứng các tiêu chuẩn quốc tế. Cuộc chiến với tội phạm mạng là cuộc chiến không điểm dừng, do vậy đòi hỏi các tổ chức cung ứng cần phải quan tâm” – ông Tuấn nói.

Để ngăn ngừa tài khoản giả mạo, lừa đảo, lãnh đạo Vụ Thanh toán cho hay đã có quy định các tổ chức tín dụng phải gửi thông tin về tài khoản nghi ngờ gian lận về Ngân hàng Nhà nước để thực hiện dự án xây dựng kho dữ liệu nghi ngờ nhằm chia sẻ lại cho các tổ chức tín dụng. Tới nay, kho dữ liệu đã thu thập được trên 350.000 tài khoản nghi ngờ và sẽ được chia sẻ lại cho các tổ chức tín dụng theo tinh thần đơn vị nào gửi thông tin về Ngân hàng Nhà nước sẽ được chia sẻ lại.

Giải pháp xác thực định danh điện tử đạt chứng nhận quốc tế về sinh trắc học

FPT eID - giải pháp xác thực định danh điện tử do Công ty cổ phần FPT (FPT) phát triển đã đồng thời đạt được hai chứng nhận quốc tế danh giá trong lĩnh vực sinh trắc học.

Cụ thể, ISO/IEC 30107-3 Level 2 về công nghệ chống giả mạo sinh trắc học khuôn mặt và ISO/IEC 19795-2 về công nghệ so sánh khuôn mặt.

FPT eID - giải pháp xác thực định danh điện tử do FPT phát triển - đã đồng thời đạt được hai chứng nhận quốc tế danh giá hàng đầu trong lĩnh vực sinh trắc học. Ảnh: FPT

Các công nghệ này giúp sớm đáp ứng các tiêu chuẩn nghiêm ngặt trong Thông tư 50/2024/TT-NHNN của Ngân hàng Nhà nước Việt Nam, quy định về an toàn, bảo mật cho việc cung cấp dịch vụ trực tuyến trong ngành ngân hàng có hiệu lực từ ngày 1/7/2025(Thông tư 50/2024/TT-NHNN), sẵn sàng mang đến lợi ích thiết thực cho các tổ chức tài chính - ngân hàng trong việc giảm thiểu rủi ro gian lận, tăng độ tin cậy trong định danh khách hàng và bảo vệ người dân khi thực hiện các giao dịch tài chính số trong bối cảnh lừa đảo ngày càng tinh vi.
Đây là hai trong số những chứng nhận có tính pháp lý và kỹ thuật cao nhất hiện nay trong lĩnh vực sinh trắc học toàn cầu, tuân thủ các tiêu chuẩn do Tổ chức Tiêu chuẩn hóa Quốc tế (ISO) ban hành và được kiểm định bởi BixeLab (Australia) - Phòng thí nghiệm sinh trắc học được ủy quyền bởi Liên minh FIDO (FIDO Alliance).

Mô phỏng tình huống giả mạo xác minh sinh trắc học bằng mặt nạ silicon. Ảnh: FPT

Hai chứng nhận quốc tế mà FPT eID đạt được thể hiện sự chuẩn bị chủ động, nghiêm túc của FPT trong bối cảnh Ngân hàng Nhà nước Việt Nam chuẩn bị siết chặt quy định về xác thực sinh trắc học theo Thông tư 50/2024/TT-NHNN. Đây là thông tư nối tiếp và cụ thể hóa Quyết định 2345/QĐ-NHNN của Ngân hàng Nhà nước Việt Nam về triển khai các giải pháp an toàn, bảo mật trong thanh toán trực tuyến và thanh toán thẻ ngân hàng, đặt ra yêu cầu bắt buộc với các ngân hàng, tổ chức tín dụng, trung gian thanh toán... phải triển khai hệ thống eKYC (giải pháp xác minh danh tính của khách hàng online thông qua công nghệ điện tử và trí tuệ nhân tạo) có năng lực chống giả mạo sinh trắc học (PAD) được chứng nhận bởi tổ chức thuộc Liên minh FIDO.

Động thái siết chặt này xuất phát từ thực trạng lừa đảo công nghệ ngày càng tinh vi. Các hình thức giả mạo bằng ảnh, video deepfake hay mặt nạ silicon nhằm đánh lừa hệ thống nhận diện khuôn mặt đang đặt ra thách thức lớn với ngành tài chính - ngân hàng. Việc trì hoãn triển khai giải pháp eKYC đáp ứng tiêu chuẩn có thể khiến các tổ chức tài chính đối mặt với rủi ro về tuân thủ pháp lý, uy tín thương hiệu, cũng như mất an toàn dữ liệu trong hoạt động giao dịch số.

Mô phỏng tình huống giả mạo xác minh sinh trắc học bằng mặt nạ giấy. Ảnh: FPT

Để đạt được những chứng nhận quốc tế danh giá này, đội ngũ chuyên gia FPT đã trải qua hành trình đầy thử thách. Theo quy định, FPT eID phải đạt được tỷ lệ phát hiện chính xác tối thiểu 99% số cuộc tấn công giả mạo, chỉ cần một vài sai sót nhỏ cũng có thể dẫn đến việc phải thực hiện lại toàn bộ quy trình kiểm định. Trước đó, đơn vị đã đạt chứng nhận ISO/IEC 30107-3 Level 1 và giờ đây tiếp tục chinh phục thành công các tiêu chuẩn khắt khe của chứng nhận Level 2.

Ông Phan Thanh Toàn - Giám đốc Trung tâm Nền tảng Định danh số FPT IS, Tập đoàn FPT cho biết: "Việc FPT eID đồng thời đạt hai chứng nhận quốc tế trong lĩnh vực sinh trắc học là cột mốc quan trọng, khẳng định năng lực công nghệ lõi cũng như định hướng đầu tư bài bản, dài hạn của FPT trong lĩnh vực định danh số. Trong bối cảnh ngành ngân hàng Việt Nam chuẩn bị siết chặt yêu cầu xác thực sinh trắc học theo quy định mới, FPT eID sẵn sàng đồng hành cùng các tổ chức tài chính - ngân hàng và doanh nghiệp triển khai các giải pháp eKYC an toàn, chính xác và tin cậy, giúp đảm bảo tuân thủ pháp lý đồng thời nâng cao hiệu quả phòng chống gian lận và bảo vệ quyền lợi khách hàng".

Giải pháp bảo mật nhận dạng mặt nạ silicon Giải pháp xác thực định danh điện tử do FPT phát triển vừa đạt hai chứng nhận quốc tế trong lĩnh vực sinh trắc học, giúp tăng cường bảo mật và chống lại các hình thức lừa đảo khi giao dịch trực tuyến. Giải pháp Face eID có thể nhận dạng khi kẻ xấu sử dụng mặt nạ cao su để qua mặt...

Bạn thấy bài viết này có hữu ích không?

Có

Không

Tin liên quan

Xem thêm Share

Xem nhiều

Chàng trai có ca khúc được chọn cho Đại lễ 2/9: "Con tướng" mạnh của Anh Trai mùa 2, chạm tay là có hit58:27

Clip HOT: Hoàng Thuỳ Linh bật chế độ "nóc nhà", Đen Vâu răm rắp nghe lời!00:29

Sao nam Vbiz cầu hôn bạn trai ngoài ngành sau 12 năm hẹn hò?02:01

Mỹ nhân Mưa Đỏ hát chơi chơi ca khúc hot nhất 2/9 mà được khen tới tấp, visual trời sinh một cặp với nam chính05:43

Cục Trưởng Xuân Bắc dặn dò các nghệ sĩ: 80 năm mới có một lần, hãy nghiêm túc hết mình!01:00

Trọn bộ hình như "hình cưới" của Đen Vâu và Hoàng Thuỳ Linh: Ánh mắt nhà trai nhìn "nóc nhà" lạ quá!00:44

Không phải Duyên Quỳnh hay Võ Hạ Trâm, "cha đẻ" chọn đây mới là người hát Viết Tiếp Câu Chuyện Hoà Bình ấn tượng nhất05:11

Hé lộ cát-xê hội chợ của "bạch nguyệt quang" lớn lên từ gánh củi khô, giờ giàu đến mức không thèm đi hát04:48

Cha đẻ của "Gangnam Style": "Gã tâm thần" khác biệt sở hữu MV 5,6 tỷ view04:13

Bắt cận visual Hoàng Thuỳ Linh khi đi tập luyện diễu hành, có 1 hành động ghi điểm mạnh00:49

Tăng Duy Tân để lộ khoảnh khắc "kè kè" bên Bích Phương, fan nôn đòi danh phận03:08

Tiêu điểm

Tin đang nóng

Tin mới nhất

Microsoft tích hợp AI vào Excel: Giảm tải cho kế toán

13:45:33 01/09/2025

Microsoft vừa thực hiện một bước đột phá trong việc tích hợp trí tuệ nhân tạo vào Excel với tính năng Copilot mới, hứa hẹn biến đổi cách chúng ta làm việc với bảng tính.

Samsung phát hành One UI 8 trên nền Android 16 cho Galaxy S

13:42:34 01/09/2025

Giống như những lần trước, Samsung triển khai chương trình beta One UI 8 đầu tiên trên dòng flagship mới nhất - Galaxy S25. Đây cũng sẽ là thiết bị đầu tiên nhận bản cập nhật ổn định khi hãng chính thức phát hành rộng rãi trong thời gia...

Tin công nghệ nổi bật trong tuần: Malaysia có chip AI, Huawei và Apple 'so găng' smartphone mới

13:28:00 01/09/2025

MAI-1-preview mới chỉ là bản dùng thử. Mô hình đã bắt đầu được thử nghiệm trên nền tảng LMArena, nơi đánh giá hiệu suất các hệ thống AI và sẽ dần được tích hợp vào một số dịch vụ Copilot trong vài tuần tới, theo thông tin từ Microsoft.

One UI 8 ra mắt tháng 9, thiết bị Galaxy của bạn có được "lên đời"?

13:18:27 01/09/2025

Đây là một tin vui lớn cho những ai đang sở hữu các dòng máy từ dòng Galaxy S22, Galaxy Z Fold/Flip4 trở lên. Tuy nhiên, đây cũng là dấu chấm hết cho vòng đời cập nhật của một số model đình đám một thời.

Lý do nhà khoa học trưởng Google tránh nói về siêu AI

13:02:53 01/09/2025

Khác với quan điểm của David Sacks và Andrew Ng, Demis Hassabis tuyên bố AGI sẽ mở ra bước ngoặt chấn động lớn gấp 10 lần Cách mạng Công nghiệp, và có thể nhanh hơn 10 lần.

Trí tuệ nhân tạo: xAI ra mắt mô hình lập trình thông minh mới

12:36:15 31/08/2025

Kết quả thử nghiệm cũng cho thấy tiềm năng đáng chú ý: mô hình đạt tỷ lệ thành công 70,8% trong bộ kiểm thử SWE-Bench-Verified trên môi trường thử nghiệm nội bộ.

Google ngày càng 'Apple hóa' hệ điều hành Android

10:12:19 30/08/2025

Việc lấy bảo mật làm cái cớ để xây dựng một hệ sinh thái đóng chính là chiến lược mà Apple đã sử dụng trong nhiều năm. Và giờ đây, Google dường như đang đi theo vết xe đổ đó.

8 điện thoại Xiaomi vừa đón tin vui với Android 16

09:47:10 30/08/2025

HyperOS 3 beta hiện chỉ có sẵn cho người dùng đã đăng ký chương trình tại Trung Quốc. Tuy nhiên, Xiaomi dự kiến sẽ mở rộng ra toàn cầu và triển khai chương trình beta tại nhiều quốc gia khác trong thời gian tới.

Trí tuệ nhân tạo đang tạo ra một bước 'nhảy vọt' về năng lực sản xuất

09:40:34 30/08/2025

Sự trỗi dậy của trí tuệ nhân tạo (AI) đang tạo ra một bước nhảy vọt về năng lực sản xuất, buộc các doanh nghiệp phải nhanh chóng thích ứng.

Microsoft khắc phục một trong những sự cố khó chịu nhất của Windows 11

15:23:42 29/08/2025

Tuy nhiên, người dùng sẽ cần tai nghe tương thích với LE Audio và bản cập nhật mới nhất cho Windows 11, trong đó việc triển khai tùy thuộc vào thời điểm nhà sản xuất PC phát hành bản cập nhật trình điều khiển cho LE Audio.

Ứng dụng công nghệ AI, chuyển đổi số giúp doanh nghiệp gia tăng hiệu quả kinh doanh

15:21:49 29/08/2025

Những năm gần đây, Thành phố Hà Nội có triển khai hỗ trợ các doanh nghiệp vừa và nhỏ trên địa bàn các gói chuyển đổi số. Trong đó, phải kể đến các gói Bắt đầu chuyển đổi số, gói Tăng tốc chuyển đổi số và gói Chuyển đổi số hướng đến thị ...

Robot, khí tài và các thành tựu công nghệ Việt tại Triển lãm 2/9

15:19:08 29/08/2025

Khách tham quan triển lãm có thể tương tác với robot hình người do VinMotion, thuộc Vingroup phát triển. Robot có khả năng đi bộ, vẫy tay và giao tiếp bằng cử chỉ.