Nguy cơ từ công nghệ giả mạo khuôn mặt
Khi các ngân hàng Việt Nam đồng loạt triển khai xác thực sinh trắc học cho các giao dịch giá trị lớn từ giữa năm 2024, nhiều người tin rằng đây là bước tiến quan trọng nhằm ngăn chặn lừa đảo trực tuyến, tài khoản thuê và các hành vi chiếm đoạt tài sản. Tuy nhiên, một báo cáo từ MIT Technology Review gần đây cho thấy mặt trận an ninh mạng đang xuất hiện những diễn biến đáng lo ngại.
Trên các kênh Telegram, nhiều bộ công cụ chuyên dụng đã xuất hiện, nhằm vượt qua hệ thống eKYC của ngân hàng, tổ chức tài chính và các nền tảng fintech. eKYC (Electronic Know Your Customer) là công nghệ định danh và xác thực khách hàng điện tử trực tuyến, cho phép người dùng xác minh danh tính 100% online thông qua điện thoại thông minh nhờ AI và dữ liệu sinh trắc học. Nhưng giờ đây, một số công cụ được quảng bá có khả năng đánh lừa cả bước kiểm tra "liveness" (kiểm tra người thật) – lớp phòng vệ quan trọng nhất trong xác thực khuôn mặt.
Sinh trắc học trở thành mục tiêu mới
Khác với các phương thức gian lận truyền thống chỉ dùng ảnh tĩnh hoặc video phát lại, các công cụ mới tận dụng AI, deepfake và công nghệ xử lý hình ảnh để tạo ra khuôn mặt chuyển động với biểu cảm, cử chỉ gần giống người thật. Mới đây, Phòng An ninh mạng và phòng, chống tội phạm sử dụng công nghệ cao phối hợp với Phòng Cảnh sát hình sự, Công an TP Hà Nội đã triệt phá một đường dây sản xuất, mua bán phần mềm độc hại có khả năng vượt qua hệ thống xác thực sinh trắc học của một số tổ chức tín dụng.
Theo cơ quan điều tra, nhóm đối tượng này đã nghiên cứu, phát triển và rao bán phần mềm nhằm hỗ trợ qua mặt các bước xác thực sinh trắc học trong giao dịch ngân hàng. Điều đáng chú ý là công cụ này đã được thương mại hóa và xuất hiện trên thị trường mua bán thực sự, cho thấy sinh trắc học đang dần trở thành mục tiêu mới của tội phạm mạng. Trước đây, các cuộc tấn công chủ yếu nhắm vào mật khẩu, mã OTP hoặc lừa người dùng cung cấp thông tin tài khoản; giờ đây, khuôn mặt, giọng nói và các đặc điểm nhận dạng sinh học đang trở thành "tài sản số" có giá trị không kém dữ liệu ngân hàng.
eKYC không còn là 'lá chắn tuyệt đối'
Trao đổi với phóng viên, ông Ngô Minh Hiếu (Hiếu PC), chuyên gia an ninh mạng, đánh giá đây là vụ việc rất nghiêm trọng. Theo ông Hiếu, nhiều người có quan niệm chưa chính xác rằng chỉ cần sử dụng khuôn mặt là đã bảo đảm an toàn. Trên thực tế, eKYC là một quy trình gồm nhiều lớp kiểm tra: đối chiếu giấy tờ tùy thân, nhận diện khuôn mặt, xác thực video liveness, kiểm tra thiết bị và đối soát dữ liệu với các nguồn tin cậy. Điểm yếu có thể xuất hiện ở bất kỳ khâu nào trong chuỗi này.
"Điểm yếu thường nằm ở khâu kiểm tra giấy tờ, ảnh chân dung, video liveness, thiết bị đầu cuối và quy trình đối soát dữ liệu. Nếu hệ thống chỉ dựa vào ảnh khuôn mặt hoặc video đơn giản, không kiểm tra tốt dấu hiệu giả mạo, thiết bị bị can thiệp, camera ảo hay dữ liệu bị tiêm vào ứng dụng, tội phạm có thể tìm cách vượt qua", ông Hiếu phân tích. Nói cách khác, sinh trắc học không phải là "chìa khóa vạn năng". Mức độ an toàn của eKYC phụ thuộc rất lớn vào chất lượng thuật toán chống giả mạo, khả năng phát hiện deepfake cũng như các lớp bảo vệ đi kèm.
AI khiến việc giả mạo trở nên dễ dàng hơn
Một trong những lý do khiến các chuyên gia ngày càng thận trọng với eKYC là sự phát triển nhanh chóng của AI tạo sinh. Nếu vài năm trước, việc tạo video giả mạo khuôn mặt đòi hỏi kỹ thuật cao, thiết bị đắt tiền và dữ liệu đầu vào chất lượng tốt, thì nay mọi thứ đã đơn giản hơn nhiều. Chỉ với một số hình ảnh công khai trên mạng xã hội, các công cụ AI hiện đại có thể tái tạo gương mặt, biểu cảm, chuyển động môi và thậm chí cả giọng nói của một người.
"AI và deepfake làm cho việc giả mạo khuôn mặt, giọng nói, biểu cảm và video trở nên dễ hơn, rẻ hơn và thật hơn. Trước đây kẻ gian cần ảnh hoặc video chất lượng cao, nay chỉ cần dữ liệu rò rỉ trên mạng xã hội là có thể tạo nội dung giả để thử qua mặt hệ thống eKYC hoặc lừa nhân viên, người thân, khách hàng", chuyên gia cảnh báo. Xu hướng này đang thay đổi hoàn toàn cuộc chơi trong lĩnh vực xác thực danh tính số. Nếu trước đây tội phạm cần đánh cắp mật khẩu, giờ đây chúng có thể tìm cách đánh cắp chính khuôn mặt của nạn nhân. Và khác với mật khẩu, khuôn mặt là thứ con người không thể thay đổi nếu bị lộ.
Người dùng đang tự trao dữ liệu cho kẻ gian?
Theo ông Ngô Minh Hiếu, mặc dù AI và deepfake là những công cụ nguy hiểm, nhưng gốc rễ của nhiều vụ việc vẫn xuất phát từ việc người dùng để lộ dữ liệu cá nhân. "Cả công nghệ bị vượt qua và việc người dùng làm lộ dữ liệu đều nguy hiểm. Tuy nhiên, rủi ro thường bắt đầu từ việc người dùng làm lộ CCCD, ảnh chân dung, video khuôn mặt, số điện thoại hoặc tài khoản ngân hàng. Khi dữ liệu này bị thu thập đủ nhiều, tội phạm có thể kết hợp với AI, deepfake, chiếm SIM hoặc phần mềm độc hại để vượt qua nhiều lớp bảo mật", chuyên gia nhận định.
Đây cũng là lý do thời gian qua liên tiếp xuất hiện các hình thức lừa đảo yêu cầu người dân cập nhật sinh trắc học, xác minh tài khoản hoặc bổ sung thông tin ngân hàng. Trong nhiều trường hợp, mục tiêu thực sự của kẻ gian không phải tiền trong tài khoản ngay lập tức mà là thu thập dữ liệu phục vụ cho các cuộc tấn công trong tương lai. Chuyên gia khuyến cáo người dân cần đặc biệt cảnh giác khi có người yêu cầu cung cấp CCCD, ảnh khuôn mặt, quay video xác minh, cài đặt ứng dụng lạ hoặc truy cập vào các đường link không rõ nguồn gốc. "Ngân hàng không yêu cầu khách hàng cung cấp OTP, mật khẩu hay xác thực sinh trắc học thông qua các đường link lạ", ông nhấn mạnh.
Hướng đi mới: xác thực đa lớp
Dù đối mặt với nhiều thách thức mới, các chuyên gia cho rằng eKYC vẫn là công nghệ cần thiết và chưa có giải pháp nào đủ khả năng thay thế hoàn toàn trong tương lai gần. Tuy nhiên, cách thức xác thực sẽ phải thay đổi. Theo ông Ngô Minh Hiếu, trong 3-5 năm tới, Việt Nam cần chuyển từ mô hình xác thực đơn lớp sang xác thực đa lớp và dựa trên đánh giá rủi ro. Thay vì chỉ kiểm tra khuôn mặt, hệ thống cần đồng thời đánh giá thiết bị đăng nhập, hành vi người dùng, vị trí truy cập, nguồn dữ liệu, tính xác thực của camera cũng như các dấu hiệu deepfake hoặc dữ liệu bị can thiệp.
"Ngoài khuôn mặt, hệ thống cần kiểm tra thiết bị, hành vi người dùng, vị trí đăng nhập, camera thật, dấu hiệu deepfake, dữ liệu bị tiêm vào ứng dụng và đối soát với nguồn dữ liệu tin cậy. Sinh trắc học vẫn cần thiết, nhưng phải đi kèm công nghệ chống giả mạo, chống deepfake và giám sát giao dịch bất thường theo thời gian thực", ông Hiếu nhận định.
Trong cuộc đua giữa công nghệ bảo mật và tội phạm mạng, AI đang được sử dụng ở cả hai phía. Một bên tận dụng AI để tạo ra những hình thức giả mạo ngày càng tinh vi; bên còn lại sử dụng AI để phát hiện hành vi bất thường và ngăn chặn gian lận. Điều đó đồng nghĩa với việc eKYC vẫn sẽ tiếp tục đóng vai trò quan trọng trong nền kinh tế số. Tuy nhiên, thời kỳ coi khuôn mặt là bằng chứng xác thực tuyệt đối có lẽ đã qua. Khi AI có thể tạo ra một khuôn mặt biết chớp mắt, biết cười và biết nói, câu hỏi không còn là "sinh trắc học có bị vượt qua hay không", mà là hệ thống sẽ làm gì để nhận ra đâu mới là con người thật.
