“Kẻ gian chắc chắn không thể nào mang deepfake, mặt nạ silicon đến quầy giao dịch để đánh lừa nhân viên, thực hiện hành vi xấu”, anh Nguyễn Đăng Khoa, Trưởng phòng Sản phẩm ứng dụng trí tuệ nhân tạo của Công ty An ninh mạng Viettel (VCS) đặt ra ví dụ trực quan khi giải thích về nghiệp vụ xác minh trên không gian số đứng trước những thử thách phức tạp hơn cách truyền thống.
So với xác thực KYC diễn ra trên không gian vật lý, các kịch bản gian lận với thủ đoạn tinh vi phát sinh nhiều hơn trong môi trường trực tuyến. Theo chuyên gia của VCS, ngay cả với những đơn vị có mức độ trưởng thành về CNTT cao nhất như ngân hàng, tổ chức tài chính, rủi ro về bảo mật vẫn luôn tồn tại. Nghĩa là khi bộ máy lớn, quy trình và nhân sự chuyên nghiệp, các đối tượng xấu vẫn sẽ có cách tiếp cận các ngõ ngách, lỗ hổng để trục lợi.
Vô số kịch bản đánh lừa
Một rủi ro đáng lo ngại từ việc xác thực sinh trắc học trên quy mô rộng hiện nay là dữ liệu người dùng bị đánh cắp. Khi dữ liệu lộ ra ngoài, các đối tượng xấu có thể rao bán tài khoản mạo danh. Trên các hội, nhóm trên mạng xã hội, hình ảnh giấy tờ tùy thân vẫn được chào bán công khai và ai có nhu cầu có thể tiêp cận dễ dàng.
Một trường hợp khác là dùng giấy tờ đã bị chỉnh sửa, không còn giá trị sử dụng theo quy định của pháp luật như: ảnh cắt góc, dán đè ảnh chân dung, ảnh đã photoshop, in màu, chỉnh sửa thông tin. Hoặc sử dụng thực thể không phải người sống (đeo mặt nạ, chụp khuôn mặt gián tiếp qua màn hình, khuôn mặt in trên giấy, khuôn mặt in trên thẻ, sử dụng video deepfake, mặt 3D…)
Theo số liệu trong hệ thống về giám sát an toàn thông tin của VCS, hơn 61 triệu tài khoản và thông tin cá nhân bị đánh cắp và giao bán trên mạng trong 6 tháng đầu năm 2024, cao gấp 1,5 lần so với cùng kỳ năm 2023. Trong đó, có số lượng lớn dữ liệu thông tin eKYC bị lộ lọt, ước tính vào khoảng 400.000 bản ghi.
Kẽ hở rò rỉ từ những thói quen thường nhật
Tổ chức đặc nhiệm tài chính quốc tế (FATF) từng nhận định: “Các quan hệ hoặc giao dịch không gặp mặt trực tiếp khách hàng được xếp vào nhóm tình huống có độ rủi ro cao trong việc phòng, chống rửa tiền và tài trợ khủng bố. Do đó, các biện pháp định danh khách hàng nâng cao cần được thực thi”.
Với các tổ chức, doanh nghiệp, lời khuyên là các tổ chức cần không ngừng cập nhật, nâng cao năng lực công nghệ, tăng cường đội ngũ nhân sự. “Máy móc, hệ thống chỉ là công cụ, doanh nghiệp vẫn cần xây dựng đội ngũ con người nâng cao chất lượng vận hành. Cốt lõi nằm ở vấn đề tri thức, nghiệp vụ”, anh Nguyễn Đăng Khoa nhấn mạnh.
Trên thực tế, nhiều ngân hàng sở hữu đội ngũ lớn về CNTT để phát triển các công cụ công nghệ. Các sản phẩm này chỉ sử dụng nội bộ trong phạm vi hoạt động của một ngân hàng nên ít được cập nhật các chứng chỉ bảo mật so với sản phẩm các công ty chuyên về phát triển eKYC.
Để tăng cường bảo mật trong xác thực, có ngân hàng có thể thuê đội ngũ chuyên gia tư vấn trong ngắn hạn. Nhưng về dài hạn, các ngân hàng, tổ chức tài chính vẫn nên sử dụng dịch vụ eKYC của các đơn vị uy tín, chuyên nghiệp.
Ở góc độ của Viettel, cụ thể là VCS, giải pháp chống giả mạo là xây dựng từng lớp bảo vệ, mang tên Hệ thống phát hiện gian lận theo thời gian thực (VCS-F2DR). Trong 19 tháng (tháng 1/2023-7/2024), hệ thống này đã cảnh báo 257.340 lần về các hoạt động liên quan đến gian lận định dạnh và mở mới tài khoản, trung bình 13.544 cảnh cáo/tháng.
Hệ thống của VCS F2DR được xây dựng trên hơn 10 kịch bản gian lận phổ biến trên thị trường, từ định danh trùng thông tin giấy tờ, mạo danh khách hàng, trục lợi chính sách hoa hồng của kênh đại lý với tài khoản mở mới đến làm giả giấy tờ, tài khoản giả mạo theo điểm rủi ro… Từ các kịch bản gian lận được tính toán trước này, VCS F2DR can thiệp vào từng giai đoạn để phát hiện gian lận và cảnh báo.
Còn với cá nhân người dùng, để tránh bị lừa trên không gian mạng, chuyên gia của VCS khuyến nghị, hạn chế đăng ảnh bản thân, gia đình lên mạng xã hội; nên khóa bảo vệ trang cá nhân trên các ứng dụng mạng xã hội. Ngoài ra, không đăng nhập vào đường link lạ, không cung cấp bất kỳ nội dung gì liên quan đến thông tin cá nhân hoặc thông tin tài khoản ngân hàng, không cung cấp mã OTP cho người khác. Cuối cùng, hãy xem xét kỹ lưỡng trước khi cài đặt bất kỳ ứng dụng nào trên thiết bị công nghệ và tìm hiểu về chính sách quyền riêng tư của ứng dụng.
“Từ góc độ người làm trong lĩnh vực về an toàn thông tin, lời khuyên của tôi là mỗi người nên coi thông tin, dữ liệu về cá nhân là tài sản quan trọng, cần có ý thức bảo vệ thông tin để tránh bị đánh cắp danh tính mà không hề hay biết, vô tình thành nạn nhân bị kẻ xấu lợi dụng”, chuyên gia của VCS cho hay.