Nhiều ngày nay, người tiêu dùng xôn xao về thực trạng các app ngân hàng bị "lừa" ở bước xác thực chuyển tiền bằng một ảnh chụp sẵn. Có nghĩa là người chuyển tiền không cần phải quét mặt thật của mình mà chỉ cần quét một tấm ảnh chân dung.

Tuy nhiên, trả lời VTC News , ông Vũ Ngọc Sơn, Giám đốc kỹ thuật Công ty cổ phần Công nghệ an ninh mạng quốc gia Việt Nam (NCS) khẳng định: " Đây không phải là lỗi. Đó là do tính năng Liveness Detection bị tắt sau đó được bật lại ".

Xác thực sinh trắc học bị "lừa" bởi ảnh tĩnh: Chuyên gia nói không phải là lỗi - Ảnh 1.

Xôn xao việc xác thực sinh trắc học bằng ảnh tĩnh. (Ảnh: Minh Đức)

Theo ông Sơn, các nhà cung cấp công nghệ xác thực sinh trắc học thường cung cấp tính năng Liveness Detection. Công nghệ này sẽ giúp phát hiện ảnh thu được từ camera là ảnh thu của vật thể sống hay là ảnh tĩnh, hoặc video clip. Công nghệ này hiện nay tương đối phổ biến. Tại thời điểm ngân hàng tắt tính năng này đi, một số người có thể dùng ảnh hoặc clip để xác thực sinh trắc học.

Ông Sơn nhận định, tình huống trên xảy ra chỉ trong vòng một vài phút vào ngày 1/7 - thời điểm ngân hàng bắt đầu thực hiện xác thực sinh trắc học để chuyển tiền. Ngoài ra, khách hàng còn phải thỏa mãn rất nhiều điều kiện gồm: phải là tài khoản ngân hàng đã được xác thực trên một thiết bị di động đã được xác thực và phải đăng nhập trong lúc tính năng Liveness Detection đã tắt.

Tương tự, trong hội nghị sáng nay 4/7, Phó Thống đốc Ngân hàng Nhà nước Phạm Tiến Dũng cũng xác nhận có một số thử nghiệm cho thấy hệ thống xác thực của ngân hàng bị đánh lừa bởi ảnh tĩnh thay vì khuôn mặt thật của người dùng. Tuy nhiên, nguyên nhân là do số lượng giao dịch trong những ngày đầu tiên tăng đột biến nên một số ngân hàng đã tạm tắt chức năng Liveness trong sinh trắc học để đảm bảo tính ổn định, thông suốt của hệ thống.

Theo ông Dũng, Liveness trong xác thực sinh trắc học là thêm một lớp bảo vệ, tức các lớp bảo vệ khác vẫn hoạt động bình thường khi lớp này tắt.

" Có một, hai ngân hàng, do giao dịch quá lớn nên đã tắt chức năng Liveness để cho giao dịch của khách thông suốt. Việc quá tải ở đây là về lượng yêu cầu gửi về hệ thống ngân hàng. Khi bật chức năng này lên, lỗ hổng xác thực bằng ảnh tĩnh không còn ", ông Dũng nói.

Khách hàng không nên hoang mang

Trấn an khách hàng về tình huống trên, ông Vũ Ngọc Sơn nói: "X ác suất xảy ra việc xác thực bằng ảnh tĩnh là rất thấp, chỉ khi người chuyển tiền vào đúng thời điểm ngân hàng tắt tính năng. Ngân hàng cũng chỉ tắt tính năng này vào đúng thời điểm đó, khi hệ thống quá tải, sau đó đã bật lại. Do đó không phải là thường xuyên ”.

Ông Sơn cũng cho rằng, để một kẻ gian, một hacker đáp ứng đủ những điều kiện trên là hầu như không thể. Hơn nữa, đây không phải là lỗi hệ thống nên không nguy hiểm, do đó người dân không nên quá hoang mang.

Trung tá Triệu Mạnh Tùng, Phó Cục trưởng Cục An ninh mạng và Phòng, chống tội phạm sử dụng công nghệ cao, Bộ Công an giải thích: Các ngân hàng đều phải đầu tư vào nền tảng công nghệ để khi người dùng quét vân tay hoặc quét khuôn mặt thì phải là khuôn mặt sống, vân tay sống của người giao dịch. Tuy nhiên, chúng ta vẫn phải đối mặt với một vài rủi ro chẳng hạn như sử dụng deepfake để vượt qua một vài chốt chặn xác thực sinh trắc học của các ngân hàng. Nếu có những phương thức mới, ngân hàng phải tiếp tục xây dựng hệ thống để trang bị công nghệ chống lại hình thức gian lận này.

Ông Tùng cảnh báo hiện có hàng trăm hàng nghìn phương thức lừa đảo. Mỗi khi có một chính sách mới, có sự kiện mới, các đối tượng lại tiếp tục nghiên cứu kịch bản để dẫn dụ người bị hại vào cạm bẫy, thậm chí tinh vi hơn như lợi dụng chính sách chuyển đổi số, chính sách cập nhật thông tin để dẫn dụ người dùng cài ứng dụng có chứa mã độc hoặc truy cập vào đường link chứa mã đống qua đó để chiếm dụng điện thoại, chiếm đoạt tài sản.

Có những nhóm lừa đảo hoạt động hàng trăm đối tượng, hoạt động như một nghề để kiếm sống, cho nên chỉ nghiên cứu sử dụng các phương thức lừa đảo qua không quan mạng để tìm kiếm người bị hại. Khâu quan trọng nhất của các loại tội phạm đặc biệt là tội phạm không gian mạng đó là khâu luân chuyển dòng tiền. Do đó, nếu chúng ta không định danh thông tin người mở tài khoản, không định danh được người thực hiện giao dịch thì vô hình chung hoạt động thanh toán sẽ tiềm ẩn rất nhiều rủi ro để các đối tượng lợi dụng.

" Quyết định 2345/NHNN là các biện pháp kỹ thuật để xây dựng các giải pháp để xác thực sinh trắc học khách hàng khi thực hiện giao dịch trên 10 triệu đồng, hoặc tổng giao dịch trong ngày vượt mức 20 triệu đồng. Đây là bước quan trọng, giải quyết được các vấn đề căn cơ như định danh để làm sạch thông tin khách hàng, đảm bảo người dùng có căn cước công dân thực, mở tài khoản thực ", ông Tùng khẳng định.

Xác thực sinh trắc học bị "lừa" bởi ảnh tĩnh: Chuyên gia nói không phải là lỗi - Ảnh 2.

Tuy nhiên đến nay, việc dùng ảnh tĩnh để xác thực sinh trắc nhằm chuyển tiền trên 10 triệu đồng không thể thực hiện được. (Ảnh: Minh Đức)

Trước đó, nhiều người hoang mang khi chỉ dùng ảnh tĩnh vẫn có thể xác thực sinh trắc học để chuyển tiền.

Nguyễn Minh H. (Hà Nội) cho biết, ngay sau khi ngân hàng yêu cầu phải xác thực sinh trắc học mới chuyển được khoản tiền từ hơn 10 triệu đồng, anh đã nảy ra ý định dùng thử dùng ảnh chân dung để thử nghiệm và bất ngờ khi có thể chuyển tiền thành công.

Thời điểm iPhone và các điện thoại Android khác mới ra mắt công nghệ FaceID, để kiểm tra độ tin cậy trong việc bảo mật bằng công nghệ này, các chuyên gia công nghệ đã thử nghiệm và kết luận rằng FaceID của iphone là đáng tin cậy nhất, trong khi nhiều điện thoại khác thì dễ dàng bị qua mặt bởi ảnh tĩnh. Liên tưởng đến app xác thực sinh trắc của ngân hàng, tôi cũng thử nghiệm để kiểm chứng xem có đáng tin cậy không ”, anh H. giải thích về việc làm của mình.

Anh H. còn cho biết thêm: " Cứ nghĩ là mình tôi gặp trường hợp trên, nhưng khi chia sẻ với bạn bè thì thấy cũng có người xác nhận gặp tình huống tương tự. Trên mạnh xã hội, nhiều người thắc mắc về hiện tượng trên. Ai cũng hoang mang vì như vậy chứng tỏ chế độ bảo mật không hiệu quả, nguy cơ thất thoát tài sản có thể xảy ra ".

Tuy nhiên, theo khảo sát, đến thời điểm hiện nay, việc chuyển tiền chỉ nhờ quét ảnh tĩnh để xác thực sinh trắc học đã không còn diễn ra. Lúc 15h chiều 4/7, PV VTC News thử nghiệm xác thực bằng ảnh tĩnh với nhiều app ngân hàng khác nhau, tại nhiều thời điểm khác nhau. Tuy nhiên, sau khi đã qua các bước xác thực bằng OTP hoặc bằng vân tay hay bảo mật FaceID, đến bước xác thực khuôn mặt sinh trắc học thì các ứng dụng đều thông báo không tiếp nhận được khuôn mặt.