Xác thực sinh trắc học, vẫn còn lỗ hổng cần bảo mật


Xác thực sinh trắc học bằng quét khuôn mặt khi chuyển tiền, còn lỗ hổng cho người dùng, đặc biệt với dịch vụ ngân hàng vẫn cần sử dụng các biện pháp bảo mật đa yếu tố khi sử dụng.

Dù eKYC đã giúp cải thiện quá trình xác thực danh tính, nhưng tội phạm vẫn có thể lợi dụng kẽ hở trong quy trình này.
Dù eKYC đã giúp cải thiện quá trình xác thực danh tính, nhưng tội phạm vẫn có thể lợi dụng kẽ hở trong quy trình này.

Theo số liệu thống kê của dự án Chống lừa đảo, trong Quý 2 năm nay, ghi nhận 31.210 báo cáo về các cuộc lừa đảo và tấn công mạng, riêng tháng 6/2024 đã tăng mạnh lên đến 11.452 vụ.

Không chủ quan về tội phạm công nghệ

Chia sẻ với Diễn đàn Doanh nghiệp về lỗ hổng bảo mật kỹ thuật, ông Nguyễn Đăng Khoa, Trưởng phòng sản phẩm ứng dụng trí tuệ nhân tạo của Công ty VCS cho biết, có ba nguyên nhân chính dẫn đến tình trạng lừa đảo gia tăng:

Thứ nhất là các lỗ hổng trong quy trình nghiệp vụ tài chính. Dù eKYC đã giúp cải thiện quá trình xác thực danh tính, nhưng tội phạm vẫn có thể lợi dụng kẽ hở trong quy trình này. Ví dụ, một số đối tượng chuyển sang sử dụng tài khoản doanh nghiệp để tránh các biện pháp kiểm soát chặt chẽ như với tài khoản cá nhân, vì quy trình này thường ít yêu cầu xác thực hơn. Quy trình nghiệp vụ, bao gồm việc định danh và chuyển đổi định danh cho người dùng, nếu không được thiết lập chặt chẽ, cũng có thể là điểm yếu mà tội phạm khai thác.

Thứ hai là nhận thức của người dân về công nghệ và các phương thức lừa đảo còn thấp, khiến họ dễ trở thành mục tiêu. Các đối tượng lừa đảo thường sử dụng các phương pháp tinh vi như giả mạo danh tính hoặc tấn công qua mạng xã hội, email, lợi dụng sự thiếu hiểu biết này để chiếm đoạt thông tin và tài sản.

Thứ ba là sự khai thác và mua bán dữ liệu cá nhân dễ dàng. Khi dữ liệu cá nhân bị lộ lọt, tội phạm có thể sử dụng chúng để vượt qua các biện pháp xác thực, như giả mạo thông tin để thực hiện hành vi gian lận.

Theo ông Khoa mặc dù eKYC là một giải pháp công nghệ tiên tiến, giúp tăng cường xác thực danh tính và giảm thiểu nguy cơ giả mạo, nhưng nó chỉ giải quyết được phần nào vấn đề, các lỗ hổng trong quy trình nghiệp vụ và nhận thức của người dùng vẫn tồn tại, tạo điều kiện cho tội phạm lợi dụng. Do đó, cần có những biện pháp toàn diện để khắc phục tình trạng lừa đảo trực tuyến.

Đồng quan điểm về vấn đề này, ông Lê Đăng Ngọc, Phó Giám đốc phụ trách Khối nền tảng trí tuệ nhân tạo Viettel AI cho hay, các ngân hàng là nhóm doanh nghiệp chuyển đổi số tích cực nhất, tuy nhiên, họ cũng phải đối mặt với một số vấn đề.

Các tổ chức tín dụng, ngân hàng có sở hữu hàng rào kỹ thuật bảo mật, bộ phận nhân sự về công nghệ để phát triển các sản phẩm thuộc doanh nghiệp. Tuy nhiên những sản phẩm này chỉ sử dụng trong khuôn khổ phần nào đó lượng công việc trong phạm vi hoạt động của đơn vị mình nên ít được cập nhật các chứng chỉ bảo mật so với sản phẩm các công ty bảo mật chuyên nghiệp.

Do đó sẽ để lại những lỗ hổng về bảo mật, điều này dẫn đến tình trạng hệ thống xác thực bị qua mặt khi người dùng thử sử dụng một vài hình thức giả mạo để quét khuôn mặt, như những máy quét có tần số quét cao, quét qua ảnh có khuôn mặt của người được quét.

Trang bị kỹ năng bảo mật

Để khắc phục tình trạng này trong hệ thống tài chính ngân hàng, ông Nguyễn Đăng Khoa khuyến nghị chúng ta cần có những giải pháp toàn diện để giải quyết triệt để vấn đề lừa đảo cho cả ba nguyên nhân đã nêu:

Một là, ngân hàng cần tiếp tục nâng cao công nghệ eKYC, tăng cường độ chính xác trong việc nhận diện khách hàng, đặc biệt là phòng chống các kỹ thuật giả mạo như deepfake. Đồng thời, nên bổ sung thêm các lớp bảo mật mới như sử dụng SIM để định danh, như đã được áp dụng ở nhiều quốc gia.

Hai là, cần xây dựng và triển khai các biện pháp bảo vệ quy trình nghiệp vụ, đảm bảo an toàn cho khách hàng cá nhân. Điều này giúp hạn chế tối đa các lỗ hổng mà tội phạm có thể lợi dụng, như việc thao túng người dùng hoặc lợi dụng kẽ hở trong quy trình định danh và chuyển đổi định danh.

Ba là, cơ quan quản lý Nhà nước cần phối hợp với các tổ chức tài chính để tăng cường bảo vệ dữ liệu cá nhân, đồng thời đẩy mạnh các chiến dịch nâng cao nhận thức cho người dân về việc bảo vệ dữ liệu cá nhân. Điều này giúp người dân chủ động hơn trong việc bảo vệ thông tin của mình và phòng tránh các hình thức lừa đảo.

Bên cạnh đó, đối với các cơ quan quản lý, cần thực hiện các giải pháp sau:

Với Cơ quan quản lý nhà nước cần nhanh chóng hoàn thiện hành lang pháp lý về bảo vệ dữ liệu cá nhân, ban hành các tiêu chuẩn hệ thống và giải pháp bảo mật dữ liệu. Đồng thời, cần nâng cao nhận thức của người dân về việc bảo vệ dữ liệu và các quy định pháp luật liên quan, giúp họ chủ động nhận diện và phòng tránh các hành vi lừa đảo.

Với đối tượng là doanh nghiệp sử dụng, doanh nghiệp cần chủ động triển khai các giải pháp phát hiện sớm và ứng phó với các dấu hiệu rủi ro nhỏ nhất, từ đó tăng cường an ninh cho dịch vụ của mình. Việc chủ động trong phòng ngừa và đối phó sẽ giúp doanh nghiệp bảo vệ khách hàng cũng như đảm bảo an toàn cho hệ thống của mình trước các nguy cơ an ninh mạng.

Theo các chuyên gia an ninh mạng, Quyết định 2345/QĐ-NHNN của Ngân hàng Nhà nước ban hành ngày 18/12/2023 về triển khai các giải pháp an toàn, bảo mật trong thanh toán trực tuyến và thanh toán thẻ ngân hàng (Quyết định 2345), có hiệu lực từ 01/7/2024 được kỳ vọng sẽ tăng cường an ninh, giảm thiểu rủi ro cho người dùng và hệ thống ngân hàng. Tuy nhiên, song song với các giải pháp này doanh nghiệp và người dân nên có thêm các biện pháp phòng vệ và cảnh giác cao với thủ đoạn của tội phạm công nghệ, tránh rủi ro không đáng có từ lỗ hổng về bảo mật, hoặc thường xuyên cập nhật kiến thức về an toàn thông tin từ các nguồn tin cậy như website: tinnhiemmang.vn, khonggianmang.vn và dauhieuluadao.com để tự bảo vệ bản thân trên không gian mạng.

Theo Phương Thanh/diendandoanhnghiep.vn