Xác thực sinh trắc học cũng không còn an toàn
Bảo mật sinh trắc học là lớp rào cản cuối cùng và mạnh mẽ nhất trong chiến dịch chuẩn hóa thông tin thuê bao di động hiện nay. Việc khớp nối 4 trường thông tin cốt lõi gồm số định danh, họ tên, ngày sinh và khuôn mặt với Cơ sở dữ liệu Quốc gia về dân cư là một bước tiến lớn để làm sạch không gian mạng.
Tuy nhiên, khi hàng triệu người dùng thực hiện quét khuôn mặt qua điện thoại, một câu hỏi hóc búa được đặt ra: Liệu chiếc camera có đủ thông minh để phân biệt giữa một con người thực và một "bóng ma" kỹ thuật số? Chuyên gia bảo mật Ngô Minh Hiếu (Hiếu PC), Trung tâm Giám sát An toàn không gian mạng quốc gia (NCSC) cho biết, vừa rồi anh có dịp phối hợp cùng MIT Technology Review trong một bài điều tra về việc tội phạm mạng đang mua bán công cụ trên Telegram để vượt qua các bước KYC, kiểm tra khuôn mặt và liveness check của ngân hàng, ví điện tử và sàn crypto.
Chuyên gia cảnh báo xác thực sinh trắc học không còn an toàn tuyệt đối.
Điều đáng lo là đây không còn là các thủ đoạn đơn lẻ. Phía sau là cả một hệ sinh thái hỗ trợ cho việc tạo tài khoản giả, chiếm dụng tài khoản trung gian, phục vụ cho rửa tiền, nhận tiền lừa đảo và che giấu danh tính.
"Nhiều người nghĩ có xác thực sinh trắc học là đã an toàn. Nhưng thực tế, khi kẻ xấu ngày càng chuyên nghiệp hơn, thì việc bảo vệ danh tính số cũng quan trọng không kém việc bảo vệ tiền trong tài khoản", chuyên gia Ngô Minh Hiếu nhận mạnh.
Theo chuyên gia, cần hiểu rằng, khác với mật khẩu có thể thay đổi sau một phút, sinh trắc học là đặc điểm định danh vĩnh viễn bám theo mỗi người suốt đời. Một khi kho dữ liệu của nhà mạng bị rò rỉ (Data Breach), đó không chỉ là mất thông tin cá nhân, mà là mất đi khả năng tự bảo vệ danh tính của hàng triệu con người trên không gian số.
Các nghiên cứu đánh giá gần đây đã chỉ ra rằng kẻ xấu không còn dùng ảnh tĩnh để lừa camera nữa. Thay vào đó, chúng xem video injection (chèn mã video) hoặc sử dụng các camera ảo là một lớp tấn công riêng biệt. Nghĩa là lớp liveness đơn giản chưa chắc đã chặn được Deepfake.
Tội phạm công nghệ cao sử dụng các phần mềm chuyên dụng để bơm trực tiếp luồng video Deepfake (đã được AI giả lập các động tác nháy mắt, cử động môi khớp với kịch bản) thẳng vào luồng xử lý của camera điện thoại. Khi đó, hệ thống máy chủ chỉ nhận diện dựa trên dữ liệu video được truyền đến mà không hề hay biết rằng ống kính vật lý thực chất đang bị "bypass" (vượt qua).
Bảo vệ danh tính trên không gian số
Chuyên gia Ngô Minh Hiếu cho biết, mỗi người nên cẩn trọng hơn với các dữ liệu cá nhân nhạy cảm, không tùy tiện gửi ảnh CCCD/CMND, video khuôn mặt, mã OTP hay thông tin ngân hàng cho người khác. Không cho mượn, không bán, không cho thuê tài khoản ngân hàng, ví điện tử, SIM điện thoại.
Cảnh giác với các lời mời "xác minh hộ", "mở tài khoản giúp", "nhận tiền trung gian", hay các công việc online nghe có vẻ đơn giản nhưng yêu cầu dùng thông tin cá nhân chính chủ. Khi thấy tài khoản có dấu hiệu bất thường, cần liên hệ ngay với ngân hàng hoặc đơn vị cung cấp dịch vụ để kiểm tra và khóa tạm thời nếu cần.
Nếu bạn đã lỡ quét mặt hoặc cài app giả, tuyệt đối không được chần chừ. Hãy xử lý như một sự cố an ninh nghiêm trọng nhất là liên lạc ngay lập tức qua số hotline ngân hàng để yêu cầu khóa toàn bộ tài khoản, khóa dịch vụ Internet Banking và các ví điện tử liên kết.
Ngắt toàn bộ kết nối mạng (Wi-Fi/4G) và tắt nguồn điện thoại ngay lập tức để cắt đứt liên lạc giữa mã độc và kẻ điều khiển. Sử dụng một thiết bị sạch khác để thay đổi toàn bộ mật khẩu email, mạng xã hội và các tài khoản quan trọng.
Đối với chiếc điện thoại bị nhiễm, cách an toàn nhất là thực hiện khôi phục cài đặt gốc (Factory Reset) để xóa sạch mã độc ăn sâu vào hệ thống. Trình báo với cơ quan công an về việc bị lộ dữ liệu sinh thực học và thông tin định danh cá nhân để đề phòng các rủi ro pháp lý về sau như bị kẻ xấu dùng ảnh để mở tài khoản ngân hàng ảo hoặc vay tiền app.
Hãy nhớ, bảo mật sinh trắc học một khi đã lộ là không thể đổi được, nên sự quyết liệt và tốc độ trong xử lý ban đầu chính là yếu tố quyết định bạn có bị "trắng tay" hay không.
Theo các chuyên gia chống lừa đảo, người yếu thế đang là nhóm dễ bị nhắm tới trong các kịch bản lừa đảo trực tuyến. Người cao tuổi, trẻ em, người ít tiếp cận công nghệ hay sống ở vùng sâu, vùng xa thường dễ bị tác động bởi tâm lý lo lắng, sợ hãi hoặc lòng tin, nên dễ trở thành mục tiêu của các đối tượng lừa đảo.
Các thủ đoạn quen thuộc vẫn là giả mạo cơ quan chức năng, nhân viên ngân hàng hoặc người thân để yêu cầu chuyển tiền gấp, cung cấp mã OTP, hoặc cài đặt ứng dụng không rõ nguồn gốc.
Theo chia sẻ của anh Ngô Minh Hiếu, để bảo vệ nhóm yếu thế, thông tin cảnh báo cần đủ đơn giản, dễ hiểu và được nhắc lại thường xuyên để người dùng có thể nhận ra rủi ro từ sớm gồm: Không cung cấp OTP, mật khẩu, mã xác thực; Không bấm vào link lạ; Không cài app không rõ nguồn gốc; Không chuyển tiền chỉ vì bị thúc ép, dọa nạt; Luôn gọi lại kênh chính thức để kiểm tra
Điều quan trọng không chỉ là cảnh báo khi sự việc đã xảy ra, mà là nhắc nhau kịp thời để người thân có thêm một bước kiểm tra trước khi làm theo bất kỳ yêu cầu nào liên quan đến tiền bạc, OTP hay ứng dụng lạ.
