Công nghệ giả mạo sinh trắc học đe dọa hệ thống bảo mật ngân hàng

[Romano]

Trong đường dây đánh bạc nghìn tỷ vừa bị triệt phá tại Thái Bình, các đối tượng đã sử dụng công nghệ trí tuệ nhân tạo (AI) để tạo ra video khuôn mặt giả mạo, qua đó vượt qua lớp xác thực sinh trắc học trên ứng dụng ngân hàng mà không cần sự tham gia trực tiếp của chủ tài khoản. Thủ đoạn tinh vi này đặt ra câu hỏi đáng lo ngại: Làm thế nào công nghệ có thể bị lạm dụng để qua mặt hàng rào bảo mật tưởng như bất khả xâm phạm?

Theo thông tin từ Cơ quan Cảnh sát điều tra Công an tỉnh Thái Bình, đơn vị này vừa khởi tố vụ án hình sự, khởi tố 21 bị can liên quan đến tội danh đánh bạc và rửa tiền. Đây là vụ án gây chấn động khi lần đầu tiên tại Việt Nam ghi nhận việc tội phạm sử dụng AI để phục vụ cho hành vi phạm pháp.

Không chỉ tổ chức đánh bạc, các đối tượng còn tiến hành rửa tiền bằng cách thuê người đứng tên mở tài khoản ngân hàng cho người chơi nạp tiền. Từ Đài Loan (Trung Quốc), chúng điều khiển máy tính kết nối từ xa với điện thoại đã được cài sẵn ứng dụng ngân hàng tại Việt Nam. Tiền sau đó được luân chuyển qua nhiều tài khoản nhằm che giấu nguồn gốc bất hợp pháp.Đặc biệt, để thực hiện các giao dịch có giá trị lớn từ 10 triệu đồng trở lên, vốn yêu cầu xác thực bằng sinh trắc học, nhóm này đã sử dụng video giả mạo khuôn mặt của chủ tài khoản do AI tạo ra, dễ dàng vượt qua hệ thống bảo mật mà không cần sự hợp tác của người thật.Liên quan đến thủ đoạn dùng công nghệ AI tạo video khuôn mặt giả mạo để vượt qua lớp xác thực sinh trắc học trên ứng dụng ngân hàng mà không cần sự tham gia trực tiếp của chủ tài khoản, ông Vũ Ngọc Sơn Trưởng ban Công nghệ, Hiệp hội An ninh mạng Quốc gia, cho biết vụ việc đang được các cơ quan chức năng điều tra làm rõ và sẽ sớm có thông tin chính thức.

Từ góc độ kỹ thuật, ông Sơn nhận định nhiều khả năng nhóm đối tượng đã sử dụng điện thoại Android đã được “root”, tức can thiệp sâu vào hệ điều hành nhằm giành quyền truy cập cấp cao nhất trên thiết bị. Đây là quyền mà nhà sản xuất thường khóa lại để đảm bảo an toàn dữ liệu và hệ thống. Tuy nhiên, với một số dòng máy, đặc biệt khi đã nằm trong tay tội phạm, việc root không quá khó.


Sau khi chiếm quyền điều khiển thiết bị, các đối tượng có thể cài đặt camera ảo, một phần mềm được giả lập như camera thật. Nhờ đó, thay vì ghi nhận hình ảnh từ camera vật lý, ứng dụng sẽ nhận tín hiệu từ đoạn video có sẵn, có thể được tạo bằng công nghệ AI. Với hình thức này, các app ngân hàng có thể bị đánh lừa, tưởng rằng chủ tài khoản đang thực hiện xác thực sinh trắc học, trong khi thực tế là hình ảnh giả mạo.


Người dùng cần làm gì để tự bảo vệ mình?

Theo ông Sơn, đây là một ví dụ điển hình cho thấy cuộc chiến chống lừa đảo hiện nay không chỉ là cuộc chạy đua công nghệ mà còn là cuộc đấu trí giữa con người với con người. Do đó, bên cạnh việc tăng cường giải pháp kỹ thuật, điều quan trọng là người dùng cần luôn giữ sự cảnh giác và tỉnh táo. Ông cũng nhấn mạnh, không phải tất cả các ứng dụng ngân hàng đều dễ dàng bị qua mặt, bởi nhiều đơn vị đã bổ sung các lớp bảo vệ nâng cao nhằm phòng ngừa tình huống giả mạo sinh trắc học. Người dân không nên quá hoang mang, nhưng cũng không được chủ quan.


Trao đổi với PV Báo Tri thức và Cuộc sống, luật sư Nguyễn Ngọc Hùng - Trưởng Văn phòng luật sư Kết Nối (Đoàn luật sư TP Hà Nội) cho biết, hiện nay, các đối tượng sử dụng rất nhiều thủ đoạn công nghệ để giả mạo sinh trắc học như thu thập ảnh khuôn mặt của nạn nhân từ ảnh chụp, video hoặc các dữ liệu cá nhân bị lộ trên mạng, sau đó sử dụng công nghệ deepfake để tạo bản sao khuôn mặt. Dùng bản sao này để đánh lừa hệ thống xác thực sinh trắc học của ngân hàng trên thiết bị nạn nhân hoặc thiết bị giả lập sau đó thực hiện chiếm đoạt tài sản.


Việc sử dụng công nghệ giả mạo sinh trắc học để qua mặt hệ thống xác thực của ứng dụng ngân hàng và chiếm đoạt tiền là một hành vi lừa đảo công nghệ cao, có thể bị xử lý hình sự theo quy định của pháp luật Việt Nam.

Theo đó, tùy vào số tiền chiếm đoạt, các tình tiết giảm nhẹ, tăng nặng trách nhiệm hình sự và các tình tiết khác của từng đối tượng, từng vụ việc mà các đối tượng này có thể bị xử lý hình sự cao nhất lên đến 20 năm tù hoặc tù chung thân về tội “Lừa đảo chiếm đoạt tài sản” theo quy định tại Điều 174 Bộ luật Hình sự.

Ngân hàng có nghĩa vụ rõ ràng trong việc thiết lập và duy trì hệ thống bảo mật đủ mạnh để đảm bảo an toàn cho tài khoản của khách hàng, đặc biệt khi sử dụng công nghệ xác thực sinh trắc học. Trường hợp hệ thống bị tấn công, qua mặt bởi công nghệ giả mạo mà không có cơ chế phát hiện hoặc cảnh báo rủi ro kịp thời, ngân hàng có thể bị xem xét về trách nhiệm có liên quan như bồi thường thiệt hại nếu chứng minh được lỗi trong tổ chức kỹ thuật, quy trình kiểm soát nội bộ, hoặc cảnh báo không đầy đủ cho khách hàng.

Ngân hàng cũng phải tuân thủ các quy định pháp lý về an toàn thông tin mạng, bảo vệ dữ liệu cá nhân và quy định của Ngân hàng Nhà nước về hoạt động cung ứng dịch vụ ngân hàng điện tử. Việc không bảo đảm các yêu cầu này có thể dẫn đến trách nhiệm hành chính hoặc thậm chí trách nhiệm dân sự với bên bị thiệt hại.