Tài khoản doanh nghiệp cũng buộc phải hoàn tất sinh trắc học
Từ ngày 1/7, tất cả các giao dịch từ tài khoản doanh nghiệp sẽ buộc phải dừng nếu chưa hoàn tất xác thực sinh trắc học. Đây không chỉ là một thay đổi về mặt thủ tục, mà còn là một động thái mạnh mẽ nhằm siết chặt quản lý, tăng cường an ninh và minh bạch hóa các giao dịch tài chính trong bối cảnh lừa đảo trực tuyến ngày càng tinh vi và phức tạp.
Quy định này, được nêu rõ tại điểm c khoản 5 Điều 17 Thông tư 17/2024/TT-NHNN, yêu cầu bắt buộc đối chiếu giấy tờ tùy thân và dữ liệu sinh trắc học của người đại diện hợp pháp khi thực hiện giao dịch điện tử.
Sau thời hạn trên, các ngân hàng sẽ tạm dừng cung cấp dịch vụ thanh toán và rút tiền điện tử đối với những tài khoản chưa tuân thủ, nhằm đảm bảo chấp hành nghiêm túc quy định của Ngân hàng Nhà nước.
Xác thực sinh trắc học không phải là lá chắn an toàn tuyệt đối.
Theo ông Vũ Ngọc Sơn, Trưởng ban Công nghệ và Hợp tác Quốc tế, Hiệp hội An ninh mạng Quốc gia (NCA), việc áp dụng xác thực sinh trắc học cho tài khoản doanh nghiệp mang một ý nghĩa quan trọng.
Tương tự như đối với tài khoản cá nhân, biện pháp này được kỳ vọng sẽ giúp loại bỏ tình trạng tài khoản doanh nghiệp ảo, thiếu sự quản lý, vốn là một kẽ hở để các đối tượng xấu lợi dụng.
Tuy nhiên, ông Sơn cũng thẳng thắn nhìn nhận rằng, dù đây là một lớp bảo vệ định danh mạnh mẽ, khiến việc giả mạo trở nên khó khăn hơn rất nhiều, nhưng xác thực sinh trắc học không phải là “lá chắn” có thể loại bỏ hoàn toàn lừa đảo.
"Hiện tại, các đối tượng lừa đảo thậm chí tổ chức bắt, nuôi nhốt người để tiến hành xác thực sinh trắc học với tài khoản cá nhân, việc tương tự cũng có thể xảy ra với tài khoản doanh nghiệp", ông Sơn cảnh báo.
Dù vậy, trong bối cảnh các tài khoản doanh nghiệp đang thiếu sự kiểm soát chặt chẽ như hiện nay, yêu cầu xác thực sinh trắc học từ ngày 1/7 được xem là một bước đi đúng hướng và rất giá trị. Đặc biệt, sau khi tài khoản cá nhân bị siết chặt bởi xác thực sinh trắc học, tội phạm đã có dấu hiệu chuyển hướng sang lợi dụng tài khoản doanh nghiệp.
Việc áp dụng sinh trắc học lần này được kỳ vọng sẽ gây thêm khó khăn cho hoạt động phi pháp đang diễn ra phức tạp. Dù vậy, chuyên gia cho rằng nguồn lợi bất chính vẫn sẽ thúc đẩy tội phạm tìm kiếm những phương thức tinh vi hơn.
Điểm mấu chốt của việc áp dụng sinh trắc học, theo vị chuyên gia là "xác định rõ trách nhiệm chủ doanh nghiệp trong các giao dịch liên quan đến tài khoản ngân hàng. Từ đó làm cơ sở để các biện pháp quản lý và xử phạt khi phát hiện vi phạm được hiệu quả hơn”.
Ông Sơn nhấn mạnh, cuộc chiến chống lừa đảo trực tuyến là một hành trình dài hơi, đòi hỏi sự hợp lực của nhiều giải pháp. Xác thực sinh trắc học cho tài khoản doanh nghiệp là một trong những biện pháp quan trọng, cần được kết hợp với việc quản lý chặt chẽ dữ liệu cá nhân, tăng cường đào tạo nhận thức cho người dùng và xử lý nghiêm minh các đối tượng vi phạm.
"Sẽ tiếp tục có các hình thức lừa đảo mới xuất hiện, bởi bản chất lừa đảo là khai thác các yếu tố tâm lý để trục lợi. Các biện pháp về quản lý, công nghệ sẽ hỗ trợ, bảo vệ người dùng, nhưng quan trọng nhất vẫn phải nâng cao sức đề kháng cho người dùng khi tham gia không gian số”, ông Sơn nhận định.
Những dấu hiệu nhận diện lừa đảo sinh trắc học
Ông Trần Minh Quảng - Giám đốc Trung tâm Phân tích Chia sẻ Nguy cơ An ninh mạng, Công ty An ninh mạng Viettel (VCS) cho biết, trước đây, người dùng đăng nhập vào tài khoản ngân hàng bằng "tài khoản" và "mật khẩu". Nhưng chỉ cần một người bất kỳ có tài khoản và mật khẩu của người dùng đó, là đã có thể đăng nhập vào và chuyển tiền, lấy tiền rất dễ dàng. Sau đó nhằm nâng cao tính bảo mật thông tin, ngoài việc sử dụng "tài khoản" và "mật khẩu", Ngân hàng yêu cầu bổ sung thêm lớp OTP - One Time Password trên thiết bị của người dùng. Nhưng các đối tượng lừa đảo lại nghĩ các kịch bản, thủ đoạn lừa đảo rất tinh vi để lừa người dùng đưa mã OTP cho đối tượng đó.
Trên toàn cầu, thậm chí có những nơi các hội nhóm lừa đảo lập ra công ty với quy mô lớn và cách thức vận hành rất chuyên nghiệp, hoạt động như một nghề nghiệp kiếm sống. Hàng chục điện thoại viên ở đó có công việc hàng ngày là gọi điện để lừa người dùng.
Với việc sinh trắc học được sử dụng rộng rãi, nhiều người lầm tưởng kẻ gian sẽ trực tiếp xâm hại hệ thống sinh trắc học của người dùng. Thực tế, việc "qua mặt" hệ thống xác định sinh trắc học là không dễ dàng. Họ chỉ lợi dụng việc hỗ trợ người dùng gặp khó khăn khi xác thực sinh trắc học để thâu tóm các thông tin cá nhân khác.
Các đối tượng lập nick giả mạo "nhân viên ngân hàng" liên hệ khách hàng bằng các hình thức như gọi điện, nhắn tin, kết bạn qua Zalo, Facebook, Viber... để hướng dẫn thu thập thông tin sinh trắc học. Sau đó, họ yêu cầu người dùng cung cấp thông tin cá nhân, thông tin tài khoản ngân hàng, hình ảnh CCCD, hình ảnh khuôn mặt để được hỗ trợ. Đối tượng có thể yêu cầu cuộc gọi video để thu thập thêm giọng nói, cử chỉ…
Theo chuyên gia, hiện tại, trong các phương thức xác thực, sử dụng sinh trắc học là khó giả mạo nhất, có mức độ bảo mật cao nhất. Tuy nhiên một vài thủ pháp tinh vi vẫn có thể "qua mặt" hệ thống do hạn chế nhất định.
Độ chính xác của việc nhận diện khuôn mặt phụ thuộc vào công nghệ camera được sử dụng trên thiết bị. Camera ứng dụng công nghệ càng cao, có độ phân giải và cảm biến hình ảnh càng tốt sẽ cho chất lượng xác thực khuôn mặt chính xác. Ngược lại, thiết bị di động đời càng thấp sẽ càng dễ dàng bị "qua mặt" bởi các thủ pháp đánh lừa.
Ngoài ra, sinh trắc học được kiểm tra dựa trên thông tin khuôn mặt trên căn cước công dân. Trong trường hợp ảnh thẻ trên căn cước công dân không rõ nét, các dấu hiệu nhận diện như nốt ruồi, vết sẹo… không thể hiện rõ trên ảnh căn cước cũng tạo nên lỗ hổng trong quá trình xác thực.
Một vài nghiên cứu cho thấy, khi sử dụng tượng sáp mang khuôn mặt giống hệt người dùng để xác thực khuôn mặt, tính chất về chiều sâu của vật thể có khả năng "qua mặt" hệ thống. Tuy nhiên, tỷ lệ dùng các thủ thuật và vượt qua được hệ thống xác thực rất hy hữu.
Mặc dù các biện pháp xác thực sinh trắc học đang được áp dụng nhằm đảm bảo an toàn cho các giao dịch, nhưng công nghệ Deepfake vẫn có thể lách qua những biện pháp bảo mật này. Các đối tượng có thể tạo ra những hình ảnh, video, âm thanh giả, bắt chước hoàn hảo giọng nói và ngoại hình của một cá nhân. Sau đó, chúng dùng những thông tin đánh cắp để đăng nhập vào ứng dụng ngân hàng thanh toán trực tuyến.
Cơ quan chức năng khuyến cáo người dân cảnh giác trước các tin nhắn, cuộc gọi yêu cầu hỗ trợ cập nhật hỗ trợ sinh trắc học khuôn mặt. Khi được liên hệ bởi các cá nhân tự xưng là cán bộ làm việc tại ngân hàng, cơ quan công an, người dân cần xác minh lại thông tin qua số điện thoại được cung cấp trên cổng thông tin chính thống của các đơn vị trên.
