Những vấn đề trên được Tuổi Trẻ trao đổi với ông Chris Shayan, giám đốc mảng AI, Hãng công nghệ Backbase - chuyên cung cấp nền tảng ngân hàng tương tác. Ông từng là thành viên ban lãnh đạo quỹ đầu tư Mekong Capital, cựu lãnh đạo mảng IT tại Techcombank.
Với 20 năm kinh nghiệm trong mảng công nghệ của lĩnh vực tài chính tại nhiều công ty lớn ở Việt Nam, ông Chris Shayan có nhiều nhận xét và đề nghị.
Cẩn thận chiêu trò mới
* Từ tháng 7 tới, các giao dịch chuyển tiền hơn 10 triệu đồng (hoặc tổng trong ngày hơn 20 triệu đồng) ở Việt Nam sẽ phải xác thực khuôn mặt. Cách làm này có giúp ngăn chặn triệt để tình trạng nhiều người bị chiếm đoạt tài khoản và mất tiền "khủng"?
- Yêu cầu nhận dạng khuôn mặt cho các giao dịch giá trị cao là một bước tiến tích cực nhằm ngăn chặn gian lận và bảo vệ người tiêu dùng.
Xác thực bằng sinh trắc học bổ sung thêm một lớp bảo mật, khiến kẻ lừa đảo khó đánh cắp thông tin tài khoản và chuyển tiền trái phép.
Dù đúng là những kẻ lừa đảo chuyên nghiệp có thể phát triển chiêu trò mới để vượt qua các biện pháp bảo mật, nhưng nhận dạng khuôn mặt tạo ra một rào cản đáng kể.
Kết hợp với các nỗ lực giáo dục người dùng đang diễn ra, tôi cho rằng quy định này có thể giảm đáng kể tỉ lệ gian lận.
* Với sự trợ giúp của Deepfake, nhiều người dùng lo lắng tội phạm mạng vẫn có thể chiếm đoạt tài khoản của họ và thực hiện lệnh chuyển tiền và dùng Deepfake để xác thực?
- Công nghệ Deepfake (video giả mạo người thật) đang trở thành mối đe dọa ngày càng gia tăng, và có thể tội phạm mạng sẽ sử dụng chúng để vượt qua các hệ thống nhận dạng khuôn mặt.
Một bài báo gần đây trên Wall Street Journal (Mỹ) cho hay kẻ lừa đảo đã sử dụng Deepfake để mạo danh giám đốc điều hành một công ty năng lượng trụ sở tại Anh và cho phép các giao dịch gian lận được thực hiện (tổn hại vào khoảng 243.000 USD).
Tuy nhiên, tin tốt là các ngân hàng Việt Nam hiện nay có thể có các biện pháp bảo mật bổ sung. Nhận dạng khuôn mặt chỉ là một phần của hệ thống an toàn. Nhiều ngân hàng có thể sử dụng xác thực đa yếu tố (MFA), yêu cầu kết hợp nhiều yếu tố như mật khẩu và mã một lần, khiến tội phạm khó khăn hơn nhiều trong việc truy cập ngay cả khi sử dụng Deepfake.
Ví dụ, một bài nghiên cứu từ Đại học California, Berkeley (Mỹ) khám phá cách kết hợp nhận dạng khuôn mặt với phân tích giọng nói có thể cải thiện đáng kể việc phát hiện Deepfake. Các ngân hàng Việt Nam triển khai xác thực đa phương thức như vậy sẽ được trang bị tốt hơn để ngăn chặn các cuộc tấn công Deepfake.
Nhìn về tương lai, khi công nghệ Deepfake trở nên tinh vi hơn, các tổ chức thanh toán cần phải luôn cảnh giác. Họ có thể cân nhắc đến việc đầu tư vào các kỹ thuật chống giả mạo tiên tiến, có khả năng phát hiện những điểm không nhất quán nhỏ trong các đặc điểm và chuyển động trên khuôn mặt thường có trong Deepfake.
Ngoài ra, họ cũng nên nghiên cứu sâu về các đặc điểm sinh trắc học hành vi, phân tích các mẫu hành vi của người dùng ngoài đặc điểm trên khuôn mặt, tôi cho rằng áp dụng các nghiên cứu này có thể là một bước tiến quan trọng trong tương lai.
Nhiều công nghệ có thể áp dụng
* Các ngân hàng, tổ chức tài chính tại Việt Nam có thể áp dụng những công nghệ nào để bảo đảm tốt hơn an toàn giao dịch?
- Để vượt qua những hệ thống truyền thống, nhiều ngân hàng Việt Nam có thể tiếp tục hướng đến các giải pháp hỗ trợ AI như Feedzai, RiskShield hoặc Sift. Các nền tảng này phân tích bộ dữ liệu khổng lồ, bao gồm hành vi người dùng, và thông tin tình báo... để xác định các bất thường và dự đoán hoạt động gian lận với độ chính xác vô song.
Ví dụ, Hãng dịch vụ tài chính JPMorgan Chase (Mỹ) sử dụng nền tảng của Feedzai để phát hiện và ngăn chặn các nỗ lực gian lận tinh vi theo thời gian thực.
Mật khẩu truyền thống ngày càng dễ bị tấn công. Các ngân hàng nên đầu tư thêm vào các giải pháp như BehavioSec hoặc BioCatch, sử dụng AI để phân tích các mẫu hành vi của người dùng trong quá trình đăng nhập, bao gồm nhịp gõ phím, chuyển động chuột và đặc điểm thiết bị. Những sai lệch so với các mẫu đã thiết lập có thể cho biết khả năng chiếm đoạt tài khoản.
Một mặt trận thống nhất với sự hợp tác giữa các ngân hàng, cơ quan quản lý, các công ty công nghệ và người dùng là điều cần thiết để tạo ra hàng phòng thủ vững chắc chống lại các mối đe dọa trong tương lai.
Nhiều nước gia tăng biện pháp chống lừa đảo
Nhiều cơ quan quản lý trên thế giới đang gia tăng xác thực. Như áp dụng xác thực đa yếu tố (MFA) nghiêm ngặt hơn. Tức yêu cầu kết hợp cả mật khẩu, vân tay, nhận dạng khuôn mặt hoặc mã qua SMS hoặc ứng dụng xác thực.
Biện pháp thứ hai là giáo dục người tiêu dùng về các mánh khóe lừa đảo.
Thứ ba là gia tăng hợp tác giữa cơ quan quản lý và tổ chức tài chính trong việc chia sẻ thông tin về các hình thức lừa đảo mới và đang nổi lên để ngăn chặn tốt hơn. Đồng thời nghiêm khắc yêu cầu các tổ chức tài chính phải bảo mật mạnh mẽ dữ liệu của khách hàng.
Thứ tư là đẩy mạnh đầu tư vào các công nghệ phát hiện và ngăn chặn gian lận như các hệ thống AI có thể phân tích các mẫu giao dịch và xác định hoạt động đáng ngờ. Đồng thời sử dụng công nghệ blockchain để cải thiện khả năng truy vết các giao dịch không tiền mặt. Bên cạnh đó là tăng hợp tác giữa các cơ quan thực thi pháp luật liên quốc gia.
Ông Chris Shayan: Cảnh báo chiêu lừa có thể bùng phát
Thanh toán không tiền mặt bùng nổ ở Việt Nam, mang lại sự tiện lợi và an toàn. Nhưng không chỉ xảy ra ở Việt Nam, lừa đảo xuất hiện bất cứ nơi nào có hoạt động kỹ thuật số giá trị. Một số hình thức lừa đảo không tiền mặt đang phổ biến tại nhiều quốc gia như lừa đảo SIM Swap (tráo đổi SIM điện thoại - pv), mã QR giả mạo.
Lừa đảo Sim Swap là mánh khóe này liên quan đến việc đánh lừa nhà mạng di động để chuyển số điện thoại của nạn nhân sang thẻ SIM do kẻ lừa đảo kiểm soát. Sau khi kiểm soát được số điện thoại, chúng có thể đánh chặn mã xác thực cho ngân hàng trực tuyến hoặc ví điện tử, cho phép chúng đánh cắp tiền. Loại hình lừa đảo này đang hoành hành ở nhiều quốc gia, bao gồm cả Ấn Độ và Trung Quốc.
Hình thức phổ biến thứ hai là kẻ lừa đảo tạo ra các mã QR giả mạo trông rất đáng tin cậy, giống với các mã QR ngân hàng thông thường, nhưng thực chất lại chuyển hướng người dùng đến các trang web lừa đảo được thiết kế để đánh cắp thông tin đăng nhập hoặc thông tin thẻ tín dụng.
Mánh khóe này có thể nhắm mục tiêu vào cả thanh toán trực tiếp (bằng cách hiển thị mã QR giả tại các cửa hàng) và giao dịch trực tuyến (được nhúng trong email hoặc bài đăng trên mạng xã hội).
Loại hình lừa đảo này đã được báo cáo ở các quốc gia như Nhật Bản và Hoa Kỳ.