Sinh trắc học đang trở thành “mặt trận” mới của tội phạm mạng

Khi các ngân hàng và nền tảng tài chính tại Việt Nam đẩy mạnh xác thực sinh trắc học cho giao dịch giá trị lớn, nhiều người kỳ vọng đây sẽ là lớp bảo vệ mạnh mẽ giúp giảm lừa đảo trực tuyến, chặn tài khoản thuê và hạn chế chiếm đoạt tài sản.

Tuy nhiên, thực tế cho thấy bức tranh an ninh mạng đang phức tạp hơn rất nhiều. Những công cụ hỗ trợ vượt qua eKYC đã bắt đầu xuất hiện trên các kênh mua bán ngầm, cho thấy khuôn mặt, giọng nói và dữ liệu sinh trắc học đang trở thành mục tiêu mới của tội phạm mạng.

Sinh trắc học trở thành mặt trận mới của tội phạm mạng
Sinh trắc học từng được xem là lớp bảo vệ mạnh, nhưng nay đã bị tội phạm mạng nhắm tới

eKYC là gì và vì sao từng được xem là lá chắn an toàn?

eKYC là quy trình định danh và xác thực khách hàng điện tử, cho phép người dùng mở tài khoản hoặc xác minh danh tính hoàn toàn online. Thay vì phải đến quầy giao dịch, người dùng chỉ cần điện thoại thông minh, giấy tờ tùy thân và dữ liệu sinh trắc học để hoàn tất xác minh.

Điểm mạnh của eKYC nằm ở khả năng tự động hóa, tốc độ xử lý nhanh và giảm phụ thuộc vào thao tác thủ công. Trong nhiều năm, công nghệ này được xem là một bước tiến lớn giúp ngành ngân hàng và fintech nâng cao trải nghiệm khách hàng, đồng thời hỗ trợ ngăn chặn gian lận.

Nhưng cùng với sự phát triển của AI, đặc biệt là deepfake và các kỹ thuật xử lý hình ảnh ngày càng tinh vi, rào chắn này không còn “bất khả xâm phạm” như trước.

AI và deepfake đang làm giả khuôn mặt dễ hơn bao giờ hết

Trước đây, để tạo ra một video giả mạo khuôn mặt đủ tinh vi, kẻ gian cần kỹ thuật cao, dữ liệu chất lượng tốt và thời gian xử lý đáng kể. Ngày nay, chỉ với vài hình ảnh công khai trên mạng xã hội, AI có thể tái tạo gương mặt, biểu cảm, chuyển động môi và thậm chí cả giọng nói của một người.

Đây là lý do khiến việc giả mạo danh tính số trở nên rẻ hơn, nhanh hơn và khó phát hiện hơn. Nếu như trước kia tội phạm chủ yếu đánh cắp mật khẩu hoặc OTP, thì hiện tại chúng có thể tìm cách “đánh cắp” chính khuôn mặt của nạn nhân để vượt qua các lớp xác thực.

Đáng lo ngại hơn, khuôn mặt là dữ liệu sinh trắc học gần như không thể thay đổi nếu bị lộ. Khi đã bị khai thác, hậu quả có thể kéo dài và khó khắc phục hơn rất nhiều so với việc đổi mật khẩu.

Điểm yếu của eKYC nằm ở đâu?

Theo các chuyên gia an ninh mạng, eKYC không chỉ dựa vào một yếu tố duy nhất mà là chuỗi nhiều lớp kiểm tra. Hệ thống thường bao gồm:

  • Đối chiếu giấy tờ tùy thân
  • Nhận diện khuôn mặt
  • Xác thực video liveness
  • Kiểm tra thiết bị đầu cuối
  • Đối soát dữ liệu với nguồn tin cậy

Vì là một quy trình nhiều lớp, điểm yếu có thể xuất hiện ở bất kỳ khâu nào. Nếu hệ thống chỉ dựa vào ảnh khuôn mặt hoặc video đơn giản, không phát hiện được camera ảo, thiết bị bị can thiệp hay dữ liệu bị tiêm vào ứng dụng, tội phạm vẫn có cơ hội vượt qua.

Vụ triệt phá phần mềm vượt xác thực sinh trắc học nói lên điều gì?

Việc cơ quan công an triệt phá đường dây sản xuất, mua bán phần mềm độc hại có khả năng vượt qua xác thực sinh trắc học cho thấy một sự thật đáng chú ý: công nghệ tấn công đã được thương mại hóa.

Điều này đồng nghĩa với việc sinh trắc học không còn chỉ là “hàng rào” bảo vệ, mà đã trở thành mục tiêu hấp dẫn của thị trường ngầm. Tội phạm không còn chỉ tìm cách lấy cắp mật khẩu, mà còn săn lùng dữ liệu khuôn mặt, giọng nói, ảnh CCCD và video xác minh.

Đây là bước chuyển nguy hiểm của tấn công mạng, vì khi dữ liệu sinh trắc học bị lộ, mức độ thiệt hại không chỉ dừng lại ở một tài khoản mà có thể ảnh hưởng đến nhiều dịch vụ và nền tảng khác nhau.

Người dùng có đang vô tình trao dữ liệu cho kẻ gian?

Rất nhiều rủi ro bắt đầu từ thói quen chia sẻ quá mức thông tin cá nhân. Theo chuyên gia, các dữ liệu như:

  • CCCD/CMND
  • Ảnh chân dung
  • Video khuôn mặt
  • Số điện thoại
  • Thông tin tài khoản ngân hàng

nếu bị thu thập đủ nhiều, có thể bị kết hợp với AI, deepfake, chiếm SIM hoặc phần mềm độc hại để tạo thành một cuộc tấn công nhiều lớp.

Chính vì vậy, các chiêu lừa yêu cầu cập nhật sinh trắc học, xác minh tài khoản hoặc cài ứng dụng lạ ngày càng xuất hiện dày đặc. Mục tiêu không phải lúc nào cũng là lấy tiền ngay, mà đôi khi là gom dữ liệu để sử dụng cho những vụ tấn công trong tương lai.

eKYC có còn an toàn không?

Câu trả lời là: eKYC vẫn cần thiết, nhưng không còn đủ an toàn nếu đứng một mình. Khuôn mặt không thể tiếp tục được xem là bằng chứng xác thực tuyệt đối trong bối cảnh AI phát triển quá nhanh.

Giải pháp phù hợp hơn là chuyển sang mô hình xác thực đa lớpđánh giá rủi ro theo thời gian thực. Điều này có nghĩa là ngoài khuôn mặt, hệ thống cần kiểm tra thêm:

  • Thiết bị đăng nhập có đáng tin cậy không
  • Hành vi người dùng có bất thường không
  • Vị trí truy cập có khớp lịch sử không
  • Camera có phải thật hay là nguồn giả lập
  • Dữ liệu có dấu hiệu deepfake hoặc bị tiêm vào ứng dụng hay không

Khi AI được dùng ở cả hai phía — một bên để tấn công, một bên để phòng thủ — thì cuộc đua này sẽ chỉ ngày càng khốc liệt. Tuy vậy, eKYC vẫn là nền tảng quan trọng của nền kinh tế số, miễn là nó được nâng cấp liên tục để chống giả mạo và giám sát bất thường tốt hơn.

Làm sao để tự bảo vệ mình trước các rủi ro eKYC và deepfake?

Người dùng có thể giảm thiểu nguy cơ bằng cách thực hiện những nguyên tắc cơ bản nhưng rất quan trọng sau:

  • Không chia sẻ CCCD, ảnh chân dung, video khuôn mặt cho nguồn không rõ ràng.
  • Không bấm vào link lạ yêu cầu xác minh tài khoản, cập nhật sinh trắc học hay nạp thông tin ngân hàng.
  • Không cài ứng dụng ngoài kho chính thức nếu chưa kiểm tra kỹ nguồn phát hành.
  • Không cung cấp OTP, mật khẩu, mã xác thực qua bất kỳ đường link hay cuộc gọi nghi ngờ nào.
  • Xác minh trực tiếp với ngân hàng khi nhận thông báo bất thường.

Nếu một yêu cầu nghe có vẻ khẩn cấp, đòi hỏi xác minh gấp hoặc yêu cầu cung cấp sinh trắc học qua đường dẫn lạ, rất có thể đó là bẫy lừa đảo.

Kết luận: Cuộc chiến giữa AI và an ninh số mới chỉ bắt đầu

AI đang thay đổi hoàn toàn cách tội phạm mạng vận hành. Từ chỗ đánh cắp mật khẩu, chúng chuyển sang đánh cắp dữ liệu sinh trắc học, dựng video giả và tạo ra các kịch bản lừa đảo ngày càng tinh vi. Trong bối cảnh đó, eKYC không mất đi vai trò, nhưng chắc chắn phải tiến hóa.

Thông điệp quan trọng nhất là: khuôn mặt không còn là sự thật tuyệt đối. Chỉ khi kết hợp nhiều lớp xác thực, phân tích hành vi và giám sát rủi ro theo thời gian thực, hệ thống mới có thể nhận ra đâu là con người thật trong thế giới số ngày càng nhiều “bản sao” do AI tạo ra.

Câu hỏi thường gặp

eKYC là gì?

eKYC là quy trình định danh và xác thực khách hàng điện tử, cho phép người dùng xác minh danh tính online bằng giấy tờ tùy thân, khuôn mặt và các dữ liệu sinh trắc học khác.

AI có thể vượt qua eKYC bằng cách nào?

AI có thể tạo deepfake, giả khuôn mặt, giọng nói và biểu cảm; từ đó đánh lừa các hệ thống xác thực yếu, đặc biệt nếu hệ thống chưa có lớp chống giả mạo tốt.

eKYC có còn an toàn không?

Có, nhưng chỉ khi được triển khai như một phần của hệ thống đa lớp, kết hợp kiểm tra thiết bị, hành vi người dùng, vị trí truy cập và công nghệ phát hiện deepfake.

Người dùng nên làm gì để tự bảo vệ mình?

Không chia sẻ CCCD, ảnh khuôn mặt, video xác minh hay OTP qua link lạ; đồng thời chỉ thực hiện xác minh trên kênh chính thức của ngân hàng hoặc tổ chức tài chính.

Ngân hàng có yêu cầu xác thực sinh trắc học qua link không?

Thông thường không. Nếu nhận được yêu cầu như vậy, người dùng cần kiểm tra lại ngay với kênh chính thức của ngân hàng để tránh bị lừa đảo.