Cồng kềnh 'nhận diện chuyển tiền'

Tôi nhận được thông báo của một ngân hàng tại Việt Nam về việc bổ sung thông tin sinh trắc học.

Yêu cầu này mang tính bắt buộc nhằm đáp ứng Quyết định 2345 của Ngân hàng Nhà nước đối với các giao dịch từ 10 triệu đồng/lần hoặc 20 triệu đồng/ngày.

Điều này ảnh hưởng trực tiếp đến tôi - về mặt bảo mật thông tin cá nhân cũng như quyền lợi kinh tế của bản thân, nên tôi quyết định tìm hiểu kỹ nguyên nhân dẫn đến Quyết định này của ngành ngân hàng.

Tại Pháp, các ngân hàng cho phép dùng vân tay thay cho mật khẩu để truy cập trên thiết bị di động. Tuy nhiên, đây là lựa chọn tùy thích và không có sự kết nối về các nhận diện sinh trắc học khác của tôi - đang được lưu giữ ở các cơ quan quản lý an ninh nhà nước. Khi thực hiện giao dịch, ngoài mật khẩu dùng một lần OTP được gửi qua tin nhắn điện thoại (SMS), tôi còn được yêu cầu nhập địa chỉ email đã đăng ký để nhận thêm OTP thứ hai, hoặc cung cấp thêm một mật khẩu đã thiết lập từ trước, chỉ dùng để xác thực chuyển tiền (khác với mật khẩu truy cập tài khoản). Các giao dịch tiền mặt như rút tiền được thực hiện với những hạn mức bị khống chế theo ngày, tuần và tháng. Các giao dịch nộp tiền mặt cũng bị ngân hàng kiểm tra kỹ và đòi khách hàng cung cấp bằng chứng liên quan nguồn tiền đã nộp.

Tại Việt Nam, nhằm nâng cao tính bảo mật của các giao dịch không tiền mặt, Ngân hàng Nhà nước ban hành Quyết định 2345/QĐ-NHNN về các mức độ bảo mật khi thực hiện các giao dịch trực tuyến trên thiết bị di động (mobile banking). Trong đó, cấp bảo mật D yêu cầu xác thực sinh trắc học với các giao dịch có giá trị trên 10 triệu đồng/lần hoặc 20 triệu đồng/ngày. Một cách khái quát, yêu cầu này nhằm tránh việc người thực hiện giao dịch không chính chủ.

Về mặt thông tin, các dấu hiệu sinh trắc học có thể giúp định danh một người nên sử dụng thông tin sinh trắc học để xác thực là một tiến bộ về khoa học công nghệ. Tuy nhiên, vì dựa trên những dấu hiệu sinh học nên về mặt kỹ thuật, nếu có được những thông tin đó, nhất là ở quy mô hàng chục triệu người, công nghệ trí tuệ nhân tạo có thể dẫn đến những kết quả phân tích như thế nào thì chúng ta hiện vẫn chưa thể tưởng tượng nổi.

Những đặc điểm sinh học của một cộng đồng có thể được rút ra từ một mẫu lớn thông tin sinh trắc học. Vì vậy, đó sẽ là mối đe dọa về an ninh dữ liệu khi thông tin này bị thu thập hàng loạt và lọt vào tay kẻ xấu. Ở các quốc gia, thông tin sinh trắc học chỉ được thu thập, lưu trữ và sử dụng vì mục đích an ninh. Ở Việt Nam, với việc người dùng phải cung cấp thông tin sinh trắc học cho các ngân hàng, áp lực bảo mật thông tin sẽ tăng lên 40 lần - tương ứng số lượng ngân hàng thương mại đang hoạt động tại Việt Nam. Ngoài ra, việc đối chiếu để xác thực thông tin sinh trắc học được cung cấp bởi chủ giao dịch và thông tin được lưu trữ trong hệ thống dữ liệu căn cước công dân sẽ tạo ra vô vàn truy vấn dữ liệu và tiếp tục đẩy áp lực bảo mật lên cao hơn nữa.

Về mặt bảo mật hệ thống, cũng như mọi việc phòng thủ khác, các kịch bản bị tấn công là cơ sở để thiết lập chính sách bảo vệ. Ở đây chúng ta có hai nhóm kịch bản lừa đảo chính gắn với phần trả lời cho câu hỏi: chủ tài khoản có phải là người thực hiện giao dịch?

Nếu câu trả lời là "không" thì tiếp tục có hai khả năng phụ. Thông tin bảo mật dùng để truy cập bị lộ, có thể do sự thiếu cẩn trọng giữ gìn của người dùng, thì nó sẽ được tái tạo và sử dụng để tiếp tục điều khiển việc giao dịch. Công nghệ trí tuệ nhân tạo hiện đã có khả năng tạo dựng thông tin sinh trắc học giả. Nếu thông tin bảo mật chưa bị lộ mà thiết bị của người dùng bị theo dõi và chiếm quyền điều khiển, kẻ gian đứng phía sau hoàn toàn có thể làm bất cứ điều gì mà chính chủ có thể làm - kể cả cung cấp xác thực sinh trắc học. Khi đó, việc tài khoản bị đánh lừa hay xâm nhập là vấn đề của hệ thống lõi ngân hàng (Core Banking) yếu kém, và việc xử lý cồng kềnh dựa trên hệ thống lõi yếu kém sẽ chỉ làm tăng thêm nguy cơ bị tấn công.

Trong kịch bản thứ hai, nạn nhân của các vụ lừa đảo chính là chủ thể của giao dịch. Trong trường hợp đó, dù có thêm vài lớp bảo mật xác thực chính chủ thì việc lừa đảo vẫn trót lọt. Thực tế trong thời gian qua, đối tượng lừa đảo đều dựng lên các kịch bản và đẩy nạn nhân trở thành người "chủ động" chuyển tiền.

Bản chất của giao dịch tiền tệ là sự dịch chuyển của dòng tiền: xuất phát, đích đến và phương tiện (lý do). Tội phạm lừa đảo vẫn ung dung nhận tiền do nạn nhân chuyển vì sự thiếu "chính chủ" ở các bước khác. Tài khoản nhận tiền được lập nên bởi các thông tin nhân thân giả mạo mà ngân hàng đã để lọt, số điện thoại kết nối có thể từ một "sim rác" mà cơ quan chức năng vẫn chưa thể kiểm soát hết. Nếu thông tin mọi tài khoản ngân hàng là chính chủ, các giao dịch phi tiền mặt có thể bị truy vết dễ dàng. Luật Phòng - chống rửa tiền năm 2022 chưa nhắm vào các đối tượng lừa đảo với những giao dịch bằng tiền mặt. Các hạn mức về giao dịch tiền mặt và quy trình thẩm tra chưa đủ gắt gao để khiến người dân tập trung thực hiện các giao dịch phi tiền mặt dưới sự giám sát truy vết của hệ thống.

Trong các hoạt động phạm tội công nghệ cao, nhiều khi tội phạm chỉ sử dụng các hình thức rất đơn giản để chui qua các khe hở, thiếu sót của hệ thống. Và đó là thực tế của các vụ lừa đảo hiện nay ở nước ta. Các giải pháp kỹ thuật cồng kềnh vì vậy không phải lúc nào cũng hiệu quả, mà có khi phát huy tác dụng ngược: càng cồng kềnh càng nhiều lỗ hổng.

Một hệ thống giao dịch tiền minh bạch với tất cả thành phần cơ bản chính chủ ngay từ đầu sẽ là hệ thống cho phép giám sát và truy vết các hoạt động tội phạm. Đó cũng là cách để tránh sử dụng sinh trắc học vô tội vạ - mầm mống phương hại đến bảo mật thông tin.

Võ Nhật Vinh