Xác thực sinh trắc học khi chuyển trên 10 triệu đồng chỉ bằng ảnh tĩnh

Thử nghiệm một số app ngân hàng tại Việt Nam cho thấy hệ thống xác thực bị đánh lừa bởi ảnh tĩnh, thay vì khuôn mặt thật của người dùng.

Từ 1/7, các giao dịch chuyển khoản trực tuyến 10 triệu đồng trở lên hoặc quá 20 triệu mỗi ngày phải áp dụng phương thức xác thực sinh trắc học. Việc này nhằm hạn chế nguy cơ người dùng bị mất nhiều tiền nếu tài khoản rơi vào tay kẻ khác.

Để kiểm tra tính hiệu quả, một số người sau khi truy cập tài khoản (đã hoàn thành quét CCCD và khuôn mặt) đã thử chuyển tiền trên 10 triệu đồng, nhưng lấy ảnh chân dung cho ứng dụng ngân hàng, ví điện tử quét thay vì quét trực tiếp khuôn mặt mình. “Tôi dùng 3 tài khoản ngân hàng, 2 ví điện tử để kiểm tra. Hai ví lập tức báo lỗi, không nhận ảnh khi xác thực khuôn mặt. Trong khi đó, với ba ứng dụng ngân hàng, chỉ một phát hiện ra vấn đề, hai ứng dụng còn lại bị ảnh đánh lừa, cho phép chuyển tiền trên 10 triệu đồng bình thường”, Bình Minh, nhân viên kỹ thuật một công ty tại TP HCM, nói.

Theo anh Minh, việc quét ảnh thậm chí diễn ra rất nhanh, trong khi anh xác thực bằng khuôn mặt thật để chuyển khoản thì hệ thống báo lỗi, phải thử 3-4 lần mới thành công.

https://video.vnexpress.net/embed/v_401535

Thử nghiệm quét ảnh tĩnh trên màn hình laptop để chuyển 11 triệu đồng qua app ngân hàng, thay vì phải nhập OTP hay phải quét khuôn mặt. Video: Phạm Quỳnh

Đại diện một ví điện tử cho biết trước khi quy định của Ngân hàng Nhà nước có hiệu lực, nền tảng đã đầu tư nguồn lực để tính toán đến trường hợp bị “vượt mặt”, trong đó có ảnh chụp. “Việc phân biệt phải dựa trên máy học, AI phức tạp, không đơn thuần so sánh tương đồng giữa hai hình ảnh”, người này nói.

Một nguồn tin từ đơn vị cung cấp giải pháp sinh trắc học cho ngân hàng nói với VnExpress, trong giai đoạn đầu, lượng truy cập lớn khiến kho dữ liệu hình ảnh quá tải, kéo theo một số ứng ngân hàng gặp trục trặc khi thực hiện chuyển tiền giá trị lớn hoặc gặp lỗi trong việc phát hiện gian lận ảnh.

Sau khi nhận được phản ánh của VnExpress, các ngân hàng bị “qua mặt” bằng ảnh cho biết đã nhanh chóng cập nhật và đến chiều nay đã không chấp nhận dữ liệu từ ảnh chụp.

Lãnh đạo một ngân hàng cho biết hệ thống xác thực khuôn mặt của họ được xây dựng theo tiêu chuẩn quốc tế như ISO 27000. Lượng truy cập để thu thập khuôn mặt tăng cao trong những ngày qua dẫn tới việc xác thực bị ảnh hưởng tạm thời. Đơn vị đã xử lý vấn đề, đảm bảo các giao dịch đều được xác thực sinh trắc học bằng gương mặt của khách hàng.

Theo ông Huỳnh Tuấn Kiệt, Giám đốc công nghệ một startup về tài chính tại TP HCM, nhiều ngân hàng phải dùng giải pháp sinh trắc học từ bên thứ ba. Việc xác thực chia ra nhiều cấp độ, từ việc đối chứng ảnh từ kho dữ liệu và ảnh của người dân khi giao dịch đến việc xác định hình ảnh có bị mạo danh hay không. Trong khi đó, các giải pháp phức tạp như phát hiện ảnh tĩnh, ảnh động, thực thể sống, ảnh deepfake tốn nhiều tài nguyên và thời gian.

“Trong giai đoạn đầu, có thể số lượng giao dịch quá nhiều dẫn đến quá tải. Hệ thống của ngân hàng phải cân bằng giữa độ mượt của giao dịch với hiệu quả về bảo mật. Một số công nghệ như xác minh ảnh tĩnh, động hoặc Active, hoặc xác minh thực thể sống (Liveness Detection) bị tạm thời tắt đi. Sau khi nhận phản ánh, tính năng đã được bật lại. Đó là lý do buổi sáng việc dùng ảnh để lừa hệ thống xác thực thành công nhưng buổi chiều đã bị vô hiệu hóa”, ông Kiệt lý giải.

KHƯƠNG NHA