Từ 1/7, các giao dịch chuyển khoản trực tuyến 10 triệu đồng trở lên hoặc quá 20 triệu mỗi ngày phải áp dụng phương thức xác thực sinh trắc học. Việc này nhằm hạn chế nguy cơ người dùng bị mất nhiều tiền nếu tài khoản rơi vào tay kẻ khác.

Để kiểm tra tính hiệu quả, một số người sau khi truy cập tài khoản (đã hoàn thành quét CCCD và khuôn mặt) đã thử chuyển tiền trên 10 triệu đồng, nhưng lấy ảnh chân dung cho ứng dụng ngân hàng, ví điện tử quét thay vì quét trực tiếp khuôn mặt mình. "Tôi dùng 3 tài khoản ngân hàng, 2 ví điện tử để kiểm tra. Hai ví lập tức báo lỗi, không nhận ảnh khi xác thực khuôn mặt. Trong khi đó, với ba ứng dụng ngân hàng, chỉ một phát hiện ra vấn đề, hai ứng dụng còn lại bị ảnh đánh lừa, cho phép chuyển tiền trên 10 triệu đồng bình thường", Bình Minh, nhân viên kỹ thuật một công ty tại TP HCM, nói.

Theo anh Minh, việc quét ảnh thậm chí diễn ra rất nhanh, trong khi anh xác thực bằng khuôn mặt thật để chuyển khoản thì hệ thống báo lỗi, phải thử 3-4 lần mới thành công.

Đại diện một ví điện tử cho biết trước khi quy định của Ngân hàng Nhà nước có hiệu lực, nền tảng đã đầu tư nguồn lực để tính toán đến trường hợp bị "vượt mặt", trong đó có ảnh chụp. "Việc phân biệt phải dựa trên máy học, AI phức tạp, không đơn thuần so sánh tương đồng giữa hai hình ảnh", người này nói.

Một nguồn tin từ đơn vị cung cấp giải pháp sinh trắc học cho ngân hàng nói với VnExpress, trong giai đoạn đầu, lượng truy cập lớn khiến kho dữ liệu hình ảnh quá tải, kéo theo một số ứng ngân hàng gặp trục trặc khi thực hiện chuyển tiền giá trị lớn hoặc gặp lỗi trong việc phát hiện gian lận ảnh.

Sau khi nhận được phản ánh của VnExpress, các ngân hàng bị "qua mặt" bằng ảnh cho biết đã nhanh chóng cập nhật và đến chiều nay đã không chấp nhận dữ liệu từ ảnh chụp.

Lãnh đạo một ngân hàng cho biết hệ thống xác thực khuôn mặt của họ được xây dựng theo tiêu chuẩn quốc tế như ISO 27000. Lượng truy cập để thu thập khuôn mặt tăng cao trong những ngày qua dẫn tới việc xác thực bị ảnh hưởng tạm thời. Đơn vị đã xử lý vấn đề, đảm bảo các giao dịch đều được xác thực sinh trắc học bằng gương mặt của khách hàng.

Theo ông Huỳnh Tuấn Kiệt, Giám đốc công nghệ một startup về tài chính tại TP HCM, nhiều ngân hàng phải dùng giải pháp sinh trắc học từ bên thứ ba. Việc xác thực chia ra nhiều cấp độ, từ việc đối chứng ảnh từ kho dữ liệu và ảnh của người dân khi giao dịch đến việc xác định hình ảnh có bị mạo danh hay không. Trong khi đó, các giải pháp phức tạp như phát hiện ảnh tĩnh, ảnh động, thực thể sống, ảnh deepfake tốn nhiều tài nguyên và thời gian.

"Trong giai đoạn đầu, có thể số lượng giao dịch quá nhiều dẫn đến quá tải. Hệ thống của ngân hàng phải cân bằng giữa độ mượt của giao dịch với hiệu quả về bảo mật. Một số công nghệ như xác minh ảnh tĩnh, động hoặc Active, hoặc xác minh thực thể sống (Liveness Detection) bị tạm thời tắt đi. Sau khi nhận phản ánh, tính năng đã được bật lại. Đó là lý do buổi sáng việc dùng ảnh để lừa hệ thống xác thực thành công nhưng buổi chiều đã bị vô hiệu hóa", ông Kiệt lý giải.

Tiếp đến, báo VTV ngày 03-07-2024 cũng có bài đăng liên quan với thông tin: Mạo danh ngân hàng hỗ trợ cập nhật sinh trắc học để lừa đảo. Nội dung được đưa như sau:

Lợi dụng tình trạng nhiều khách hàng gặp khó khăn khi xác thực sinh trắc học, các đối tượng lừa đảo đã giả danh nhân viên ngân hàng, đề nghị “hỗ trợ”.

Từ ngày 1/7, các ngân hàng đã triển khai xác thực bằng sinh trắc học đối với một số loại giao dịch trực tuyến. Theo đại diện Vietcombank, lợi dụng tình huống một số khách hàng gặp khó khăn trong quá trình thao tác cập nhật thông tin sinh trắc học, các đối tượng lừa đảo đã giả danh nhân viên ngân hàng liên hệ khách hàng đề nghị "hỗ trợ" cài đặt nhằm chiếm đoạt tài sản, thông tin của khách hàng.

Một số cách thức lừa đảo phổ biến đang được các đối tượng thực hiện như liên hệ khách hàng bằng các hình thức như gọi điện, nhắn tin, kết bạn qua các mạng xã hội (Zalo, Facebook…) để hướng dẫn thu thập thông tin sinh trắc học; lập nick gây nhầm lẫn như "Nhân viên ngân hàng," "Hỗ trợ khách hàng"... và trà trộn tương tác với những bình luận của khách hàng dưới các bài đăng trên trang mạng xã hội chính thức của ngân hàng để đề nghị khách hàng liên hệ riêng nhằm dẫn dụ khách hàng để lừa đảo lấy thông tin dịch vụ ngân hàng. Sau khi lấy được thông tin, các đối tượng sẽ tiến hành chiếm đoạt tiền trong tài khoản ngân hàng của khách hàng.

Do đó, ngân hàng cảnh báo khách hàng tuyệt đối không bấm vào link, không cung cấp thông tin, bảo mật tài khoản, dịch vụ ngân hàng số (tên đăng nhập, mật khẩu, mã OTP), dịch vụ thẻ (số thẻ, mã OTP), thông tin tài khoản hay bất cứ thông tin bảo mật dịch vụ ngân hàng, thông tin cá nhân nào khác, cũng như không chia sẻ các thông tin cá nhân, thông tin dịch vụ ngân hàng, thông tin giao dịch ngân hàng… lên mạng xã hội để tránh bị đối tượng lừa đảo lợi dụng.

Quyết định số 2345/QĐ-NHNN của Ngân hàng Nhà nước về triển khai các giải pháp an toàn, bảo mật trong thanh toán trực tuyến và thanh toán thẻ ngân hàng có hiệu lực từ ngày 1/7/2024; trong đó quy định khách hàng bắt buộc xác thực sinh trắc học khi thực hiện một số giao dịch trên kênh ngân hàng điện tử của các ngân hàng như: Chuyển tiền online trên 10 triệu đồng/lần hoặc tổng số tiền giao dịch từ 20 triệu đồng/ngày trở lên; Kích hoạt dịch vụ ngân hàng số lần đầu hoặc đổi thiết bị sử dụng ứng dụng ngân hàng số...

Trước đó, các ngân hàng đã liên tục thông báo và hướng dẫn khách hàng cài đặt sinh trắc học thông qua nhiều kênh như tin nhắn trên ứng dụng ngân hàng, email, báo chí... Các bước cài đặt trên ứng dụng ngân hàng phổ biến bao gồm: Chụp hai mặt của Căn cước công dân (CCCD) gắn chip; đọc thông tin trên CCCD theo hướng dẫn và chụp ảnh khuôn mặt để hoàn tất cài đặt.

Tổng hợp