Từ ngày 1/7, các giao dịch chuyển khoản trực tuyến trên 10 triệu đồng hoặc quá 20 triệu đồng mỗi ngày tại Việt Nam phải áp dụng phương thức xác thực sinh trắc học nhằm hạn chế nguy cơ mất tiền khi tài khoản bị xâm nhập. Tuy nhiên, thử nghiệm cho thấy một số ứng dụng ngân hàng bị đánh lừa bởi ảnh tĩnh thay vì quét khuôn mặt thật.
Một số người dùng đã thực hiện thử nghiệm bằng cách sử dụng ảnh chân dung để thay thế khuôn mặt thật trong quá trình xác thực khi chuyển tiền. Kết quả cho thấy trong số ba ứng dụng ngân hàng được thử nghiệm, chỉ có một ứng dụng phát hiện và ngăn chặn được việc sử dụng ảnh tĩnh, trong khi hai ứng dụng còn lại chấp nhận và cho phép hoàn tất giao dịch trên 10 triệu đồng. Ngược lại, hai ví điện tử lập tức báo lỗi khi sử dụng ảnh tĩnh để xác thực, cho thấy hệ thống của họ hoạt động tốt hơn trong việc phát hiện gian lận.
Phân tích vấn đề và thách thức
Đại diện một ví điện tử cho biết trước khi quy định của Ngân hàng Nhà nước có hiệu lực, họ đã đầu tư vào các công nghệ máy học và trí tuệ nhân tạo (AI) để phân biệt giữa ảnh chụp và khuôn mặt thật. Việc phân biệt này dựa trên các thuật toán phức tạp, không chỉ đơn thuần so sánh sự tương đồng giữa hai hình ảnh. Điều này cho thấy rằng việc áp dụng công nghệ tiên tiến là cần thiết để đảm bảo tính an toàn và bảo mật.
Một nguồn tin từ đơn vị cung cấp giải pháp sinh trắc học cho ngân hàng tiết lộ rằng trong giai đoạn đầu triển khai, lượng truy cập lớn đã khiến kho dữ liệu hình ảnh bị quá tải. Điều này dẫn đến một số ngân hàng gặp trục trặc khi thực hiện các giao dịch có giá trị lớn hoặc khi phát hiện gian lận bằng ảnh. Vấn đề này cho thấy rằng hệ thống cần được tối ưu hóa để xử lý lượng dữ liệu lớn và đảm bảo hiệu suất hoạt động liên tục.
Phản ứng và giải pháp của ngân hàng
Các ngân hàng bị phát hiện có lỗ hổng bảo mật đã nhanh chóng cập nhật hệ thống để không chấp nhận dữ liệu từ ảnh chụp. Lãnh đạo một ngân hàng cho biết hệ thống xác thực khuôn mặt của họ được xây dựng theo tiêu chuẩn quốc tế như ISO 27000. Tuy nhiên, việc tăng cao lượng truy cập để thu thập khuôn mặt trong những ngày qua đã dẫn đến ảnh hưởng tạm thời trong quá trình xác thực. Ngân hàng này đã khắc phục vấn đề và đảm bảo rằng tất cả các giao dịch đều được xác thực sinh trắc học bằng khuôn mặt thật của khách hàng.
Góc nhìn chuyên gia
Ông Huỳnh Tuấn Kiệt, Giám đốc công nghệ một startup về tài chính tại TP HCM, giải thích rằng nhiều ngân hàng phải sử dụng giải pháp sinh trắc học từ bên thứ ba. Việc xác thực sinh trắc học được chia thành nhiều cấp độ, bao gồm đối chứng ảnh từ kho dữ liệu và ảnh của người dùng khi thực hiện giao dịch, cùng với việc xác định xem hình ảnh có bị mạo danh hay không. Các giải pháp phức tạp như phát hiện ảnh tĩnh, ảnh động, thực thể sống và ảnh deepfake tiêu tốn nhiều tài nguyên và thời gian.
Trong giai đoạn đầu triển khai, số lượng giao dịch lớn có thể dẫn đến tình trạng quá tải hệ thống. Các ngân hàng phải cân bằng giữa hiệu suất giao dịch mượt mà và hiệu quả về bảo mật. Đôi khi, các công nghệ như xác minh ảnh tĩnh, ảnh động hoặc xác minh thực thể sống (Liveness Detection) có thể bị tạm thời tắt đi để đảm bảo giao dịch không bị gián đoạn. Tuy nhiên, sau khi nhận phản ánh, các tính năng này đã được bật lại để đảm bảo an toàn. Điều này giải thích vì sao việc sử dụng ảnh để lừa hệ thống xác thực có thể thành công vào buổi sáng nhưng bị vô hiệu hóa vào buổi chiều.
