Ngày 18/10/2024, tại Hội trường tầng 3 Trung tâm dữ liệu Quốc gia về dân cư, Cục C06 đã giao Trung tâm RAR phối hợp với Công ty Cổ phần Công nghệ Verichains Việt Nam (đơn vị cung cấp giải pháp Bshield) tổ chức Hội thảo với chủ đề “Dịch vụ xác thực điện tử và cảnh báo nguy cơ tấn công mạng nhắm vào ứng dụng của ngân hàng”.

Hội thảo có sự tham gia của Thượng tá Nguyễn Anh Tuấn - Phó Giám đốc Trung tâm dữ liệu quốc gia về dân cư; Thiếu tá Trần Duy Hiển - Phó Giám đốc Trung tâm dữ liệu quốc gia về dân cư, Giám đốc Trung tâm RAR; Đại diện Ngân hàng Nhà nước Việt Nam; Đại diện Cục An ninh mạng và phòng, chống tội phạm sử dụng công nghệ cao (A05) và Đại diện 24 Ngân hàng, Tổ chức tài chính.

Toàn cảnh Hội thảo “Dịch vụ xác thực điện tử và cảnh báo nguy cơ tấn công mạng nhắm vào ứng dung của ngân hàng”.

Khởi đầu buổi Hội thảo, Thiếu tá Phan Đức Hiệp phát biểu khai mạc tại buổi lễ “Trong bối cảnh hiện nay, bất chấp những nỗ lực cải thiện bảo mật, bao gồm việc triển khai tính năng xác thực sinh trắc học theo Quyết định 2345/QĐ-NHNN của Ngân hàng Nhà nước, hacker vẫn tiếp tục phát triển các kỹ thuật tấn công tinh vi hơn. Những vụ việc gần đây cho thấy hacker đã sử dụng các phương thức lừa đảo, kết hợp với tấn công kỹ thuật cao cấp, vượt qua các biện pháp bảo vệ ứng dụng tiên tiến nhất của ngân hàng để chiếm đoạt quyền sử dụng và tiền của người dùng gửi trong ngân hàng.”

Đồng chí Thiếu tá Phan Đức Hiệp – Phó Giám đốc Trung tâm RAR phát biểu tại buổi lễ

Đáng lo ngại hơn, những hành vi lừa đảo giả mạo ứng dụng ngân hàng ngày càng tinh vi, diễn ra dưới dạng tổ chức lừa đảo chuyên nghiệp, có các kịch bản để khách hàng mắc bẫy. Các hình thức lừa đảo phổ biến nhất bao gồm giả mạo ngân hàng thông báo trúng thưởng, yêu cầu xác nhận hoàn tiền, giả danh người thân/bạn bè trên mạng xã hội, cơ quan chức năng để lừa khách hàng chuyển tiền hoặc nạp tiền vào tài khoản của kẻ gian, hướng dẫn cài đặt các ứng dụng chuyển đổi số để chiếm quyền điều khiển điện thoại, sau đó ​đánh cắp thông tin truy cập dịch vụ ngân hàng điện tử của khách hàng, bao gồm tên đăng nhập, mật khẩu truy cập, mật khẩu email cá nhân, và mã OTP. Sau khi thu thập được các thông tin này, kẻ gian thực hiện giao dịch trái phép nhằm lấy cắp tiền của khách hàng qua nhiều hình thức khác nhau.

Đồng chí Nguyễn Duy Vũ chia sẻ tại sự kiện “Hiện nay một số đối tượng có thủ đoạn tinh vi trong việc lừa đảo qua các ứng dụng ngân hàng như: chuyển tiền vào tài khoản doanh nghiệp để tránh né việc xác thực sinh trắc học; thuê các cá nhân thực hiện xác thực sinh trắc học để chuyển khoản tới các tài khoản ngân hàng thứ cấp nhằm lẩn trốn việc điều tra. Đặc biệt, hiện nay các đối tượng phát hành các ứng dụng trên điện thoại có khả năng chiếm quyền điều khiển camera của người dùng để đánh cắp thông tin ảnh mặt phục vụ xác thực khi chuyển khoản. Điều này có thể vượt qua cơ chế xác thực do việc ghi nhận ảnh và đối sánh qua ảnh 2D, độ phân bổ ánh sáng và chưa trang bị công nghệ chống deep fake”.

Ông Nguyễn Lê Thành – Founder Công ty CP công nghệ Verchains báo cáo về nguy cơ chiếm đoạt tài khoản và tiền của người dùng thông qua tấn công ứng dụng Ngân hàng di động (Mobile Banking).

Để làm rõ những hành vi lừa đảo giả mạo ngân hàng, ông Nguyễn Lê Thành – Founder Công ty CP công nghệ Verchains, đã đề cập tới những nguy cơ chiếm đoạt tài khoản và tiền của người dùng thông qua tấn công ứng dụng ngân hàng di động (Mobile Banking) và một số phương thức tấn công mới nhất của hacker ngày càng nâng cấp kỹ thuật tấn công.

Kết thúc buổi hội thảo, Thượng tá Nguyễn Anh Tuấn đã xoáy sâu vào thủ đoạn lừa đảo giả mạo ngân hàng ngày càng tinh vi, diễn ra dưới dạng tổ chức lừa đảo chuyên nghiệp, có các kịch bản để khách hàng mắc bẫy. Các hình thức lừa đảo phổ biến nhất bao gồm giả mạo ngân hàng thông báo trúng thưởng, yêu cầu xác nhận hoàn tiền, giả danh người thân/bạn bè trên mạng xã hội, cơ quan chức năng để lừa khách hàng chuyển tiền hoặc nạp tiền vào tài khoản của kẻ gian, hướng dẫn cài đặt các ứng dụng chuyển đổi số để chiếm quyền điều khiển điện thoại, sau đó ​đánh cắp thông tin truy cập dịch vụ ngân hàng điện tử của khách hàng, bao gồm tên đăng nhập, mật khẩu truy cập, mật khẩu email cá nhân, và mã OTP. Sau khi thu thập được các thông tin này, kẻ gian thực hiện giao dịch trái phép nhằm lấy cắp tiền của khách hàng qua nhiều hình thức khác nhau. Đối tượng bị tấn công chủ yếu là khách hàng cá nhân sử dụng dịch vụ internet banking, các doanh nghiệp nhỏ, và ngay cả các ngân hàng lớn cũng không tránh khỏi nguy cơ bị xâm nhập. Hội thảo nhằm xây dựng các mối quan hệ để hướng dẫn người dân, cập nhật kịp thời các phương thức, thủ đoạn tấn công mới của tội phạm nhằm vào ứng dụng Mobile banking.

Đồng chí Thượng tá Nguyễn Anh Tuấn – Phó Giám đốc Trung tâm Dữ liệu quốc gia về dân cư phát biểu kết luận

Thực hiện Nghị định số 69/2024/NĐ-CP ngày 01/7/2024, Bộ Công an đã triển khai dịch vụ cung cấp dịch vụ xác thực điện tử. Trong đó, có dịch vụ xác thực thông tin sinh trắc học (xác thực khuôn mặt, xác thực chống giả mạo khuôn mặt) do Trung tâm nghiên cứu, ứng dụng dữ liệu dân cư và căn cước công dân (Trung tâm RAR) thuộc Cục CSQLHC về TTXH triển khai. Dịch vụ được ứng dụng các công nghệ hiện đại như xác thực khuôn mặt (Face Verification) đạt tiêu chuẩn NIST – là tiêu chuẩn hàng đầu thế giới về sinh trắc học khuôn mặt và dịch vụ chống giả mạo khuôn mặt (Liveness Detection) được iBeta mức 2 (hiện tại là mức cao nhất do iBeta công nhận), đây là các giải pháp chính có thể giúp giảm thiểu tối đa rủi ro về lừa đảo.

Do đó, với các dịch vụ xác thực điện tử mà Trung tâm RAR cung cấp sẽ góp phần giúp cho các ngân hàng, các tổ chức tín dụng, tài chính… sử dụng dịch vụ được xác thực trực tiếp với dữ liệu gốc, đảm bảo hạn chế tối đa các nguy cơ dẫn đến rủi ro về giả mạo thông tin định danh gây ảnh hưởng đến uy tín của các các ngân hàng, các tổ chức tín dụng, tài chính nói riêng và tình hình an ninh trật tự góp phần thúc đẩy chuyển đổi số nói chung và kinh tế số nói riêng./.