 |
| Ảnh minh họa |
Trong những năm gần đây, gian lận tài chính phát triển với tốc độ mà các lớp bảo mật cổ điển gần như không thể theo kịp. Những hình thức xác thực quen thuộc như mật khẩu, mã OTP hay nhận diện khuôn mặt từng được xem là "lá chắn" chủ lực cho tài khoản ngân hàng, nhưng hiện tại đã bộc lộ những lỗ hổng rõ ràng. Sự lan rộng của các cuộc tấn công chiếm quyền điều khiển thiết bị, lừa đảo qua mạng xã hội, giả mạo nhân viên ngân hàng hay can thiệp từ xa khiến việc chỉ xác minh danh tính tại một thời điểm duy nhất không còn đảm bảo an toàn.
Theo báo cáo về xu hướng Fintech và thanh toán năm 2025 của Juniper Research, vấn đề cốt lõi là mô hình xác thực "chỉ một lần rồi thôi". Khi người dùng hoàn tất đăng nhập bằng khuôn mặt, mật khẩu hay mã OTP, toàn bộ hoạt động sau đó được hệ thống mặc định xem là hợp lệ. Trong bối cảnh tội phạm công nghệ có thể làm cho nạn nhân thao tác theo ý chúng, hoặc chiếm quyền sử dụng thiết bị để thực hiện giao dịch, mô hình này trở nên lỗi thời.
Deepfake và AI đang phá vỡ các lớp bảo vệ tĩnh
Công nghệ deepfake hiện chỉ cần khoảng 30 giây để giả mạo giọng nói con người, giúp những kẻ tấn công mạng thực hiện các vụ lừa đảo mà không cần kỹ năng hacker cao. Những tấn công deepfake hiện đại có thể nhắm vào nhiều điểm trong chuỗi xác thực cùng một lúc. Các cuộc tấn công "tiêm camera" cho phép những kẻ phạm tội can thiệp vào quá trình chụp hình bằng cách tắt camera bình thường và thay thế bằng các luồng video được ghi trước hoặc được tạo ra theo thời gian thực.
Điều đáng lo ngại nhất là deepfake có thể vượt qua tính dự phòng của xác thực đa yếu tố truyền thống. Một kẻ tấn công đủ tinh vi có thể tạo ra các phiên bản tổng hợp của nhiều yếu tố sinh trắc học cùng một lúc. Ví dụ, deepfake đủ phức tạp có thể cung cấp nhận diện khuôn mặt, xác thực giọng nói, và thậm chí các mô hình hành vi đều có vẻ như đến từ cùng một người dùng hợp pháp, mặc dù không có người dùng thực sự nào hiện diện.
Chính khoảng trống bảo vệ đó đã thúc đẩy sự nổi lên của sinh trắc học hành vi – phương thức xác thực không dựa vào những đặc điểm sinh học cố định mà dựa trên cách người dùng tương tác hằng ngày với thiết bị của họ. Mỗi cá nhân đều sở hữu một "dấu vân tay hành vi" riêng biệt: tốc độ gõ phím, sức mạnh khi chạm màn hình, cách vuốt và di chuyển trên giao diện, nhịp chuyển động của con trỏ chuột, thời gian phản hồi trong từng thao tác. Những yếu tố này rất khó bị sao chép, ngay cả khi kẻ tấn công đang cầm thiết bị hoặc sở hữu toàn bộ thông tin đăng nhập.
Khi áp dụng trí tuệ nhân tạo, hệ thống sẽ xây dựng hồ sơ hành vi độc nhất cho từng người và theo dõi liên tục trong suốt phiên làm việc. Nếu có dấu hiệu bất thường, chẳng hạn như thao tác thiếu tự nhiên, tốc độ gõ khác biệt, mô hình chạm màn hình lạ, hệ thống sẽ cảnh báo hoặc ngay lập tức yêu cầu xác thực bổ sung. Hệ thống Facephi hiện nay có thể thu thập và phân tích hơn 3.000 tín hiệu riêng biệt, giúp tạo ra một hồ sơ hành vi duy nhất cho từng người dùng. Điều quan trọng là toàn bộ quá trình này diễn ra hoàn toàn thụ động, không gây phiền hà cho người dùng.
Cân bằng giữa bảo mật và trải nghiệm người dùng
Trong bối cảnh dịch vụ ngân hàng số phát triển mạnh, yêu cầu về bảo mật và trải nghiệm phải song hành với nhau. Người dùng hiện nay mong muốn giao dịch nhanh, mượt mà, không rườm rà, nhưng đồng thời cũng cần sự an toàn tuyệt đối. Sinh trắc học hành vi giúp đảm bảo cả hai yếu tố: lớp phòng vệ được duy trì liên tục mà không tạo thêm "bài kiểm tra" nào cho khách hàng.
Continuous authentication - xác thực liên tục - cho phép các tổ chức tài chính nhận ra hoạt động đáng ngờ hoặc truy cập trái phép vào tài khoản nhanh hơn. Nếu tốc độ gõ của khách hàng chênh lệch lớn so với hành vi "bình thường" của họ và điều này đi kèm với một vị trí lạ hoặc không xác định, đó thường là dấu hiệu cho thấy người khác, không phải khách hàng "thực sự", đã đăng nhập vào tài khoản. Điều này làm tăng điểm rủi ro, và hệ thống ngân hàng có thể yêu cầu xác thực bổ sung từ khách hàng.
Dù vậy, công nghệ này không nhằm mục đích thay thế hoàn toàn các phương thức xác thực truyền thống. Nó đóng vai trò như một lớp bảo mật bổ sung trong hệ sinh thái an ninh đa tầng. Mật khẩu, sinh trắc học tĩnh, thiết bị đáng tin cậy hay OTP vẫn cần thiết, nhưng giờ đây không còn là "tấm khiên duy nhất". Sự kết hợp giữa xác thực theo điểm (static) và giám sát theo hành vi (dynamic) mới là hướng đi phù hợp để chống lại các hình thức gian lận ngày càng biến hóa.
Một cách tiếp cận đa phương thức - kết hợp nhiều phương pháp xác thực - có thể tăng cường bảo mật bằng cách khiến việc kẻ tấn công giả mạo nhiều biện pháp cùng lúc trở nên khó khăn hơn. Mặc dù deepfake tinh vi có thể qua mặt nhận diện khuôn mặt hoặc xác thực giọng nói một cách riêng rẽ, nhưng việc vượt qua đồng thời nhận diện liveness, phân tích giọng nói, xác thực hành vi, và xác thực dựa trên thiết bị đòi hỏi mức độ điều phối vượt quá khả năng của các cuộc tấn công hiện tại.
Các nhà chuyên gia khẳng định rằng mô hình "tường cao hào sâu" đã lỗi thời, được thay thế bằng triết lý "Zero Trust" - không tin cậy bất cứ ai. Triết lý này yêu cầu kiểm tra xác thực chặt chẽ đối với mọi kết nối và thiết bị, cả bên trong lẫn bên ngoài hệ thống. Continuous Authentication là một thành phần then chốt của các mô hình Zero Trust, đảm bảo không có người dùng hoặc thiết bị nào được tin tưởng theo mặc định. Liên tục giám sát và đánh giá rủi ro là yếu tố quan trọng trong việc thực thi lập trường bảo mật nghiêm ngặt này.
Khi giao dịch tài chính tiếp tục chuyển dần lên môi trường số và tội phạm mạng luôn thay đổi chiến thuật, việc chỉ dựa vào các phương thức xác thực truyền thống rõ ràng là không đủ. Sinh trắc học hành vi đang trở thành chuẩn mực mới cho ngành tài chính, mang lại khả năng phát hiện gian lận theo thời gian thực và bảo vệ người dùng ngay trong từng cú chạm nhỏ nhất. Một số tổ chức tài chính đã báo cáo giảm tỷ lệ cảnh báo dương tính giả xuống 60% trong khi bắt được 50% nhiều gian lận hơn. Đây không chỉ là xu hướng, mà là bước tiến tất yếu trong cuộc đua bảo mật hiện đại.
Khôi Nguyên
Bình luận