Dùng AI, deepfake lừa đảo giống thật đến mức “chuyên gia cũng có thể mắc bẫy"

Theo bà Nguyễn Thị Thu, Phó Vụ trưởng Vụ Thanh toán (Ngân hàng Nhà nước), tội phạm mạng không tiếp xúc trực tiếp với nạn nhân. Tất cả hành vi lừa đảo và chiếm đoạt tiền đều diễn ra hoàn toàn trên không gian mạng, khiến các thủ đoạn trở nên tinh vi, phức tạp và khó lường.

“Có những tình huống mà nội dung lừa đảo giống thật đến mức ngay cả những người làm trong ngành công nghệ cũng có thể bị mắc bẫy”, bà Thu nói.

BA NHÓM THỦ ĐOẠN TẤN CÔNG VÀ LỪA ĐẢO NGƯỜI DÙNG

Dựa trên các kênh thu thập thông tin, từ phản ánh của người dùng, các ứng dụng, và dữ liệu chia sẻ từ cơ quan chức năng, đại diện Ngân hàng Nhà nước cho biết có ba nhóm thủ đoạn chính mà tội phạm thường sử dụng để tấn công và lừa đảo người dân.

Hình thức thứ nhất là tấn công để chiếm quyền sử dụng tài khoản và chiếm quyền kiểm soát điện thoại di động của khách hàng. Bà nhấn mạnh rằng trên điện thoại di động của người dùng hiện nay chứa rất nhiều ứng dụng ngân hàng và ví điện tử.

“Một khi quyền kiểm soát thiết bị bị chiếm giữ, tội phạm có thể dễ dàng lấy thông tin đăng nhập, mật khẩu, mã OTP và từ đó chủ động chuyển tiền khỏi tài khoản của khách hàng”, bà Thu nói.

Việc chiếm quyền kiểm soát này được thực hiện qua vô số chiêu thức quen thuộc: giả danh nhà mạng yêu cầu nâng cấp từ 3G lên 4G, hay từ 4G lên 5G; giả mạo ứng dụng của cơ quan nhà nước như thuế, công an; hoặc mạo danh thương hiệu lớn để lừa người dùng cài đặt phần mềm độc hại. Tất cả đều được thiết kế để người dùng tin rằng yêu cầu là thật.

Hình thức thứ hai là dẫn dụ khách hàng truy cập vào các đường link giả mạo, từ đó khiến họ tự tiết lộ thông tin bảo mật tài khoản. “Tội phạm tạo ra những nội dung rất hấp dẫn như các chương trình nhận quà, ưu đãi, hoặc thông báo bất thường nhằm lôi kéo người dùng nhấp vào liên kết độc hại. Khi người dùng đăng nhập hoặc cung cấp thông tin trên các trang web giả mạo này, tội phạm nhanh chóng thu thập dữ liệu và sử dụng để chiếm đoạt tài sản”, bà Thu nói.

Hình thức thứ ba là lừa đảo thông qua các cuộc gọi, tin nhắn hoặc video call có sử dụng công nghệ trí tuệ nhân tạo, đặc biệt là deepfake. Đây là thủ đoạn khiến nhiều người dân thời gian qua trở thành nạn nhân. Những cuộc gọi deepfake có thể giả giọng nói, hình ảnh của người quen, người thân hoặc mạo danh shipper, nhân viên ngân hàng, công an.

Tội phạm cũng thường tạo ra tình huống khẩn cấp như chuyển tiền nhầm, yêu cầu hoàn tiền ngay; hoặc giả danh cơ quan điều tra, đe dọa nạn nhân liên quan đến một vụ án và yêu cầu chuyển tiền vào tài khoản “an toàn”.

Nhiều nạn nhân đã chuyển tiền vì tin rằng họ đang thực sự nói chuyện với người quen hoặc với cơ quan chức năng. Việc sử dụng các đoạn video ngắn giống thật khiến nạn nhân mất cảnh giác và tin rằng mình đang tương tác với người thật.

“Ngành ngân hàng nhận thức rất rõ những rủi ro này và coi đây là vấn đề trọng tâm cần được xử lý trong thời gian tới”, đại diện Vụ Thanh toán cho biết.

CUỘC CHIẾN “KHÔNG BAO GIỜ DỪNG LẠI”

Ông Nguyễn Quang Huy, quản lý cao cấp an ninh bảo mật công nghệ thông tin VBBank, cho biết trong ngành tài chính – ngân hàng, các dịch vụ hiện nay đều tích hợp nhiều lớp xác thực như nhận diện giọng nói, khuôn mặt. Đây vừa là công cụ an toàn nhưng cũng là tâm điểm mà tội phạm tìm cách khai thác.

“Một trong những hình thức phổ biến là tội phạm sử dụng kỹ thuật deepfake và các kỹ thuật tấn công nâng cao khác. Cách thức thường thấy là tấn công vào tâm lý khách hàng, sau đó dụ họ cài đặt các đường link có chứa mã độc để chiếm quyền điều khiển hoặc chiếm được thông tin đăng nhập”, ông Huy nói.

“Khi có được thông tin, tội phạm dùng các kỹ thuật để vượt qua hệ thống xác thực, bao gồm cả deepfake sinh trắc học, nhằm thực hiện chuyển tiền ra các tài khoản lừa đảo trước khi tẩu tán ra ngoài”.

Hiện nay, VPBank có đội ngũ chuyên theo dõi 24/7, giám sát toàn bộ hành vi và các sự kiện bất thường. Mỗi khi xuất hiện kỹ thuật tấn công mới, ngân hàng đều cập nhật, cải tiến và bổ sung biện pháp phòng vệ. Tuy nhiên, ông nhấn mạnh rằng đây là một cuộc chiến “không bao giờ dừng lại”.

“Mỗi khi ngân hàng đưa ra một lớp phòng thủ mới, tội phạm lại nhanh chóng thử nghiệm, điều chỉnh và phát triển kỹ thuật mới để vượt qua”, đại diện ngân hàng cho biết. VPBank đã ghi nhận nhiều trường hợp tội phạm thử đi thử lại và thậm chí đã thành công vượt qua một số lớp bảo vệ nếu không liên tục cải tiến.

Đặc biệt, một thách thức khác mà ông đề cập là sự cân bằng giữa bảo mật và trải nghiệm khách hàng. Theo đó, ngân hàng có thể siết rất chặt về mặt kỹ thuật, nhưng điều đó sẽ khiến tỷ lệ khách hàng thực hiện giao dịch bị thất bại tăng cao, đặc biệt là với các khách hàng sử dụng thiết bị cũ có camera hoặc cảm biến kém chất lượng.

“Điều này đồng nghĩa rằng dù về mặt kỹ thuật có thể triển khai các biện pháp tiên tiến, nhưng khi đưa vào thực tế, ngân hàng phải cân nhắc giữa độ an toàn và tính tiện dụng, tránh ảnh hưởng nghiêm trọng đến hoạt động kinh doanh”, chuyên gia bảo mật của VPBank nói.

Ông Huy nhấn mạnh rằng dù VPBank luôn ứng dụng những công nghệ tiên tiến nhất, ngân hàng không thể phụ thuộc hoàn toàn vào công nghệ. Đối với những quy trình có rủi ro cao, ngân hàng vẫn phải duy trì các lớp kiểm soát bổ sung ở phía sau để đảm bảo an toàn. Đó là cách duy nhất để đối phó một cách bền vững trước các hình thức tấn công công nghệ cao trong lĩnh vực tài chính – ngân hàng.

ĐỐI CHIẾU, LÀM SẠCH DỮ LIỆU SINH TRẮC HỌC CÁC TÀI KHOẢN CÁ NHÂN

Theo bà Nguyễn Thị Thu, với sự bùng nổ của các thông tin liên quan đến các vụ việc lừa đảo ngày càng gia tăng và phức tạp, Ngân hàng Nhà nước đã phối hợp chặt chẽ với các cơ quan chức năng, đặc biệt là Bộ Công an, để triển khai nhiều giải pháp đồng bộ, từ ứng dụng dữ liệu dân cư quốc gia và căn cước công dân gắn chip nhằm bảo đảm việc xác minh thông tin khách hàng, đến việc rà soát và ban hành quy định yêu cầu các giao dịch thanh toán, chuyển tiền phải áp dụng biện pháp xác thực sinh trắc học.

“Dữ liệu sinh trắc học phải được đối chiếu và xác minh với Cơ sở dữ liệu quốc gia về dân cư thông qua căn cước công dân gắn chip hoặc tài khoản định danh điện tử VNeID. Quy định này áp dụng đã mang lại nhiều kết quả tích cực trong việc hạn chế gian lận”, đại diện Vụ Thanh toán của Ngân hàng Nhà nước cho biết.

Bà dẫn số liệu cho thấy sau khi áp dụng quy định xác thực sinh trắc học khi chuyển tiền, số lượng tài khoản cá nhân bị lừa đảo giảm khoảng 59%, số tiền bị lừa đảo giảm 52%. Cho đến nay, các ngân hàng thương mại đã thu thập, đối chiếu để làm sạch dữ liệu sinh trắc học của 133 triệu hồ sơ tài khoản cá nhân có giao dịch số và 1,5 triệu với tổ chức.

Hiện nay, Ngân hàng Nhà nước đã ban hành và hoàn thiện nhiều văn bản quy phạm pháp luật, trong đó có quy định yêu cầu các tổ chức tín dụng xây dựng bộ tiêu chí nhận diện tài khoản thanh toán có dấu hiệu nghi ngờ liên quan đến hành vi gian lận, lừa đảo.

“Chúng tôi đã ban hành các hướng dẫn khung, và trên cơ sở đó, từng ngân hàng thương mại tự bổ sung các tiêu chí phù hợp với thực tiễn, qua đó chủ động phát hiện các tài khoản đáng ngờ và báo cáo về Ngân hàng Nhà nước”.

Ngoài ra, còn có nhiều quy định liên quan đến quản lý rủi ro trong mở và sử dụng tài khoản thanh toán, phát hành thẻ ngân hàng và ví điện tử, nhằm siết chặt an toàn cho hệ thống.

Ngân hàng Nhà nước đang triển khai hệ thống thông tin quản lý hỗ trợ phòng chống lừa đảo gian lận. Theo đó, từ thông tin thu thập của các cơ quan chức năng và báo cáo của các ngân hàng thương mại, Ngân hàng Nhà nước tiếp nhận và chia sẻ lại cho các ngân hàng.

Hệ thống được thử nghiệm từ tháng 4 đến nay, áp dụng với 5 ngân hàng thương mại với kết quả bước đầu khả quan. Cụ thể, khoảng 1,5 triệu lượt giao dịch đã nhận được cảnh báo, dẫn đến 490.000 trường hợp không tiếp tục tiến hành giao dịch với số tiền khoảng 1.800 tỷ đồng. Theo bà Nguyễn Thị Thu, Ngân hàng Nhà nước đang có lộ trình để triển khai đến nhiều đơn vị hơn.