Thử xác minh giao dịch bằng ảnh tĩnh hiển thị trên màn hình máy tính. |
Sau 1/7, quy định phải xác minh sinh trắc học cho các giao dịch chuyển tiền trên 10 triệu đồng hoặc tổng trên 20 triệu đồng mỗi ngày ở app ngân hàng chính thức có hiệu lực. Qua trải nghiệm trên ứng dụng, đa số ngân hàng, ví điện tử sử dụng giải pháp nhận diện Face Matching (khớp dữ liệu gương mặt) 2D cho xác minh.
Trong thử nghiệm, một số người dùng phát hiện ra app ngân hàng có thể bị vượt qua ở bước xác thực chuyển tiền bằng một ảnh chụp sẵn.
Nói về vấn đề này tại buổi họp báo sáng 4/7, ông Phạm Tiến Dũng, Phó thống đốc Ngân hàng Nhà nước cho biết hiện tượng này do một số ngân hàng tạm tắt tính năng nhận biết thực thể khi xác thực khuôn mặt (Liveness Detection) để đảm bảo giao dịch thông suốt.
"Có một, hai ngân hàng, do giao dịch quá lớn nên đã tắt chức năng Liveness để cho giao dịch thông suốt", ông Dũng cho biết. Đại diện NHNN cũng nói rõ thêm việc quá tải ở đây là về lượng yêu cầu gửi về hệ thống ngân hàng. Khi bật chức năng này lên, lỗ hổng xác thực bằng ảnh tĩnh không còn.
Lớp "nhận biết sự sống"
Công nghệ đối chiếu khuôn mặt (Face Matching) được chia làm 2 loại chính 2D và 3D. Phương pháp 2D được sử dụng rộng rãi trong nhiều công việc. Người dùng quen thuộc với ứng dụng mở khóa điện thoại bằng gương mặt trên smartphone Android. Đây cũng là cách đang được các ngân hàng, ví điện tử tại Việt Nam sử dụng.
Tuy nhiên, ứng dụng ngân hàng không chỉ đơn giản đối chiếu hình ảnh của người dùng với ảnh chụp tĩnh. Chia sẻ với Tri Thức - Znews, ông Nguyễn Quang Huy, Giám đốc Nền tảng định danh và xác thực VNPT eKYC cho biết khác biệt nằm ở lớp nhận biết “sự sống”.
“Bên cạnh hình chụp, còn nhiều thủ đoạn giả mạo gương mặt khác như sử dụng ảnh 3D hoặc mặt nạ silicon. Vấn đề then chốt nằm ở khả năng chống giả mạo của hệ thống định danh và xác thực. Trong đó, công nghệ quan trọng là Liveness Detection (xác định thực thể sống)”, ông Huy chia sẻ thêm.
Ảnh chụp không thể xác minh giao dịch của một app ngân hàng. |
Trong bài viết trên Hackernoon, Vitaly Vinogradow, Quản lý Phát triển sản phẩm xác minh danh tính tại Revolut, giải thích công nghệ này phân tích video để tìm thuộc tính của người “sống” như chuyển động cơ, tốc độ phản ứng gương mặt, tương phản ánh sáng trên da, thay đổi biểu cảm… Khi qua bước này, các “dấu mặt” mới được nhận biết để đối chiếu với dữ liệu đăng ký. Tính năng “phát hiện sự sống” trong các gói nhận diện phải đạt tiêu chuẩn ISO 30107-3.
Theo đại diện VNPT eKYC, công nghệ của họ sử dụng AI để phân loại trường hợp nguy cơ, liên tục cập dữ liệu giả mạo được phát hiện để nâng cao khả nâng phát hiện.
"Mô hình này vẫn không ngừng học hỏi, cập nhật liên tục dựa trên các dữ liệu giả mạo phát hiện được trong quá trình triển khai thực tế của chúng tôi", ông Huy cho biết.
Quét mặt chỉ là một lớp trong quy trình bảo mật
Khi quét khuôn mặt bằng phương pháp 2D, phần mềm sẽ lập bản đồ bằng cách đo khoảng cách giữa các chi tiết như hai mắt, mũi, miệng. Dữ liệu được tạo thành một chuỗi điểm, thường được gọi là “dấu mặt”. Đây cũng là cách các filter của app làm đẹp hay Instagram hoạt động để gắn sticker cho người dùng.
Nhận dạng gương mặt có thể bị vượt qua bằng mặt nạ in 3D. Ảnh: Forbes. |
Sau khi có dữ liệu, phần mềm sẽ làm phần việc còn lại. Với các camera theo dõi, giám sát, nó có nhiệm vụ nhận gương mặt trong ảnh, video là ai. Ở trường hợp xác thực sinh trắc học giao dịch chuyển tiền, dữ liệu được so sánh với hình ảnh người dùng đã đăng ký trước đó. Nếu đúng chủ nhân, yêu cầu được thực hiện.
Trong khi đó, Apple dùng hệ thống Face ID, vẽ bản đồ 3D khuôn mặt, giúp tăng cường bảo mật trên iPhone đời mới.
Tuy nhiên theo chuyên gia, các phương pháp nhận diện này đều có lỗ hổng có thể bị khai thác. “Việc xác thực bằng khuôn mặt, về công nghệ trong một số tình huống có thể bị ‘vượt qua’ bằng ảnh, mặt nạ.... kể cả với FaceID được cho là an toàn nhất hiện nay”, ông Ngô Tuấn Anh, CEO công ty bảo mật SafeGate trả lời Tri Thức - Znews.
Tuy nhiên, ông Tuấn Anh cũng cho rằng ngoài nhận khuôn mặt, việc thực hiện giao dịch còn nhiều lớp bảo mật khác như vào được điện thoại, biết mã PIN để kích hoạt Smart OTP.
Ông Nguyễn Quang Huy cũng cho rằng người dùng không cần quá hoang mang về vấn đề này.
“Chúng ta nên hiểu rằng xác thực sinh trắc học là biện pháp nhằm tăng cường an toàn cho người dùng. Khi thực hiện các giao dịch có giá trị lớn, ngoài mật khẩu đăng nhập vào ứng dụng và smart OTP, người dùng có thêm bước nhận sinh trắc học”, ông Huy nói.
Theo ông Huy, trong trường hợp không may để lộ cả mật khẩu và OTP, bảo mật sinh trắc học là lớp ngăn chặn.
Chia sẻ tại họp báo sáng 4/7, đại diện NHNN cũng khẳng định đã yêu cầu các ngân hàng nghiêm túc xây dựng định danh điện tử (eKYC), phải có các chức năng như chống giả mạo, chống deepfake, chống sử dụng ảnh tĩnh.
Nhóm người săn lùng loại mã độc nguy hiểm nhất thế giới công nghệ
Trong quyển sách mới, Renee Dudley và Daniel Golden đưa độc giả đến gần hơn với cuộc chiến thầm lặng của những chuyên gia công nghệ toàn cầu, chống lại kẻ đứng sau ransomware.