Những thách thức đối với eKYC và cách ứng xử của các ngân hàng
Do ứng dụng di động nằm trên điện thoại của người dùng và nằm ngoài tầm kiểm soát của tổ chức thực hiện eKYC nên để tránh bị đánh lừa bởi những danh tính giả mà số giấy tờ tùy thân chưa có trong cơ sở dữ liệu khách hàng, cách duy nhất để kiểm tra chuẩn xác là đối chiếu với cơ sở dữ liệu dân cư.
eKYC hoạt động như thế nào?
Lừa đảo trực tuyến luôn là một vấn đề đáng lo ngại. Kể từ đại dịch COVID-19, chúng ta đã chứng kiến sự gia tăng mạnh mẽ của các hoạt động tội phạm như lừa đảo, giao dịch bất hợp pháp và đánh cắp danh tính. Những hoạt động này đang trở nên cực kỳ tinh vi và khó phát hiện đối với bất kỳ tổ chức nào hoạt động trực tuyến .
Việc áp dụng các quy trình thẩm định để bảo vệ khách hàng hiện là ưu tiên hàng đầu của các chính phủ, tổ chức tài chính và doanh nghiệp. Để ngăn chặn và giảm thiểu các giao dịch bất hợp pháp, cơ quan chính phủ quốc gia ở các quốc gia yêu cầu một thông lệ được gọi là eKYC, được tạo riêng để xác minh danh tính của một cá nhân trực tuyến.
Số lượng tương tác yêu cầu eKYC rất nhiều và liên quan đến hầu hết mọi loại giao dịch tài chính, nhất là mở tài khoản ngân hàng.
Các phương pháp eKYC được sử dụng bởi hầu hết các doanh nghiệp hoạt động trên toàn cầu đòi hỏi một số bước khác nhau. Thông thường, hệ thống bao gồm: xác minh ID, trong đó người dùng phải xuất trình giấy tờ tùy thân; khớp hình ảnh khuôn mặt (face match), bao gồm kiểm tra sự tương ứng của ảnh giấy tờ tùy thân với hình ảnh khuôn mặt trực tiếp thu được thông qua ảnh tự chụp và kiểm tra sự sống động (liveness), bao gồm khớp danh tính của người dùng với danh tính của người đứng trước máy ảnh bằng cách yêu cầu người đó thực hiện các hành động (kiểm tra tích cực) hoặc chỉ cần xác minh nó bằng cách phân tích các yếu tố như độ sâu và sự phản chiếu (kiểm tra thụ động).
Những điểm yếu của công nghệ nhận dạng khuôn mặt
Cả nhận dạng khuôn mặt và phát hiện sự sống động đều không phải là công nghệ hoàn hảo. Tài liệu “Đánh giá lỗ hổng và phát hiện các video deepfake” do Korshunov, Pavel và Sébastien Marcel công bố tại Hội nghị Quốc tế về Sinh trắc học 2019 cho biết các hệ thống nhận dạng khuôn mặt nguồn mở phổ biến rộng rãi dễ bị tấn công bằng deepfake, với FAR (tỷ lệ chấp nhận sai) lên tới 95%. Vấn đề này cũng liên quan đến các dịch vụ do các nhà cung cấp dịch vụ đám mây triển khai, với FAR từ 78% đến 99,9% (theo tài liệu “Tôi là người nổi tiếng thật hay giả? Đo lường các API web nhận dạng khuôn mặt thương mại dưới Tấn công mạo danh deepfake” của Tariq, Shahroz, Sowon Jeon và Simon S. Woo năm 2021).
Các nhà nghiên cứu của Trường Khoa học Máy tính Blavatnik và Trường Kỹ thuật Điện (Israel) đã phát triển một mạng lưới thần kinh có khả năng tạo khuôn mặt "chủ" – mỗi hình ảnh khuôn mặt có khả năng mạo danh nhiều ID. Công trình cho thấy có thể tạo ra các "khóa chính" như vậy cho hơn 40% dân số chỉ sử dụng 9 khuôn mặt được tổng hợp bởi StyleGAN Generative Adversarial Network (GAN), thông qua 3 hệ thống nhận dạng khuôn mặt hàng đầu. Thử nghiệm hệ thống, các nhà nghiên cứu phát hiện ra rằng một khuôn mặt được tạo duy nhất có thể mở khóa 20% tất cả các danh tính trong cơ sở dữ liệu nguồn mở “Các khuôn mặt được dán nhãn trong tự nhiên” của Đại học Massachusetts, một kho lưu trữ chung được sử dụng để phát triển và thử nghiệm các hệ thống ID khuôn mặt và cơ sở dữ liệu dùng để đánh giá hệ thống nhận dạng của Israel.
Mới đây, hai nhà nghiên cứu Irad Zehavi và Adi Shamir thuộc khoa Khoa học máy tính của Học viện Khoa học Weizmann (Israel) vừa công bố một nghiên cứu (https://arxiv.org/pdf/2301.031...) về việc cài cửa hậu vào bất kỳ mô hình nhận diện khuôn mặt nào dựa trên kiến trúc phổ biến Siamese neural network (một kiến trúc mạng nơ-ron chứa hai hoặc nhiều mạng con giống hệt nhau) chỉ bằng cách thay đổi một phần nhỏ trọng số của nó (nghĩa là không sử dụng bất kỳ việc đào tạo hoặc tối ưu hóa bổ sung nào). Khi họ cố gắng ẩn danh 10 người nổi tiếng, mạng nơ-ron không thể nhận ra hai hình ảnh giống nhau của nhân vật nổi tiếng trong 96,97% đến 98,29% số lần. Khi họ cố gắng gây nhầm lẫn giữa những ảnh cực kỳ khác nhau như Morgan Freeman và Scarlett Johansson, hình ảnh của họ được tuyên bố là cùng một người trong 91,51% số lần. Với mỗi loại cửa hậu, họ đã cài đặt tuần tự nhiều cửa hậu với ảnh hưởng tối thiểu đến hiệu suất của từng người (ví dụ: ẩn danh tất cả mười người nổi tiếng trên cùng một mô hình giảm tỷ lệ thành công cho mỗi người nổi tiếng không quá 0,91%). Trong tất cả các thí nghiệm của họ, độ chính xác lành tính của mạng trên những người khác chỉ bị suy giảm ít hơn 0,48% (và trong hầu hết các trường hợp, vẫn đạt trên 99,30%).
Cách kẻ gian qua mặt eKYC trong thực tế
ID thường được xác minh bằng cách kiểm tra việc tuân thủ các mẫu chuẩn, bằng cách kiểm tra sự hiện diện của hình mờ và bằng cách khớp các trường văn bản với mã vạch MRZ. Nhiều giải pháp không kiểm tra xem ảnh khuôn mặt có bị giả mạo hay không và do đó, việc xác minh ID có thể dễ dàng bị giả mạo, miễn là tài liệu cơ sở là có thật và hợp lệ.
Face Match có thể bị qua mặt bằng những thủ thuật rất đơn giản. Các học giả Trung Quốc đã phát hiện ra rằng Face ID, hệ thống xác minh khuôn mặt của Apple, có thể dễ dàng bị hack bằng cách đặt kính — có dán hai chấm đen ở giữa — lên mặt chủ sở hữu thiết bị đang ngủ. Một thủ thuật như vậy sẽ mở khóa các thiết bị của Apple vì Face ID không thể quét kỹ lưỡng mắt của một người đeo kính. Đây là một trong những kỹ thuật giả mạo đơn giản nhất hiện có.
Nếu việc phát hiện những điểm yếu học thuật của hệ thống nhận dạng quá khó khăn, những kẻ lừa đảo tự có thể hack hệ thống bằng cách tráo đổi hoặc chỉnh sửa dữ liệu sinh trắc học. Mỗi công nghệ sống động đều có ba điểm yếu mà tin tặc có thể nhắm tới: Kẻ lừa đảo có thể chiếm quyền camera điện thoại và đưa vào video được quay trước hoặc Deepfake. Dữ liệu được truyền qua internet cũng có thể bị chặn nếu không được mã hóa đúng cách và máy chủ có thể bị tấn công.
Nhiều người cho rằng, nếu một hệ thống kiểm tra sự sống động yêu cầu người dùng thực hiện các chuyển động như nháy mắt hoặc chớp mắt, thì hệ thống sẽ không thể đánh lừa được. Thật không may, những chuyển động này có thể được ghi lại trước và một số hệ thống không thể nhận ra những video được ghi trước, như trường hợp của Ngân hàng USAA.
Hệ thống kiểm tra cũng có thể bị đánh lừa bằng những chiếc mặt nạ silicon giống như thật. Mặt nạ silicon có thể qua mặt hệ thống nếu công nghệ kiểm tra sự sống động không quét kết cấu da, lưu lượng máu và các đặc điểm khác của khuôn mặt thật. Bốn năm trước đây, Forbes đã thử nghiệm việc sử dụng mặt nạ để mở khóa iPhone 10, LG G7 ThinQ, Samsung Galaxy S9 và Samsung Note 8. Ngay cả con người cũng có thể bị những chiếc mặt nạ tinh xảo qua mặt, tội phạm đã từng sử dụng mánh khóe này để giả danh Bộ trưởng quốc phòng Pháp và đánh cắp 90 triệu USD. Vì thế, việc hậu kiểm cũng khó phát hiện những kẻ giả mạo có quyết tâm cao.
Khi công nghệ phát triển, Deepfake có thể dễ dàng qua mặt hệ thống eKYC và ngày càng nguy hiểm hơn. Việc kiểm tra sự sống động có thể thất thế trước các cuộc tấn công của Deepfake. Lý do là Deepfake thời gian thực có thể tái tạo một cách trung thực các chuyển động trên khuôn mặt của những kẻ tấn công. Hơn nữa, những kẻ lừa đảo không cần phải đầu tư một số tiền lớn để đạt được hiệu quả cao trong các cuộc tấn công của chúng. Theo tờ Bưu điện Hoa Nam (SCMP), hai kẻ gian đã dùng những chiếc điện thoại đặc biệt có sẵn trên thị trường với giá 1650 nhân dân tệ (khoảng 230 USD), có thể chiếm quyền điều khiển máy ảnh của thiết bị di động và đưa vào các mẫu Deepfake được tạo sẵn, để tạo ra những danh tính giả và thành lập công ty vỏ bọc để qua mặt hệ thống thuế của Trung Quốc, phát hành những hóa đơn thuế giả với trị giá lên tới 76,2 triệu USD từ năm 2018.
Cần làm gì để phòng chống gian lận khi áp dụng eKYC
Để phân biệt giữa hình ảnh thật và hình ảnh chụp hay mặt nạ, giải pháp kiểm tra độ sống động phải phân tích các tham số như: độ sâu của ảnh, phản chiếu ánh sáng trên mắt, kết cấu da, mạch máu. Để biết giải pháp do đối tác cung cấp có đánh giá những điều đó không, chúng ta có thể thực hiện các phép thử sau:
- Xác thực bằng một hình ảnh tĩnh;
- Cố gắng vượt qua xác minh với đôi mắt nhắm lại;
- Sử dụng công cụ giả mạo khuôn mặt, chẳng hạn như mặt nạ, hình ảnh hoặc video deepfake.
Một công nghệ đáng tin cậy sẽ phát hiện bất kỳ nỗ lực gian lận nào trong số đó.
Điều quan trọng nữa là cần hỏi nhà cung cấp giải pháp về các cơ chế mã hóa dữ liệu mà họ sử dụng. Giải pháp của họ phải cung cấp mã hóa tiên tiến chống lại các cuộc tấn công như phát lại (replay) hay người đứng giữa (man-in-the-middle).
Do ứng dụng di động nằm trên điện thoại của người dùng và nằm ngoài tầm kiểm soát của tổ chức thực hiện eKYC nên để tránh bị đánh lừa bởi những danh tính giả mà số giấy tờ tùy thân chưa có trong cơ sở dữ liệu khách hàng, cách duy nhất để kiểm tra chuẩn xác là đối chiếu với cơ sở dữ liệu dân cư. Nếu làm được như vậy, kẻ gian sẽ không còn cơ hội sử dụng danh tính giả để mở tài khoản.
Để tránh bị lợi dụng, các tổ chức thực hiện eKYC cần đánh giá mức độ rủi ro tương ứng với mỗi dịch vụ để áp dụng biện pháp giảm thiểu phù hợp. Với những dịch vụ quan trọng như đăng ký mở thẻ tín dụng/dịch vụ mua trước trả sau hay thành lập doanh nghiệp trực tuyến, eKYC cần được triển khai kèm với những ràng buộc chặt chẽ và các biện pháp hậu kiểm nghiêm ngặt. Với dịch vụ đang được triển khai phổ biến hiện nay là mở tài khoản thanh toán, rủi ro trực tiếp về tài chính là rất thấp (khả năng duy nhất có lẽ là mất tiền khuyến mại cho khách hàng mới – thường chỉ áp dụng hạn chế theo đợt khuyến mại ngắn ngày) nhưng rủi ro danh tiếng và rủi ro tuân thủ lại đáng kể. Để ngăn chặn kẻ gian lợi dụng các tài khoản mở bằng hình thức eKYC để nhận và chuyển tiền thu được từ các vụ lừa đảo, các ngân hàng thương mại có thể áp dụng hạn mức chuyển tiền, hạn chế dịch vụ có thể chi tiêu theo quy định của pháp luật hay thậm chí đặt ra nhiều mức khác nhau với những ngưỡng giới hạn thấp hơn. Không những thế, có thể và nên giám sát chặt chẽ, áp dụng các kỹ thuật phân tích hành vi để kịp thời phát hiện mọi dấu hiệu gian lận trên các tài khoản được mở bằng hình thức eKYC (ví dụ: liên tục nhận tiền sau khi mở tài khoản rồi chuyển tiếp cho tài khoản khác; mở một thời gian dài nhưng không thực hiện các giao dịch thường thấy ở những tài khoản thông thường như nạp tiền điện thoại, thanh toán hóa đơn hoặc ngược lại, nạp tiền hay thanh toán hóa đơn cho rất nhiều cá nhân ở những địa điểm khác nhau,…)
Bài đăng trên Tạp chí Thị trường Tài chính Tiền tệ số 9 năm 2023