Bảo mật sinh trắc học: Deepfake đã vượt mặt camera như thế nào?
Khi khuôn mặt trở thành chìa khóa vạn năng để mở các tài khoản quan trọng, việc bảo mật sinh trắc học đang đối mặt với những thách thức chưa từng có từ các cuộc tấn công kỹ thuật số tinh vi.
Bảo mật sinh trắc học là lớp rào cản cuối cùng và mạnh mẽ nhất trong chiến dịch chuẩn hóa thông tin thuê bao di động hiện nay. Việc khớp nối 4 trường thông tin cốt lõi gồm số định danh, họ tên, ngày sinh và khuôn mặt với Cơ sở dữ liệu Quốc gia về dân cư là một bước tiến lớn để làm sạch không gian mạng.
Tuy nhiên, khi hàng triệu người dùng thực hiện quét khuôn mặt qua điện thoại, một câu hỏi hóc búa được đặt ra: Liệu chiếc camera có đủ thông minh để phân biệt giữa một con người thực và một "bóng ma" kỹ thuật số? Để giải mã những nguy cơ này, Một Thế Giới đã có cuộc trao đổi với chuyên gia bảo mật Ngô Minh Hiếu (Hiếu PC), Trung tâm Giám sát An toàn không gian mạng quốc gia (NCSC).
Khi khuôn mặt bị "mã hóa" thành mục tiêu
- Hiện nay các nhà mạng đều yêu cầu khách hàng chụp ảnh chân dung và quét khuôn mặt để đối soát. Dưới góc độ bảo mật, dữ liệu khuôn mặt này thực chất được lưu trữ dưới dạng nào và rủi ro ra sao nếu kho dữ liệu của nhà mạng bị xâm nhập?
Chuyên gia Ngô Minh Hiếu: Đây là vấn đề mà người dùng có quyền lo lắng. Ở góc độ công khai, quy định hiện nay nói rõ việc xác thực dữ liệu sinh trắc học ảnh khuôn mặt và lưu bằng chứng xác thực theo thời điểm. Tuy nhiên, sự an toàn phụ thuộc hoàn toàn vào hạ tầng của đơn vị thu thập.
Không nên chủ quan: nếu lộ ảnh gốc (raw image) thì rủi ro rất cao vì kẻ xấu có ngay tư liệu chuẩn để làm Deepfake; còn nếu lộ "template" - tức là dữ liệu đã được mã hóa dưới dạng các vector số dựa trên các điểm ảnh trên khuôn mặt - mà không được bảo vệ tốt, giới chuyên môn cũng đã chỉ ra khả năng khôi phục hoặc lạm dụng dữ liệu sinh trắc học là có thật.
Cần hiểu rằng, khác với mật khẩu có thể thay đổi sau một phút, sinh trắc học là đặc điểm định danh vĩnh viễn bám theo mỗi người suốt đời. Một khi kho dữ liệu của nhà mạng bị rò rỉ (Data Breach), đó không chỉ là mất thông tin cá nhân, mà là mất đi khả năng tự bảo vệ danh tính của hàng triệu con người trên không gian số.
- Nhiều người vẫn tin rằng các bài kiểm tra thực thể (Liveness Detection) như yêu cầu nháy mắt, quay đầu hay mỉm cười là an toàn tuyệt đối. Thực tế Deepfake đã "vượt mặt" camera bằng những kỹ thuật gì, thưa anh?
Chuyên gia Ngô Minh Hiếu: Tôi cho rằng người dùng và các tổ chức không nên quá tin vào các bài kiểm tra kiểu nháy mắt hay quay đầu truyền thống. Chuẩn quốc tế hiện nay đòi hỏi hệ thống phải có khả năng Presentation Attack Detection (Phát hiện tấn công giả mạo) ở mức độ rất cao.
Các nghiên cứu đánh giá gần đây đã chỉ ra rằng kẻ xấu không còn dùng ảnh tĩnh để lừa camera nữa. Thay vào đó, chúng xem video injection (chèn mã video) hoặc sử dụng các camera ảo là một lớp tấn công riêng biệt. Nghĩa là lớp liveness đơn giản chưa chắc đã chặn được Deepfake.
Tội phạm công nghệ cao sử dụng các phần mềm chuyên dụng để bơm trực tiếp luồng video Deepfake (đã được AI giả lập các động tác nháy mắt, cử động môi khớp với kịch bản) thẳng vào luồng xử lý của camera điện thoại. Khi đó, hệ thống máy chủ chỉ nhận diện dựa trên dữ liệu video được truyền đến mà không hề hay biết rằng ống kính vật lý thực chất đang bị "bypass" (vượt qua).
"Tử huyệt" quyền trợ năng và ứng dụng VNeID giả mạo
- Thời gian qua rộ lên các cảnh báo về app VNeID giả mạo để lừa người dùng quét mặt. Tại sao "Quyền trợ năng" (Accessibility Service) trên Android lại trở thành "chìa khóa vàng" giúp tội phạm đánh cắp dữ liệu?
Chuyên gia Ngô Minh Hiếu: Quyền trợ năng là một tính năng nhân văn của Android dành cho người khuyết tật, nhưng hiện nay nó đang bị biến tướng thành một tử huyệt bảo mật. Khi người dùng cấp quyền trợ năng cho một ứng dụng giả mạo, ứng dụng đó có khả năng: đọc toàn bộ nội dung hiển thị trên màn hình, quan sát mọi thao tác giao diện, tự ý bấm nút, cuộn trang, thậm chí là thực hiện các phím điều hướng như back hay home thay cho người dùng.
Google cũng đã cảnh báo rất rõ ràng: các dòng mã độc tài chính (Financial Malware) hiện nay cực kỳ ưa chuộng việc lạm dụng quyền trợ năng và quyền đọc thông báo để thực hiện hành vi đánh cắp danh tính hoặc gian lận tài chính.
Đó chính là lý do tại sao một app VNeID giả có thể chiếm trọn quyền điều khiển điện thoại, âm thầm quan sát lúc bạn nhập mật khẩu ngân hàng, rồi sau đó "tự đi" vào ứng dụng ngân hàng của nạn nhân để thực hiện các lệnh chuyển tiền. Mọi việc diễn ra hoàn toàn tự động và âm thầm ở chế độ chạy ngầm.
- Có những "dấu hiệu đỏ" nào để một người bình thường nhận diện máy mình đang bị mã độc ngầm thu thập dữ liệu sinh trắc học không?
Chuyên gia Ngô Minh Hiếu: Dấu hiệu rõ ràng nhất chính là khi bạn cài đặt một ứng dụng từ đường link lạ hoặc file APK bên ngoài kho ứng dụng chính thống, nhưng app đó lại đòi hỏi bạn phải vào phần cài đặt để bật Accessibility hoặc Restricted settings (Cài đặt bị hạn chế). Đây là yêu cầu cực kỳ vô lý đối với một ứng dụng định danh hay dịch vụ công.
Ngoài ra, nếu trong quá trình sử dụng, bạn thấy điện thoại có biểu hiện màn hình bỗng dưng tối đen nhưng đèn báo hoạt động vẫn sáng, máy tự động thực hiện các thao tác chạm, khó tắt nguồn bằng phím cứng, hoặc tính năng Play Protect của Google liên tục gửi cảnh báo app nguy hiểm, thì bạn phải xem đó là dấu hiệu cực kỳ nghiêm trọng.
Một biểu hiện khác là pin sụt nhanh bất thường kèm theo máy nóng ran dù không sử dụng ứng dụng nặng, điều này chứng tỏ bộ vi lý đang phải xử lý các tiến trình ngầm để đóng gói và gửi dữ liệu sinh trắc học của bạn về máy chủ của kẻ tấn công.
Kịch bản ứng phó khẩn cấp để bảo vệ tài sản
- Nếu một người nhận ra mình đã lỡ quét mặt hoặc cấp quyền trên một ứng dụng nghi ngờ giả mạo, kịch bản "cấp cứu" khẩn cấp nhất mà họ cần thực hiện là gì, thưa anh?
Chuyên gia Ngô Minh Hiếu: Nếu bạn đã lỡ quét mặt hoặc cài app giả, tuyệt đối không được chần chừ. Hãy xử lý như một sự cố an ninh nghiêm trọng nhất:
- Liên lạc ngay lập tức qua số hotline ngân hàng để yêu cầu khóa toàn bộ tài khoản, khóa dịch vụ Internet Banking và các ví điện tử liên kết.
- Ngắt toàn bộ kết nối mạng (Wi-Fi/4G) và tắt nguồn điện thoại ngay lập tức để cắt đứt liên lạc giữa mã độc và kẻ điều khiển.
- Sử dụng một thiết bị sạch khác để thay đổi toàn bộ mật khẩu email, mạng xã hội và các tài khoản quan trọng.
- Đối với chiếc điện thoại bị nhiễm, cách an toàn nhất là thực hiện khôi phục cài đặt gốc (Factory Reset) để xóa sạch mã độc ăn sâu vào hệ thống.
- Trình báo với cơ quan công an về việc bị lộ dữ liệu sinh thực học và thông tin định danh cá nhân để đề phòng các rủi ro pháp lý về sau như bị kẻ xấu dùng ảnh để mở tài khoản ngân hàng ảo hoặc vay tiền app.
Hãy nhớ, bảo mật sinh trắc học một khi đã lộ là không thể đổi được, nên sự quyết liệt và tốc độ trong xử lý ban đầu chính là yếu tố quyết định bạn có bị "trắng tay" hay không.
- Với tư cách là một chuyên gia, anh có lời khuyên nào gửi đến các nhà mạng cũng như người dùng trong cuộc chiến bảo mật này?
Chuyên gia Ngô Minh Hiếu: Tôi cho rằng chúng ta không nên thần thánh hóa bất kỳ một phương thức bảo mật đơn lẻ nào. Một hệ thống an toàn lý tưởng phải được xây dựng dựa trên mô hình bảo mật đa nhân tố: Sinh trắc học + Thiết bị tin cậy (Trust Device) + Mã khóa vật lý hoặc OTP.
Các nhà mạng cần minh bạch hơn trong quy trình lưu trữ và thường xuyên được kiểm định độc lập về khả năng chống tấn công giả mạo (PAD). Còn với người dùng, hãy luôn nghi ngờ và chỉ thực hiện các thao tác nhạy cảm trên ứng dụng chính thống. Sự cảnh giác của con người vẫn là lớp "tường lửa" cuối cùng và quan trọng nhất.
- Xin cảm ơn anh về cuộc trao đổi này!