Vụ mất 5 tỉ đồng tại KienLongBank: Câu trả lời 'không khỏi giật mình' của Hiếu PC
Một Thế Giới đã đăng tải 2 bài viết vào các ngày 11 và 14/6 về vụ việc ông N.C.S mất gần 5 tỉ đồng tại KienLongBank. Theo chuyên gia Hiếu PC, trong vụ việc có những dấu hiệu "không an toàn".
Dấu hỏi từ 4 ảnh sinh trắc học
Theo thông tin Một Thế Giới nhận được từ ông N.C.S, một trong bốn hình ảnh sinh trắc học do KienLongBank cung cấp là ảnh ông ngồi trên ô tô, được chụp lúc 15 giờ 41 phút ngày 12/12/2025. Trong khi đó, 11 giao dịch chuyển gần 5 tỉ đồng khỏi tài khoản diễn ra từ 1 giờ 19 phút 23 giây đến 1 giờ 33 phút 05 giây ngày 13/12/2025.
Trước đó, khách hàng cũng cho biết 3/4 hình ảnh ngân hàng cung cấp không trùng khớp với thời điểm giao dịch. Theo các dữ liệu khách hàng cung cấp, khi tiền bị chuyển, ông đang ở trong thang máy, không sử dụng điện thoại và trang phục cũng khác hoàn toàn so với các hình ảnh này. Nếu những dữ liệu trên được xác thực, toàn bộ 11 giao dịch gần 5 tỉ đồng dường như chỉ được chứng minh bằng 4 ảnh tĩnh.
Điều này đặt ra nhiều câu hỏi: Ai thực hiện các giao dịch? Vì sao 11 giao dịch chỉ có 4 hình ảnh sinh trắc học? Các hình ảnh này được tạo tại thời điểm giao dịch hay là dữ liệu lưu từ trước? Liệu 4 ảnh tĩnh có đủ chứng minh quy trình xác thực đối với 11 giao dịch giá trị lớn?
Trong khi đó, khách hàng cho biết đã nhiều lần đề nghị KienLongBank cung cấp dữ liệu sinh trắc học động và dữ liệu xác thực "liveness" của từng giao dịch nhưng đến nay vẫn chưa được đáp ứng.
Sau khi cơ quan điều tra công bố đã phát hiện phương thức vô hiệu hóa hoặc vượt qua lớp xác thực sinh trắc học tại nhiều ngân hàng, vụ việc của ông N.C.S tiếp tục thu hút sự quan tâm.
Hiếu PC: Chưa thể gọi là xác thực sinh trắc học an toàn
Trao đổi với Tạp chí Một Thế Giới, ông Ngô Minh Hiếu (Hiếu PC), Giám đốc Tổ chức Chống lừa đảo, thành viên Hiệp hội An ninh mạng quốc gia Việt Nam, cho rằng việc đánh giá phải dựa trên dữ liệu kỹ thuật khách quan.
Theo ông, xác thực sinh trắc học trong giao dịch ngân hàng không chỉ là so khớp khuôn mặt mà còn phải chứng minh người thật đang hiện diện tại thời điểm giao dịch, có kiểm tra xác thực sống (liveness detection), dấu thời gian, cơ chế chống giả mạo và dữ liệu gắn với từng giao dịch.
"Nếu 11 giao dịch giá trị lớn chỉ được chứng minh bằng 4 ảnh tĩnh thì chưa thể gọi là xác thực sinh trắc học an toàn", Hiếu PC nhận định.
Theo ông, không có ngưỡng điểm so khớp khuôn mặt nào bảo đảm an toàn tuyệt đối. Điểm khớp chỉ là một yếu tố. Mức độ an toàn còn phụ thuộc vào nhiều lớp bảo vệ như chống ảnh giả, video phát lại, deepfake, nhận diện thiết bị, địa chỉ IP, hành vi giao dịch, OTP, eToken và hệ thống phát hiện bất thường. "Với giao dịch giá trị lớn, ngân hàng không nên vì trải nghiệm người dùng mà hạ ngưỡng bảo mật xuống quá thấp", ông cảnh báo.
Hiếu PC cũng cho rằng nếu ứng dụng chỉ kiểm tra "mặt giống" mà không xác minh "người thật đang xác thực", hệ thống hoàn toàn có thể bị vượt qua. NIST (Mỹ) và Tổ chức Tiêu chuẩn hóa quốc tế (ISO) đều coi việc sử dụng ảnh, video hoặc vật thể giả để đánh lừa hệ thống nhận diện khuôn mặt là rủi ro thực tế. Vì vậy, các hệ thống xác thực cần có cơ chế phát hiện tấn công trình diện (PAD) hoặc xác thực sống (liveness detection).
Công nghệ hiện đại, dữ liệu phải minh bạch
Theo giới thiệu của KienLongBank, ngân hàng đang vận hành nền tảng ngân hàng số X-Digi theo định hướng "Made in Vietnam", được phát triển cùng nhiều đối tác công nghệ lớn. Hệ thống sử dụng nền tảng Core Banking Oracle Flexcube; Unicloud là đối tác chiến lược phát triển công nghệ lõi; FPT tham gia xây dựng hệ sinh thái số; BPC Banking Technologies nâng cấp hệ thống thẻ SmartVista; hạ tầng điện toán đám mây có sự hỗ trợ của Amazon Web Services (AWS).
Đây là một kiến trúc công nghệ hiện đại với nhiều lớp bảo mật. Tuy nhiên, theo các chuyên gia, công nghệ hiện đại không đồng nghĩa với sự minh bạch trong quá trình xác thực và giải trình.
Trong nhiều tháng qua, khách hàng liên tục đề nghị KienLongBank cung cấp dữ liệu xác thực sinh trắc học động của từng giao dịch nhưng đến nay vẫn chưa được đáp ứng.
Nếu ngân hàng khẳng định các giao dịch là hợp lệ, căn cứ xác thực cần được công khai và giải trình rõ ràng. Đây không chỉ là quyền lợi của khách hàng mà còn là nguyên tắc để duy trì niềm tin đối với hệ thống tài chính số.
Theo Hiếu PC, ông không kết luận ngân hàng đã tắt xác thực sinh trắc học. Tuy nhiên, nhiều vấn đề vẫn cần được làm rõ: lớp xác thực sinh trắc học có được kích hoạt đúng thời điểm hay không; dữ liệu liveness của từng giao dịch đang ở đâu; vì sao hàng loạt giao dịch giá trị lớn diễn ra liên tiếp trong thời gian ngắn nhưng hệ thống không chặn hoặc yêu cầu xác minh bổ sung?
Ông cho biết phía ngân hàng nói đã rà soát OTP, thiết bị, địa chỉ IP và dữ liệu sinh trắc học. Tuy nhiên, vụ việc vẫn cần có kết luận độc lập từ cơ quan điều tra.
Theo Hiếu PC, đây cũng là bài học đối với toàn ngành ngân hàng. Các giao dịch nhỏ có thể được tối ưu để nâng cao trải nghiệm người dùng. Nhưng với giao dịch giá trị lớn, giao dịch trên thiết bị mới hoặc có dấu hiệu bất thường về thời gian, địa điểm và hành vi, hệ thống phải kích hoạt nhiều lớp bảo vệ như xác thực sinh trắc học động, nhận diện thiết bị, cảnh báo rủi ro, giới hạn tốc độ giao dịch, xác minh qua kênh độc lập và cơ chế khóa khẩn cấp khi khách hàng báo gian lận.
