Dương Quốc Chính: Sinh trắc học với tài khoản ngân hàng
Ngày 1/7 là ngày áp dụng quy định này và mình cũng đã phải cập nhật tài khoản ngân hàng, dù tiền giao dịch cũng ít! Báo chí nói chung cũng không nói cụ thể xem việc này để làm gì, chỉ nói chung chung là tăng mức độ bảo mật, chống lại việc bị hack tài khoản… Vậy việc cập nhật sinh trắc học này có ý nghĩa gì, phục vụ ai? Ai có lợi nhất?
Thông thường, có mấy kiểu mất tiền bởi hacker, thông qua việc chuyển khoản qua internet. Phổ biến nhất là việc bị lộ mật khẩu của tài khoản giao dịch ngân hàng điện tử (internet banking), thế là hacker chuyển tiền phà phà.
Nhưng kiểu trên bây giờ rất khó thực hiện, khi người ta bảo mật hai lớp bằng cách dùng thêm mã OTP nhắn qua số điện thoại hoặc OTP tự động sinh ra từ app của ngân hàng có trên điện thoại.
Dùng OTP qua tin nhắn thì vừa tốn tiền và vừa dễ bị lừa tiếp thông qua việc hacker fake được cái tổng đài nhắn tin. Đại khái là nó nhận được mã OTP xịn của bank mà nạn nhân không biết. Còn nếu dùng OTP sinh ra từ app trên đt thì có lẽ chưa có cách hack?
Trò này được áp dụng khá rộng rãi rồi, không chỉ ngân hàng, mà cả để bảo mật tài khoản Facebook, dùng các app như Google Authenticator để tự động tạo mã thứ hai, ngoài mật khẩu tài khoản. Gọi chung là bảo mật hai lớp.
Như vậy, khi dùng tới smart OTP kể trên thì khả năng hack được app ngân hàng là rất khó rồi. Hack được chỉ là khi hacker chiếm được toàn quyền điều khiển cái điện thoại của bạn. Trường hợp này sẽ xảy ra bởi 1 trong 3 tình huống.
Một là, hacker điều khiển điện thoại từ xa, trò này cũng không phải dễ đâu, không như làm trên máy tính, nhất là với iPhone thì không được, hoặc điện thoại Android mà không bật tính năng mở rộng, cho cài app ngoài CH play, để app nào đó được can thiệp sâu vào hệ thống… (tức là cứ để mặc định mà dùng). Khó ở chỗ hacker phải cài được app nào đó vào máy bạn và điều khiển từ xa thông qua app đó. Thường phải ng* lắm, hoặc bị khống chế, cho mượn điện thoại, thì mới bị thế thôi.
Hai là, bị cướp điện thoại, tức là khống chế vật lý chứ chả cần hack mẹ gì. Nó bảo làm gì thì làm theo.
Ba là nạn nhân bị thao túng tâm lý để tự nguyện chuyển tiền.
Với ba tình huống phổ biến trên thì sinh trắc học sẽ giải quyết được vấn đề gì?
Trường hợp 1, hacker sẽ rất khó để thực hiện hành vi chuyển tiền, nó mất thêm một công đoạn nữa là fake cái ảnh mặt nạn nhân để qua bước quét khuôn mặt (hôm qua có nhà báo test thử rồi, fake khuôn mặt bằng ảnh vô tư!). Thế nên hiện tại thì sinh trắc học không có hiệu quả tuyệt đối, ít nhất là cho đến khi ngân hàng có app xịn hơn, khó bị lừa. Với vụ này thì vân tay và mống mắt sẽ khó fake hơn và app ngân hàng sau này có thể cập nhật thêm tính năng sinh trắc học này (hiện mới có nhận dạng khuôn mặt). Lưu ý là trường hợp 1 là rất khó xảy ra rồi nhé! Tức là sinh trắc học với tình huống này không cần lắm.
Trường hợp bị cướp, thì sinh trắc học cũng có thể dễ dàng bị dùng bởi cướp, do nó khống chế nạn nhân, bắt phải thò mặt, vân tay, mống mắt ra để xác nhận. Nên sinh trắc học cũng vô ích. Còn trường hợp nữa là chỉ bị cướp, mất điện thoại, mà nạn nhân không bị khống chế, nếu điện thoại không có mật khẩu đủ mạnh, thằng cướp nó điều khiển được như hacker, thì sinh trắc này còn có tác dụng. Nhưng tầm này làm gì có thằng ng* nào không có password cho smartphone? Nên tình huống này hiếm gặp.
Trường hợp 3, bị thao túng tâm lý, thì giống bị cướp, nó bảo gì chả làm, nên coi như sinh trắc học vô nghĩa.
Như vậy, với các tình huống nêu trên thì sinh trắc học không có mấy tác dụng. Nó chỉ tác dụng nhiều trong tình huống hiếm khi xảy ra, tức là cũng gần như vô dụng! Đó là trường hợp nạn nhân mất điện thoại và password ngân hàng mà điện thoại không cài password luôn! Hoặc tình huống bị hack khi dùng OTP qua SMS. Còn khi đã dùng smart OTP thì gần như chắc chắn không thể bị hack tài khoản nữa. Nên sinh trắc học cũng không cần thiết.
Việc nhận dạng khuôn mặt này rất không cần thiết vì thực tế khi dùng iPhone mình cũng bật chế độ nhận dạng khuôn mặt khi xác nhận chuyển tiền rồi. Bên Android thì khả năng này hơi kém nên có thể dùng vân tay. Tức là đã dùng sinh trắc học nhưng ở trên điện thoại mình thôi. Hãng Samsung và Apple chắc cũng thu thập thông tin này thay vì Bộ Công an.
Vậy người ta bắt dùng sinh trắc học để làm gì? Ai thực sự có lợi?
Thực ra là Bộ Công an muốn kiểm soát nguồn gốc của dòng tiền chuyển qua ngân hàng điện tử mà thôi. Lúc đó ngân hàng sẽ lưu vết ai thực sự đã chuyển và nhận tiền (chỉ sai lệch nếu bị cướp khống chế như kể trên). Thường hacker nó cũng chuyển tiền lòng vòng qua một số tài khoản trung gian, công an sẽ biết được ai là chủ tài khoản đó, biết mặt luôn.
Ngoài ra, việc này nó giống như định danh biển số xe. Công an sẽ nắm được ai đang điều khiển chiếc xe chỉ thông qua việc nhận diện biển số. Ở đây, Công an có thể truy tìm con người thông qua việc chuyển tiền.
Tóm lại là Bộ Công an có lợi nhất, chuyện này nằm trong chiến lược kiểm soát người dân, cùng với định danh biển số và gia tăng thông tin cá nhân cần lưu vào CCCD. Việc này có cái hay cho Bộ Công an nhưng có rủi ro khi bị lộ, rò rỉ thông tin. Tất nhiên, Công an dễ kiểm soát công dân thì cũng có cái hay, có cái dở. Người dân cảm thấy mất tự do hơn nhưng Công an truy tìm tội phạm cũng nhanh hơn. Đây là câu chuyện dài và là đề tài khác. Mình không bàn sâu ở đây.
*P/S: Ý mình chỉ ngắn gọn là nếu đã dùng smart OTP rồi thì gần như không thể bị hack tài khoản ngân hàng nữa. Khi đó sinh trắc này cũng chả để làm gì để hạn chế việc bị hack. Thế nên sinh trắc học này chủ yếu để nhận diện người nhận và người gửi tiền, để phục vụ các mục đích khác, nhiều hơn là để chống hack tài khoản ngân hàng.
Trong đó việc này dùng để xóa bỏ các tài khoản ngân hàng ảo khi giao dịch các khoản tiền lớn, còn tiền nhỏ vẫn không ảnh hưởng. Thực tế trước đến giờ, bọn hacker vẫn hay có trò rửa tiền hack được bằng cách dùng để mua phần mềm, các gói dịch vụ online, rồi nhận tiền từ khách mua. Có nghĩa là bản chất là tiền bị hack không được chuyển cho ai (tránh bị truy vết) mà chỉ mua sản phẩm/ dịch vụ online.