Chủ tài khoản cần lưu ý: Hacker có thể vượt mặt xác thực sinh trắc học, rút sạch tiền trong tài khoản ngân hàng
Trong bối cảnh công nghệ ngày càng phát triển, hacker không ngừng tìm cách khai thác lỗ hổng bảo mật để chiếm đoạt tài sản từ tài khoản ngân hàng của người dùng. Một trong những phương thức tinh vi nhất hiện nay là lách qua hệ thống xác thực sinh trắc học, cho phép hacker thực hiện giao dịch mà chủ tài khoản không hề hay biết.
Hacker kiểm soát thiết bị và thu thập thông tin nhạy cảm
Theo các chuyên gia bảo mật, hacker thường tấn công bằng cách chiếm toàn quyền kiểm soát thiết bị thông qua:
- Gửi link chứa mã độc: Khi nạn nhân nhấp vào, mã độc sẽ được cài đặt và theo dõi toàn bộ thao tác.
- Ứng dụng giả mạo: Người dùng vô tình tải và cấp quyền cho ứng dụng này, cho phép hacker truy cập vào dữ liệu cá nhân.
- Xâm nhập tin nhắn và ứng dụng ngân hàng: Hacker có thể đọc, chỉnh sửa hoặc xóa tin nhắn trên các nền tảng như Zalo, Facebook Messenger, từ đó lấy mã OTP và thực hiện giao dịch trái phép.
Hacker còn sử dụng các kỹ thuật như chèn lớp giao diện (overlay) để đánh lừa người dùng nhập thông tin đăng nhập, mật khẩu và mã OTP. Ngoài ra, chúng có thể truy xuất ảnh chụp màn hình, truy cập ứng dụng ghi chú nơi người dùng lưu thông tin tài khoản, từ đó dễ dàng mở ứng dụng ngân hàng.
Tấn công trực tiếp vào hệ thống bảo mật ngân hàng
Không chỉ lợi dụng lỗ hổng trên thiết bị của nạn nhân, hacker còn có thể dịch ngược mã nguồn ứng dụng ngân hàng, tạo ra phiên bản giả mạo để:
- Loại bỏ hoặc vô hiệu hóa cảnh báo bảo mật.
- Vượt qua hệ thống nhận diện thiết bị lạ.
- Lợi dụng quyền truy cập trợ năng để điều khiển thao tác trên máy.
Một trong những hình thức nguy hiểm nhất hiện nay là hacker chèn giao diện giả để dụ nạn nhân thực hiện xác thực sinh trắc học. Khi thực hiện giao dịch lớn (trên 10 triệu đồng), ngân hàng yêu cầu xác minh khuôn mặt hoặc vân tay. Lúc này, hacker hiển thị một lớp overlay yêu cầu nạn nhân quay trái, quay phải, tiến lại gần hoặc xa hơn để lấy dữ liệu sinh trắc học một cách hoàn hảo. Sau khi có dữ liệu, hacker có thể sử dụng công nghệ deepfake để đánh lừa hệ thống bảo mật ngân hàng.
Deepfake – mối đe dọa mới trong xác thực sinh trắc học
Deepfake là công nghệ AI có thể giả mạo khuôn mặt, giọng nói và biểu cảm của một người, được hacker sử dụng để:
- Tạo video giả mạo chủ tài khoản nhằm lừa hệ thống nhận diện khuôn mặt.
- Giả lập giọng nói để vượt qua xác thực bằng trợ lý ảo hoặc tổng đài ngân hàng.
Bkav đã cảnh báo về nguy cơ này khi deepfake ngày càng tinh vi, thậm chí có thể đánh lừa các hệ thống bảo mật tiên tiến nhất. Với số lượng hình ảnh và video cá nhân được đăng tải trên mạng xã hội, hacker có thể dễ dàng thu thập dữ liệu để tạo ra bản sao hoàn hảo.
Cách bảo vệ tài khoản ngân hàng khỏi hacker
Để giảm thiểu rủi ro bị tấn công, người dùng nên áp dụng các biện pháp bảo mật sau:
- Không nhấp vào đường link lạ hoặc tải ứng dụng từ nguồn không chính thống.
- Tắt quyền truy cập trợ năng đối với các ứng dụng không cần thiết.
- Bật xác thực hai yếu tố (2FA) và thay đổi mật khẩu định kỳ.
- Kiểm tra lịch sử giao dịch thường xuyên, báo ngay cho ngân hàng khi phát hiện giao dịch bất thường.
- Hạn chế chia sẻ thông tin cá nhân lên mạng xã hội, tránh bị lợi dụng cho mục đích deepfake.
Ngân hàng cũng cần liên tục nâng cấp hệ thống bảo mật, ứng dụng công nghệ chống deepfake và cảnh báo sớm đến người dùng. Việc phối hợp giữa ngân hàng và khách hàng là chìa khóa để ngăn chặn các cuộc tấn công ngày càng tinh vi từ hacker.
Bảo vệ tài sản số không chỉ là trách nhiệm của ngân hàng mà còn là ý thức của mỗi cá nhân trong thời đại công nghệ số hiện nay.