Cảnh báo: Sinh trắc học không còn an toàn, tội phạm mạng có thể vượt qua hệ thống bảo mật của ngân hàng

Từ bên trong một trung tâm rửa tiền ở Campuchia, một nhân viên mở một ứng dụng ngân hàng phổ biến tại Việt Nam trên điện thoại của mình. Ứng dụng yêu cầu anh ta tải lên một bức ảnh liên quan đến tài khoản, vì vậy anh ta nhấp vào ảnh của một người đàn ông châu Á khoảng 30 tuổi.

Tiếp theo, ứng dụng yêu cầu mở camera để kiểm tra “tính xác thực” của video. Kẻ lừa đảo giơ lên một hình ảnh tĩnh của một người phụ nữ không hề giống với người đàn ông sở hữu tài khoản. Sau 90 giây chờ đợi, trong khi ứng dụng yêu cầu anh ta điều chỉnh khuôn mặt sao cho vừa khung hình, anh ta đã đăng nhập thành công.

Theo ông Ngô Minh Hiếu (Hiếu PC), chuyên gia an ninh mạng, lỗ hổng bảo mật có thể thực hiện được nhờ một trong số ngày càng nhiều dịch vụ hack bất hợp pháp, dễ dàng mua được trên Telegram, được thiết kế để phá vỡ quy trình xác minh danh tính khách hàng (“Know Your Customer”) (KYC). Ông Hiếu hiện là cố vấn an ninh mạng cho chính phủ Việt Nam, đang điều hành một tổ chức phi lợi nhuận chống lừa đảo và hỗ trợ các cơ quan thực thi pháp luật điều tra rửa tiền.

Các biện pháp bảo vệ ngân hàng và tiền điện tử này được cho là để xác nhận rằng tài khoản thuộc về một người thật và khuôn mặt của người dùng khớp với các giấy tờ tùy thân đã được cung cấp để mở tài khoản. Nhưng những kẻ lừa đảo đang vượt qua chúng để mở các tài khoản trung gian và rửa tiền. Thay vì sử dụng nguồn cấp dữ liệu camera điện thoại trực tiếp để kiểm tra tính xác thực, các vụ tấn công thường sử dụng một công cụ được gọi là camera ảo. Người dùng có thể thay thế luồng video bằng các video hoặc ảnh khác—mô tả một người thật hoặc người giả mạo, hoặc thậm chí là một vật thể.

Trong bối cảnh các tổ chức tài chính đang triển khai các biện pháp bảo mật nâng cao nhằm ngăn chặn tội phạm mạng, những thủ đoạn lách luật này là vòng đấu mới nhất trong cuộc rượt đuổi giữa các đối tượng tội phạm và ngành dịch vụ tài chính.

Cuộc rao bán sinh trắc học

Trong một cuộc điều tra kéo dài hai tháng hồi đầu năm nay, MIT Technology Review đã xác định được 22 kênh và nhóm Telegram công khai bằng tiếng Trung, tiếng Việt và tiếng Anh đang quảng cáo các bộ công cụ vượt qua bảo mật và dữ liệu sinh trắc học bị đánh cắp. Các bộ phần mềm này sử dụng nhiều phương pháp khác nhau để xâm nhập hệ điều hành điện thoại và các ứng dụng ngân hàng, tuyên bố cho phép người dùng vượt qua các bước kiểm tra tuân thủ do các tổ chức tài chính áp đặt, từ các sàn giao dịch tiền điện tử lớn như Binance đến các ngân hàng nổi tiếng như BBVA của Tây Ban Nha.

“Chuyên về dịch vụ ngân hàng – xử lý tiền bẩn,” dòng giới thiệu trên Telegram của chương trình được kẻ rửa tiền người Campuchia sử dụng (đã bị xóa) viết, kèm theo biểu tượng ngón tay cái giơ lên.

“An toàn – Chuyên nghiệp – Chất lượng cao”. Một số kênh và nhóm có hàng nghìn người đăng ký hoặc thành viên, và nhiều kênh đã đăng các gạch đầu dòng liệt kê dịch vụ của họ (“Tất cả các loại dịch vụ xác minh KYC”; “Mọi thứ đều suôn sẻ và liền mạch”) cùng với các video được cho là thể hiện các vụ hack thành công.

Telegram cho biết, sau khi xem xét các tài khoản, họ đã xóa chúng vì vi phạm điều khoản dịch vụ. Nhưng các chợ trực tuyến như vậy mọc lên dễ dàng, và nhiều kênh và nhóm quảng cáo các công cụ tương tự vẫn hoạt động.

Chainalysis, một công ty phân tích blockchain của Mỹ, ước tính rằng khoảng 17 tỷ đô la đã bị đánh cắp trong các vụ lừa đảo và gian lận tiền điện tử vào năm 2025, tăng từ 13 tỷ đô la vào năm 2024. Trong khi đó, Văn phòng Liên Hợp Quốc về Ma túy và Tội phạm đã cảnh báo trong một báo cáo gần đây rằng sự mở rộng của các băng nhóm lừa đảo châu Á sang châu Phi và Thái Bình Dương đã giúp ngành công nghiệp này “tăng lợi nhuận một cách đáng kể”.

Mặc dù các ước tính khác nhau, các nhà nghiên cứu an ninh mạng cho biết các loại tấn công này đang gia tăng: Công ty xác minh sinh trắc học iProov ước tính rằng các cuộc tấn công bằng camera ảo phổ biến hơn 25 lần trên toàn thế giới vào năm 2024 so với năm 2023, trong khi Sumsub, một công ty cung cấp dịch vụ KYC, báo cáo rằng các nỗ lực gian lận “tinh vi” hoặc nhiều bước, bao gồm cả việc vượt qua quy trình xác minh bằng camera ảo, đã tăng gần gấp ba lần vào năm ngoái trong số các khách hàng của họ.

Ba tổ chức tài chính Binance, BBVA và Revolut cho biết, họ nhận thức được các vụ vượt rào bảo mật này và nhấn mạnh rằng đây là một thách thức chung của toàn ngành.

Tội phạm mạng vượt qua “hàng rào” bảo mật thế nào?

Các quảng cáo về các lỗ hổng bảo mật trông có vẻ đơn giản, nhưng trên thực tế, việc xây dựng một hệ thống vượt qua bảo mật thành công lại rất phức tạp và thường liên quan đến nhiều phương pháp.

Không chỉ dừng lại ở việc lừa đảo đơn thuần, hacker hiện nay còn chèn mã độc vào hệ điều hành điện thoại hoặc sửa đổi mã nguồn ứng dụng ngân hàng để kích hoạt camera ảo (VCam). Kết hợp với công nghệ Deepfake (video giả mạo), chúng tạo ra những danh tính giả mạo tinh vi, khó phân biệt với người thật.

Ông Sergiy Yakymchuk, CEO công ty an ninh mạng Talsec, nhận định: “Trước đây chỉ cần bẻ khóa ứng dụng là đủ, nhưng nay tội phạm phải can thiệp sâu vào hạ tầng của hệ điều hành để đối phó với các lớp bảo mật sinh trắc học ngày càng dày đặc”.

Nhóm của ông Sergiy Yakymchuk đã nhận được yêu cầu trợ giúp từ các ngân hàng và sàn giao dịch cho khoảng 30 vụ tấn công dựa trên VCam trong năm qua, tăng từ con số dưới 10 vụ vào năm 2023.

Theo ông Ngô Minh Hiếu, đối với các mạng lưới rửa tiền, việc vượt qua KYC là mắt xích sống còn. Tiền chiếm đoạt từ nạn nhân được luân chuyển qua các tài khoản ngân hàng “rác” (tài khoản thuê hoặc bị đánh cắp danh tính), sau đó nhanh chóng quy đổi sang đồng tiền ổn định (stablecoin – một loại tiền điện tử được neo giá với đồng đô la Mỹ) để tẩu tán.

Những giao dịch này thường diễn ra trong vài giây, dưới sự quản lý chặt chẽ. “Họ hiểu rất rõ quy trình xác minh hoặc xác thực tài khoản của các ngân hàng”, ông Hiếu nói.

Cuộc chơi mèo vờn chuột

Sự gia tăng của hoạt động rửa tiền thông qua các vụ lừa đảo trực tuyến đã dẫn đến việc các tổ chức tài chính bị giám sát chặt chẽ hơn. Năm 2023, Binance đã nhận tội tại tòa án liên bang Hoa Kỳ vì hoạt động mà không có các biện pháp bảo vệ chống rửa tiền. Tổng thống Donald Trump đã ân xá cho cựu CEO của Binance, Chaopeng Zhao, vào tháng 10 năm ngoái.

Phân tích gần đây từ Liên minh các nhà báo điều tra quốc tế cho thấy rằng, sau khi Zhao nhận tội, hơn 400 triệu đô la vẫn tiếp tục được chuyển đến Binance từ Huione Group, một công ty có trụ sở tại Campuchia mà Mỹ đã trừng phạt sau khi Bộ Tài chính coi đây là “điểm nút quan trọng” cho hoạt động rửa tiền.

Binance tuyên bố sở hữu “hệ thống bảo mật hiện đại” giúp ngăn chặn thiệt hại hàng tỷ đô la do gian lận và công ty đã xử lý hơn 71.000 yêu cầu từ cơ quan thực thi pháp luật trong năm 2025.

Tuy nhiên, John Griffin, một chuyên gia về tài chính và blockchain tại Đại học Texas ở Austin, không nghĩ rằng các sàn giao dịch này đủ an toàn. “Mặc dù họ liên tục quảng bá rầm rộ về việc ‘Chúng tôi đã thay đổi điều này điều kia’—nhưng thực tế lại chứng minh tất cả. Tội phạm vẫn đang sử dụng sàn giao dịch của bạn,” Griffin nói.

Các cơ quan quản lý toàn cầu đang nỗ lực bám đuổi để ngăn chặn tình trạng này. Cuối năm 2024, Mạng lưới Thực thi Tội phạm Tài chính Mỹ (FinCEN) cũng đã phát đi cảnh báo về vấn nạn giả mạo KYC.

Tuy nhiên, chuyên gia Ngô Minh Hiếu nhận định: “Bất kỳ rào cản bảo mật mới nào cũng chỉ khiến tội phạm mất thêm chút thời gian. Đây là một cuộc chơi mèo vờn chuột không hồi kết”.