Thực hư việc kẻ lừa đảo sử dụng hình ảnh tĩnh có thể "qua mặt" được bảo mật sinh trắc học?

đinhlinh11

Bé Tleoo
Trước những thông tin về việc dùng hình ảnh tĩnh có thể qua mặt được xác thực sinh trắc học, chuyên gia Hiếu PC cho biết một số trường hợp nếu hệ thống xác thực quá lỏng lẻo và kém trong việc xác định người thật, kẻ lừa đảo có thể dùng 1 tấm hình tĩnh như hình thẻ, hình chân dung, hoặc một tấm hình chân dung trên máy điện thoại để xác minh eKYC (hình thức định danh điện tử).

Ông Hiếu cho biết thêm bằng cách dùng hình ảnh đánh cắp được từ nạn nhân, tin tặc có thể tạo ra các bản eKYC giả thay thế cho danh tính thực sự của chủ tài khoản. Từ đó, kẻ lừa đảo có thể thực hiện một cuộc tấn công xen giữa để đưa hình ảnh deepfake thay cho khuôn mặt thật, can thiệp vào quá trình xác thực giao dịch.

Bên cạnh đó, tin tặc có thể sử dụng các thủ thuật thao túng tâm lý nhằm lừa nạn nhân thu lại hình ảnh video eKYC và từ đó thực hiện các giao dịch đánh cắp sau này.

Chuyên gia an ninh mạng này cũng chia sẻ, thực tế, nhiều nạn nhân của các vụ lừa đảo thực sự đã chủ động chuyển tiền dựa trên thông tin sai lệch mà họ nhận được mà không qua một sự xác minh đúng đắn.

Trường hợp này, việc áp dụng công nghệ sinh trắc học không hoàn toàn loại bỏ được vấn đề lừa đảo, do kẻ gian vẫn có thể tìm cách lừa đảo bằng cách thuyết phục nạn nhân thực hiện các giao dịch một cách tự nguyện.

Chưa kể, các mã độc nhắm vào người dùng điện thoại khi bị nhiễm mã độc có thể điều khiển từ xa thiết bị và thu lại video các thao tác trên máy cũng như hình ảnh, video khuôn mặt của nạn nhận và sau đó dùng để thực hiện hành vi rút tiền từ tài khoản của nạn nhân bằng chính khuôn mặt của họ.

Dưới đây là những hình thức lừa đảo phổ biến mà chuyên gia Hiếu PC nhấn mạnh người dùng cần chú ý:

Email/SMS giả mạo: Kẻ lừa đảo thường gửi email hoặc tin nhắn giả mạo từ ngân hàng hoặc dịch vụ tài chính, yêu cầu người dùng cung cấp thông tin tài khoản hoặc mã OTP.

Website giả mạo: Kẻ lừa đảo tạo ra các trang web giả mạo giống hệt như trang web của ngân hàng hoặc dịch vụ công hoặc dịch vụ tài chính để lấy thông tin đăng nhập của người dùng.


Cuộc gọi giả mạo: Kẻ lừa đảo có thể giả danh công an, nhân viên ngân hàng gọi điện yêu cầu cung cấp thông tin cá nhân hoặc tài khoản và sau đó dẫn dụ để tải về mã độc hại về thiết bị điện thoại. Kẻ lừa đảo thường yêu cầu người dùng tự chuyển khoản đến một tài khoản khác để "kiểm tra" hoặc "xác nhận" điều gì đó.

Chuyên gia Ngô Minh Hiếu cảnh báo người có thể tự bảo vệ bản thân bằng các biện pháp bảo mật như sau:

Không chia sẻ thông tin: Tuyệt đối không chia sẻ thông tin cá nhân, thông tin tài khoản hoặc mã OTP qua email, tin nhắn hoặc cuộc gọi điện thoại.

Kiểm tra kỹ thông tin: Luôn chậm lại, và kiểm tra kỹ lưỡng mọi thông tin từ đường dẫn trang web, email và thông tin người gọi để đảm bảo chúng đến từ nguồn đáng tin cậy.
 
Bên trên