Chuyển tiền trong nước đ̣i hỏi xác nhận khuôn mặt. Không những thế nếu tải app nhà bank hoặc thay đổi điện thoại và chuyển tiền ra nước ngoài cũng đều phải sử dụng khuôn mặt đăng kư ở nhà bank VN. Điều này khiến hàng triệu người VN đang ở nước ngoài không thể chuyển tiền trong nước hoặc login vào app nhà bank ở VN.
Chị N.K.T đang sinh sống ở Mỹ kêu trời v́ chị kinh doanh hàng xuất nhập khẩu, đăng kư tại nhà bank VN bằng hộ chiếu Mỹ. Nếu đăng kư hộ chiếu nước ngoài th́ chị phải trực tiếp tới nhà bank ở VN để xác thực làm khuôn mặt, mà chị chỉ về VN vài năm một lần, điều này khiến chị không thể chuyển tiền và login vào app nhà bank VN.
Từ 1/7/2024 , các giao dịch chuyển khoản trực tuyến 10 triệu đồng trở lên hoặc quá 20 triệu mỗi ngày phải áp dụng phương thức xác thực sinh trắc học. Không những thế chuyển tiền ra nước ngoài, người lần đầu login vào tài khoản nhà bank hay đổi điện thoại lúc login vào app nhà bank đều phải xác thực khuôn mặt.
Hơn 6 triệu Việt Kiều không thể chuyển khoản tại VN được nữa.
Xác thực khuôn mặt không chỉ đem phiền toài và cũng chẳng thể bảo mật hơn !
Nguyen Tuan chia sẻ:
Tôi thấy việc xác thực bằng gương mặt này cũng chẳng thể bảo mật hơn so với xác thực bằng OTP thông qua SMS kèm điều kiện buộc người dùng phải nhập tay OTP thay v́ cho phép app thu thập sms rồi tự điền. Thậm chí cách tôi nói c̣n hiệu quả hơn, nếu người dùng cách ly điện thoại có cài app ngân hàng với cái sim nhận OTP sms. Thiết nghĩ nên cho người dùng có sự lựa chọn giữa việc xác thực bằng OTP qua sms hoặc Token với xác thực bằng sinh trắc học. Không nên chỉ dùng một loại, như vậy sẽ rất dễ bị phụ thuộc vào 1 hệ thống và nếu lỡ xảy ra sự cố dữ liệu hay server th́ rủi ro thiệt hại c̣n cao hơn.
"Theo tôi khuôn mặt quá dễ làm giả, thứ khó làm giả nhất là mật khẩu, sau đó tới vân tay. Thậm chí, để làm giả vân tay cũng không khó", độc giả đặt vấn đề.
Theo Quyết định số 2345/QĐ-NHNN của Thống đốc Ngân hàng Nhà nước, từ ngày 1/7, các giao dịch chuyển khoản trên 10 triệu đồng phải được xác thực bằng sinh trắc học (khuôn mặt).
Cụ thể, nếu chuyển dưới 10 triệu đồng và tổng số tiền giao dịch trong một ngày không quá 20 triệu đồng th́ xác thực bằng mă OTP. Trường hợp chuyển tiền trên 10 triệu đồng hoặc tổng giá trị các giao dịch trong ngày chạm mốc 20 triệu đồng th́ tới lần chuyển tiền tiếp theo trong ngày, người dùng phải xác thực bằng khuôn mặt.
Quy định trên tạo ra những luồng quan điểm trái chiều trong dư luận những ngày qua. Trong khi nhiều người bày tỏ sự ủng hộ bởi tính bảo mật th́ không ít người cảm thấy việc xác thực sinh trắc học mang lại sự phiền hà, rắc rối và không làm tăng tính bảo mật đối với các giao dịch chuyển khoản ngân hàng.
Phàn nàn về trải nghiệm của bản thân, anh Nhật Nam viết: "Tôi đă chật vật với app MBBank cả tuần nay mà chưa xác thực thành công dù khá rành về công nghệ thông tin. Mai phải ra ngân hàng xử lư, làm online nản quá. Mất rất nhiều thời gian với quy định mới này".
Tương tự, độc giả Nguyễn Văn Tân chia sẻ vấn đề và đưa ra cách "lách" quy định trên: "Tôi làm măi chẳng được. Thôi cứ chuyển lần 9,9 triệu mỗi lần là được chứ ǵ!".
Không gặp khó khăn như những trường hợp trên, song với độc giả có nickname Mr.Tâm, người này lại có những sự băn khoăn khác: "Tôi đă quét vài ngân hàng, tất cả đều dễ dàng thực hiện. Tuy nhiên, có một điều bất cập khi dùng vân tay, khuôn mặt là nếu vợ, con hay thậm chí kẻ cướp... cầm được điện thoại và dí vào mặt là có thể chuyển tiền được. V́ vậy phương pháp này khá rủi ro, thậm chí rủi ro hơn cả nhập mă OTP".
Cũng bày tỏ sự lo ngại về tính bảo mật thực sự của loại h́nh xác thực này, độc giả Hoa Nguyen viết: "Hàng ngày, chúng ta vẫn thường nhận cuộc gọi từ số lạ gọi đến và hỏi đích danh ḿnh luôn với câu hỏi: "Có phải anh/chị... không ạ?", dù trước giờ chưa hề biết họ là ai, chưa hề nói chuyện lần nào. Vậy nên, việc có thể bị lộ cả mớ thông tin cá nhân liên quan sinh trắc học là điều khó tránh khỏi".
"Cập nhật rồi mà sau này vẫn bị lừa mất tiền tài khoản ngân hàng th́ như nào nhỉ? Theo tôi khuôn mặt quá dễ làm giả, thứ khó làm giả nhất là mật khẩu, sau đó tới vân tay. Thậm chí, để làm giả vân tay cũng không khó. V́ vậy, tốt nhất cứ để xác thực mật khẩu là an toàn nhất. C̣n nếu lừa đảo hoành hành, ngân hàng và công an phải có phương án phối hợp giải quyết", độc giả Luong Nhu Khoi nêu quan điểm.
Dương Quốc Chính: Sinh trắc học với tài khoản ngân hàng
Ngày 1/7 là ngày áp dụng quy định này và ḿnh cũng đă phải cập nhật tài khoản ngân hàng, dù tiền giao dịch cũng ít! Báo chí nói chung cũng không nói cụ thể xem việc này để làm ǵ, chỉ nói chung chung là tăng mức độ bảo mật, chống lại việc bị hack tài khoản… Vậy việc cập nhật sinh trắc học này có ư nghĩa ǵ, phục vụ ai? Ai có lợi nhất?
Thông thường, có mấy kiểu mất tiền bởi hacker, thông qua việc chuyển khoản qua internet. Phổ biến nhất là việc bị lộ mật khẩu của tài khoản giao dịch ngân hàng điện tử (internet banking), thế là hacker chuyển tiền phà phà.
Nhưng kiểu trên bây giờ rất khó thực hiện, khi người ta bảo mật hai lớp bằng cách dùng thêm mă OTP nhắn qua số điện thoại hoặc OTP tự động sinh ra từ app của ngân hàng có trên điện thoại.
Dùng OTP qua tin nhắn th́ vừa tốn tiền và vừa dễ bị lừa tiếp thông qua việc hacker fake được cái tổng đài nhắn tin. Đại khái là nó nhận được mă OTP xịn của bank mà nạn nhân không biết. C̣n nếu dùng OTP sinh ra từ app trên đt th́ có lẽ chưa có cách hack?
Tṛ này được áp dụng khá rộng răi rồi, không chỉ ngân hàng, mà cả để bảo mật tài khoản Facebook, dùng các app như Google Authenticator để tự động tạo mă thứ hai, ngoài mật khẩu tài khoản. Gọi chung là bảo mật hai lớp.
Như vậy, khi dùng tới smart OTP kể trên th́ khả năng hack được app ngân hàng là rất khó rồi. Hack được chỉ là khi hacker chiếm được toàn quyền điều khiển cái điện thoại của bạn. Trường hợp này sẽ xảy ra bởi 1 trong 3 t́nh huống.
Một là, hacker điều khiển điện thoại từ xa, tṛ này cũng không phải dễ đâu, không như làm trên máy tính, nhất là với iPhone th́ không được, hoặc điện thoại Android mà không bật tính năng mở rộng, cho cài app ngoài CH play, để app nào đó được can thiệp sâu vào hệ thống… (tức là cứ để mặc định mà dùng). Khó ở chỗ hacker phải cài được app nào đó vào máy bạn và điều khiển từ xa thông qua app đó. Thường phải ng* lắm, hoặc bị khống chế, cho mượn điện thoại, th́ mới bị thế thôi.
Hai là, bị cướp điện thoại, tức là khống chế vật lư chứ chả cần hack mẹ ǵ. Nó bảo làm ǵ th́ làm theo.
Ba là nạn nhân bị thao túng tâm lư để tự nguyện chuyển tiền.
Với ba t́nh huống phổ biến trên th́ sinh trắc học sẽ giải quyết được vấn đề ǵ?
Trường hợp 1, hacker sẽ rất khó để thực hiện hành vi chuyển tiền, nó mất thêm một công đoạn nữa là fake cái ảnh mặt nạn nhân để qua bước quét khuôn mặt (hôm qua có nhà báo test thử rồi, fake khuôn mặt bằng ảnh vô tư!). Thế nên hiện tại th́ sinh trắc học không có hiệu quả tuyệt đối, ít nhất là cho đến khi ngân hàng có app xịn hơn, khó bị lừa. Với vụ này th́ vân tay và mống mắt sẽ khó fake hơn và app ngân hàng sau này có thể cập nhật thêm tính năng sinh trắc học này (hiện mới có nhận dạng khuôn mặt). Lưu ư là trường hợp 1 là rất khó xảy ra rồi nhé! Tức là sinh trắc học với t́nh huống này không cần lắm.
Trường hợp bị cướp, th́ sinh trắc học cũng có thể dễ dàng bị dùng bởi cướp, do nó khống chế nạn nhân, bắt phải tḥ mặt, vân tay, mống mắt ra để xác nhận. Nên sinh trắc học cũng vô ích. C̣n trường hợp nữa là chỉ bị cướp, mất điện thoại, mà nạn nhân không bị khống chế, nếu điện thoại không có mật khẩu đủ mạnh, thằng cướp nó điều khiển được như hacker, th́ sinh trắc này c̣n có tác dụng. Nhưng tầm này làm ǵ có thằng ng* nào không có password cho smartphone? Nên t́nh huống này hiếm gặp.
Trường hợp 3, bị thao túng tâm lư, th́ giống bị cướp, nó bảo ǵ chả làm, nên coi như sinh trắc học vô nghĩa.
Như vậy, với các t́nh huống nêu trên th́ sinh trắc học không có mấy tác dụng. Nó chỉ tác dụng nhiều trong t́nh huống hiếm khi xảy ra, tức là cũng gần như vô dụng! Đó là trường hợp nạn nhân mất điện thoại và password ngân hàng mà điện thoại không cài password luôn! Hoặc t́nh huống bị hack khi dùng OTP qua SMS. C̣n khi đă dùng smart OTP th́ gần như chắc chắn không thể bị hack tài khoản nữa. Nên sinh trắc học cũng không cần thiết.
Việc nhận dạng khuôn mặt này rất không cần thiết v́ thực tế khi dùng iPhone ḿnh cũng bật chế độ nhận dạng khuôn mặt khi xác nhận chuyển tiền rồi. Bên Android th́ khả năng này hơi kém nên có thể dùng vân tay. Tức là đă dùng sinh trắc học nhưng ở trên điện thoại ḿnh thôi. Hăng Samsung và Apple chắc cũng thu thập thông tin này thay v́ Bộ Công an.
Vậy người ta bắt dùng sinh trắc học để làm ǵ? Ai thực sự có lợi?
Thực ra là Bộ Công an muốn kiểm soát nguồn gốc của ḍng tiền chuyển qua ngân hàng điện tử mà thôi. Lúc đó ngân hàng sẽ lưu vết ai thực sự đă chuyển và nhận tiền (chỉ sai lệch nếu bị cướp khống chế như kể trên). Thường hacker nó cũng chuyển tiền ḷng ṿng qua một số tài khoản trung gian, công an sẽ biết được ai là chủ tài khoản đó, biết mặt luôn.
Ngoài ra, việc này nó giống như định danh biển số xe. Công an sẽ nắm được ai đang điều khiển chiếc xe chỉ thông qua việc nhận diện biển số. Ở đây, Công an có thể truy t́m con người thông qua việc chuyển tiền.
Tóm lại là Bộ Công an có lợi nhất, chuyện này nằm trong chiến lược kiểm soát người dân, cùng với định danh biển số và gia tăng thông tin cá nhân cần lưu vào CCCD. Việc này có cái hay cho Bộ Công an nhưng có rủi ro khi bị lộ, ṛ rỉ thông tin. Tất nhiên, Công an dễ kiểm soát công dân th́ cũng có cái hay, có cái dở. Người dân cảm thấy mất tự do hơn nhưng Công an truy t́m tội phạm cũng nhanh hơn. Đây là câu chuyện dài và là đề tài khác. Ḿnh không bàn sâu ở đây.
*P/S: Ư ḿnh chỉ ngắn gọn là nếu đă dùng smart OTP rồi th́ gần như không thể bị hack tài khoản ngân hàng nữa. Khi đó sinh trắc này cũng chả để làm ǵ để hạn chế việc bị hack. Thế nên sinh trắc học này chủ yếu để nhận diện người nhận và người gửi tiền, để phục vụ các mục đích khác, nhiều hơn là để chống hack tài khoản ngân hàng.
Trong đó việc này dùng để xóa bỏ các tài khoản ngân hàng ảo khi giao dịch các khoản tiền lớn, c̣n tiền nhỏ vẫn không ảnh hưởng. Thực tế trước đến giờ, bọn hacker vẫn hay có tṛ rửa tiền hack được bằng cách dùng để mua phần mềm, các gói dịch vụ online, rồi nhận tiền từ khách mua. Có nghĩa là bản chất là tiền bị hack không được chuyển cho ai (tránh bị truy vết) mà chỉ mua sản phẩm/ dịch vụ online.