Cách ngăn chặn tấn công vào dữ liệu sinh trắc học trong ứng dụng ngân hàng

Zachary Amos là Biên tập viên mảng Phát thanh tại ReHack.com. Các phân tích công nghệ của anh ấy đã xuất hiện trên VentureBeat, TalentCulture, ISAGCA, Unite.AI, HR.com và vô số ấn phẩm khác.

Khám phá tin tức và sự kiện fintech hàng đầu!

Đăng ký nhận bản tin của FinTech Weekly

Được đọc bởi các nhà điều hành tại JP Morgan, Coinbase, Blackrock, Klarna và hơn thế nữa

Xác thực sinh trắc học đã trở nên then chốt trong fintech vì nó cho phép người dùng truy cập các ứng dụng ngân hàng chỉ bằng một dấu vân tay, quét khuôn mặt hoặc nhận dạng mống mắt. Công nghệ này nâng cao trải nghiệm người dùng đồng thời giảm đáng kể gian lận. Tuy nhiên, khi các biện pháp bảo mật thay đổi, các chiến thuật của tội phạm mạng cũng thay đổi theo.

Tấn công sinh trắc học đã trở thành một mối lo ngại ngày càng tăng. Không giống như mật khẩu, loại dữ liệu này là vĩnh viễn và không thể đặt lại nếu bị xâm phạm, khiến các vụ vi phạm trở nên nguy hiểm hơn. Mối đe dọa đang gia tăng này nhấn mạnh nhu cầu để các nhà phát triển ứng dụng triển khai các biện pháp nâng cao. Những nâng cấp này phải đi trước các mối đe dọa mạng biến động, đồng thời đảm bảo trải nghiệm người dùng mượt mà và an toàn.

Tấn công sinh trắc học là gì?

Tấn công sinh trắc học khai thác các điểm yếu trong hệ thống xác thực để giành quyền truy cập trái phép vào các tài khoản hoặc dữ liệu nhạy cảm. Khi các ứng dụng ngân hàng và các nền tảng fintech ngày càng dựa vào quét dấu vân tay, nhận dạng khuôn mặt và xác thực bằng giọng nói, tội phạm mạng tìm ra những cách mới để thao túng các hệ thống này.

Ngoài các rủi ro về an ninh, việc phụ thuộc vào công nghệ sinh trắc học còn làm dấy lên các lo ngại về thiên kiến và vấn đề bảo vệ dữ liệu. Các hệ thống được thiết kế kém có thể kém chính xác hơn đối với các nhóm nhân khẩu học cụ thể, dẫn đến phân biệt đối xử và các vấn đề về khả năng tiếp cận.

Ngoài ra, việc thiếu minh bạch liên quan đến thu thập dữ liệu khiến người dùng dễ bị lạm dụng và theo dõi. Các biện pháp bảo vệ mạnh hơn, thực hành đạo đức và công nghệ không thiên kiến là thiết yếu để bảo vệ người tiêu dùng và đảm bảo việc xác thực công bằng, đáng tin cậy.

Tấn công sinh trắc học gây đe dọa thế nào đến các ứng dụng ngân hàng

Tấn công sinh trắc học đe dọa các ứng dụng ngân hàng, phơi bày người dùng và các tổ chức tài chính trước gian lận, đánh cắp danh tính và các vụ vi phạm tốn kém. In 2023, chi phí phản ứng sự cố trung bình cho một cuộc tấn công ransomware được ước tính là $4.54 triệu,cho thấy mức độ nghiêm trọng cao của các thất bại an ninh mạng. Dưới đây là một số cách mà cuộc cyberattack này đe dọa các ứng dụng:

*   Tấn công giả mạo (spoofing): Tin tặc sử dụng dấu vân tay giả, mặt nạ hoặc ảnh độ phân giải cao để lừa các máy quét sinh trắc học cấp quyền truy cập trái phép.
*   Rò rỉ dữ liệu: Các đối tượng độc hại có thể bán dữ liệu bị đánh cắp từ các cơ sở dữ liệu được bảo mật kém trên dark web hoặc sử dụng chúng cho gian lận danh tính.
*   Tấn công phát lại (replay attacks): Tội phạm mạng chặn và tái sử dụng dữ liệu xác thực để giả mạo người dùng hợp pháp.
*   Tấn công man-in-the-middle: Tin tặc chặn dữ liệu trong quá trình truyền, thao túng quá trình xác thực để giành quyền truy cập.
*   Lỗ hổng do khai thác phần mềm độc hại (malware exploits): Phần mềm độc hại có thể xâm nhập các ứng dụng ngân hàng, thu thập thông tin đăng nhập mà không cần người dùng hay biết.
*   Deepfake do AI tạo ra: Các công cụ trí tuệ nhân tạo tiên tiến có thể tạo ra deepfake khuôn mặt hoặc giọng nói siêu hiện thực để vượt qua xác minh sinh trắc học.
*   Rủi ro về quản lý và tuân thủ: Nếu không bảo mật dữ liệu đúng cách có thể dẫn đến hậu quả pháp lý, tiền phạt theo quy định và mất niềm tin của khách hàng.

5 cách mà người tạo ứng dụng ngân hàng có thể ngăn chặn tấn công sinh trắc học

Khi các kỹ thuật tấn công sinh trắc học trở nên tinh vi hơn, người tạo ứng dụng phải thực hiện các bước chủ động để tăng cường bảo mật và bảo vệ dữ liệu người dùng. Dưới đây là các chiến lược để giảm rủi ro xảy ra vi phạm, đồng thời đảm bảo trải nghiệm người dùng liền mạch.

2.      

### **Mã hóa dữ liệu sinh trắc học từ đầu đến cuối**

Việc bảo vệ dữ liệu sinh trắc học bằng mã hóa mạnh giúp ngăn người dùng khỏi gian lận và đánh cắp danh tính, nhưng các hệ thống lưu trữ tập trung vẫn là mục tiêu hàng đầu của tin tặc. Các nhà phát triển ứng dụng có thể áp dụng các giải pháp lưu trữ phi tập trung phân phối dữ liệu trên nhiều mạng an toàn để giảm rủi ro bị vi phạm.

Công nghệ Blockchain là một ví dụ hàng đầu. Nó cung cấp tính minh bạch, phi tập trung và tính bất biến — khiến việc tin tặc xâm phạm dữ liệu người dùng trở nên khó hơn nhiều. Việc tận dụng công cụ này có thể đảm bảo thông tin đăng nhập được an toàn và nằm dưới sự kiểm soát của người dùng, từ đó loại bỏ nhu cầu quản lý dữ liệu của bên thứ ba. Cách tiếp cận này làm giảm rủi ro xảy ra các vụ vi phạm quy mô lớn đồng thời củng cố niềm tin của người tiêu dùng vào xác thực sinh trắc học.

3.      

### **Triển khai các biện pháp bảo mật đa lớp**

Chỉ dựa vào sinh trắc học cho xác thực khiến các ứng dụng ngân hàng dễ bị tổn thương trước các nỗ lực tấn công tinh vi. Các nhà phát triển có thể tạo một khung bảo mật vững chắc hơn bằng cách kết hợp sinh trắc học với mã PIN, mật khẩu hoặc xác thực dựa trên hành vi — như động lực gõ phím (keystroke dynamics) hoặc các mẫu sử dụng thiết bị.

Ngoài ra, việc bắt buộc xác thực đa yếu tố cho mọi truy cập từ xa vào mạng của một tổ chức — cũng như các tài khoản đặc quyền hoặc quản trị — sẽ giảm khả năng xảy ra các cuộc xâm nhập mạng gây hại trong lĩnh vực ngân hàng. Lớp rào cản bảo mật bổ sung này khiến tin tặc khai thác thông tin đăng nhập bị đánh cắp trở nên khó hơn theo cấp số nhân, đồng thời tăng cường toàn vẹn của hệ thống.

4.      

### **Thường xuyên cập nhật các quy trình bảo mật**

Các bản cập nhật phần mềm thường xuyên tăng cường bảo mật cho ứng dụng ngân hàng bằng cách vá các lỗ hổng và ngăn chặn các mối đe dọa đang nổi lên. Tội phạm mạng liên tục thay đổi chiến thuật, và các hệ thống lỗi thời tạo ra các “cửa ngõ” cho các nỗ lực tấn công sinh trắc học. Việc thường xuyên cập nhật các quy trình bảo mật giúp các ứng dụng tránh các lỗ hổng tiềm ẩn và giảm rủi ro xảy ra vi phạm.

Việc triển khai phát hiện bất thường dựa trên AI bổ sung một lớp bảo vệ bằng cách nhận diện hành vi đăng nhập bất thường theo thời gian thực. Công nghệ này có thể phát hiện các hoạt động đáng ngờ — chẳng hạn như đăng nhập từ các thiết bị không được nhận diện hoặc các mẫu truy cập bất thường — và kích hoạt các bước xác thực bổ sung để ngăn chặn truy cập trái phép.

5.      

### **Sử dụng công nghệ phát hiện “tính sống” (liveness detection)**

Các ứng dụng ngân hàng phải tích hợp công nghệ phát hiện “tính sống” để ngăn các cuộc tấn công giả mạo và phân biệt giữa đặc điểm con người thật và giả. Các giải pháp phát hiện “tính sống” tiên tiến xử lý dữ liệu bằng quét 3D, phân tích độ sâu, chuyển động và các đặc tính tinh vi khác để xác minh tính xác thực.

Cách tiếp cận được hỗ trợ bởi AI này cải thiện hiệu quả của hệ thống bằng cách phát hiện các nỗ lực vượt qua xác thực sinh trắc học bằng ảnh, mặt nạ hoặc công nghệ deepfake. Bằng cách liên tục học hỏi từ các tương tác trong thế giới thực, phát hiện “tính sống” do AI điều khiển trở nên hiệu quả hơn trong việc nhận diện các nỗ lực gian lận trong khi vẫn duy trì trải nghiệm người dùng liền mạch.

6.      

### **Giới hạn việc lưu trữ dữ liệu sinh trắc học**

Việc lưu trữ dữ liệu sinh trắc học cục bộ trên thiết bị của người dùng thay vì lưu trên đám mây giúp giảm thiểu rủi ro an ninh và bảo vệ thông tin nhạy cảm. Với mức tăng 71% trong các cuộc tấn công mạng sử dụng thông tin đăng nhập bị đánh cắp hoặc bị xâm phạm vào năm 2024, các cơ sở dữ liệu tập trung đã trở thành mục tiêu hàng đầu của tin tặc tìm cách khai thác các hệ thống xác thực.

Giữ dữ liệu này trên thiết bị có thể giảm rủi ro xảy ra các vụ vi phạm quy mô lớn đồng thời trao cho người dùng quyền kiểm soát lớn hơn đối với thông tin cá nhân của họ. Việc triển khai các hàm băm mật mã nâng cao bảo mật bằng cách đảm bảo dữ liệu sinh trắc học thô không bao giờ tồn tại dưới dạng nguyên bản. Điều này khiến gần như không thể để tội phạm mạng tái tạo hoặc lạm dụng dữ liệu đó.

Tương lai của bảo mật sinh trắc học và trách nhiệm của fintech

Các công ty fintech phải triển khai mã hóa nâng cao và phát hiện gian lận dựa trên AI để bảo vệ người dùng khỏi các mối đe dọa đang nổi lên. Khi công nghệ sinh trắc học trở nên phức tạp hơn, các tổ chức tài chính phải đi trước các tác nhân độc hại để tạo ra trải nghiệm ngân hàng an toàn hơn và liền mạch hơn.