Cách ngăn chặn tấn công bằng sinh trắc học trong ứng dụng ngân hàng

Zachary Amos là Biên tập viên Chuyên đề tại ReHack.com. Những hiểu biết về công nghệ của anh đã được giới thiệu trên VentureBeat, TalentCulture, ISAGCA, Unite.AI, HR.com và nhiều ấn phẩm khác.

Khám phá tin tức và sự kiện fintech hàng đầu!

Đăng ký nhận bản tin của FinTech Weekly

Được đọc bởi các giám đốc điều hành tại JP Morgan, Coinbase, Blackrock, Klarna và nhiều hơn nữa

Xác thực sinh trắc học đã trở thành yếu tố then chốt trong fintech vì nó cho phép người dùng truy cập vào các ứng dụng ngân hàng chỉ bằng một dấu vân tay, quét khuôn mặt hoặc nhận diện mống mắt đơn giản. Công nghệ này nâng cao trải nghiệm người dùng đồng thời giảm thiểu gian lận đáng kể. Tuy nhiên, khi các biện pháp an ninh ngày càng phát triển, các thủ đoạn tội phạm mạng cũng không ngừng đổi mới.

Tấn công bằng sinh trắc học đã trở thành mối quan tâm ngày càng gia tăng. Khác với mật khẩu, loại dữ liệu này là vĩnh viễn và không thể đặt lại nếu bị xâm phạm, khiến các vi phạm trở nên nguy hiểm hơn. Mối đe dọa ngày càng tăng này nhấn mạnh sự cần thiết của các nhà phát triển ứng dụng phải triển khai các biện pháp nâng cao. Những nâng cấp này phải vượt xa các mối đe dọa mạng động để đảm bảo trải nghiệm người dùng mượt mà và an toàn.

Tấn công bằng sinh trắc học là gì?

Tấn công bằng sinh trắc học khai thác các điểm yếu trong hệ thống xác thực để truy cập trái phép vào các tài khoản hoặc dữ liệu nhạy cảm. Khi các ứng dụng ngân hàng và fintech ngày càng dựa vào quét vân tay, nhận diện khuôn mặt và xác thực bằng giọng nói, tội phạm mạng tìm ra những cách mới để thao túng các hệ thống này.

Ngoài các rủi ro về an ninh, việc dựa vào công nghệ sinh trắc còn gây ra các vấn đề về định kiến và bảo vệ dữ liệu. Các hệ thống thiết kế kém sẽ ít chính xác hơn đối với một số nhóm dân cư nhất định, dẫn đến phân biệt đối xử và các vấn đề truy cập.

Thêm vào đó, thiếu minh bạch trong việc thu thập dữ liệu khiến người dùng dễ bị lợi dụng và giám sát. Các biện pháp bảo vệ mạnh mẽ hơn, thực hành đạo đức và công nghệ không thiên vị là điều cần thiết để bảo vệ người tiêu dùng và đảm bảo xác thực công bằng, đáng tin cậy.

Cách tấn công bằng sinh trắc học đe dọa các ứng dụng ngân hàng

Tấn công bằng sinh trắc học gây nguy hiểm cho các ứng dụng ngân hàng, khiến người dùng và các tổ chức tài chính dễ bị gian lận, trộm danh tính và vi phạm dữ liệu tốn kém. Năm 2023, chi phí trung bình để phản ứng với một vụ tấn công ransomware ước tính là 4,54 triệu đô la, nhấn mạnh mức độ rủi ro của các thất bại về an ninh mạng. Dưới đây là một số cách mà các cuộc tấn công mạng này đe dọa các ứng dụng:

*   Các cuộc tấn công giả mạo: Hacker sử dụng vân tay giả, mặt nạ hoặc hình ảnh độ phân giải cao để lừa các máy quét sinh trắc cho phép truy cập trái phép.
*   Vi phạm dữ liệu: Các tác nhân độc hại có thể bán dữ liệu bị đánh cắp từ các cơ sở dữ liệu kém bảo vệ trên web tối hoặc sử dụng chúng để gian lận danh tính.
*   Các cuộc tấn công phát lại: Tội phạm mạng chặn và tái sử dụng dữ liệu xác thực để mạo danh người dùng hợp pháp.
*   Các cuộc tấn công trung gian: Hacker chặn dữ liệu trong quá trình truyền, thao túng quá trình xác thực để truy cập.
*   Khai thác phần mềm độc hại: Phần mềm độc hại có thể xâm phạm các ứng dụng ngân hàng, ghi lại thông tin đăng nhập mà người dùng không biết.
*   Deepfake dựa trên AI: Các công cụ trí tuệ nhân tạo tiên tiến có thể tạo ra các video mặt hoặc giọng nói cực kỳ chân thực để vượt qua xác thực sinh trắc.
*   Rủi ro về quy định và tuân thủ: Không bảo vệ dữ liệu đúng cách có thể dẫn đến hậu quả pháp lý, phạt hành chính và mất lòng tin của khách hàng.

5 cách các nhà phát triển ứng dụng ngân hàng có thể ngăn chặn tấn công bằng sinh trắc học

Khi các kỹ thuật tấn công bằng sinh trắc học ngày càng tinh vi, các nhà phát triển ứng dụng cần chủ động tăng cường bảo mật và bảo vệ dữ liệu người dùng. Dưới đây là các chiến lược giảm thiểu rủi ro vi phạm trong khi vẫn đảm bảo trải nghiệm người dùng liền mạch.

2.      

### **Mã hóa dữ liệu sinh trắc học từ đầu đến cuối**

Bảo vệ dữ liệu sinh trắc bằng mã hóa mạnh mẽ giúp người dùng tránh khỏi gian lận và trộm danh tính, nhưng các hệ thống lưu trữ tập trung vẫn là mục tiêu hàng đầu của hacker. Các nhà phát triển ứng dụng có thể áp dụng các giải pháp lưu trữ phi tập trung phân phối dữ liệu qua các mạng an toàn để giảm thiểu rủi ro vi phạm.

Công nghệ blockchain là một ví dụ hàng đầu. Nó cung cấp tính minh bạch, phi tập trung và tính bất biến — khiến các tội phạm mạng khó có thể xâm phạm dữ liệu người dùng hơn. Việc tận dụng công cụ này có thể đảm bảo các thông tin xác thực được bảo vệ và do chính người dùng kiểm soát, loại bỏ nhu cầu quản lý dữ liệu của bên thứ ba. Cách tiếp cận này giảm thiểu rủi ro vi phạm hàng loạt đồng thời củng cố lòng tin của người tiêu dùng vào xác thực sinh trắc.

3.      

### **Triển khai các biện pháp bảo mật nhiều lớp**

Chỉ dựa vào sinh trắc để xác thực khiến các ứng dụng ngân hàng dễ bị tấn công tinh vi. Các nhà phát triển có thể xây dựng khung bảo mật vững chắc hơn bằng cách kết hợp sinh trắc với mã PIN, mật khẩu hoặc xác thực hành vi — chẳng hạn như đặc điểm gõ phím hoặc mẫu sử dụng thiết bị.

Ngoài ra, việc áp dụng xác thực đa yếu tố cho tất cả các truy cập từ xa vào mạng của tổ chức — cũng như các tài khoản đặc quyền hoặc quản trị — sẽ giảm khả năng bị xâm nhập mạng gây thiệt hại trong lĩnh vực ngân hàng. Lớp bảo vệ an ninh bổ sung này khiến hacker khó khai thác thông tin đăng nhập bị đánh cắp hơn nhiều, nâng cao toàn diện tính toàn vẹn của hệ thống.

4.      

### **Cập nhật thường xuyên các giao thức bảo mật**

Các cập nhật phần mềm định kỳ giúp tăng cường an ninh cho ứng dụng ngân hàng bằng cách vá các lỗ hổng và ngăn chặn các mối đe dọa mới nổi. Tội phạm mạng liên tục thay đổi chiến thuật, và các hệ thống cũ kỹ tạo ra các điểm mở cho các cuộc tấn công bằng sinh trắc. Cập nhật thường xuyên các giao thức bảo mật giúp các ứng dụng tránh các khai thác tiềm năng và giảm thiểu rủi ro vi phạm.

Triển khai công nghệ phát hiện bất thường dựa trên AI bổ sung lớp bảo vệ bằng cách nhận diện hành vi đăng nhập bất thường theo thời gian thực. Công nghệ này có thể phát hiện các hoạt động đáng ngờ — như đăng nhập từ các thiết bị không nhận diện hoặc các mẫu truy cập bất thường — và kích hoạt các bước xác thực bổ sung để chặn truy cập trái phép.

5.      

### **Sử dụng công nghệ phát hiện sống động (Liveness Detection)**

Các ứng dụng ngân hàng cần tích hợp công nghệ phát hiện sống động để ngăn chặn các cuộc tấn công giả mạo và phân biệt giữa đặc điểm thật và giả. Các giải pháp phát hiện sống động tiên tiến xử lý dữ liệu bằng quét 3D, phân tích độ sâu, chuyển động và các đặc điểm tinh vi khác để xác minh tính xác thực.

Cách tiếp cận dựa trên AI này nâng cao hiệu quả của hệ thống bằng cách phát hiện các cố gắng vượt qua xác thực sinh trắc bằng ảnh, mặt nạ hoặc công nghệ deepfake. Bằng cách liên tục học hỏi từ các tương tác thực tế, công nghệ phát hiện sống động dựa trên AI trở nên hiệu quả hơn trong việc nhận diện các hành vi gian lận đồng thời duy trì trải nghiệm người dùng liền mạch.

6.      

### **Hạn chế lưu trữ dữ liệu sinh trắc**

Lưu trữ dữ liệu sinh trắc cục bộ trên thiết bị của người dùng thay vì lưu trữ trên đám mây giúp giảm thiểu rủi ro an ninh và bảo vệ thông tin nhạy cảm. Với mức tăng 71% các cuộc tấn công mạng sử dụng thông tin đăng nhập bị đánh cắp hoặc bị xâm phạm trong năm 2024, các cơ sở dữ liệu tập trung đã trở thành mục tiêu hàng đầu của hacker muốn khai thác hệ thống xác thực.

Giữ dữ liệu này trên thiết bị có thể giảm thiểu các vi phạm quy mô lớn đồng thời giúp người dùng kiểm soát tốt hơn thông tin cá nhân của mình. Áp dụng các hàm băm mã hóa tăng cường bảo mật bằng cách đảm bảo dữ liệu sinh trắc thô chưa bao giờ ở dạng nguyên bản. Điều này khiến các tội phạm mạng gần như không thể tái tạo hoặc lợi dụng dữ liệu đó.

Tương lai của bảo mật sinh trắc và trách nhiệm của fintech

Các công ty fintech cần triển khai mã hóa nâng cao và hệ thống phát hiện gian lận dựa trên AI để bảo vệ người dùng khỏi các mối đe dọa mới nổi. Khi công nghệ sinh trắc trở nên phức tạp hơn, các tổ chức tài chính phải luôn đi trước các tác nhân độc hại để tạo ra trải nghiệm ngân hàng an toàn và liền mạch hơn.