Xác thực sinh trắc học - 'hàng rào kỹ thuật' chặn SIM rác

Lỗ hổng từ quy trình xác thực "một lần"

Thực trạng sử dụng SIM rác, SIM không chính chủ làm công cụ lừa đảo, chiếm đoạt tài sản đã trở thành vấn đề nhức nhối trong thời gian dài. Nguyên nhân được cho là ở quy trình quản lý lỏng lẻo: Việc xác thực sinh trắc học trước đây thường chỉ được thực hiện một lần tại thời điểm kích hoạt. Sau đó, SIM tự do lưu hành trên thị trường mà không có thêm bất kỳ lần xác thực nào khác.

Trao đổi về vấn đề này, ông Vũ Ngọc Sơn, Trưởng ban Nghiên cứu, tư vấn, phát triển công nghệ và Hợp tác quốc tế của Hiệp hội An ninh mạng quốc gia (NCA) chỉ ra lỗ hổng lớn: "Hệ thống hầu như không yêu cầu xác thực lại trong các tình huống rủi ro cao như thay đổi thiết bị đầu cuối (đổi điện thoại, máy tính bảng hay thiết bị gắn SIM nói chung - PV). Điều này tạo điều kiện cho các đối tượng đứng tên đăng ký hợp lệ rồi bán lại SIM cho nhóm lừa đảo".

Ảnh: Anh Quân

Chính vì vậy, dù các nhà mạng đã nỗ lực chuẩn hóa thông tin thuê bao, SIM rác vẫn tiếp tục lưu thông trên thị trường do thiếu cơ chế kiểm soát người sử dụng thực tế. Bên cạnh đó, các giải pháp kỹ thuật trước đây chưa được chuẩn hóa, dẫn đến chất lượng xác thực không đồng đều giữa các nhà mạng, chưa đủ sức trở thành tấm khiên chắn hiệu quả.

"Hàng rào kỹ thuật" mới từ sinh trắc học

Dự thảo thông tư mới của Bộ Khoa học và Công nghệ được kỳ vọng sẽ thay đổi hoàn toàn cuộc chơi. Điểm đột phá nằm ở việc yêu cầu xác thực sinh trắc học khuôn mặt phải được kết nối trực tiếp với Cơ sở dữ liệu quốc gia về dân cư và thực hiện xuyên suốt vòng đời thuê bao.

Cụ thể, người dùng sẽ buộc phải xác thực lại khuôn mặt khi thực hiện các thay đổi quan trọng như chuyển đổi thiết bị. Quy định này đóng vai trò như chốt chặn kỹ thuật, ngăn ngừa hành vi mua bán SIM đã kích hoạt sẵn cũng như các thủ đoạn chiếm đoạt quyền kiểm soát SIM để đánh cắp mã OTP ngân hàng hay thực hiện lừa đảo trực tuyến.

Đáng chú ý, dự thảo đặt ra các tiêu chuẩn khắt khe về công nghệ phát hiện tấn công giả mạo vật thể sống (Presentation Attack Detection - PAD). "Công nghệ này sẽ là lá chắn trước xu hướng tội phạm sử dụng deepfake, hình ảnh hoặc mặt nạ 3D để qua mặt hệ thống. Các yêu cầu về độ chính xác và tỷ lệ chấp nhận sai rất thấp sẽ đảm bảo sinh trắc học thực sự phản ánh con người thật đứng sau mỗi thuê bao", ông Sơn nhận định.

Việc áp dụng mô hình quản lý chặt chẽ tương tự ngành ngân hàng cũng được kỳ vọng giúp loại bỏ tài khoản rác, làm gián đoạn chuỗi trung gian mà tội phạm lừa đảo thường lợi dụng, từ đó thu hẹp mạnh "nguồn đầu vào" của xu hướng cuộc tấn công qua mạng viễn thông.

Thách thức bảo mật cho nhà mạng

Tuy nhiên, việc triển khai đồng bộ giải pháp này cũng đặt ra bài toán lớn về công nghệ và bảo mật cho doanh nghiệp viễn thông. Khi dữ liệu sinh trắc học trở thành "chìa khóa" để kích hoạt dịch vụ, kho dữ liệu của nhà mạng sẽ trở thành mục tiêu tấn công giá trị cao cho tin tặc.

Chuyên gia Vũ Ngọc Sơn khuyến nghị nhà mạng cần đầu tư đồng bộ hạ tầng và triển khai mô hình bảo vệ đa lớp, bao gồm mã hóa mạnh, phân quyền chặt chẽ và giám sát liên tục. Đặc biệt, dữ liệu sinh trắc học nên được lưu trữ dưới dạng mẫu đặc trưng đã mã hóa không thể đảo ngược để giảm thiểu rủi ro rò rỉ.

Bên cạnh đó, thách thức còn nằm ở việc đảm bảo trải nghiệm người dùng. Hệ thống cần đủ thông minh để xử lý chính xác trong các điều kiện thực tế đa dạng (ánh sáng, chất lượng camera của thiết bị) nhưng không được gây khó khăn, từ chối nhầm người dùng hợp pháp.

Nhìn nhận về tương lai, chuyên gia dự báo khi SIM rác bị loại bỏ, tội phạm mạng sẽ có xu hướng dịch chuyển sang các kênh OTT và mạng xã hội. Do đó, bên cạnh hàng rào kỹ thuật, ý thức cảnh giác của người dùng vẫn là yếu tố then chốt để làm sạch không gian số một cách bền vững.