Quản lý SIM bằng sinh trắc học: Hàng rào kỹ thuật chặn lừa đảo từ gốc

Trước tình hình đó, Bộ Khoa học và Công nghệ đã đưa ra dự thảo Thông tư mới về việc hướng dẫn xác thực thông tin thuê bao di động mặt đất.

Điểm cốt lõi của dự thảo lần này là việc thiết lập một "hàng rào kỹ thuật" vững chắc thông qua công nghệ xác thực sinh trắc học khuôn mặt, kết nối trực tiếp với cơ sở dữ liệu quốc gia về dân cư.

Không dừng lại ở việc đăng ký mới, xác thực sinh trắc học sẽ trở thành yêu cầu bắt buộc trong suốt vòng đời của thuê bao, đặc biệt là tại các thời điểm nhạy cảm như thay đổi thiết bị đầu cuối.

Để giúp bạn đọc hiểu rõ hơn về tầm quan trọng, những thách thức công nghệ cũng như kỳ vọng về việc làm sạch không gian viễn thông từ quy định này, phóng viên đã có cuộc trao đổi với ông Vũ Ngọc Sơn, Trưởng Ban Nghiên cứu, tư vấn, phát triển công nghệ và Hợp tác quốc tế của Hiệp hội An ninh mạng quốc gia (NCA).

Theo vị chuyên gia, việc siết chặt quản lý SIM tương tự như cách ngành ngân hàng đã triển khai với tài khoản thanh toán không chỉ là bước đi tất yếu mà còn là "chìa khóa" để bảo vệ định danh số của mỗi người dân.

Nỗ lực để xử lý SIM rác, không chính chủ

Thưa ông, việc chuyển từ đối soát giấy tờ truyền thống sang xác thực sinh trắc học khuôn mặt trùng khớp với Cơ sở dữ liệu quốc gia về dân cư có ý nghĩa then chốt như thế nào trong việc triệt tiêu tận gốc vấn đề SIM không chính chủ và SIM rác hiện nay?

- Thứ nhất, xác thực sinh trắc học trước đây thường chỉ được thực hiện một lần tại thời điểm đăng ký mới SIM và không gắn chặt với vòng đời sử dụng của SIM.

Ông Vũ Ngọc Sơn, Trưởng Ban Nghiên cứu, tư vấn, phát triển công nghệ và Hợp tác quốc tế của Hiệp hội An ninh mạng quốc gia (Ảnh: NCA).

Khi SIM đã được xác thực ban đầu, hệ thống hầu như không yêu cầu xác thực lại trong các tình huống rủi ro cao như thay đổi thiết bị đầu cuối.

Điều này tạo ra một lỗ hổng phổ biến: Các đối tượng có thể đứng tên xác thực SIM hợp lệ, sau đó bán lại SIM cho người khác sử dụng, hoặc chuyển nhượng cho các nhóm lừa đảo mà không bị phát hiện.

Đây chính là lý do vì sao dù đã xác thực, SIM không chính chủ và SIM rác vẫn tiếp tục tồn tại và lưu thông trên thị trường.

Thứ hai, các yêu cầu kỹ thuật đối với xác thực sinh trắc học trong giai đoạn trước chưa được chuẩn hóa ở mức tối thiểu bắt buộc.

Mỗi doanh nghiệp viễn thông lựa chọn một giải pháp công nghệ, một quy trình triển khai khác nhau, dẫn tới chất lượng xác thực không đồng đều. Điều này khiến xác thực sinh trắc học chưa thực sự trở thành “hàng rào kỹ thuật” đủ mạnh để loại bỏ triệt để SIM rác.

Dự thảo Thông tư đưa ra tiêu chuẩn rất khắt khe về việc phát hiện tấn công giả mạo vật thể sống (PAD). Theo ông, công nghệ này sẽ đóng vai trò lá chắn như thế nào trước xu hướng tội phạm sử dụng Deepfake, hình ảnh hoặc mặt nạ 3D để qua mặt các hệ thống xác thực điện tử?

- Dự thảo Thông tư lần này đã trực diện xử lý chính những điểm yếu đó bằng một loạt yếu tố mới mang tính nền tảng.

Trước hết, xác thực sinh trắc học không còn là hành động một lần, mà được gắn với các sự kiện có rủi ro cao trong suốt vòng đời thuê bao, đặc biệt là khi thay đổi thiết bị đầu cuối.

Quy định buộc phải xác thực lại trong các tình huống này sẽ ngăn ngừa hình thức mua - bán SIM sau xác thực, vốn đang là “nguồn cung” chính cho các hoạt động lừa đảo.

Bên cạnh đó, dự thảo đã đưa ra chuẩn kỹ thuật tối thiểu mang tính bắt buộc, bao gồm yêu cầu về độ chính xác theo tiêu chuẩn quốc tế, tỷ lệ chấp nhận sai rất thấp và năng lực phát hiện tấn công giả mạo sinh trắc học.

Điều này không chỉ nâng mặt bằng chất lượng xác thực giữa các nhà mạng lên cùng một chuẩn chung, mà còn đảm bảo rằng sinh trắc học thực sự phản ánh “con người thật” đứng sau SIM.

Thực tế của việc thành công ứng dụng xác thực sinh trắc học trong lĩnh vực ngân hàng cho thấy, khi danh tính số được kiểm soát chặt chẽ, các tài khoản rác nhanh chóng bị loại bỏ, làm gián đoạn chuỗi trung gian mà tội phạm lừa đảo thường lợi dụng.

Áp dụng mô hình này cho SIM số sẽ giúp thu hẹp mạnh “nguồn đầu vào” của lừa đảo qua mạng viễn thông.

Ngoài việc ngăn chặn mua-bán SIM sau xác thực, việc yêu cầu xác thực khi đổi thiết bị cũng sẽ là rào cản kỹ thuật cho các hành vi chiếm đoạt SIM của người dùng.

Bởi hiện nay, nếu chiếm được SIM, kẻ gian sẽ kiểm soát được các mã xác thực OTP gửi qua SIM, từ đó có thể chiếm đoạt tài khoản ngân hàng của nạn nhân.

Quy định buộc xác thực lại sinh trắc học khi thay đổi thiết bị đầu cuối giúp phá vỡ kịch bản tấn công này.

Ngay cả khi kẻ gian chiếm được SIM vật lý hoặc thông tin cá nhân, chúng vẫn không thể hoàn tất quá trình kích hoạt nếu không vượt qua xác thực sinh trắc học trùng khớp với dữ liệu gốc. Đây là cơ chế “khóa cứng” danh tính, tương tự như các biện pháp bảo vệ đa lớp đang được ngân hàng áp dụng để bảo vệ tài khoản giá trị cao.

Thách thức triển khai công nghệ

​Khi dữ liệu sinh trắc học trở thành "chìa khóa" để kích hoạt dịch vụ, kho dữ liệu của các nhà mạng sẽ trở thành mục tiêu tấn công hàng đầu của tin tặc. Theo chuyên gia, các doanh nghiệp viễn thông cần trang bị những lớp bảo vệ nào để đảm bảo tuyệt đối an toàn cho thông tin nhạy cảm này của hàng triệu khách hàng?

- Yêu cầu tỷ lệ chấp nhận sai rất thấp đặt ra áp lực kỹ thuật không nhỏ cho các doanh nghiệp viễn thông.

Thách thức không chỉ nằm ở thuật toán, mà ở toàn bộ chuỗi triển khai: Chất lượng camera đầu cuối, điều kiện ánh sáng, khả năng xử lý thời gian thực, cũng như tính đa dạng và kỹ năng sử dụng không đồng đều của người dùng trong môi trường thực tế.

Nếu hệ thống quá “chặt” nhưng thiếu tối ưu, nguy cơ từ chối nhầm người dùng hợp pháp sẽ tăng, ảnh hưởng đến trải nghiệm. Do đó, các nhà mạng cần đầu tư đồng bộ từ hạ tầng, phần mềm đến quy trình vận hành, đồng thời xây dựng các kịch bản xử lý ngoại lệ rõ ràng.

Việc các nhà mạng sẽ lưu lại dữ liệu sinh trắc học để thực hiện xác thực từ SIM thứ 2 trở đi cũng sẽ đặt ra yêu cầu cao trong việc phải đảm bảo an ninh cho các dữ liệu này. Bởi khi sinh trắc học trở thành “chìa khóa” kích hoạt dịch vụ, kho dữ liệu của nhà mạng sẽ trở thành mục tiêu giá trị cao đối với tin tặc.

SIM rác vẫn "tung hoành" trên thị trường gây phiền nhiễu cho người dân (Ảnh: CTV).

Các doanh nghiệp viễn thông cần triển khai mô hình bảo vệ nhiều lớp: mã hóa mạnh, phân quyền chặt chẽ, giám sát liên tục, phát hiện xâm nhập sớm và kiểm thử an ninh định kỳ.

Đặc biệt, dữ liệu sinh trắc học nên được lưu trữ dưới dạng mẫu đặc trưng đã mã hóa, không thể đảo ngược, để giảm thiểu rủi ro nếu xảy ra sự cố.

Đây là nguyên tắc đã được áp dụng rộng rãi trong các hệ thống định danh số tiên tiến trên thế giới.

Tuy nhiên việc lưu trữ dữ liệu đã mã hoá sẽ khiến cho việc đối sánh gặp nhiều khó khăn, đặc biệt là tốn chi phí nếu muốn tăng tốc độ xử lý. Điều này đặt ra cho các nhà mạng các bài toán có thể nhìn thấy ngay nhưng không dễ giải.

Xu hướng lừa đảo sau khi siết chặt SIM và sự chuẩn bị của người dân

Mặc dù các rào cản kỹ thuật trong Thông tư là rất mạnh, nhưng tội phạm mạng luôn tìm thấy những "ngách" mới. Ông dự báo như thế nào về sự chuyển dịch của các hình thức lừa đảo viễn thông sau khi quy định này đi vào cuộc sống và người dân cần chuẩn bị tâm lý gì?

Khi SIM rác bị loại bỏ, các hình thức lừa đảo dựa trên gọi điện, nhắn tin hàng loạt chắc chắn sẽ suy giảm mạnh. Tuy nhiên, tội phạm mạng sẽ có xu hướng dịch chuyển sang các kênh khác như mạng xã hội, ứng dụng OTT.

Người dân cần hiểu rằng, xác thực sinh trắc học là lớp bảo vệ nền tảng, nhưng không thay thế hoàn toàn cho ý thức an toàn cá nhân.

Việc tỉnh táo trước các yêu cầu cung cấp thông tin, xác minh lại nguồn liên lạc và chủ động báo cáo các dấu hiệu bất thường vẫn là yếu tố then chốt.

Khi công nghệ, chính sách và nhận thức xã hội cùng được nâng cao, “đất sống” của lừa đảo viễn thông sẽ ngày càng bị thu hẹp một cách bền vững.

Có thể khẳng định, việc kiểm soát chặt chẽ SIM số bằng xác thực sinh trắc học, tương tự như cách ngành ngân hàng đã làm với tài khoản, là bước đi tất yếu và có ý nghĩa chiến lược trong bảo đảm an ninh mạng quốc gia và bảo vệ người dân trong không gian số.

Xin cảm ơn ông đã dành thời gian trao đổi!

Theo Dân Trí