Việc áp dụng công nghệ sinh trắc học đã bùng nổ ở Brazil trong những năm gần đây – 82% người dân Brazil đã sử dụng một số hình thức công nghệ sinh trắc học để xác thực, do sự tiện lợi và nhu cầu bảo mật cao hơn trong các dịch vụ kỹ thuật số. Dù là truy cập ngân hàng bằng nhận dạng khuôn mặt hay sử dụng dấu vân tay để xác thực thanh toán, sinh trắc học đã trở thành "CPF" (Mã số định danh người nộp thuế Brazil) mới về mặt nhận dạng cá nhân, giúp quy trình nhanh chóng và trực quan hơn.
Tuy nhiên, làn sóng gian lận ngày càng gia tăng đã phơi bày những hạn chế của giải pháp này: chỉ riêng trong tháng 1 năm 2025, 1,24 triệu vụ gian lận đã được ghi nhận tại Brazil, tăng 41,6% so với năm trước - tương đương với một vụ gian lận cứ sau 2,2 giây. Phần lớn các cuộc tấn công này nhắm mục tiêu cụ thể vào các hệ thống xác thực kỹ thuật số. Dữ liệu từ Serasa Experian cho thấy vào năm 2024, các vụ gian lận nhắm vào ngân hàng và thẻ tín dụng đã tăng 10,4% so với năm 2023, chiếm 53,4% tổng số vụ gian lận được ghi nhận trong năm đó.
Nếu những vụ lừa đảo này không được ngăn chặn, chúng có thể gây ra thiệt hại ước tính lên tới 51,6 tỷ R$. Sự gia tăng này phản ánh một bối cảnh đang thay đổi: những kẻ lừa đảo đang thay đổi chiến thuật nhanh hơn bao giờ hết. Theo một khảo sát của Serasa, một nửa số người Brazil (50,7%) là nạn nhân của gian lận kỹ thuật số vào năm 2024, tăng 9 điểm phần trăm so với năm trước, và 54,2% trong số những nạn nhân này chịu tổn thất tài chính trực tiếp.
Một phân tích khác chỉ ra rằng tội phạm kỹ thuật số tại quốc gia này sẽ tăng 45% vào năm 2024, với một nửa số nạn nhân thực sự bị lừa đảo. Với những con số này, cộng đồng an ninh đang đặt câu hỏi: nếu sinh trắc học hứa hẹn sẽ bảo vệ người dùng và các tổ chức, tại sao những kẻ lừa đảo dường như luôn đi trước một bước?
Lừa đảo có thể qua mặt hệ thống nhận dạng khuôn mặt và dấu vân tay.
Một phần câu trả lời nằm ở sự sáng tạo mà các băng nhóm kỹ thuật số dùng để lách luật sinh trắc học. Trong những tháng gần đây, những vụ việc điển hình đã xuất hiện. Tại Santa Catarina, một nhóm lừa đảo đã lừa đảo ít nhất 50 người bằng cách bí mật lấy dữ liệu sinh trắc học khuôn mặt từ khách hàng – một nhân viên viễn thông đã giả vờ bán đường dây điện thoại để chụp ảnh tự sướng và tài liệu từ khách hàng, sau đó sử dụng dữ liệu này để mở tài khoản ngân hàng và vay tiền dưới tên nạn nhân.
Ở Minas Gerais, tội phạm còn đi xa hơn: chúng giả làm nhân viên bưu điện để thu thập dấu vân tay và ảnh của người dân, với mục đích rõ ràng là vượt qua hệ thống bảo mật ngân hàng. Nói cách khác, những kẻ lừa đảo không chỉ tấn công vào chính công nghệ mà còn lợi dụng kỹ thuật xã hội - dụ dỗ người dùng cung cấp dữ liệu sinh trắc học của chính họ mà không hề hay biết. Các chuyên gia cảnh báo rằng ngay cả những hệ thống được coi là mạnh mẽ cũng có thể bị đánh lừa.
Vấn đề là việc phổ biến công nghệ sinh trắc học đã tạo ra cảm giác an toàn sai lầm: người dùng cho rằng vì là công nghệ sinh trắc học nên việc xác thực là không thể sai sót.
Tại các tổ chức có biện pháp bảo mật kém nghiêm ngặt hơn, kẻ gian thường thành công nhờ sử dụng các phương pháp tương đối đơn giản, chẳng hạn như ảnh hoặc khuôn mẫu để mô phỏng các đặc điểm vật lý. Ví dụ, cái gọi là "lừa đảo ngón tay silicon" đã trở nên phổ biến: tội phạm dán màng phim trong suốt vào máy đọc dấu vân tay trên máy ATM để đánh cắp dấu vân tay của khách hàng, sau đó tạo ra một ngón tay silicon giả bằng dấu vân tay đó, thực hiện các giao dịch rút tiền và chuyển khoản trái phép. Các ngân hàng tuyên bố đã áp dụng các biện pháp đối phó - cảm biến có khả năng phát hiện nhiệt độ, mạch đập và các đặc điểm khác của ngón tay thật, khiến khuôn mẫu nhân tạo trở nên vô dụng.
Tuy nhiên, một số trường hợp lừa đảo cá biệt cho thấy không có rào cản sinh trắc học nào hoàn toàn an toàn trước những nỗ lực lách luật. Một yếu tố đáng lo ngại khác là việc sử dụng các thủ thuật kỹ thuật xã hội để lấy ảnh tự sướng hoặc quét khuôn mặt từ chính khách hàng. Liên đoàn Ngân hàng Brazil (Febraban) đã gióng lên hồi chuông cảnh báo về một hình thức lừa đảo mới, trong đó kẻ lừa đảo yêu cầu nạn nhân "ảnh tự sướng xác nhận" bằng cách giả mạo. Ví dụ, chúng giả danh nhân viên ngân hàng hoặc INSS (Viện An sinh Xã hội Brazil), yêu cầu chụp ảnh khuôn mặt "để cập nhật đăng ký" hoặc cung cấp một khoản trợ cấp không tồn tại - trên thực tế, chúng sử dụng ảnh tự sướng này để mạo danh khách hàng trong các hệ thống xác minh khuôn mặt.
Một sự giám sát đơn giản – chẳng hạn như chụp ảnh theo yêu cầu của người giao hàng hoặc nhân viên y tế – có thể cung cấp cho tội phạm "chìa khóa" sinh trắc học để truy cập vào tài khoản của người khác.
Deepfake và AI: ranh giới mới của lừa đảo
Trong khi lừa đảo con người vốn đã là một chiến lược được sử dụng rộng rãi, thì những tên tội phạm tinh vi hơn giờ đây cũng đang lừa đảo máy móc. Đây chính là lúc mối đe dọa của deepfake - công nghệ thao túng giọng nói và hình ảnh tiên tiến bằng trí tuệ nhân tạo - và các kỹ thuật làm giả kỹ thuật số khác xuất hiện, những kỹ thuật đã chứng kiến sự tinh vi nhảy vọt từ năm 2023 đến năm 2025.
Ví dụ, tháng 5 năm ngoái, Cảnh sát Liên bang đã phát động Chiến dịch "Face Off" sau khi phát hiện một âm mưu lừa đảo khoảng 3.000 tài khoản trên cổng thông tin Gov.br bằng cách sử dụng sinh trắc học khuôn mặt giả. Nhóm tội phạm này đã sử dụng các kỹ thuật cực kỳ tinh vi để mạo danh người dùng hợp pháp trên gov.br , nơi tập trung quyền truy cập vào hàng nghìn dịch vụ công kỹ thuật số.
Các nhà điều tra tiết lộ rằng những kẻ lừa đảo đã sử dụng kết hợp các video bị chỉnh sửa, hình ảnh được AI chỉnh sửa, và thậm chí cả mặt nạ 3D siêu thực để đánh lừa cơ chế nhận dạng khuôn mặt. Nói cách khác, chúng mô phỏng các đặc điểm khuôn mặt của bên thứ ba - bao gồm cả người đã khuất - để giả mạo danh tính và tiếp cận các lợi ích tài chính liên quan đến các tài khoản đó. Với các chuyển động nhân tạo được đồng bộ hoàn hảo như chớp mắt, mỉm cười hoặc quay đầu, chúng thậm chí còn qua mặt được chức năng phát hiện sự sống, vốn được phát triển chính xác để phát hiện xem có người thật trước camera hay không.
Kết quả là việc truy cập trái phép vào các khoản tiền lẽ ra chỉ được sử dụng bởi những người thụ hưởng hợp pháp, cũng như việc phê duyệt bất hợp pháp các khoản vay trả lương trên ứng dụng Meu INSS bằng những danh tính giả mạo này. Vụ việc này đã chứng minh một cách mạnh mẽ rằng đúng là có thể vượt qua sinh trắc học khuôn mặt - ngay cả trong các hệ thống lớn và an toàn về mặt lý thuyết - khi có sẵn các công cụ phù hợp.
Trong khu vực tư nhân, tình hình cũng không khác gì. Vào tháng 10 năm 2024, Cảnh sát Dân sự Quận Liên bang đã tiến hành Chiến dịch "DeGenerative AI", triệt phá một băng nhóm chuyên hack tài khoản ngân hàng kỹ thuật số bằng ứng dụng trí tuệ nhân tạo. Bọn tội phạm đã thực hiện hơn 550 lần hack tài khoản ngân hàng của khách hàng, sử dụng dữ liệu cá nhân bị rò rỉ và kỹ thuật deepfake để tái tạo hình ảnh của chủ tài khoản, từ đó xác thực các thủ tục mở tài khoản mới dưới tên nạn nhân và kích hoạt thiết bị di động như thể chúng thuộc về họ.
Người ta ước tính rằng nhóm này đã chuyển khoảng 110 triệu R$ thông qua các tài khoản thuộc sở hữu của các cá nhân và pháp nhân, rửa tiền từ nhiều nguồn khác nhau, trước khi hầu hết các vụ gian lận bị ngăn chặn bởi các cuộc kiểm toán nội bộ của ngân hàng.
Vượt ra ngoài sinh trắc học
Đối với ngành ngân hàng Brazil, sự leo thang của các vụ lừa đảo công nghệ cao này là một dấu hiệu đáng báo động. Các ngân hàng đã đầu tư mạnh mẽ trong thập kỷ qua để chuyển đổi khách hàng sang các kênh kỹ thuật số an toàn, áp dụng sinh trắc học khuôn mặt và vân tay làm rào cản chống gian lận.
Tuy nhiên, làn sóng lừa đảo gần đây cho thấy việc chỉ dựa vào sinh trắc học có thể là chưa đủ. Kẻ lừa đảo lợi dụng sai sót của con người và lỗ hổng công nghệ để mạo danh người tiêu dùng, và điều này đòi hỏi bảo mật phải được thiết kế với nhiều cấp độ và yếu tố xác thực, chứ không còn chỉ dựa vào một yếu tố "thần kỳ" duy nhất.
Trong bối cảnh phức tạp này, các chuyên gia đồng thuận về một khuyến nghị: áp dụng xác thực đa yếu tố và các phương pháp bảo mật đa lớp. Điều này có nghĩa là kết hợp các công nghệ và phương pháp xác minh khác nhau để nếu một yếu tố bị lỗi hoặc bị xâm phạm, các yếu tố khác sẽ ngăn chặn gian lận. Bản thân sinh trắc học vẫn là một yếu tố quan trọng - xét cho cùng, khi được triển khai tốt với xác minh tính sống và mã hóa, nó sẽ ngăn chặn đáng kể các cuộc tấn công cơ hội.
Tuy nhiên, nó phải hoạt động kết hợp với các biện pháp kiểm soát khác: mật khẩu một lần hoặc mã PIN được gửi đến điện thoại di động, phân tích hành vi của người dùng – được gọi là sinh trắc học hành vi, xác định kiểu gõ phím, cách sử dụng thiết bị và có thể phát ra báo động khi nhận thấy khách hàng "hành động khác thường" – và giám sát giao dịch thông minh.
Các công cụ AI cũng đang được sử dụng để hỗ trợ các ngân hàng, xác định các dấu hiệu tinh vi của deepfake trong video hoặc giọng nói - ví dụ, phân tích tần số âm thanh để phát hiện giọng nói tổng hợp hoặc tìm kiếm sự biến dạng hình ảnh trong ảnh tự sướng.
Cuối cùng, thông điệp gửi đến các nhà quản lý ngân hàng và chuyên gia bảo mật thông tin rất rõ ràng: không có giải pháp thần kỳ nào. Sinh trắc học đã mang lại mức độ bảo mật vượt trội so với mật khẩu truyền thống – đến mức các vụ lừa đảo phần lớn chuyển sang lừa đảo người dùng, thay vì phá vỡ thuật toán.
Tuy nhiên, những kẻ lừa đảo đang lợi dụng mọi kẽ hở, dù là con người hay công nghệ, để phá hoại các hệ thống sinh trắc học. Giải pháp phù hợp bao gồm việc liên tục cập nhật công nghệ tiên tiến và giám sát chủ động. Chỉ những ai có thể phát triển hệ thống phòng thủ với tốc độ tương đương với sự xuất hiện của các vụ lừa đảo mới mới có thể bảo vệ toàn diện khách hàng của mình trong thời đại trí tuệ nhân tạo độc hại.
Bởi Sylvio Sobreira Vieira, Giám đốc điều hành & Trưởng bộ phận tư vấn tại SVX Consultoria.
