Tuy nhiên, cùng những lợi ích to lớn, AI cũng mở ra cánh cửa cho các mối đe dọa mới, đặc biệt là công nghệ deepfake - kỹ thuật sử dụng AI để tạo ra hình ảnh, video hoặc âm thanh giả mạo với độ chân thực đáng kinh ngạc.
Mối đe dọa trong kỷ nguyên số
Theo MIT Technology Review, deepfake là sự kết hợp của “deep learning” (học sâu) và “fake” (giả mạo), sử dụng các thuật toán AI, đặc biệt là mạng đối nghịch tạo sinh (GAN) để tạo ra hoặc chỉnh sửa hình ảnh, video và âm thanh sao cho giống thật đến mức khó phân biệt. Công nghệ này ban đầu được phát triển với mục đích giải trí như ghép khuôn mặt người nổi tiếng vào các bộ phim hoặc video hài hước. Tuy nhiên, sự dễ tiếp cận của các công cụ AI đã khiến deepfake trở thành “vũ khí lợi hại” cho tội phạm mạng.
Trong lĩnh vực ngân hàng, nơi mà niềm tin và bảo mật là nền tảng, deepfake đang trở thành công cụ nguy hiểm trong tay tội phạm mạng, đe dọa an toàn tài chính của cá nhân và tổ chức trên toàn cầu. Deepfake có thể được sử dụng để vượt qua các Hệ thống xác thực danh tính (KYC) như nhận diện khuôn mặt hoặc giọng nói. Một bài viết trên Forbes năm 2024 dẫn chứng một trường hợp tại Anh, nơi tội phạm sử dụng video deepfake để giả mạo giám đốc điều hành của một công ty, đã yêu cầu nhân viên tài chính chuyển 200.000 USD vào tài khoản ở nước ngoài. Vụ việc chỉ được phát hiện khi ngân hàng nhận thấy bất thường trong giao dịch, nhưng số tiền trên đã bị mất.
Giới chuyên gia nhận định, deepfake nguy hiểm bởi nó khai thác tâm lý, niềm tin của con người. Khi nhìn thấy một khuôn mặt hoặc nghe giọng nói quen thuộc, nạn nhân thường không nghi ngờ, đặc biệt trong những tình huống khẩn cấp được dàn dựng tinh vi. Hơn nữa, sự phát triển của công nghệ khiến việc tạo ra deepfake ngày càng dễ dàng và ít tốn kém. Chỉ với một chiếc điện thoại thông minh và các phần mềm miễn phí, bất kỳ ai cũng có thể tạo ra một video deepfake cơ bản trong vài giờ.
The Guardian cho hay, các vụ lừa đảo sử dụng deepfake đã tăng gấp ba lần trong giai đoạn 2020-2023, với nhiều trường hợp liên quan việc giả mạo danh tính để thực hiện các giao dịch tài chính trái phép. Tội phạm mạng không chỉ lợi dụng deepfake để đánh lừa các cá nhân mà còn thách thức cả những hệ thống xác thực sinh trắc học tiên tiến của các ngân hàng.
Tội phạm mạng sử dụng deepfake trong giao dịch ngân hàng theo nhiều cách khác nhau, từ lừa đảo cá nhân đến tấn công các tổ chức tài chính. Một trong những cách phổ biến nhất là sử dụng video/âm thanh deepfake để giả mạo người thân, bạn bè, lãnh đạo doanh nghiệp nhằm yêu cầu chuyển tiền. Theo The Wall Street Journal, một vụ lừa đảo tại Mỹ khiến công ty mất 500.000 USD khi tội phạm sử dụng giọng nói deepfake của giám đốc tài chính, gọi điện yêu cầu nhân viên chuyển tiền gấp để “giải quyết một thương vụ khẩn cấp”. Cuộc gọi được thực hiện qua một ứng dụng hội nghị trực tuyến, nơi giọng nói và cử chỉ được tái tạo một cách chân thực.
Deepfake cũng được sử dụng để vượt qua các hệ thống xác thực sinh trắc học. Một số ngân hàng châu Âu đã ghi nhận các nỗ lực sử dụng video deepfake để mở tài khoản ngân hàng hoặc thực hiện các giao dịch lớn. Tội phạm thu thập hình ảnh, video từ mạng xã hội, sau đó sử dụng AI để tạo ra video giả mạo, trong đó nạn nhân dường như đang thực hiện các hành động như nhìn thẳng, nghiêng đầu, hoặc đọc mã OTP.
Nhiều ngân hàng hiện nay sử dụng công nghệ nhận diện khuôn mặt hoặc giọng nói để xác thực khách hàng, đặc biệt trong các giao dịch trực tuyến. Tuy nhiên, deepfake khiến các hệ thống này trở nên dễ bị tổn thương. Theo Financial Times, một nghiên cứu của Trường đại học Stanford (Mỹ) chỉ ra rằng, các hệ thống nhận diện khuôn mặt phổ biến có thể bị đánh lừa bởi video deepfake chất lượng cao tới 70% trường hợp, nếu không có các biện pháp bảo mật bổ sung. Một thí dụ điển hình được Reuters đưa tin là trường hợp tại Đức năm 2024, nơi tội phạm sử dụng deepfake để vượt qua hệ thống eKYC (định danh khách hàng điện tử) của một ngân hàng trực tuyến. Bằng cách sử dụng video giả mạo, đối tượng đã mở được tài khoản dưới danh tính của một người khác và thực hiện các giao dịch rửa tiền.
Mạng xã hội là mảnh đất màu mỡ để tội phạm thu thập dữ liệu cá nhân, bao gồm hình ảnh và video, để tạo ra deepfake. Các vụ lừa đảo qua các ứng dụng WhatsApp và Telegram đã tăng mạnh, với tội phạm sử dụng video deepfake để giả danh người quen của nạn nhân, yêu cầu chuyển tiền khẩn cấp. Một trường hợp được ghi nhận là một phụ nữ ở California đã chuyển 10.000 USD sau khi nhận được video deepfake từ “con trai” của mình, tuyên bố đang gặp rắc rối và cần tiền gấp.
Deepfake không chỉ được sử dụng để lừa đảo tài chính mà còn để tống tiền. Tội phạm mạng tạo ra các video deepfake nhạy cảm để đe dọa nạn nhân, yêu cầu chuyển tiền để tránh bị phát tán nội dung. Một số trường hợp, các video này được gửi đến các ngân hàng để gây áp lực, khiến nạn nhân lo sợ và tuân theo yêu cầu của tội phạm.
Sự gia tăng của các vụ lừa đảo sử dụng deepfake đang đặt ra thách thức lớn cho ngành ngân hàng. Theo The Economist, các ngân hàng toàn cầu đã chi hơn 20 tỷ USD trong năm 2023 để nâng cấp hệ thống bảo mật nhưng tội phạm mạng vẫn tìm cách vượt qua các biện pháp này. Theo thống kê, các vụ lừa đảo deepfake gây thiệt hại hàng tỷ USD mỗi năm. Forbes ước tính các ngân hàng châu Âu đã mất hơn 1,2 tỷ USD do các vụ lừa đảo liên quan deepfake trong giai đoạn 2022-2023.
Khi khách hàng trở thành nạn nhân của deepfake, niềm tin vào các ngân hàng giảm sút. Theo một khảo sát của The Guardian (2023), 65% khách hàng tại Anh lo ngại rằng các hệ thống ngân hàng trực tuyến không đủ an toàn để bảo vệ họ trước các cuộc tấn công deepfake. Bên cạnh đó, các ngân hàng cũng buộc phải đầu tư nhiều hơn vào các công nghệ mới như phát hiện liveness (kiểm tra người thật), phân tích hành vi… để đối phó deepfake. Chi phí triển khai các hệ thống chống deepfake có thể chiếm tới 30% ngân sách công nghệ của một ngân hàng trung bình.
Nâng cấp mức độ bảo vệ an ninh mạng
Để đối phó với mối đe dọa từ deepfake, các ngân hàng, cơ quan quản lý và khách hàng cần phối hợp chặt chẽ, tập trung vào nhóm giải pháp, trong đó có nâng cấp công nghệ bảo mật. Theo Wired, công nghệ phát hiện liveness, như sử dụng ánh sáng có kiểm soát hoặc phân tích chuyển động mắt, có thể giúp phân biệt người thật với video deepfake. Công ty iProov đã phát triển công nghệ Flashmark để tạo ra các mã sinh trắc học một lần, ngăn chặn các cuộc tấn công deepfake.
Các hãng công nghệ lớn như Microsoft và Facebook đã đầu tư hơn 10 triệu USD vào các dự án phát triển hệ thống nhận diện deepfake, sử dụng các thuật toán học sâu để phân tích sự không nhất quán trong video, âm thanh. The New York Times khuyến nghị người dùng chú ý các dấu hiệu bất thường trong video call như khuôn mặt thiếu cảm xúc, âm thanh không đồng bộ với khẩu hình hoặc ánh mắt không tự nhiên. Các ngân hàng nên tổ chức chiến dịch nâng cao nhận thức, hướng dẫn khách hàng nhận biết deepfake. Ngoài ra, khách hàng nên xác minh danh tính qua kênh liên lạc đáng tin cậy như gọi điện trực tiếp hoặc gặp mặt, thay vì tin tưởng vào các cuộc gọi video qua mạng xã hội.
Nhiều quốc gia phương Tây đã tăng cường quy định pháp lý khi ban hành luật để kiểm soát deepfake. Liên minh châu Âu (EU) đã đề xuất quy định yêu cầu các công ty xóa nội dung deepfake bất hợp pháp trong vòng một giờ sau khi được thông báo. Tại Mỹ, Đạo luật Báo cáo Deepfake năm 2019 yêu cầu báo cáo hằng năm về việc sử dụng công nghệ này. Các ngân hàng cần phối hợp cơ quan quản lý để xây dựng các tiêu chuẩn xác thực chặt chẽ hơn.
The Financial Times khuyến cáo người dùng nên hạn chế đăng tải hình ảnh và video cá nhân lên mạng xã hội, vì đây là nguồn dữ liệu chính để tội phạm tạo ra deepfake. Các ngân hàng cũng cần triển khai các chiến dịch giáo dục để nâng cao ý thức bảo mật thông tin của khách hàng. Tuy nhiên, cuộc chiến này không chỉ là vấn đề công nghệ. Sự phối hợp giữa các ngân hàng, cơ quan quản lý và khách hàng là yếu tố then chốt. Các ngân hàng cần đầu tư vào đào tạo nhân viên để nhận biết các dấu hiệu lừa đảo, trong khi khách hàng cần chủ động bảo vệ thông tin cá nhân của mình.
