USA Người VN trong nước chán nản vì hệ thống ngân hàng suy sụp do lỗi sinh trắc học

[Gibbs]

Không xác thực sinh trắc học được qua app, Nhiều người dân đổ dồn về các ngân hàng để xác thực
Trong sáng 2-7, tại các phòng giao dịch của các ngân hàng có rất đông người dân đến giao dịch. Do lượng khách hàng đông nên nhiều người phải chờ đợi rất lâu.
Lý do là vì nhiều người dân chưa thể xác thực sinh trắc học nên buộc phải đến ngân hàng để chờ hướng dẫn và chuyển tiền.

"Xác thực sinh trắc học", "quét NFC" trở thành hai trong số những cụm từ khóa hiển thị nhiều nhất trên mạng xã hội ở Việt Nam những ngày gần đây, đặc biệt khi 1.7 là ngày đầu tiên quy định buộc phải xác thực sinh trắc học với ngân hàng khi chuyển tiền quá 10 triệu đồng bắt đầu có hiệu lực. Trong nhiều bài đăng trên các nhóm cộng đồng ở Facebook, người dùng cho biết dù nỗ lực nhưng họ vẫn chưa thể quét NFC thành công mà không rõ lý do bắt nguồn từ chip trên thẻ căn cước công dân (CCCD), trên điện thoại hay vấn đề từ ứng dụng của ngân hàng.

Hà Quang Minh:
Mọi người than phiền cập nhật sinh trắc trên ứng dụng của Vietcombank rắc rối này kia, mình đã định bênh vì mình làm có 1 phút là xong, nhanh gọn.
Nhưng đến giờ thì đúng là chả dám bênh. Ngay ngày đầu tiên áp dụng sinh trắc học thì sập cmn ứng dụng luôn.
Sinh trắc học như ccc mặt chính chủ vẫn báo sai méo ck đc

Lang Trieu:
Thật sự stress và phát rồ lên với sinh trắc học ngân hàng.
từ sáng đến đêm cứ nhập, nhập, quét quét... cứ đến bước cuối cùng thì lỗi hệ thống, lỗi hết thời hạn đăng nhập. Rồi cũng đến công đoạn thông báo hoàn thành ,cơ mà khoan ….

Theo Quyết định số 2345 của Ngân hàng Nhà nước, kể từ ngày 01/07/2024, một số loại giao dịch trực tuyến của khách hàng cá nhân bắt buộc phải xác thực bằng dấu hiệu nhận dạng sinh trắc học bao gồm:
+ Chuyển tiền trên 10 triệu đồng hoặc cộng dồn trong ngày trên 20 triệu đồng
+ Thanh toán hóa đơn hàng hóa dịch vụ trên 100 triệu đồng/ngày
+ Đăng ký mới Digibank hoặc chuyển đổi thiết bị sử dụng Digibank
+ Và một số loại giao dịch khác.

Nguyễn Ngọc Hiền, nhân viên văn phòng (quận Bình Chánh, TPHCM), nói 3 ngày qua liên tục vào ứng dụng ngân hàng để thao tác làm xác thực sinh trắc nhưng không thành công. Do đó, chị quyết định sẽ đến ngân hàng vào ngày 1/7 để nhờ nhân viên ngân hàng hỗ trợ.

"Tôi đã thao tác nhiều lần, có lần làm NFC (Near- Field Communications - kết nối không dây trong phạm vi ngắn) báo thành công nhưng đến đoạn chụp ảnh căn cước công dân (CCCD) mặt sau thì ứng dụng bị treo. Ban đầu, tôi tưởng do kết nối mạng chập chờn nhưng đã thử kết nối 4G cũng không thành công", chị Hiền nói.

Tại quầy giao dịch của một ngân hàng quốc doanh chiều 1/7, anh Minh Quang (quận Nhà Bè, TPHCM) bức xúc vì ứng dụng của ngân hàng liên tục lỗi khi xác thực sinh trắc. Anh buộc phải xin nghỉ phép để ra ngân hàng nhờ nhân viên hỗ trợ. Sau đó việc cập nhật chỉ mất 5 phút là hoàn thành.

Phạm Ngọc Giang, nhân viên văn phòng (quận Thanh Xuân, Hà Nội) cũng xin đi làm muộn sáng 1/7 để ra ngân hàng cập nhật sinh trắc học. Giang nói những ngày qua đã thử đăng ký nhiều lần trên app ngân hàng nhưng chưa thành công. Cô tự thao tác, sau khi hoàn thành bước chụp ảnh CCCD, iPhone 15 Plus của cô liên tục báo lỗi dù đã thay đổi vị trí quét NFC.

"Tôi gọi lên ngân hàng và được hướng dẫn chi tiết nhưng vẫn không thành công. Tổng đài viên xác nhận nhiều người cũng gặp trường hợp tương tự và gợi ý tôi đến quầy giao dịch để được hướng dẫn chi tiết hơn", Giang kể.

Trong khi đó, một số khách hàng khác cũng đang "nước rút" xác thực sinh trắc học song app ngân hàng quá tải, không cho cập nhật. Trên các diễn đàn ngân hàng, không ít người thông tin quét được khuôn mặt thì hệ thống báo lỗi.

Chị Ngọc Trâm (quận 1, TP.HCM) cho biết mở ứng dụng Vietcombank vào lúc 9h30 để chuyển khoản cho shipper nhưng khá trầy trật. Sau ba lần thất bại không nhận diện được gương mặt, chị Trâm mới đăng nhập được ứng dụng. Tuy nhiên, khi mở tính năng quét mã QR để chuyển tiền, ứng dụng bị đơ, không thấy phản hồi nhận mã.

"Tôi cố gắng thử lại, đã quét được số tài khoản nhận, ngân hàng nhận và sau đó tôi đợi khoảng 1 phút sau mới hiện ra tên người nhận. Bước nhập mã smart OTP cũng phải đợi khoảng 1 phút mới hoàn thành. So với trước kia ứng dụng rất nhạy chứ không bị ngập ngừng như vậy", chị Trâm kể.

Sau đó khoảng nửa tiếng, chị Trâm tiếp tục chuyển khoản nhưng "cứ mở ứng dụng Vietcombank là bị "đá" ra ngoài, kèm theo thông báo phiên đăng nhập hết hạn. Tôi đành phải nhờ đồng nghiệp chuyển ví điện tử giùm", chị Trâm nói.

Nhiều người dùng khác cũng phản ánh tình trạng không truy cập được ứng dụng Vietcombank trong nhiều giờ buổi sáng 1-7. "Dịch vụ không thực hiện trong lúc này. Quý khách vui lòng thử lại sau", "Yêu cầu của quý khách đến hệ thống tạm thời gián đoạn. Vui lòng thử lại sau"... là những thông báo nhiều người dùng nhận được khi mở app Vietcombank trong sáng 1-7.

Với những trường hợp chưa "quét" thông tin sinh trắc học trước đó còn gian nan hơn. Chị Vy (quận Bình Thạnh, TP.HCM) cho hay trước đó đã tranh thủ thanh toán hết các khoản cần chuyển nên đến 1-7 chị vẫn chưa cập nhật thông tin CCCD trên ứng dụng ngân hàng. Bất ngờ sáng 1-7 có khoản phát sinh cần thanh toán, chị mới cập nhật nhưng quá gian nan.

Theo chị Vy, ở bước 1 chụp ảnh mặt trước CCCD và quét mã QR khá dễ. Nhưng đến khi đọc chip NFC, dù đã xem đi xem lại phần hướng dẫn, chị Vy vẫn thực hiện không thành công. Sau đó, chị phải tra hàng loạt hướng dẫn với từng dòng điện thoại và đã thành công.

"Tuy nhiên chưa kịp mừng, đến khâu chụp ảnh mặt sau CCCD xong thì bỗng dưng app ngân hàng đứng hình và thông báo "Dịch vụ không thực hiện được trong lúc này. Quý khách vui lòng thực hiện lại sau hoặc liên hệ tổng đài để được hỗ trợ"", chị Vy phản ánh.


Chiều 2/7, Công an TP Hồ Chí Minh cho biết, đã xuất hiện tình trạng các đối tượng lừa đảo giả danh nhân viên ngân hàng liên hệ để “hỗ trợ” cài đặt sinh trắc học và thực hiện chiếm đoạt tài sản, thông tin của khách hàng.
Cụ thể, các đối tượng liên hệ khách hàng bằng các hình thức như, gọi điện, nhắn tin, kết bạn qua các mạng xã hội (Zalo, Facebook…) để hướng dẫn thu thập thông tin sinh trắc học. Tiếp đó, bọn chúng yêu cầu khách hàng cung cấp thông tin cá nhân, thông tin tài khoản ngân hàng, hình ảnh căn cước công dân, hình ảnh khuôn mặt khách hàng để được hỗ trợ. Đối tượng có thể yêu cầu cuộc gọi video để thu thập thêm giọng nói, cử chỉ.
Chưa dừng lại, đối tượng còn đề nghị người dân truy cập vào đường link lạ để tải và cài đặt ứng dụng hỗ trợ thu thập sinh trắc học trên điện thoại. Sau khi lấy được thông tin của nạn nhân, bọn chúng chiếm đoạt tiền trong các tài khoản ngân hàng và sử dụng thông tin của khách hàng vào các mục đích xấu.


Thời gian qua trên địa bàn một số tỉnh, thành phố có xuất hiện tình trạng các đối tượng tội phạm dụ dỗ học sinh, sinh viên mở tài khoản thanh toán, sau đó chuyển lại cho các đối tượng này sử dụng. Các đối tượng tội phạm lôi kéo, dụ dỗ học sinh, sinh viên đã được cấp CCCD mở tài khoản thanh toán và trả công cho người mở. Đối tượng cung cấp cho học sinh điện thoại sẵn sim để đăng ký mở tài khoản thanh toán và dịch vụ Internet Banking, SMS Banking.
Sau đó, các đối tượng yêu cầu học sinh trả lại điện thoại, cung cấp thông tin trên, mật khẩu đăng nhập, mật khẩu xác thực (OTP)… các đối tượng này cũng thu thập dữ liệu sinh trắc học (khuôn mặt) của các học sinh (Face ID) để phục vụ xác minh danh tính của khách hàng khi có yêu cầu. Các tài khoản này sau đó thường được lợi dụng vào các mục đích vi phạm pháp luật như rửa tiền, trốn thuế, lừa đảo chiếm đoạt tài sản, tài trợ khủng bố…

Từ ngày 1/7/2024 vừa qua, chính quyền lại tiếp tục giao cho Bộ Công an làm lại Thẻ căn cước mới trong đó có thu thập sinh trắc học của công dân (kể cả trẻ em) là: dấu vân tay, mống mắt và ADN (không bắt buộc). Còn phía ngân hàng thì buộc phải xác nhận khuôn mặt tức thời nếu chuyển khoản online từ 10 triệu đồng trở lên.
Tại sao không phải là một phương án khác để chống lừa đảo mà cứ phải là lấy dữ liệu sinh trắc học của công dân ra? Liệu bằng cách này có hạn chế được tình trạng lừ đảo hay không hay lại mở đường cho tình trạng lừa đảo tinh vi hơn?
Câu hỏi được đặt ra là, nhà cầm quyền và ngân hàng lấy gì ra để đảm bảo dữ liệu của công dân? Nếu dữ liệu sinh trắc bị lộ, trách nhiệm của chính quyền và ngân hàng thế nào; ai, cơ quan nào sẽ phải chịu trách nhiệm, chế tài xử phạt ra sao?
Nếu cứ leo thang dần dần, nhà cầm quyền còn muốn thu thập dữ liệu của công dân đến mức độ nào? Rồi sau này lại tiếp tục bắt công dân phải cung cấp AND, dữ liệu gen hay sao? Đến lúc đó cũng chưa thỏa mãn thì muốn người dân phải cung cấp dữ liệu nào nữa?
Một chính quyền hoạt động hiệu quả là phải bảo vệ được dữ liệu cá nhân cho người dân, đồng thời thu thập tối thiểu dữ liệu cá nhân, để đảm bảo cho công dân của mình vừa được an toàn và được tự do.
Chứ không phải cái gì cũng đè dân ra để làm, để thu thập hết dữ liệu cá nhân của người dân, mà sau đó nhà cầm quyền lại không phải chịu trách nhiệm và không biết mình làm thế thực sự có hiệu quả hay không?
Gia Minh

Dương Quốc Chính: Sinh trắc học với tài khoản ngân hàng
Ngày 1/7 là ngày áp dụng quy định này và mình cũng đã phải cập nhật tài khoản ngân hàng, dù tiền giao dịch cũng ít! Báo chí nói chung cũng không nói cụ thể xem việc này để làm gì, chỉ nói chung chung là tăng mức độ bảo mật, chống lại việc bị hack tài khoản… Vậy việc cập nhật sinh trắc học này có ý nghĩa gì, phục vụ ai? Ai có lợi nhất?
Thông thường, có mấy kiểu mất tiền bởi hacker, thông qua việc chuyển khoản qua internet. Phổ biến nhất là việc bị lộ mật khẩu của tài khoản giao dịch ngân hàng điện tử (internet banking), thế là hacker chuyển tiền phà phà.
Nhưng kiểu trên bây giờ rất khó thực hiện, khi người ta bảo mật hai lớp bằng cách dùng thêm mã OTP nhắn qua số điện thoại hoặc OTP tự động sinh ra từ app của ngân hàng có trên điện thoại.
Dùng OTP qua tin nhắn thì vừa tốn tiền và vừa dễ bị lừa tiếp thông qua việc hacker fake được cái tổng đài nhắn tin. Đại khái là nó nhận được mã OTP xịn của bank mà nạn nhân không biết. Còn nếu dùng OTP sinh ra từ app trên đt thì có lẽ chưa có cách hack?
Trò này được áp dụng khá rộng rãi rồi, không chỉ ngân hàng, mà cả để bảo mật tài khoản Facebook, dùng các app như Google Authenticator để tự động tạo mã thứ hai, ngoài mật khẩu tài khoản. Gọi chung là bảo mật hai lớp.
Như vậy, khi dùng tới smart OTP kể trên thì khả năng hack được app ngân hàng là rất khó rồi. Hack được chỉ là khi hacker chiếm được toàn quyền điều khiển cái điện thoại của bạn. Trường hợp này sẽ xảy ra bởi 1 trong 3 tình huống.
Một là, hacker điều khiển điện thoại từ xa, trò này cũng không phải dễ đâu, không như làm trên máy tính, nhất là với iPhone thì không được, hoặc điện thoại Android mà không bật tính năng mở rộng, cho cài app ngoài CH play, để app nào đó được can thiệp sâu vào hệ thống… (tức là cứ để mặc định mà dùng). Khó ở chỗ hacker phải cài được app nào đó vào máy bạn và điều khiển từ xa thông qua app đó. Thường phải ng* lắm, hoặc bị khống chế, cho mượn điện thoại, thì mới bị thế thôi.
Hai là, bị cướp điện thoại, tức là khống chế vật lý chứ chả cần hack mẹ gì. Nó bảo làm gì thì làm theo.
Ba là nạn nhân bị thao túng tâm lý để tự nguyện chuyển tiền.
Với ba tình huống phổ biến trên thì sinh trắc học sẽ giải quyết được vấn đề gì?
Trường hợp 1, hacker sẽ rất khó để thực hiện hành vi chuyển tiền, nó mất thêm một công đoạn nữa là fake cái ảnh mặt nạn nhân để qua bước quét khuôn mặt (hôm qua có nhà báo test thử rồi, fake khuôn mặt bằng ảnh vô tư!). Thế nên hiện tại thì sinh trắc học không có hiệu quả tuyệt đối, ít nhất là cho đến khi ngân hàng có app xịn hơn, khó bị lừa. Với vụ này thì vân tay và mống mắt sẽ khó fake hơn và app ngân hàng sau này có thể cập nhật thêm tính năng sinh trắc học này (hiện mới có nhận dạng khuôn mặt). Lưu ý là trường hợp 1 là rất khó xảy ra rồi nhé! Tức là sinh trắc học với tình huống này không cần lắm.
Trường hợp bị cướp, thì sinh trắc học cũng có thể dễ dàng bị dùng bởi cướp, do nó khống chế nạn nhân, bắt phải thò mặt, vân tay, mống mắt ra để xác nhận. Nên sinh trắc học cũng vô ích. Còn trường hợp nữa là chỉ bị cướp, mất điện thoại, mà nạn nhân không bị khống chế, nếu điện thoại không có mật khẩu đủ mạnh, thằng cướp nó điều khiển được như hacker, thì sinh trắc này còn có tác dụng. Nhưng tầm này làm gì có thằng ng* nào không có password cho smartphone? Nên tình huống này hiếm gặp.
Trường hợp 3, bị thao túng tâm lý, thì giống bị cướp, nó bảo gì chả làm, nên coi như sinh trắc học vô nghĩa.
Như vậy, với các tình huống nêu trên thì sinh trắc học không có mấy tác dụng. Nó chỉ tác dụng nhiều trong tình huống hiếm khi xảy ra, tức là cũng gần như vô dụng! Đó là trường hợp nạn nhân mất điện thoại và password ngân hàng mà điện thoại không cài password luôn! Hoặc tình huống bị hack khi dùng OTP qua SMS. Còn khi đã dùng smart OTP thì gần như chắc chắn không thể bị hack tài khoản nữa. Nên sinh trắc học cũng không cần thiết.
Việc nhận dạng khuôn mặt này rất không cần thiết vì thực tế khi dùng iPhone mình cũng bật chế độ nhận dạng khuôn mặt khi xác nhận chuyển tiền rồi. Bên Android thì khả năng này hơi kém nên có thể dùng vân tay. Tức là đã dùng sinh trắc học nhưng ở trên điện thoại mình thôi. Hãng Samsung và Apple chắc cũng thu thập thông tin này thay vì Bộ Công an.
Vậy người ta bắt dùng sinh trắc học để làm gì? Ai thực sự có lợi?
Thực ra là Bộ Công an muốn kiểm soát nguồn gốc của dòng tiền chuyển qua ngân hàng điện tử mà thôi. Lúc đó ngân hàng sẽ lưu vết ai thực sự đã chuyển và nhận tiền (chỉ sai lệch nếu bị cướp khống chế như kể trên). Thường hacker nó cũng chuyển tiền lòng vòng qua một số tài khoản trung gian, công an sẽ biết được ai là chủ tài khoản đó, biết mặt luôn.
Ngoài ra, việc này nó giống như định danh biển số xe. Công an sẽ nắm được ai đang điều khiển chiếc xe chỉ thông qua việc nhận diện biển số. Ở đây, Công an có thể truy tìm con người thông qua việc chuyển tiền.
Tóm lại là Bộ Công an có lợi nhất, chuyện này nằm trong chiến lược kiểm soát người dân, cùng với định danh biển số và gia tăng thông tin cá nhân cần lưu vào CCCD. Việc này có cái hay cho Bộ Công an nhưng có rủi ro khi bị lộ, rò rỉ thông tin. Tất nhiên, Công an dễ kiểm soát công dân thì cũng có cái hay, có cái dở. Người dân cảm thấy mất tự do hơn nhưng Công an truy tìm tội phạm cũng nhanh hơn. Đây là câu chuyện dài và là đề tài khác. Mình không bàn sâu ở đây.
*P/S: Ý mình chỉ ngắn gọn là nếu đã dùng smart OTP rồi thì gần như không thể bị hack tài khoản ngân hàng nữa. Khi đó sinh trắc này cũng chả để làm gì để hạn chế việc bị hack. Thế nên sinh trắc học này chủ yếu để nhận diện người nhận và người gửi tiền, để phục vụ các mục đích khác, nhiều hơn là để chống hack tài khoản ngân hàng.
Trong đó việc này dùng để xóa bỏ các tài khoản ngân hàng ảo khi giao dịch các khoản tiền lớn, còn tiền nhỏ vẫn không ảnh hưởng. Thực tế trước đến giờ, bọn hacker vẫn hay có trò rửa tiền hack được bằng cách dùng để mua phần mềm, các gói dịch vụ online, rồi nhận tiền từ khách mua. Có nghĩa là bản chất là tiền bị hack không được chuyển cho ai (tránh bị truy vết) mà chỉ mua sản phẩm/ dịch vụ online.