Lật tẩy thủ đoạn vượt sinh trắc học
Chỉ cần vài từ khóa trên các diễn đàn ngầm hoặc các nhóm Telegram, không khó để bắt gặp những lời quảng cáo như: "Bypass Face ID ngân hàng", "Fix sinh trắc học", "Tool chống phát hiện thiết bị", "Full bộ vượt eKYC", "Unlock Smart OTP"... Các bài đăng giới thiệu đây là những công cụ có thể hỗ trợ vượt qua một số bước xác thực điện tử, đi kèm lời mời chào hỗ trợ cài đặt từ xa, cập nhật phiên bản mới khi hệ thống bảo mật thay đổi. Giá mỗi bộ công cụ dao động từ vài triệu đến hàng chục triệu đồng, thậm chí được bán dưới dạng thuê bao theo tháng.
Khảo sát của phóng viên trên một số diễn đàn công nghệ ngầm và các nhóm kín trên Telegram cho thấy hoạt động mua bán diễn ra khá công khai. Trong vai người có nhu cầu mua phần mềm, phóng viên liên hệ với một tài khoản có tên "K.A". Chỉ sau vài tin nhắn, người này chuyển cuộc trò chuyện sang ứng dụng nhắn tin được mã hóa và giới thiệu nhiều "gói dịch vụ" khác nhau, từ công cụ giả lập môi trường thiết bị, che giấu dấu vết đến tiện ích hỗ trợ vượt một số bước xác thực điện tử. Để tạo lòng tin, đối tượng gửi hình ảnh giao diện phần mềm, video thao tác và ảnh chụp màn hình các giao dịch được cho là đã thực hiện thành công. Mặc dù không thể kiểm chứng những lời quảng cáo này, song thực tế các vụ án vừa được cơ quan công an triệt phá cho thấy việc sản xuất, mua bán các công cụ độc hại phục vụ hành vi phạm tội là hoàn toàn có thật.
Thực tế tìm hiểu cho thấy, các vụ chiếm đoạt tiền đều được thực hiện theo một quy trình khá chặt chẽ. Trước tiên, nạn nhân bị dụ cài đặt ứng dụng giả mạo cơ quan nhà nước, dịch vụ công, điện lực, giao hàng hoặc nhận ưu đãi. Sau khi người dùng cấp quyền trợ năng (Accessibility), điều khiển từ xa hoặc quyền cài đặt bổ sung, mã độc âm thầm chiếm quyền kiểm soát thiết bị.
Ở bước tiếp theo, phần mềm độc hại theo dõi thao tác của người dùng, đánh cắp thông tin đăng nhập, ghi nhận mã PIN, thu thập dữ liệu cá nhân, đọc tin nhắn chứa mã xác thực và duy trì kết nối với máy chủ của các đối tượng điều khiển. Khi đã kiểm soát hoàn toàn điện thoại, các đối tượng tiến hành thực hiện các giao dịch chuyển tiền. Nhiều nạn nhân chỉ phát hiện sự việc khi tiền trong tài khoản đã bị chuyển đi.
Anh Nguyễn Văn Hiệu (38 tuổi, phường Hà Đông, Hà Nội) cho biết sau khi nhận cuộc gọi tự xưng là cán bộ hỗ trợ cập nhật dữ liệu định danh, anh đã làm theo hướng dẫn, cài đặt ứng dụng từ đường link được gửi và thực hiện xác thực khuôn mặt mà không nghi ngờ. Đến ngày hôm sau, anh phát hiện tài khoản ngân hàng bị chuyển mất gần 180 triệu đồng. Điều khiến anh bất ngờ là các giao dịch vẫn được hệ thống ghi nhận đã xác thực bằng sinh trắc học, trong khi anh luôn nghĩ đây là lớp bảo mật gần như không thể bị qua mặt.
Trao đổi về vấn đề này anh Lý Bá Tuyền, kỹ sư công nghệ thông tin tại Hà Nội cho rằng, các vụ án vừa được triệt phá cho thấy mục tiêu của tội phạm không phải công nghệ sinh trắc học mà là thiết bị của người dùng. Khi điện thoại bị cài mã độc hoặc bị chiếm quyền điều khiển, nhiều lớp bảo mật của ứng dụng ngân hàng có thể bị vô hiệu hóa. Đáng lo ngại, một số biến thể mã độc còn có khả năng che màn hình, tự động thực hiện giao dịch, đọc tin nhắn, chặn thông báo từ ngân hàng và xóa dấu vết sau khi hoàn tất hành vi chiếm đoạt, khiến nạn nhân rất khó phát hiện.
Sự xuất hiện của các công cụ lợi dụng quy trình xác thực sinh trắc học cho thấy tội phạm công nghệ cao đang thay đổi phương thức hoạt động, từ các vụ lừa đảo đơn lẻ sang những đường dây có tổ chức, kết hợp phát triển mã độc, mua bán dữ liệu cá nhân và chiếm đoạt tài sản.
Cuộc đua bảo mật với tội phạm mạng
Những cảnh báo về nguy cơ tội phạm lợi dụng quy trình xác thực sinh trắc học không còn dừng ở mức dự báo. Chỉ trong thời gian ngắn, lực lượng Công an đã liên tiếp triệt phá hai đường dây quy mô lớn liên quan đến việc sản xuất, mua bán và sử dụng phần mềm độc hại nhằm hỗ trợ chiếm đoạt tài sản trong tài khoản ngân hàng.
Điển hình, ngày 26/6, Công an tỉnh Thanh Hóa cho biết đã triệt phá, bắt giữ ổ nhóm chuyên thu thập, tàng trữ, mua bán trái phép thông tin tài khoản ngân hàng và sử dụng công cụ công nghệ cao để thực hiện nhiều hành vi phạm pháp. Kết quả điều tra ban đầu xác định, đường dây do Nguyễn Tiến Đạt (sinh năm 2004, trú phường Long Biên, TP Hà Nội) cầm đầu, móc nối với nhiều đối tượng tại Hà Nội, TP Hồ Chí Minh, Bắc Ninh, Ninh Bình, Sơn La... hình thành mạng lưới thu gom tài khoản ngân hàng để mua bán kiếm lời.
Theo cơ quan điều tra, các đối tượng sử dụng một phần mềm (Tool) có khả năng can thiệp vào quy trình xác thực sinh trắc học. Sau khi được cài đặt, phần mềm có thể chiếm quyền điều khiển điện thoại, kiểm soát camera và tác động vào quá trình xác thực khuôn mặt. Khi hệ thống ngân hàng yêu cầu quét khuôn mặt để xác nhận giao dịch, phần mềm sẽ chặn tín hiệu từ camera thật, tự động truy cập thư viện ảnh trên điện thoại, lựa chọn ảnh chân dung của chính chủ tài khoản để thay thế hình ảnh được ghi nhận trực tiếp, qua đó vượt qua một số bước xác thực điện tử và chiếm quyền sử dụng tài khoản.
Sau khi kiểm soát được tài khoản, nhóm đối tượng sử dụng hoặc bán lại cho các đường dây đánh bạc, rửa tiền, lừa đảo và nhiều hoạt động phạm pháp khác trên không gian mạng. Chỉ tính từ tháng 9/2025 đến tháng 6/2026, Nguyễn Tiến Đạt cùng đồng phạm Hoàng Đức Mạnh (sinh năm 2004, cùng trú phường Long Biên, TP Hà Nội) đã thu thập, mua bán trái phép hơn 1.000 tài khoản ngân hàng, thu lợi bất chính hàng tỷ đồng. Đạt còn bán hoặc cho thuê các tài khoản này kèm theo công cụ vượt xác thực sinh trắc học cho mạng lưới "chân rết" tại nhiều tỉnh, thành. Cơ quan An ninh điều tra Công an tỉnh Thanh Hóa đã khởi tố vụ án, khởi tố 8 bị can về các tội thu thập, tàng trữ, trao đổi, mua bán trái phép thông tin tài khoản ngân hàng; xâm phạm trái phép mạng máy tính, mạng viễn thông hoặc phương tiện điện tử; sử dụng mạng máy tính, mạng viễn thông để chiếm đoạt tài sản.
Trước đó không lâu, Công an TP Hà Nội cũng bóc gỡ một đường dây khác chuyên sản xuất, mua bán và trao đổi phần mềm độc hại có khả năng hỗ trợ vượt qua hệ thống xác thực sinh trắc học của một số tổ chức tín dụng. Vụ việc được phát hiện khi lực lượng chức năng tiếp nhận phản ánh của nhiều khách hàng ngân hàng về việc bất ngờ mất quyền sử dụng thuê bao di động mà không rõ nguyên nhân. Việc bị chiếm quyền kiểm soát số điện thoại khiến các nạn nhân đồng thời mất khả năng quản lý tài khoản ngân hàng điện tử và sau đó phát hiện tiền trong tài khoản bị chuyển đi trái phép.
Quá trình điều tra, Phòng An ninh mạng và phòng, chống tội phạm sử dụng công nghệ cao phối hợp với Phòng Cảnh sát hình sự Công an TP Hà Nội xác định các đối tượng đã nghiên cứu, phát triển và mua bán phần mềm độc hại chuyên phục vụ hoạt động phạm tội. Những phần mềm này được thiết kế nhằm hỗ trợ các đối tượng vượt qua một số bước xác thực điện tử của tổ chức tín dụng, kết hợp với việc khai thác dữ liệu cá nhân, dữ liệu tài khoản ngân hàng và dữ liệu thuê bao viễn thông bị rò rỉ để thực hiện hành vi chiếm đoạt tài sản. Ngày 27/3/2026, Cơ quan Cảnh sát điều tra Công an TP Hà Nội đã ra quyết định khởi tố vụ án và khởi tố 5 bị can về tội "Sản xuất, mua bán, trao đổi hoặc tặng cho công cụ, thiết bị, phần mềm để sử dụng vào mục đích trái pháp luật".
Trước diễn biến này, Công an TP Hà Nội đã phát đi cảnh báo, cho biết, hoạt động mua bán dữ liệu cá nhân trên không gian mạng, đặc biệt là dữ liệu tài khoản ngân hàng và dữ liệu thuê bao di động vẫn diễn biến phức tạp. Khi để lộ hoặc bị chiếm quyền sử dụng số điện thoại, người dùng có nguy cơ mất quyền kiểm soát tài khoản ngân hàng và trở thành mục tiêu của các cuộc tấn công bằng phần mềm độc hại. Vì vậy, người dân cần nâng cao ý thức bảo vệ dữ liệu cá nhân, tuyệt đối không cài đặt ứng dụng không rõ nguồn gốc, không cung cấp thông tin tài khoản, mã OTP, hình ảnh khuôn mặt hoặc dữ liệu phục vụ xác thực sinh trắc học cho người lạ. Trường hợp phát hiện bị chiếm đoạt tiền do mất quyền sử dụng dịch vụ viễn thông hoặc xuất hiện các giao dịch bất thường, cần khẩn trương trình báo cơ quan Công an nơi gần nhất, đồng thời liên hệ ngay với ngân hàng để kịp thời phong tỏa tài khoản, ngăn chặn thiệt hại và phục vụ công tác truy vết, xử lý đối tượng vi phạm.
Tương tự, Cơ quan An ninh điều tra Công an tỉnh Quảng Trị cũng đã khởi tố vụ án, khởi tố bị can và tạm giam Trần Quang Trọng (26 tuổi), Nguyễn Minh Thuận (29 tuổi, cùng trú tại phường Diên Hồng, tỉnh Gia Lai), Lê Văn Kỷ (31 tuổi, trú tại TP Hồ Chí Minh ) và Hồ Đức Thế (36 tuổi, trú tại tỉnh Đắk Lắk) về các hành vi sử dụng mạng máy tính, mạng viễn thông, phương tiện điện tử để chiếm đoạt tài sản và rửa tiền.
Song song với việc lực lượng Công an liên tiếp triệt phá các đường dây phát triển, mua bán phần mềm độc hại, nhiều ngân hàng cũng đang tăng cường các lớp phòng vệ như phát hiện thiết bị can thiệp, nhận diện môi trường giả lập, phân tích hành vi giao dịch bất thường và ứng dụng trí tuệ nhân tạo để phát hiện sớm dấu hiệu gian lận. Tuy nhiên, trong cuộc đua với tội phạm công nghệ cao, công nghệ chỉ là một phần của giải pháp; sự cảnh giác và ý thức tự bảo vệ của mỗi người dùng vẫn là "lá chắn" quan trọng nhất để bảo vệ tài sản trên không gian số.