Hành Vi: Chứng Thực Mới Trong Kỷ Nguyên An Ninh Số

Chúng ta đang sống trong một giai đoạn chuyển đổi mô hình căn bản về cách chứng minh danh tính trực tuyến. Thay vì đặt câu hỏi "Bạn biết gì?" (mật khẩu, PIN, tên khai sinh của mẹ) hay "Bạn trông như thế nào?" (Face ID, vân tay), câu hỏi now trở thành "Bạn cư xử như thế nào?".

Sự bùng nổ của AI tạo sinh (Generative AI) và sự tiến hóa của các loại phần mềm độc hại như RAT (Trojan truy cập từ xa) đã cho phép tội phạm mạng mở rộng quy mô tấn công, thậm chí vượt qua các biện pháp bảo mật từng được coi là bất khả xâm phạm như Face ID hay xác thực đa yếu tố (MFA). Trước thực trạng đó, việc phân tích sinh trắc học hành vi đang dần trở thành tiêu chuẩn tại các ngân hàng – những đơn vị chịu trách nhiệm bồi thường thiệt hại nếu các biện pháp bảo mật không đủ sức chống lại các vector tấn công mới.

Lý thuyết Kiểm soát vận động Tính toán

Khi bạn cuộn qua một menu thả xuống hoặc kéo một thanh trượt trên điện thoại, não bộ của bạn đang thực hiện một vòng lặp phản hồi phức tạp, liên tục điều chỉnh các lỗi không đáng kể trong quá trình di chuyển của ngón tay ở từng mili-giây vô thức.

Mô hình hành vi cuộn của người dùng

Trong giai đoạn đầu, sinh trắc học hành vi tập trung vào việc phân biệt hành vi của con người và máy bot (bot). Tuy nhiên, các nhà nghiên cứu sớm nhận ra rằng công nghệ này cũng có thể áp dụng để phân biệt hành vi giữa từng người dùng với nhau.

Lý thuyết kiểm soát vận động tính toán – một lĩnh vực đa ngành kết hợp khoa học thần kinh, cơ sinh học và khoa học máy tính – cung cấp khung lý thuyết để các nhà nghiên cứu hiểu được những đặc điểm hành vi có tính phân biệt cao nhất của con người. Nghiên cứu chỉ ra rằng những gì chúng ta nghĩ là "khô khan như robot" – tức là những sự điều chỉnh thần kinh vô thức này – thực chất lại là yếu tố khiến hồ sơ hành vi của một người trở nên bất khả sao chép.

Một nghiên cứu năm 2012 của Đại học California tại Berkeley mang tên Touchalytics đã chứng minh rằng chỉ sau 11 cú vuốt (scroll stroke), các mô hình hành vi có thể xác định chính xác một người dùng cụ thể trong nhóm mà không gặp sai sót.

Những "Dấu hiệu" Kỹ thuật số

Nghiên cứu của Berkeley đã xác định 30 đặc điểm hành vi độc đáo trong thói quen cuộn trang của mỗi người, bao gồm độ dài cú vuốt, quỹ đạo, vận tốc, hướng, độ cong, thời gian giữa các cú vuốt và thậm chí cả vùng ngón tay tiếp xúc với màn hình.

Đặc điểm hình học của cú vuốt

Ví dụ, một số người dùng dừng hẳn việc di chuyển khi nhấc ngón tay ra khỏi màn hình cuối một cú vuốt. Những người khác lại nhấc ngón tay trong khi vẫn đang di chuyển, kiểu mà các nhà khoa học gọi là cuộn "đạn đạo" (ballistic scroll).

Tuy nhiên, trí tuệ hành vi không chỉ dừng lại ở việc cuộn trang. Nhịp độ gõ phím, cách điều hướng giữa các trường nhập liệu, hay những sự thay đổi không đáng kể trong cách cầm điện thoại đều là những yếu tố giúp phân biệt người dùng này với người dùng khác.

Cuộc đua vũ trang AI

Một số tín hiệu hành vi nếu đứng riêng lẻ có thể giúp ngân hàng phát hiện gian lận rõ ràng. Ví dụ, một thiết bị bị để ngược trong lúc thực hiện giao dịch là một tín hiệu đỏ lớn. Tốc độ gõ phím siêu phàm, chuyển động con trỏ quá thẳng tắp, hoặc thiết bị khởi tạo giao dịch khi vẫn đang ở chế độ khóa màn hình cũng có thể kích hoạt cảnh báo.

Tuy nhiên, hệ thống sinh trắc học hành vi tiên tiến hơn nhiều so với các hệ thống dựa trên quy tắc (rule-based). Sử dụng đại số tuyến tính và thống kê, các mô hình AI có thể kết hợp các tín hiệu giao diện người - máy tinh tế để tạo ra các mô hình đặc thù cho từng người dùng, giúp xác thực liên tục ngay cả khi họ đã vượt qua các cổng kiểm tra tại một thời điểm cụ thể như đăng nhập hay FaceID.

Tại Trung tâm Xuất sắc AI AppGate, nơi tôi làm việc sebagai kỹ sư máy học, chúng tôi đào tạo các mô hình hành vi dựa trên dữ liệu cảm biến của điện thoại. Các mô hình này cho phép chúng tôi cung cấp phân tích trực xem liệu các thao tác trên thiết bị của bạn có thực sự do bạn thực hiện hay không.

Các mô hình phát hiện bất thường đặc thù của người dùng, kết hợp với các tín hiệu quy tắc toàn cầu, giúp các ngân hàng bảo vệ trước các cuộc tấn công Chiếm đoạt Tài khoản (ATO) và Chiếm đoạt Thiết bị (DTO). Trong nhiều trường hợp, mô hình hành vi mang lại sự bảo vệ tốt hơn so với các marker sinh trắc học truyền thống như vân tay hay công nghệ nhận diện khuôn mặt.

Chuỗi cung ứng Tội phạm Mạng

Người cao tuổi là đối tượng chịu ảnh hưởng nhiều nhất từ các cuộc tấn công ATO hoặc lừa đảo danh tính. đợt tấn công truyền thống thường là một quy trình đa bước, liên quan đến nhiều thực thể, thường bắt đầu từ một URL lừa đảo (phishing) hoặc kỹ thuật xã hội (social engineering) qua điện thoại. Tội phạm thu thập thông tin đăng nhập của nạn nhân và bán chúng cho các tổ chức tội phạm khác trên các chợ dark web khổng lồ, như Genesis Market – một diễn đàn dark web từng lưu trữ hơn 80 triệu thông tin đăng nhập bị đánh cắp từ hơn 2 triệu người.

Màn hình chụp trang web tội phạm Genesis Market

Những "dấu vân tay số" này được trao đổi trên thị trường như một hàng hóa thông thường, thường thay đổi chủ nhiều lần trước khi đến tay nhà phát triển hoặc bot thực sự cố gắng hack vào tài khoản của bạn. Chuỗi cung ứng phức tạp này khiến cơ quan chức năng khó bắt giữ thủ phạm hơn nhiều sau khi gian lận được báo cáo.

ATO thông thường có nghĩa là tội phạm vượt qua xác thực tại thời điểm (đăng nhập) từ một thiết bị riêng biệt, thường không được ngân hàng biết đến. Tuy nhiên, xu hướng đáng lo ngại hơn đang xuất hiện khi tội phạm có thể làm vô hiệu hóa ngay cả các phương pháp này.

Các bề mặt tấn công mới

Hiện nay đã tồn tại phần mềm độc hại có thể chặn các biểu mẫu trực tuyến, ghi lại phím bấm từ xa, và thậm chí hack trực tiếp vào điện thoại để chặn MFA trong cái được gọi là Chiếm đoạt Thiết bị (DTO) – "người họ hàng" đáng sợ của ATO. Với sự trỗi dậy của AI tạo sinh, nỗi lo rằng tội phạm mạng mới chỉ đang bắt đầu đã trở thành hiện thực.

Ví dụ, một công cụ deepfake được sử dụng trong thế giới tội phạm mạng gọi là ProKYC cho phép các mối đe dọa đánh bại xác thực hai yếu tố, nhận diện khuôn mặt và thậm chí cả kiểm tra xác minh trực tiếp bằng video deepfake. Một loại RAT nổi tiếng gọi là BingoMod, được phân phối qua smishing (URL lừa đảo qua SMS), ngụy trang dưới dạng ứng dụng chống vi-rút hợp pháp trên điện thoại Android. Nó tận dụng các quyền trên thiết bị để cho phép kẻ tấn công từ xa âm thầm đánh cắp thông tin nhạy cảm như thông tin đăng nhập và tin nhắn SMS, cũng như thực hiện chuyển tiền khởi nguồn từ chính điện thoại bị nhiễm.

Khi thiết bị đã bị xâm phạm, tất cả các hình thức xác thực truyền thống của ngân hàng đều nằm dưới sự kiểm soát hoàn toàn của kẻ tấn công. Từ góc nhìn của ngân hàng, dấu vân tay thiết bị là đúng, địa chỉ IP là đúng, mã MFA và ứng dụng xác thực đều khớp. Do sự trỗi dậy của kỹ thuật xã hội, ngay cả các câu hỏi bảo mật cũng chẳng mang lại sự an tâm nào.

Điều này ngụ ý rằng biện pháp bảo vệ duy nhất chống lại tội phạm mạng là tính xác thực của hành vi con người.

Xác thực liên tục, ít gián đoạn hơn

Sự tinh vi ngày càng tăng trong các cuộc tấn công mạng, và lần lượt là an ninh mạng tiên tiến hơn, đã dẫn đến một kết quả tích cực cho khách hàng ngân hàng trực tuyến: trải nghiệm người dùng tốt hơn.

Vì các mô hình hành vi có thể xác thực người dùng liên tục, nhu cầu gửi liên tục mã MFA hay OTP sẽ giảm xuống, giúp phiên làm việc ngân hàng hợp lý diễn ra suôn sẻ hơn nhiều cho khách hàng.

Hệ thống sinh trắc học hành vi cho phép giảm thiểu sự gián đoạn trải nghiệm người dùng đồng thời cung cấp mức độ bảo mật cao hơn. Sản phẩm tôi hiện đang làm việc, có tên là 360 Risk Control, kết hợp các tín hiệu từ phát hiện bot, thông tin thiết bị, mô hình sinh trắc học hành vi trên máy tính để bàn và thiết bị di động thành một phân tích đánh giá rủi ro liên tục duy nhất. Phân tích này chạy trong suốt mọi phiên ngân hàng, lâu sau khi xác thực tại thời điểm (ví dụ: đăng nhập, FaceID) đã hoàn tất.

Khi tín hiệu rủi ro tăng cao, hệ thống có thể nâng cấp xác thực, yêu cầu xác minh bổ sung hoặc thậm chí dừng giao dịch hoàn toàn. Nhưng khi hành vi khớp với hồ sơ đã thiết lập của người dùng, phiên làm việc sẽ tiếp diễn liền mạch.

Theo cách này, sinh trắc học hành vi đại diện cho một sự thay đổi lớn: từ chủ động (người dùng được yêu cầu làm gì đó) sang thụ động (hành vi tự nhiên trở thành chứng thực), từ xác thực tại thời điểm sang xác thực liên tục, và từ trải nghiệm người dùng bị phân mảnh sang quy trình làm việc nội tại và an toàn.