Có một câu hỏi mà Thượng tá Triệu Mạnh Tùng, Phó Cục trưởng Cục An ninh mạng và phòng, chống tội phạm sử dụng công nghệ cao (A05), Bộ Công an cho biết ông nghe rất nhiều lần, từ chính người thân của các nạn nhân lừa đảo: "Tại sao Công an có đủ tên, tuổi, địa chỉ của kẻ lừa đảo mà vẫn không ngăn được?"

Tính đến nay, dữ liệu định danh hiện nay của hệ thống tài chính Việt Nam đã khá đầy đủ. Toàn bộ tài khoản thanh toán ngân hàng đã được làm sạch và đối chiếu với cơ sở dữ liệu dân cư, bảo đảm bất kỳ tài khoản nào cũng có thể truy nguyên danh tính. Tài khoản chứng khoán cũng đều phải xác thực định danh. Và từ năm 2024, giao dịch chuyển tiền trên 10 triệu đồng bắt buộc xác thực sinh trắc học bằng khuôn mặt.

Thế nhưng, tính đến năm 2025, toàn quốc vẫn ghi nhận hơn 4.200 vụ lừa đảo trực tuyến. Con số thực tế còn lớn hơn nhiều, bởi rất nhiều nạn nhân không trình báo. Câu trả lời cho nghịch lý đó, theo Thượng tá Triệu Mạnh Tùng, không nằm ở chỗ công nghệ chưa đủ tốt, mà ở chỗ chúng ta đang bảo vệ sai đối tượng.

Thượng tá Triệu Mạnh Tùng, Phó Cục trưởng Cục An ninh mạng và phòng, chống tội phạm sử dụng công nghệ cao (A05)

Tội phạm đã thôi tấn công ngân hàng, chúng tấn công bạn

Có một xu hướng mà lực lượng Công an theo dõi từ nhiều năm qua, và hiện nay đã rõ ràng: tỉ lệ tội phạm tấn công trực tiếp vào hệ thống thông tin của ngân hàng hay công ty chứng khoán để chiếm đoạt tài sản đang ngày càng thấp.

Thay vào đó, các nhóm tội phạm nhắm thẳng vào người dân, vào chính những khách hàng của các tổ chức tài chính đó. Họ không cần bẻ khóa hệ thống bảo mật triệu đô khi có thể gọi điện cho bạn, xưng là cán bộ thuế, và hướng dẫn bạn tự chuyển tiền sang tài khoản của chúng.

Hệ thống kiểm tra sinh trắc học lúc này xác nhận đúng người thực hiện giao dịch, nhưng có điều hệ thống không biết người dùng đang bị thao túng.

Vũ khí của tội phạm không phải phần mềm, mà là niềm tin

Điều khiến rất nhiều nạn nhân mất tiền không phải là họ thiếu cảnh giác theo cách thông thường. Họ bị mất tiền vì đã được thuyết phục một cách có hệ thống rằng người đang liên hệ là cơ quan nhà nước.

Theo Thượng tá Mạnh Tùng, rất nhiều người băn khoăn đặt câu hỏi: tại sao khi đối tượng lừa đảo gọi đến, chúng biết tên, địa chỉ, năm tuổi, thậm chí thông tin gia đình của họ? Chính sự hiểu biết đó tạo ra niềm tin. Khi người gọi xưng là nhân viên thuế và đọc vanh vách địa chỉ nhà bạn, ngày sinh bạn, tên bố mẹ bạn, phản ứng tự nhiên của não người là tin đây là người quen biết thông tin về mình, tức là người có thẩm quyền.

Dữ liệu cá nhân bị rò rỉ từ nhiều nguồn khác nhau đã trở thành nguyên liệu thô cho ngành công nghiệp lừa đảo. Và đây là cuộc tấn công tâm lý, không phải tấn công kỹ thuật.

Kịch bản thay đổi nhanh hơn giải pháp

"Các kịch bản của tội phạm thay đổi liên tục. Việc viết kịch bản lừa đảo đã trở thành một nghề kiếm tiền", ông cho biết. Tội phạm bây giờ chuyên môn hóa cao độ, có những nhóm chỉ chuyên soạn kịch bản, được thuê bởi các nhóm khác chuyên thực hiện cuộc gọi.

Sự thích nghi này diễn ra theo thời gian thực. Ngay khi nhà nước ban hành quy định mới về thuế hay chuyển đổi chính sách, lập tức xuất hiện kịch bản giả mạo cơ quan thuế hoặc điện lực để lợi dụng sự bỡ ngỡ của người dân trước quy định mới. 

Công nghệ giả mạo hình ảnh cho phép chúng mạo danh người có thẩm quyền qua video call. Ứng dụng độc hại lừa người dùng cài vào điện thoại giúp chúng điều khiển thiết bị từ xa. Thậm chí, một số tổng đài tội phạm đã ứng dụng trí tuệ nhân tạo để thực hiện các cuộc gọi tự động nhằm thu thập thông tin và lừa đảo ở quy mô chưa từng có.

Ông không ngại dùng một phép so sánh đáng lo: lừa đảo trực tuyến trên toàn cầu đang trở thành một ngành công nghiệp. Xung quanh Việt Nam đã hình thành các tập đoàn tội phạm có tổ chức với quy mô hàng nghìn người, hoạt động như doanh nghiệp với phân công lao động rõ ràng và hạ tầng chuyên nghiệp.

DSC_8671

Phòng thủ đúng chỗ: Không chỉ xác thực ai, mà xác thực điều gì đang xảy ra

Vấn đề, theo Thượng tá Mạnh Tùng, không phải là công nghệ xác thực hiện nay quá yếu. Vấn đề là chúng ta đang xác thực sai thứ.

Định danh tài khoản xác nhận rằng tài khoản đó thuộc về người thật, có tên tuổi địa chỉ đầy đủ. Sinh trắc học xác nhận rằng người đang ngồi trước màn hình là chủ tài khoản. Nhưng không có cơ chế nào hiện nay xác nhận rằng người đó đang hành động tự nguyện, tỉnh táo và không bị thao túng.

Ông đề xuất hướng đi: hệ thống cần nhận diện hành vi bất thường, không chỉ thiết bị hay danh tính. Cần phát hiện các yếu tố bất thường trong bối cảnh giao dịch, chẳng hạn một người cao tuổi chưa bao giờ chuyển tiền số lớn bỗng nhiên chuyển toàn bộ tiết kiệm trong một buổi chiều. Cần trang bị cho khách hàng công cụ dừng lại và kiểm tra trước khi nhấn xác nhận. Và quan trọng hơn, cần có khả năng phát hiện dấu hiệu khách hàng đang bị thao túng để can thiệp kịp thời.

Điều kiện kỹ thuật để làm điều này, ông cho biết, đã sẵn sàng: dữ liệu lớn, trí tuệ nhân tạo, và cơ sở pháp lý đang dần được hoàn thiện. Điều còn thiếu là sự dịch chuyển tư duy, từ bảo vệ hệ thống sang bảo vệ người dùng.

***

"Tại sao công nghệ an toàn như vậy mà bây giờ vẫn mất tiền? Nếu mất tiền như vậy thì người dân có thể tin vào các hệ thống thanh toán không?", Thượng tá Mạnh Tùng đặt câu hỏi, không che giấu rằng đây là câu hỏi mà chính ông và đồng nghiệp phải tự trả lời.

Câu trả lời không nằm ở việc làm cho công nghệ xác thực mạnh hơn. Nó nằm ở việc thừa nhận rằng có những lớp tấn công mà công nghệ xác thực không được thiết kế để ngăn chặn: lớp tấn công vào niềm tin, vào tâm lý, vào những quyết định của con người trong trạng thái sợ hãi hoặc hy vọng.

Hệ thống tài chính Việt Nam đã xây xong bức tường bảo vệ hệ thống rất vững chắc. Thách thức tiếp theo, như Thượng tá Mạnh Tùng nhận xét, là bảo vệ những người đứng phía trước bức tường đó.