Ngăn chặn can thiệp trái phép trong quá trình eKYC với BShield

eKYC (Electronic Know Your Customer), là phương thức xác minh danh tính điện tử, sử dụng công nghệ AI để nhận diện và xác thực thông tin khách hàng dựa trên các yếu tố như thông tin sinh trắc học và giấy tờ tùy thân. Ra đời nhằm mục đích cải thiện nhược điểm của quy trình truyền thống, eKYC mang lại sự tiện lợi và độ chính xác cao trong quá trình xác thực danh tính trực tuyến.

Ngày nay, quá trình eKYC đã trở thành công cụ quan trọng để xác minh danh tính của người dùng trực tuyến. Tuy nhiên, những cuộc tấn công can thiệp vào quá trình eKYC ngày càng tinh vi và đe dọa sự an toàn của hệ thống.

Theo chuyên gia bảo mật BShield, trong một quy trình eKYC cơ bản, có 3 lỗ hổng mà kẻ tấn công hay tận dụng để can thiệp vào hệ thống:

1. Lỗ hổng trong thao tác người dùng
2. Lỗ trong trong luồng xử lý
3. Lỗ hổng trong môi trường ứng dụng trên thiết bị người dùng.

Nguy cơ tiềm ẩn từ các ứng dụng tưởng như vô hại

Virtual Camera: Live Assist, một ứng dụng mạnh mẽ cho phép thay thế máy ảnh bằng video đã chọn. Nó có thể được sử dụng như một trợ lý phát sóng trực tiếp, chẳng hạn như sử dụng các bộ phim lưu trong máy làm nội dung phát sóng trực tiếp.

Theo phát hiện mới từ đội ngũ chuyên gia BShield, việc sử dụng camera ảo do các ứng dụng tương tự Virtual Camera: Live Assist có thể trở thành một mối đe dọa tiềm ẩn trong quá trình eKYC. Thông qua việc thay thế máy ảnh thiết bị bằng video có sẵn trong máy, kẻ mạo danh thu thập video có sẵn của đối tượng muốn giả mạo, sau đó chèn vào quá trình Xác thực Khuôn mặt trong eKYC - quy trình xác thực danh tính do chính chủ đăng ký. Hành động này tạo ra nguy cơ bị giả mạo danh tính để vay tiền hoặc lợi dụng các chương trình khuyến mãi mà chính chủ không biết. Điều này đặt ra những thách thức mới trong việc bảo vệ quy trình eKYC khỏi sự can thiệp của những ứng dụng tưởng như không mang lại rủi ro bảo mật cho người dùng.

3 mối đe dọa phổ biến về can thiệp quá trình eKYC

1. Tấn công ứng dụng bằng camera ảo/giả lập

Bên trên, chúng ta chỉ đề cập đến một ví dụ về việc sử dụng camera ảo để can thiệp quá trình eKYC. Trong thực tế, kẻ tấn công có thể sử dụng nhiều biện pháp tương tự, nhưng tinh vi hơn. Kẻ xấu có thể sử dụng camera ảo hoặc giả lập để chèn đoạn video có sẵn đã thu thập hoặc streamline cuộc gọi lừa đảo trực tiếp tới chính chủ để qua mặt bước xác thực khuôn mặt, thực hiện quá trình eKYC mà không cần đến người thật. Điều này đặt ra thách thức lớn về xác thực danh tính và độ tin cậy của hệ thống. Giải pháp BShield OS giúp ngăn chặn sự can thiệp từ ứng dụng như Virtual Camera vào quá trình eKYC trên mobile banking, đáp ứng thách thức bảo mật bằng cách tích hợp các công nghệ chống giả mạo hình ảnh và video để nhận diện và từ chối những hình ảnh giả mạo.

2. Tấn công API & MitM để can thiệp vào luồng thực thi

Trong phương thức này, kẻ tấn công tập trung vào can thiệp vào luồng thực thi của ứng dụng eKYC, đặc biệt là tương tác với các API (Application Programming Interface) có liên quan. Mối đe dọa này thường đi kèm với tấn công Man-in-the-Middle (MitM), nơi kẻ tấn công can thiệp vào quá trình giao tiếp giữa ứng dụng và máy chủ.

Kẻ tấn công có thể thực hiện nhiều hành động phi pháp tại đây, như thay đổi dữ liệu truyền đi, gửi các yêu cầu giả mạo đến máy chủ, hoặc thậm chí đánh cắp thông tin cá nhân. Điều này làm suy giảm khả năng xác thực của hệ thống eKYC và tạo ra rủi ro lớn cho quy trình xác minh danh tính điện tử.

Để đối phó với mối đe dọa này, doanh nghiệp sử dụng công nghệ bảo vệ API và các biện pháp bảo mật khác để đảm bảo tính toàn vẹn của dữ liệu trong quá trình giao tiếp giữa ứng dụng và máy chủ.

eKYC hoặc thiết bị của người dùng là một mối đe dọa nghiêm trọng trong quá trình xác minh danh tính. Kẻ tấn công có thể thay đổi kết quả eKYC bằng cách thức này bằng việc thay đổi các thông tin gửi lên server eKYC hoặc thay đổi các dữ liệu đầu vào (hình ảnh hoặc camera).

Trong tình huống này, hệ thống eKYC có thể bị đánh lừa bằng cách mà kẻ tấn công can thiệp trực tiếp vào quá trình xác thực. Tương tự như 2 cách thức tấn công trên, điều này đặt ra nguy cơ lớn về việc xác thực danh tính và độ tin cậy của quy trình eKYC.

Ngăn chặn can thiệp trái phép trong quá trình eKYC với BShield

Để đối mặt với nguy cơ của những kẻ tấn công có ý đồ xấu trong quá trình eKYC, BShield đã phát triển nhóm giải pháp bảo vệ chuyên sâu, chia thành hai nhóm chính với mục tiêu chính là bảo vệ tài sản và thông tin quan trọng của người dùng cũng như doanh nghiệp. Điều này đặc biệt hữu ích cho những lĩnh vực yêu cầu tính xác thực cao cho quá trình eKYC như tín dụng, tài chính, ngân hàng…

Hiểu được điều này, BShield đã nghiên cứu nhóm giải pháp bảo vệ dành riêng cho các ứng dụng doanh nghiệp với 2 nhóm đặc điểm chính, bao gồm: Nhóm thứ 1 - Bảo vệ tài sản người dùng và doanh nghiệp và Nhóm 2 - Bảo vệ thông tin quan trọng của người dùng và doanh nghiệp. Với việc sử dụng nhóm giải pháp BShieldOS sẽ tăng cường bảo vệ các ứng dụng khác can thiệp vào quá trình xử lý eKYC, và sự kết hợp giữa BShieldOS và Bảo vệ API nhằm đảm bảo luồng thực thi.

BShield cũng sẽ xây dựng bảo mật 3 lớp để bảo vệ cho ứng dụng: BShield OS, Bảo mật dữ liệu, và Tiện ích bảo mật.

• Lớp 1 - BShield OS: Cung cấp môi trường thực thi tin cậy, ngăn chặn xem lén mã nguồn và bảo vệ khỏi giả mạo ứng dụng, cùng với khả năng phát hiện và ngăn chặn can thiệp của hacker.
• Lớp 2 - Bảo vệ dữ liệu: Tối ưu theo kết cấu hạ tầng và đặc thù kinh doanh, giúp bảo vệ thông tin quan trọng thông qua access token và API. Từ đó, sẽ có những tư vấn về phương thức bảo vệ phù hợp để hỗ trợ tích hợp bằng việc cung cấp SDK thiết kế riêng hay hướng dẫn cách sử dụng.
• Lớp 3 - Tiện ích bảo mật: Tuỳ thuộc vào nhu cầu cụ thể, BShield đề xuất giải pháp như bảo mật API và Secure ID để đảm bảo an toàn và toàn vẹn cho gửi dữ liệu và xác thực thẻ CCCD. Đáng chú ý, tiện ích bảo vệ API sẽ xác thực lượt gọi API và đảm bảo toàn vẹn quá trình eKYC từ ứng dụng đến máy chủ doanh nghiệp.

BShield là lựa chọn tối ưu cho doanh nghiệp đang tìm kiếm giải pháp bảo mật. Không chỉ là một giải pháp an toàn cho ứng dụng di động, BShield còn đóng vai trò quan trọng trong việc bảo vệ tài sản cá nhân của người dùng và xây dựng và duy trì uy tín của doanh nghiệp.