Tại sao các ngân hàng hàng đầu chọn sinh trắc học để khôi phục tài khoản: Bài học từ quá trình chuyển đổi bảo mật của Ngân hàng Raiffeisen

Quy trình khôi phục tài khoản thường là một trong những mắt xích yếu nhất trong bảo mật số. Trong khi các tổ chức đầu tư mạnh vào việc bảo mật luồng xác thực chính, các cơ chế khôi phục thường dựa vào những phương pháp đã được chứng minh là dễ bị xâm phạm mà tội phạm chủ động khai thác:

• Các câu hỏi bảo mật có thể được nghiên cứu thông qua phương tiện truyền thông xã hội
• Mã SMS dễ bị tấn công hoán đổi SIM
• Quy trình khôi phục email giả định rằng các tài khoản và thiết bị không bị xâm phạm.

Các nỗ lực chiếm đoạt tài khoản ngày càng nhắm vào các luồng phục hồi như một con đường ít trở ngại nhất. Khách hàng ngân hàng thường từ bỏ các quy trình phục hồi phức tạp, khiến chi phí hỗ trợ tăng cao do các tổ chức phải xử lý các can thiệp thủ công.

Bài viết này sẽ khám phá cách công nghệ sinh trắc học dựa trên khoa học có thể giúp quy trình khôi phục tài khoản của bạn thực sự an toàn và thân thiện với người dùng. Dựa trên nghiên cứu điển hình từ Ngân hàng Raiffeisen, chúng tôi sẽ nêu bật cách thức đơn giản để người dùng chính hãng khôi phục tài khoản một cách dễ dàng, đồng thời ngăn chặn kẻ gian.

Khủng hoảng thu hồi tài khoản: Nghiên cứu trường hợp thực tế với Ngân hàng Raiffeisen

Ngân hàng Raiffeisen, một khách hàng của iProov có trụ sở tại Cộng hòa Séc, phục vụ hơn 1,2 triệu người dùng ngân hàng di động hoạt động hàng tháng tại Cộng hòa Séc. Ngân hàng này đã phải đối mặt với một thực tế vận hành đáng kinh ngạc: khoảng 50.000 khách hàng cần kích hoạt lại dịch vụ ngân hàng di động mỗi tháng — chiếm 4% tổng số khách hàng của họ.

Ban đầu, quy trình khôi phục của họ có vẻ khá mạnh mẽ. Khách hàng sẽ đăng nhập vào ngân hàng trực tuyến qua SMS OTP, nhập mã PIN và kích hoạt ngân hàng di động trên thiết bị mới. Quy trình này có vẻ an toàn và tiện lợi — cho đến khi bọn tội phạm khai thác một cách có hệ thống điểm yếu cơ bản của nó.

Kẻ lừa đảo đã phát động các chiến dịch kỹ thuật xã hội tinh vi, mạo danh nhân viên ngân hàng và cảnh sát để thuyết phục khách hàng cung cấp quyền truy cập ngân hàng trực tuyến. Sau đó, chúng sẽ kích hoạt từ xa dịch vụ ngân hàng di động trên thiết bị của kẻ tấn công, cho phép truy cập trực tiếp vào tài khoản và đánh cắp tiền.

Biện pháp đối phó đầu tiên của Raiffeisen là thêm màn hình cảnh báo rõ ràng yêu cầu khách hàng xác nhận họ thực sự muốn kích hoạt dịch vụ ngân hàng di động. Biện pháp bảo vệ này kéo dài đúng một tháng trước khi bọn tội phạm điều chỉnh kịch bản để đánh lừa sự do dự của khách hàng.

Các cuộc tấn công trở nên nghiêm trọng đến mức Raiffeisen đã vô hiệu hóa hoàn toàn tính năng kích hoạt ngân hàng trực tuyến từ xa vào tháng 10 năm 2022, buộc tất cả khách hàng cần kích hoạt lại phải đến các chi nhánh thực tế — một giải pháp đau đớn gây ra áp lực vận hành lớn và sự thất vọng của khách hàng.

Tại sao các phương pháp phục hồi truyền thống lại thất bại

Trường hợp của Raiffeisen làm sáng tỏ những lỗ hổng thường gặp trong các phương pháp khôi phục tài khoản thông thường. Các phương pháp truyền thống có chung một nhược điểm nghiêm trọng: chúng xác thực quyền truy cập vào nhiều yếu tố sở hữu hoặc kiến thức khác nhau thay vì xác minh sự hiện diện và danh tính thực sự của người đó.

Sinh trắc học tích hợp sẵn trên thiết bị tạo ra một vấn đề bổ sung thường bị các nhóm bảo mật hiểu lầm. Như Dominic Forrest, Giám đốc Công nghệ của iProov, đã phát hiện ra khi con gái tuổi teen của ông đăng ký dấu vân tay trên điện thoại của ông bằng mã PIN mà ông đã biết: "Điều bạn thực sự đang chứng minh không phải là sinh trắc học — mà là bằng chứng về việc biết mã mở khóa điện thoại tại một thời điểm nào đó."

Kết quả chuyển đổi của Raiffeisen

Hợp tác với chuyên gia tích hợp ngân hàng di động Wultra và nhà cung cấp dịch vụ trực tiếp hàng đầu iProov, Raiffeisen đã phát triển một quy trình kích hoạt lại toàn diện, xác thực người dùng qua nhiều lớp, hình thành 5 bước IDV cốt lõi:

1. Mã số khách hàng ban đầu (số khách hàng và ngày sinh)
2. SMS OTP để hạn chế yêu cầu
3. Xác minh tài liệu yêu cầu quét thẻ căn cước cộng với hộ chiếu hoặc bằng lái xe
4. Phát hiện sự sống động của khuôn mặt để đảm bảo sự hiện diện thực sự, so sánh người dùng trực tiếp với ảnh tài liệu
5. Mã OTP SMS cuối cùng kết hợp với mã thông báo xác minh sinh trắc học để tuân thủ quy định

Xem sơ đồ quy trình “đơn giản hóa” bên dưới:

Toàn bộ quá trình được thực hiện từ xa và hoàn tất trong khoảng 80 giây, có thể thực hiện ngay lập tức khi khách hàng cần liên kết các thiết bị mới.

Câu trả lời nằm ở việc tạo dựng niềm tin vào con người, chứ không phải vào thiết bị hay thứ gì đó mà họ có thể “biết”. Xác minh khuôn mặt dựa trên khoa học, được hỗ trợ bởi công nghệ Dynamic Liveness và Flashmark™ , cung cấp khả năng xác nhận sự hiện diện chân thực, đáp ứng ba yêu cầu quan trọng: đúng người, đúng người, đúng lúc.

Tất cả đều được hỗ trợ bởi tính năng phát hiện mối đe dọa động của iProov thông qua Trung tâm điều hành bảo mật (iSOC ) của iProov, liên tục giám sát lưu lượng truy cập để phát hiện các cuộc tấn công và triển khai hơn 120 bản cập nhật mỗi năm mà không gây gián đoạn cho khách hàng, mang lại khả năng bảo mật ngày càng tiên tiến.

Kết quả cho thấy sự cải thiện đáng kể về bảo mật và hoạt động:

Cải tiến bảo mật:

• Tỷ lệ thành công 97-98% cho khách hàng hợp pháp hoàn thành xác minh sinh trắc học
• Một quy trình chống lừa đảo không thể được thực hiện từ xa bởi những kẻ tấn công có thông tin đăng nhập bị xâm phạm
• Bảo vệ chống lại cả các cuộc tấn công tiêm mã kỹ thuật số và các cuộc tấn công trình bày vật lý

Hiệu quả hoạt động:

• 25.000 người dùng hàng tháng hoàn tất thành công việc chuyển giao kích hoạt từ thiết bị này sang thiết bị khác
• 10.000-12.000 người dùng hàng tháng hoàn thành toàn bộ tài liệu và kích hoạt lại sinh trắc học
• Giảm đáng kể số lần đến chi nhánh để kích hoạt mục đích

Hiệu quả của giải pháp không chỉ dừng lại ở những cải thiện bảo mật tức thời. Cơ sở hạ tầng sinh trắc học cho phép các trường hợp sử dụng bổ sung, bao gồm xác thực giao dịch cho các hoạt động có giá trị cao như đơn xin vay vốn, xác thực nâng cao cho các hoạt động đáng ngờ và nâng cao quy trình tiếp nhận kỹ thuật số cho khách hàng mới.

Mệnh lệnh chiến lược

Việc chuyển đổi từ xác thực lấy thiết bị làm trung tâm sang xác thực lấy con người làm trung tâm không phải là tùy chọn mà là điều cần thiết. Khi công nghệ deepfake ngày càng dễ tiếp cận và các phương pháp khôi phục dữ liệu truyền thống phải đối mặt với các cuộc tấn công tinh vi, xác minh sinh trắc học dựa trên khoa học là giải pháp phòng thủ duy nhất có khả năng mở rộng.

Hành trình của Raiffeisen từ việc buộc phải đến chi nhánh trực tiếp đến việc đảm bảo phục hồi từ xa tự phục vụ cho thấy bảo mật và trải nghiệm người dùng có thể song hành chứ không phải cạnh tranh. Với 50.000 khách hàng cần kích hoạt lại hàng tháng, họ cần một giải pháp hoạt động trên quy mô lớn mà không ảnh hưởng đến bảo mật.

Tội phạm đã thích nghi để khai thác các lỗ hổng trong quy trình phục hồi. Vấn đề không phải là liệu các cuộc tấn công tinh vi có nhắm vào tổ chức của bạn hay không, mà là liệu hệ thống phòng thủ của bạn có đủ mạnh khi chúng xảy ra hay không.

Không thể đến Amsterdam? Ngân hàng Raiffeisen và iProov vừa công bố bản thiết kế cho hệ thống bảo mật sinh trắc học thế hệ tiếp theo tại Identity Management Europe 2025. Chúng tôi sẽ chia sẻ Tóm tắt đầy đủ tại đây . Trong khi chờ đợi, hãy khám phá cách thức hợp tác này bắt đầu — hãy xem cuộc trò chuyện trước đây của chúng tôi về việc chuyển đổi bảo mật ngân hàng cho thời đại kỹ thuật số ngay bây giờ.