Siết xác thực thuê bao di động: Khóa SIM rác, chặn lừa đảo từ 'nguồn phát'

Bổ sung VNeID: Bước tiến trong xác thực thuê bao di động

Trong bối cảnh tội phạm công nghệ cao ngày càng tinh vi, SIM rác, SIM không chính chủ tiếp tục là “mắt xích” quan trọng trong nhiều vụ lừa đảo, chiếm đoạt tài sản quy mô lớn. Dự thảo Thông tư của Bộ Khoa học và Công nghệ hướng dẫn xác thực thông tin thuê bao di động mặt đất, với điểm nhấn là xác thực sinh trắc học gắn với ứng dụng định danh quốc gia VNeID, được kỳ vọng sẽ tạo ra một “hàng rào kỹ thuật” đủ mạnh để làm sạch không gian viễn thông, bảo vệ định danh số của người dân từ gốc.

Bộ Khoa học và Công nghệ đang lấy ý kiến cho dự thảo Thông tư hướng dẫn việc xác thực thông tin thuê bao đối với số thuê bao viễn thông di động mặt đất. Điểm mới đáng chú ý của dự thảo là bổ sung hình thức xác thực trực tuyến thông qua ứng dụng định danh quốc gia VNeID, bên cạnh hai phương thức đang được áp dụng là xác thực qua ứng dụng hoặc website của doanh nghiệp viễn thông và xác thực trực tiếp tại điểm giao dịch.

Thông tư dự kiến áp dụng đối với cá nhân, tổ chức đăng ký, sử dụng số thuê bao di động mặt đất tại Việt Nam cũng như các doanh nghiệp viễn thông cung cấp dịch vụ di động. Theo đó, tất cả các số thuê bao đang hoạt động sẽ được đánh giá, phân loại dựa trên giấy tờ đăng ký, tình trạng hoạt động của khách hàng và mức độ tuân thủ pháp luật, từ đó lựa chọn hình thức xác thực phù hợp.

Việc phân loại này thể hiện rõ tư duy quản lý theo mức độ rủi ro, thay vì áp dụng cứng nhắc một quy trình cho mọi đối tượng, qua đó vừa siết chặt quản lý, vừa giảm phiền hà không cần thiết cho người dùng tuân thủ tốt.

Chế tài rõ ràng: Không xác thực sẽ bị tạm ngừng dịch vụ

Theo hướng dẫn chi tiết tại phụ lục dự thảo, đối với công dân Việt Nam đã đăng ký thuê bao bằng số định danh cá nhân, số căn cước hoặc số chứng minh nhân dân 12 số, đồng thời có tài khoản định danh điện tử mức độ 2, khi nhận được thông báo yêu cầu xác nhận, người dùng sẽ truy cập ứng dụng VNeID để xem và xác nhận hoặc từ chối việc mình đang trực tiếp sử dụng số điện thoại đó.

Sau khi người dùng đồng ý, ứng dụng VNeID sẽ hiển thị mẫu xin sự chấp thuận chia sẻ dữ liệu cho doanh nghiệp viễn thông. Khi được chấp nhận, hệ thống sẽ chuyển sang ứng dụng của nhà mạng để tiếp tục các bước thu nhận dữ liệu sinh trắc học khuôn mặt, phục vụ việc đối soát với Cơ sở dữ liệu quốc gia về dân cư.

Bốn trường thông tin bắt buộc phải trùng khớp gồm: số định danh cá nhân; họ, chữ đệm và tên; ngày, tháng, năm sinh; dữ liệu sinh trắc học khuôn mặt. Đây là yêu cầu cốt lõi nhằm bảo đảm số thuê bao thực sự gắn với một “con người thật”, có danh tính pháp lý rõ ràng.

Đối với các trường hợp chưa có tài khoản định danh điện tử mức độ 2, người dùng vẫn có thể thực hiện xác thực thông qua ứng dụng, website của doanh nghiệp viễn thông hoặc trực tiếp tại điểm giao dịch, theo quy trình tương ứng.

Dự thảo Thông tư cũng quy định rõ các nhóm thuê bao và điều kiện xác thực tương ứng. Đối với thuê bao di động H2H (thuê bao có phương thức giao tiếp người với người như gọi điện, nhắn tin), doanh nghiệp viễn thông bắt buộc phải thực hiện xác thực điện tử giữa thông tin trên giấy tờ tùy thân, dữ liệu sinh trắc học khuôn mặt với dữ liệu trong Cơ sở dữ liệu quốc gia về dân cư, bảo đảm trùng khớp đầy đủ bốn trường thông tin.

Đáng chú ý, khi đăng ký hoặc kích hoạt từ số thuê bao H2H thứ hai trở đi, người dùng không chỉ phải thực hiện xác thực theo quy định mà còn phải xác nhận khớp đúng bốn trường thông tin đã được xác thực điện tử với SIM trước đó. Quy định này nhằm ngăn chặn tình trạng một cá nhân đứng tên hàng loạt SIM để bán lại hoặc phục vụ các mục đích vi phạm pháp luật.

Bên cạnh đó, dự thảo cũng đề cập đến thuê bao không thực hiện phương thức giao tiếp giữa người với người, thường là các số chỉ nhận cuộc gọi đến, tin nhắn đến hoặc sử dụng dịch vụ truy nhập Internet, dịch vụ viễn thông khẩn cấp. Nhóm này thường gắn với các thiết bị đầu cuối dữ liệu, thiết bị IoT hoặc ứng dụng kết nối.

Với các thuê bao này, Bộ Khoa học và Công nghệ quy định chỉ áp dụng mức yêu cầu xác thực tối thiểu, không bắt buộc xác thực sinh trắc học khuôn mặt như đối với thuê bao H2H, thể hiện cách tiếp cận linh hoạt, cân bằng giữa quản lý và thúc đẩy ứng dụng công nghệ.

Một điểm mới đáng chú ý khác là quy định về xác thực khi thay đổi thiết bị đầu cuối. Theo dự thảo, nếu khách hàng cá nhân thay đổi thiết bị sử dụng số thuê bao di động, họ phải thực hiện xác thực lại thông tin tương tự như trường hợp đăng ký từ số thuê bao thứ hai trở đi.

Với trường hợp cá nhân chỉ có một số thuê bao, mã xác thực một lần (OTP) sẽ được gửi trực tiếp đến số đó để phục vụ quá trình xác thực.

Quy định này được đánh giá là bịt kín một trong những lỗ hổng lớn nhất hiện nay, khi tội phạm có thể chiếm đoạt SIM hoặc thực hiện các thủ đoạn “đổi SIM”, từ đó kiểm soát mã OTP và chiếm quyền truy cập vào tài khoản ngân hàng, ví điện tử của nạn nhân.

Dự thảo Thông tư cũng đặt ra chế tài xử lý đối với các thuê bao không thực hiện hoặc không hoàn tất xác thực theo quy định. Theo đó, doanh nghiệp viễn thông sẽ tạm dừng cung cấp dịch vụ một chiều đối với các số thuê bao không xác thực hoặc xác thực không thành công, cho đến khi hoàn tất đầy đủ yêu cầu.

Theo Bộ Khoa học và Công nghệ, tinh thần xuyên suốt của Thông tư là bảo đảm các thuê bao di động hoạt động chính chủ, đồng thời giảm thao tác, tăng thuận tiện cho người dùng, thông qua việc tích hợp với các nền tảng định danh số đã được chuẩn hóa ở cấp quốc gia.

Lừa đảo sẽ dịch chuyển, nhưng “đất sống” ngày càng hẹp

Trong bối cảnh tội phạm công nghệ cao ngày càng tinh vi, việc sử dụng SIM rác, SIM không chính chủ để thực hiện các hành vi lừa đảo, chiếm đoạt tài sản đã trở thành vấn nạn nhức nhối, gây thiệt hại lớn cho người dân và xã hội.

Từ các cuộc gọi giả danh cơ quan chức năng, ngân hàng, đến tin nhắn chứa đường link độc hại, hầu hết các kịch bản lừa đảo đều cần tới một số điện thoại “ẩn danh” làm công cụ trung gian. Khi danh tính phía sau SIM không được kiểm soát chặt chẽ, việc truy vết, xử lý và ngăn chặn từ sớm trở nên vô cùng khó khăn.Chính vì vậy, dự thảo Thông tư mới được đánh giá là bước đi mang tính nền tảng, nhằm xử lý tận gốc “nguồn đầu vào” của lừa đảo viễn thông.

Theo ông Vũ Ngọc Sơn, Trưởng Ban Nghiên cứu, tư vấn, phát triển công nghệ và Hợp tác quốc tế - Hiệp hội An ninh mạng quốc gia (NCA), việc siết chặt quản lý SIM bằng xác thực sinh trắc học tương tự như cách ngành ngân hàng đã làm với tài khoản thanh toán, không chỉ là bước đi tất yếu mà còn là “chìa khóa” để bảo vệ định danh số của mỗi người dân.

“Trước đây, xác thực sinh trắc học thường chỉ được thực hiện một lần tại thời điểm đăng ký SIM, và không gắn chặt với vòng đời sử dụng của SIM. Khi đã xác thực ban đầu, hệ thống gần như không yêu cầu xác thực lại trong các tình huống rủi ro cao như thay đổi thiết bị đầu cuối”, ông Sơn phân tích.

Chính lỗ hổng này đã tạo điều kiện cho việc mua - bán SIM sau xác thực, khiến SIM rác dù đã “qua cửa” kiểm tra vẫn tiếp tục lưu thông trên thị trường.

Một điểm then chốt khác của dự thảo là đưa ra chuẩn kỹ thuật tối thiểu bắt buộc đối với xác thực sinh trắc học, bao gồm yêu cầu về phát hiện tấn công giả mạo vật thể sống (PAD), độ chính xác cao và tỷ lệ chấp nhận sai rất thấp.

Theo ông Vũ Ngọc Sơn, điều này đặc biệt quan trọng trong bối cảnh Deepfake, hình ảnh giả, mặt nạ 3D ngày càng tinh vi. “Khi chuẩn kỹ thuật được nâng lên và áp dụng đồng đều giữa các nhà mạng, sinh trắc học mới thực sự trở thành ‘hàng rào kỹ thuật’ đủ mạnh, bảo đảm rằng SIM gắn với con người thật, chứ không phải hình ảnh giả mạo”, ông Sơn nhấn mạnh.

Thực tế triển khai xác thực sinh trắc học trong lĩnh vực ngân hàng cho thấy, khi danh tính số được kiểm soát chặt chẽ, tài khoản rác nhanh chóng bị loại bỏ, làm gián đoạn chuỗi trung gian mà tội phạm lừa đảo thường lợi dụng.

Tuy nhiên, khi dữ liệu sinh trắc học trở thành “chìa khóa” kích hoạt dịch vụ, kho dữ liệu của các nhà mạng cũng sẽ trở thành mục tiêu tấn công giá trị cao của tin tặc.

Theo chuyên gia NCA, các doanh nghiệp viễn thông buộc phải triển khai mô hình bảo vệ nhiều lớp, từ mã hóa mạnh, phân quyền chặt chẽ, giám sát liên tục, phát hiện xâm nhập sớm đến kiểm thử an ninh định kỳ.

Đặc biệt, dữ liệu sinh trắc học cần được lưu trữ dưới dạng mẫu đặc trưng đã mã hóa, không thể đảo ngược, nhằm giảm thiểu rủi ro nếu xảy ra sự cố. Đây là nguyên tắc đã được áp dụng rộng rãi tại các hệ thống định danh số tiên tiến trên thế giới.

Dù vậy, việc lưu trữ dữ liệu đã mã hóa cũng đặt ra bài toán về chi phí, tốc độ xử lý và khả năng mở rộng, đòi hỏi các nhà mạng phải đầu tư bài bản, lâu dài.

Theo ông Vũ Ngọc Sơn, khi SIM rác bị kiểm soát chặt, các hình thức lừa đảo dựa trên gọi điện, nhắn tin hàng loạt chắc chắn sẽ suy giảm mạnh. Tuy nhiên, tội phạm mạng có thể dịch chuyển sang các nền tảng khác như mạng xã hội, ứng dụng OTT.

Do đó, xác thực sinh trắc học là lớp bảo vệ nền tảng, nhưng không thể thay thế hoàn toàn cho ý thức an toàn của người dân. “Khi công nghệ, chính sách và nhận thức xã hội cùng được nâng cao, “đất sống” của lừa đảo viễn thông sẽ ngày càng bị thu hẹp một cách bền vững”, ông Sơn khẳng định.

Có thể khẳng định, việc kiểm soát chặt chẽ SIM số bằng xác thực sinh trắc học, tích hợp với VNeID và Cơ sở dữ liệu quốc gia về dân cư, là bước đi tất yếu và mang ý nghĩa chiến lược trong bảo đảm an ninh mạng quốc gia, bảo vệ quyền lợi người dân và xây dựng không gian số an toàn, lành mạnh.

Khi mỗi số điện thoại thực sự gắn với một danh tính rõ ràng, minh bạch, niềm tin trong giao tiếp số sẽ được củng cố, nền tảng không thể thiếu cho quá trình chuyển đổi số quốc gia đi vào chiều sâu.