Sử dụng AI để đánh lừa hệ thống ngân hàng

Cây bút Joseph Cox của Motherboard đã gọi đến Hotline tư vấn tự động của ngân hàng Lloyds Bank của Anh. Để xác nhận danh tính, anh được yêu cầu trả lời bằng giọng nói của chính mình.

Thay vì tuân theo, cây bút đã mở một file ghi âm trên máy tính và nói, "Kiểm tra số dư tài khoản." Trên thực tế, đây chỉ là một file âm thanh giả lập được tạo ra bằng công nghệ trí tuệ nhân tạo và không phải giọng nói thật của Cox.

Tổng đài tư vấn tự động của ngân hàng trả lời, "Dạ vâng." Sau đó, ngân hàng yêu cầu Cox đọc hoặc gõ ngày sinh để xác nhận danh tính và nói theo nó: "Giọng nói của tôi là mật khẩu."

Cây bút tiếp tục mở tệp âm thanh đọc câu thoại trên đã được chuẩn bị sẵn trên máy tính. Hệ thống bảo mật của ngân hàng chỉ vài giây sau đó đã xác nhận thành công danh tính của giọng nói và cho phép anh truy cập, kiểm tra số dư.

Nguy hiểm khi sử dụng giọng nói làm mật khẩu ngân hàng

Joseph Cox dường như không thể tin vào mắt mình. Anh ấy đã thành công trong việc đánh lừa hệ thống ngân hàng bằng cách sử dụng giọng nói giả của AI do ElevenLabs tạo ra. Anh ấy có thể xem số dư tài khoản, các giao dịch chuyển tiền gần đây và thông tin tài khoản.

Theo Motherboard, nhiều ngân hàng ở Mỹ và khu vực châu Âu đã sử dụng hệ thống nhận dạng giọng nói tương tự như câu chuyện của Cox để xác nhận danh tính của khách hàng thông qua các cuộc gọi.

Bảo mật giọng nói tương đương với sinh trắc học vân tay ở một số ngân hàng. Họ xem đây là cách thuận tiện nhất để khách hàng tương tác với ngân hàng một cách nhanh chóng và mượt mà.

Tuy nhiên, thử nghiệm của Joseph Cox đã phát hiện ra lỗ hổng của hệ thống này. Không chỉ anh ấy, bất kỳ ai cũng có thể truy cập vào các hệ thống ngân hàng bằng cách sử dụng các ứng dụng giả lập bằng AI miễn phí trên Internet.

Chỉ cần nhập yêu cầu, AI sẽ giải mã các tệp âm thanh và đọc nội dung y như người thật. Ảnh: Motherboard.

Những giọng nói AI này có thể được sử dụng như một công cụ hỗ trợ cho những hành vi lừa đảo hoặc xâm nhập trái phép. Chia sẻ với Motherboard, Rachel Tobac, CEO công ty SocialProof Security, kêu gọi các tổ chức nên nhanh chóng nâng cấp hệ thống nhận dạng giọng nói và bổ sung các phương thức bảo mật khác như bảo mật hai lớn.

Theo chuyên gia, "Các công cụ giả lập giọng nói có thể bắt chước y hệt một người mà không cần tương tác với người đó ở đời thực."

Trong trường hợp của Joseph Cox, anh ấy đã thu âm giọng nói chuyện của mình trong vòng năm phút và đăng nó trên trang web ElevenLabs. Chỉ vài phút sau, giọng nói giả lập đã được hoàn thành và người dùng có thể sử dụng ngay lập tức bằng cách nhập nội dung cần kết nối vào hộp thoại.

Theo MotherboardDo các đoạn video có chứa giọng nói của họ từng được đăng trên Internet, nhiều trò chơi khăm trực tuyến đã sử dụng công cụ của ElevenLabs để bắt chước giọng nói của một người một cách trái phép.

Do đó, bất cứ ai từng để lộ giọng dù chỉ vài phút trên mạng xã hội, chẳng hạn như YouTube, người nổi tiếng, chính trị gia... đều có thể trở thành nạn nhân của trò giả lập giọng nói này.

Lợi dụng lỗ hổng của hệ thống bảo mật ngân hàng

Theo cây bút Joseph Cox, trong câu chuyện của mình, ngân hàng Lloyds Bank từng tuyên bố rằng hệ thống "Voice ID" (nhận dạng giọng nói) của họ rất an toàn.

"Giọng nói là độc nhất vô nhị, giống như vân tay. Hơn 100 đặc điểm giọng nói của bạn, bao gồm khẩu hình miệng, cao độ, nhấn nhá và tốc độ nói, sẽ được đánh giá bằng Voice ID. Ngoài ra, hệ thống có thể xác định xem khách hàng có đang bị cảm hay đau họng hay không. Theo ngân hàng, điều này có thể xảy ra.

Joseph Cox đã sử dụng giọng nói AI để vượt qua hệ thống bảo mật của ngân hàng. Ảnh: Motherboard.

Các ngân hàng khác cũng sử dụng dịch vụ nhận dạng giọng nói tương tự như "VoicePrint" của TD Bank và "Voice Verification" của Wells Fargo. Họ đều khẳng định rằng quy trình này rất an toàn và mỗi người đều có giọng nói đặc biệt, không thể bắt chước.

Tuy nhiên, nghiên cứu hệ thống trả lời tự động của ngân hàng bằng giọng nói AI của Joseph Cox đã chỉ ra rằng hệ thống này có rất nhiều lỗ hổng. Bất cứ ai cũng có thể truy cập vào tài khoản, xem số dư và giao dịch của khách hàng chỉ cần biết ngày sinh của họ.

Phản hồi về vấn đề này, đại diện Lloyds Bank tự tin rằng "Voice ID" là phương thức có độ bảo mật cao hơn các phương pháp truyền thống rất nhiều và giúp khách hàng truy cập vào hệ thống một cách dễ dàng.

Mặc dù họ cũng nhận thức được rằng các phần mềm giả lập giọng nói sẽ có thể khai thác lỗ hổng của hệ thống, nhưng vẫn chưa có trường hợp lừa đảo nào sử dụng chiến lược này. Theo Lloyds Bank, giả lập giọng nói không phải là cách làm được các tội phạm ưa chuộng như các phương thức khác, trong khi SMS ID đã giúp giảm đáng kể số lượng lừa đảo ngân hàng qua điện thoại.

Cập nhật tin tức công nghệ mới nhất tại fanpage Công nghệ & Cuộc sống