CHƯƠNG 5:

AN NINH VÀ BẢO MẬT TRONG

THƯƠNG MẠI ĐIỆN TỬ
 CÁC NGUY CƠ VÀ RỦI RO TRONG
THƯƠNG MẠI ĐIỆN TỬ
Góc độ người sử dụng:
Bằng cách nào có thể chắc chắn rằng website do một công tỵ hợp
pháp quản lý và sở hữu.
Bằng cách nào người sử dụng có thể chắc chắn rằng trang web không
chứa đựng các đoạn mã nguy hiểm hoặc các nội dung không lành
mạnh.
Bằng cách nào người sử dụng có thể chắc chắn rằng web server sẽ
không cung cấp các thông tín của người sứ dụng cho một người khác.
 CÁC NGUY CƠ VÀ RỦI RO TRONG
THƯƠNG MẠI ĐIỆN TỬ
Góc độ doanh nghiệp:
Bằng cách nào công ty có thể chắc chắn rằng người sử dụng sẽ không
xâm nhập vào trang web để thay đổi các trang và nội dung trên các
trang của website
Bằng cách nào công ty có thể chắc chắn rằng người sử dụng sẽ không
phá hoại website để những người khác không thể sử dụng được.
 CÁC NGUY CƠ VÀ RỦI RO TRONG
THƯƠNG MẠI ĐIỆN TỬ
Từ góc độ cả hai phía:
Bằng cách nào họ có thể biết chắc rằng đường truyền sẽ không bị một
bên thứ ba theo dõi.
Bằng cách nào họ có thể chắc chắn rằng các thông tin được lưu
chuyển giữa hai bên sẽ không bị thay đổi.
 CÁC KHÍA CẠNH CỦA AN NINH TMĐT
Tính toàn vẹn: đề cập đến khả năng đảm bảo an ninh cho các thông
tin được hiển thị trên một website hoặc chuyển hay nhận các thông
tin trên Internet. Các thông tin này không bị thay đổi nội dung bằng
bất cứ cách nào bởi người không được phép.
 CÁC KHÍA CẠNH CỦA AN NINH TMĐT
Tính chống thoái thác (chống phủ định): liên quan đến khả năng đảm
bảo rằng các bên tham gia TMĐT không phủ định các hành động trực
tuyến mà họ đã thực hiện.
 CÁC KHÍA CẠNH CỦA AN NINH TMĐT
Tính xác thực: liên quan đến khả năng nhận biết các đối tác tham gia
giao dịch trực tuyến trên internet như làm thế nào để khách hàng
chắc chắn rằng các doanh nghiệp bán hàng trực tuyến là những
người có thể khiếu nại được; hay những gì khách hàng nói là sự thật;
làm thế nào để biết được một người khi khiếu nại có nói đúng sự
thực, có mô tả đúng sự việc hay không?
 CÁC KHÍA CẠNH CỦA AN NINH TMĐT
Tính tin cậy: Tính tin cậy liên quan đến khả năng đảm bảo rằng ngoài
những người có quyền, không ai có thể xem các thông điệp và truy
cập những dữ liệu có giá trị. Trong một số trường hợp, người ta có
thể dễ nhầm lẫn giữa tính tin cậy và tính riêng tư.
 CÁC KHÍA CẠNH CỦA AN NINH TMĐT
Tính riêng tư: liên quan đến khả năng kiểm soát việc sử dụng các
thông tin cá nhân mà khách hàng cung cấp về chính bản thân họ. Có
hai vấn đề người bán phải chú ý đối với tính riêng tư:
Người bán cần thiết lập các chính sách nội bộ để có thể quản lý việc
sử dụng các thông tin về khách hàng.
Cần bảo vệ các thông tin đó tránh sử dụng vào những mục đích
không chính đáng hoặc tránh sử dụng trái phép các thông tin này.
 CÁC KHÍA CẠNH CỦA AN NINH TMĐT
Tính tiện lợi: liên quan đến khả năng đảm bảo các chức năng của
một website TMĐT được thực hiện đúng như mong đợi. Đây cũng là
vấn đề mà các website hay gặp phải và lại trở ngại không nhỏ đối với
việc thực hiện các giao dịch trực tiếp trên Internet.
 MỘT SỐ HÌNH THỨC TẤN CÔNG
AN NINH MẠNG
Mã độc (virus): Virus máy tính xuất hiện lần đầu tiên vào năm 1983.
Virus là một chương trình máy tính có khả năng tự nhân bản và lan
tỏa. Có khá nhiều biến thể khác nhau: tấn công phá hoại hoặc sửa
đổi các file thực thi; tấn công vào hệ thống máy tính; tấn công vào
các ứng dụng phần mềm;...
Virus tấn công hệ thống (worms) có thể tự nhân bản và lan truyền
sang các hệ thống máy tính trên Internet.
 MỘT SỐ HÌNH THỨC TẤN CÔNG
AN NINH MẠNG
Trojan (đặt tên theo truyền thuyết con ngựa Trojan của thành Troy): là
một loại chương trình nguy hiểm (malware) được dùng để thâm nhập
vào máy tính mà người sử dụng máy tính không hay biết. Trojan có thể
cài đặt chương trình theo dõi bàn phím (keystroke logger) để lưu lại
hết những phím đã được gõ rồi sau đó gửi “báo cáo” về cho một địa
chỉ email được quy định trước (thường là địa chỉ email của chủ nhân
của Trojan).
 MỘT SỐ HÌNH THỨC TẤN CÔNG
AN NINH MẠNG
Virus macro là loại virus phổ biến nhất, chiếm từ 75% đến 80% trong
tổng số các virus được phát hiện. Đây là loại virus đặc biệt chỉ nhiễm
vào các tệp ứng dụng soạn thảo, chẳng hạn như các tệp ứng dụng của
MS Word, Excel và Power Point .
Khi người sử dụng mở các tài liệu bị nhiễm virus trong các chương
trình ứng dụng, virus này sẽ tự tạo ra các bản sao và nhiễm vào các
tệp chứa đựng các khuôn mẫu của ứng dụng, để từ đó lây sang các tài
liệu khác.
 MỘT SỐ HÌNH THỨC TẤN CÔNG
AN NINH MẠNG
Tin tặc (hacker và cracker): Tin tặc hay tội phạm máy tính là thuật ngữ
dùng để chỉ những người truy cập trái phép vào một website, một cơ
sở dữ liệu hay hệ thống thông tin.
Thực chất mục tiêu của các hacker rất đa dạng. Có thể là hệ thống dữ
liệu của các website thương mại điện tử, hoặc với ý đồ nguy hiểm hơn
chúng có thể sử dụng các chương trình phá hoại (cybervandalism)
nhằm gây ra các sự cố, làm mất uy tín hoặc phá huỷ website trên
phạm vi toàn cầu.
 MỘT SỐ HÌNH THỨC TẤN CÔNG
AN NINH MẠNG
Tấn công từ chối dịch vụ (DDOS): Tấn công từ chối dịch vụ (DOS -
Denial Of Service attack, DDOS – Distributed DOS hay DR DOS) là
kiểu tấn công khiến một hệ thống máy tính hoặc một mạng bị quá tải,
dẫn tới không thể cung cấp dịch vụ hoặc phải dừng hoạt động. Sơ khai
nhất là hình thức DoS (Denial of Service), lợi dụng sự yếu kém của
giao thức TCP, tiếp đến là DDoS (Distributed Denial of Service) - tấn
công từ chối dịch vụ phân tán, và gần đây là DRDoS - tấn công theo
phương pháp phản xạ phân tán (Distributed Reflection Denial of
Service).
 MỘT SỐ HÌNH THỨC TẤN CÔNG
AN NINH MẠNG
Giả mạo (phishing): Phishing là một loại tội phạm công nghệ cao sử
dụng email, tin nhắn pop-up hay trang web để lừa người dùng cung
cấp các thông tin cá nhân nhạy cảm như thẻ tín dụng, mật khẩu, số tài
khoản ngân hàng. Các website thường xuyên bị giả mạo đó là Paypal,
Ebay, MSN, Yahoo, BestBuy, American Online….Kẻ giả mạo thường
hướng tới phishing những khách hàng của ngân hàng và người tiêu
dùng thường mua sắm trực tuyến.
 MỘT SỐ HÌNH THỨC TẤN CÔNG
AN NINH MẠNG
Giả mạo (phishing): Phishing là một loại tội phạm công nghệ cao sử
dụng email, tin nhắn pop-up hay trang web để lừa người dùng cung
cấp các thông tin cá nhân nhạy cảm như thẻ tín dụng, mật khẩu, số tài
khoản ngân hàng. Các website thường xuyên bị giả mạo đó là Paypal,
Ebay, MSN, Yahoo, BestBuy, American Online….Kẻ giả mạo thường
hướng tới phishing những khách hàng của ngân hàng và người tiêu
dùng thường mua sắm trực tuyến.
 MỘT SỐ HÌNH THỨC TẤN CÔNG
AN NINH MẠNG
Một dạng lừa đảo hay gặp khác là những email gửi hàng loạt đến
người nhận, tuyên bố người nhận đã may mắn trúng giải thưởng rất
lớn, và yêu cầu người nhận gửi một số tiền nhỏ (vài nghìn dollar Mỹ)
để làm thủ tục nhận giải thưởng (vài triệu dollar Mỹ). Đã có một số bài
báo ở Việt Nam nêu ra vài “nạn nhân” ở Việt Nam.
 MỘT SỐ HÌNH THỨC TẤN CÔNG
AN NINH MẠNG
Nghe lén (Sniffer): là một dạng của chương trình theo dõi, nghe trộm,
giám sát sự di chuyển của thông tin trên mạng. Khi sử dụng vào những
mục đích hợp pháp, nó có thể giúp phát hiện ra những yếu điểm của
mạng, nhưng ngược lại, nếu sử dụng vào các mục đích phi pháp, các
phần mềm ứng dụng này sẽ trở thành các mối hiểm hoạ lớn và rất khó
có thể phát hiện. Kẻ trộm sử dụng các phần mềm này nhằm lấy cắp
các thông tin có giá trị như thư điện tử, dữ liệu kinh doanh của các
doanh nghiệp, các báo cáo mật…từ bất cứ nơi nào trên mạng.
 VAI TRÒ VÀ CHÍNH SÁCH
AN NINH MẠNG
Nhận dạng: là quá trình mà hệ thống nhận biết được thiết bị hoặc
người dùng có hợp lệ hay không. Việc nhận dạng có thể dựa vào tên
truy cập, địa chỉ truy cập,...
 VAI TRÒ VÀ CHÍNH SÁCH
AN NINH MẠNG
Kiểm soát truy cập: Kiểm soát truy cập là quá trình phân cấp quyền
hạn truy cập vào hệ thống thông qua ACL. ACL là một danh sách hoặc
cơ sở dữ liệu, các nguồn tài nguyên, tên của người có thể truy nhập
vào các file hoặc các nguồn tài nguyên khác... Bất cứ khi nào, máy
phía máy khách yêu cầu máy chủ Web truy nhập vào một file hoặc một
tài liệu (có định trước cấu hình yêu cầu kiểm tra truy nhập), máy chủ
Web sẽ kiểm tra ACL của nguồn tài nguyên và sẽ quyết định người sử
dụng có được phép truy nhập hay không.
 VAI TRÒ VÀ CHÍNH SÁCH
AN NINH MẠNG
Xác thực: Xác thực là kiểm tra nhận dạng thực thể muốn truy nhập vào máy tính
thông qua các chứng chỉ số. Máy chủ có thể xác thực người sử dụng theo nhiều
cách:
- Máy chủ không thể giải mã chữ ký số (có trong chứng chỉ) bằng cách sử dụng
khoá công khai, điều này chứng tỏ rằng chứng chỉ không có nguồn gốc từ người
sở hữu tin cậy.
- Máy chủ kiểm tra tem thời gian (có trên chứng chỉ) để đảm bảo rằng chứng chỉ
chưa quá hạn.
- Máy chủ có thể sử dụng một hệ thống gọi lại, trong đó địa chỉ máy khách và tên
người sử dụng được kiểm tra, dựa vào danh sách tên người dùng và địa chỉ máy
khách được gán trước.
 THỰC TRẠNG TẤN CÔNG, LỪA ĐẢO,
GIAN LẬN TMĐT VIỆT NAM
Giao hàng không đúng quy cách, chất lượng quảng
cáo với hình thức chuyển khoản trả tiền khi mua hàng.
Thư điện tử giả danh, lừa đảo trúng thưởng, tham gia
xổ số,…
Website giả mạo.
Thổi phồng công dụng, chất lượng sản phẩm tác
động đến tâm lý khách hàng
 THỰC TRẠNG TẤN CÔNG, LỪA ĐẢO,
GIAN LẬN TMĐT VIỆT NAM
Giao hàng không đúng quy cách, chất lượng quảng
cáo với hình thức chuyển khoản trả tiền khi mua hàng.
Thư điện tử giả danh, lừa đảo trúng thưởng, tham gia
xổ số,…
Website giả mạo.
Thổi phồng công dụng, chất lượng sản phẩm tác
động đến tâm lý khách hàng
 THỰC TRẠNG TẤN CÔNG, LỪA ĐẢO,
GIAN LẬN TMĐT VIỆT NAM
Vụ tin tặc tấn công các sân bay tại Việt Nam 2016 là vụ tấn công của các tin tặc
(hacker) vào chiều 29 tháng 7 năm 2016 vào một số màn hình hiển thị thông tin
chuyến bay tại khu vực làm thủ tục chuyến bay của các Sân bay quốc tế Tân Sơn
Nhất, Sân bay quốc tế Nội Bài, Sân bay quốc tế Đà Nẵng, Sân bay Phú Quốc. Các
màn hình của sân bay đã bị chèn những hình ảnh và nội dung câu chữ xúc phạm
Việt Nam và Philippines, xuyên tạc các nội dung về biển Đông. Hệ thống phát thanh
của sân bay cũng phát đi những thông điệp tương tự. Đồng thời website của
Vietnam Airlines cũng bị hack với 411.000 dữ liệu của hành khách đi máy bay đã bị
hacker thu thập và phát tán. Cuộc tấn công website và hệ thống thông tin sân bay
này được đánh giá là lớn nhất từ trước đến nay vào hệ thống thông tin hàng không
của Việt Nam.
 PHÁT HIỆN VÀ PHÒNG CHỐNG
LỪA ĐẢO,GIAN LẬN TMĐT
- Tuyệt đối không bao giờ gửi tên tài khoản, mật khẩu, số thẻ tín dụng,
số tài khoản ngân hàng và các thông tin cá nhân qua email, Skype,
Facebook Messenger, tin nhắn hay các dịch vụ chat trong bất kì một
trường hợp nào.
- Lưu ý tới các địa chỉ web, email chính thức và số điện thoại xác thực
của ngân hàng, dịch vụ đang sử dụng.
- Khi bị một số điện thoại hoặc email "lạ" yêu cầu cung cấp các thông tin
cá nhân, hãy liên hệ lại với các địa chỉ xác thực trên và yêu cầu xác
nhận.
PHÁT HIỆN VÀ PHÒNG CHỐNG
LỪA ĐẢO,GIANLẬN TMĐT