THƯƠNG MẠI ĐIỆN TỬ CÁC NGUY CƠ VÀ RỦI RO TRONG THƯƠNG MẠI ĐIỆN TỬ Góc độ người sử dụng: Bằng cách nào có thể chắc chắn rằng website do một công tỵ hợp pháp quản lý và sở hữu. Bằng cách nào người sử dụng có thể chắc chắn rằng trang web không chứa đựng các đoạn mã nguy hiểm hoặc các nội dung không lành mạnh. Bằng cách nào người sử dụng có thể chắc chắn rằng web server sẽ không cung cấp các thông tín của người sứ dụng cho một người khác. CÁC NGUY CƠ VÀ RỦI RO TRONG THƯƠNG MẠI ĐIỆN TỬ Góc độ doanh nghiệp: Bằng cách nào công ty có thể chắc chắn rằng người sử dụng sẽ không xâm nhập vào trang web để thay đổi các trang và nội dung trên các trang của website Bằng cách nào công ty có thể chắc chắn rằng người sử dụng sẽ không phá hoại website để những người khác không thể sử dụng được. CÁC NGUY CƠ VÀ RỦI RO TRONG THƯƠNG MẠI ĐIỆN TỬ Từ góc độ cả hai phía: Bằng cách nào họ có thể biết chắc rằng đường truyền sẽ không bị một bên thứ ba theo dõi. Bằng cách nào họ có thể chắc chắn rằng các thông tin được lưu chuyển giữa hai bên sẽ không bị thay đổi. CÁC KHÍA CẠNH CỦA AN NINH TMĐT Tính toàn vẹn: đề cập đến khả năng đảm bảo an ninh cho các thông tin được hiển thị trên một website hoặc chuyển hay nhận các thông tin trên Internet. Các thông tin này không bị thay đổi nội dung bằng bất cứ cách nào bởi người không được phép. CÁC KHÍA CẠNH CỦA AN NINH TMĐT Tính chống thoái thác (chống phủ định): liên quan đến khả năng đảm bảo rằng các bên tham gia TMĐT không phủ định các hành động trực tuyến mà họ đã thực hiện. CÁC KHÍA CẠNH CỦA AN NINH TMĐT Tính xác thực: liên quan đến khả năng nhận biết các đối tác tham gia giao dịch trực tuyến trên internet như làm thế nào để khách hàng chắc chắn rằng các doanh nghiệp bán hàng trực tuyến là những người có thể khiếu nại được; hay những gì khách hàng nói là sự thật; làm thế nào để biết được một người khi khiếu nại có nói đúng sự thực, có mô tả đúng sự việc hay không? CÁC KHÍA CẠNH CỦA AN NINH TMĐT Tính tin cậy: Tính tin cậy liên quan đến khả năng đảm bảo rằng ngoài những người có quyền, không ai có thể xem các thông điệp và truy cập những dữ liệu có giá trị. Trong một số trường hợp, người ta có thể dễ nhầm lẫn giữa tính tin cậy và tính riêng tư. CÁC KHÍA CẠNH CỦA AN NINH TMĐT Tính riêng tư: liên quan đến khả năng kiểm soát việc sử dụng các thông tin cá nhân mà khách hàng cung cấp về chính bản thân họ. Có hai vấn đề người bán phải chú ý đối với tính riêng tư: Người bán cần thiết lập các chính sách nội bộ để có thể quản lý việc sử dụng các thông tin về khách hàng. Cần bảo vệ các thông tin đó tránh sử dụng vào những mục đích không chính đáng hoặc tránh sử dụng trái phép các thông tin này. CÁC KHÍA CẠNH CỦA AN NINH TMĐT Tính tiện lợi: liên quan đến khả năng đảm bảo các chức năng của một website TMĐT được thực hiện đúng như mong đợi. Đây cũng là vấn đề mà các website hay gặp phải và lại trở ngại không nhỏ đối với việc thực hiện các giao dịch trực tiếp trên Internet. MỘT SỐ HÌNH THỨC TẤN CÔNG AN NINH MẠNG Mã độc (virus): Virus máy tính xuất hiện lần đầu tiên vào năm 1983. Virus là một chương trình máy tính có khả năng tự nhân bản và lan tỏa. Có khá nhiều biến thể khác nhau: tấn công phá hoại hoặc sửa đổi các file thực thi; tấn công vào hệ thống máy tính; tấn công vào các ứng dụng phần mềm;... Virus tấn công hệ thống (worms) có thể tự nhân bản và lan truyền sang các hệ thống máy tính trên Internet. MỘT SỐ HÌNH THỨC TẤN CÔNG AN NINH MẠNG Trojan (đặt tên theo truyền thuyết con ngựa Trojan của thành Troy): là một loại chương trình nguy hiểm (malware) được dùng để thâm nhập vào máy tính mà người sử dụng máy tính không hay biết. Trojan có thể cài đặt chương trình theo dõi bàn phím (keystroke logger) để lưu lại hết những phím đã được gõ rồi sau đó gửi “báo cáo” về cho một địa chỉ email được quy định trước (thường là địa chỉ email của chủ nhân của Trojan). MỘT SỐ HÌNH THỨC TẤN CÔNG AN NINH MẠNG Virus macro là loại virus phổ biến nhất, chiếm từ 75% đến 80% trong tổng số các virus được phát hiện. Đây là loại virus đặc biệt chỉ nhiễm vào các tệp ứng dụng soạn thảo, chẳng hạn như các tệp ứng dụng của MS Word, Excel và Power Point . Khi người sử dụng mở các tài liệu bị nhiễm virus trong các chương trình ứng dụng, virus này sẽ tự tạo ra các bản sao và nhiễm vào các tệp chứa đựng các khuôn mẫu của ứng dụng, để từ đó lây sang các tài liệu khác. MỘT SỐ HÌNH THỨC TẤN CÔNG AN NINH MẠNG Tin tặc (hacker và cracker): Tin tặc hay tội phạm máy tính là thuật ngữ dùng để chỉ những người truy cập trái phép vào một website, một cơ sở dữ liệu hay hệ thống thông tin. Thực chất mục tiêu của các hacker rất đa dạng. Có thể là hệ thống dữ liệu của các website thương mại điện tử, hoặc với ý đồ nguy hiểm hơn chúng có thể sử dụng các chương trình phá hoại (cybervandalism) nhằm gây ra các sự cố, làm mất uy tín hoặc phá huỷ website trên phạm vi toàn cầu. MỘT SỐ HÌNH THỨC TẤN CÔNG AN NINH MẠNG Tấn công từ chối dịch vụ (DDOS): Tấn công từ chối dịch vụ (DOS - Denial Of Service attack, DDOS – Distributed DOS hay DR DOS) là kiểu tấn công khiến một hệ thống máy tính hoặc một mạng bị quá tải, dẫn tới không thể cung cấp dịch vụ hoặc phải dừng hoạt động. Sơ khai nhất là hình thức DoS (Denial of Service), lợi dụng sự yếu kém của giao thức TCP, tiếp đến là DDoS (Distributed Denial of Service) - tấn công từ chối dịch vụ phân tán, và gần đây là DRDoS - tấn công theo phương pháp phản xạ phân tán (Distributed Reflection Denial of Service). MỘT SỐ HÌNH THỨC TẤN CÔNG AN NINH MẠNG Giả mạo (phishing): Phishing là một loại tội phạm công nghệ cao sử dụng email, tin nhắn pop-up hay trang web để lừa người dùng cung cấp các thông tin cá nhân nhạy cảm như thẻ tín dụng, mật khẩu, số tài khoản ngân hàng. Các website thường xuyên bị giả mạo đó là Paypal, Ebay, MSN, Yahoo, BestBuy, American Online….Kẻ giả mạo thường hướng tới phishing những khách hàng của ngân hàng và người tiêu dùng thường mua sắm trực tuyến. MỘT SỐ HÌNH THỨC TẤN CÔNG AN NINH MẠNG Giả mạo (phishing): Phishing là một loại tội phạm công nghệ cao sử dụng email, tin nhắn pop-up hay trang web để lừa người dùng cung cấp các thông tin cá nhân nhạy cảm như thẻ tín dụng, mật khẩu, số tài khoản ngân hàng. Các website thường xuyên bị giả mạo đó là Paypal, Ebay, MSN, Yahoo, BestBuy, American Online….Kẻ giả mạo thường hướng tới phishing những khách hàng của ngân hàng và người tiêu dùng thường mua sắm trực tuyến. MỘT SỐ HÌNH THỨC TẤN CÔNG AN NINH MẠNG Một dạng lừa đảo hay gặp khác là những email gửi hàng loạt đến người nhận, tuyên bố người nhận đã may mắn trúng giải thưởng rất lớn, và yêu cầu người nhận gửi một số tiền nhỏ (vài nghìn dollar Mỹ) để làm thủ tục nhận giải thưởng (vài triệu dollar Mỹ). Đã có một số bài báo ở Việt Nam nêu ra vài “nạn nhân” ở Việt Nam. MỘT SỐ HÌNH THỨC TẤN CÔNG AN NINH MẠNG Nghe lén (Sniffer): là một dạng của chương trình theo dõi, nghe trộm, giám sát sự di chuyển của thông tin trên mạng. Khi sử dụng vào những mục đích hợp pháp, nó có thể giúp phát hiện ra những yếu điểm của mạng, nhưng ngược lại, nếu sử dụng vào các mục đích phi pháp, các phần mềm ứng dụng này sẽ trở thành các mối hiểm hoạ lớn và rất khó có thể phát hiện. Kẻ trộm sử dụng các phần mềm này nhằm lấy cắp các thông tin có giá trị như thư điện tử, dữ liệu kinh doanh của các doanh nghiệp, các báo cáo mật…từ bất cứ nơi nào trên mạng. VAI TRÒ VÀ CHÍNH SÁCH AN NINH MẠNG Nhận dạng: là quá trình mà hệ thống nhận biết được thiết bị hoặc người dùng có hợp lệ hay không. Việc nhận dạng có thể dựa vào tên truy cập, địa chỉ truy cập,... VAI TRÒ VÀ CHÍNH SÁCH AN NINH MẠNG Kiểm soát truy cập: Kiểm soát truy cập là quá trình phân cấp quyền hạn truy cập vào hệ thống thông qua ACL. ACL là một danh sách hoặc cơ sở dữ liệu, các nguồn tài nguyên, tên của người có thể truy nhập vào các file hoặc các nguồn tài nguyên khác... Bất cứ khi nào, máy phía máy khách yêu cầu máy chủ Web truy nhập vào một file hoặc một tài liệu (có định trước cấu hình yêu cầu kiểm tra truy nhập), máy chủ Web sẽ kiểm tra ACL của nguồn tài nguyên và sẽ quyết định người sử dụng có được phép truy nhập hay không. VAI TRÒ VÀ CHÍNH SÁCH AN NINH MẠNG Xác thực: Xác thực là kiểm tra nhận dạng thực thể muốn truy nhập vào máy tính thông qua các chứng chỉ số. Máy chủ có thể xác thực người sử dụng theo nhiều cách: - Máy chủ không thể giải mã chữ ký số (có trong chứng chỉ) bằng cách sử dụng khoá công khai, điều này chứng tỏ rằng chứng chỉ không có nguồn gốc từ người sở hữu tin cậy. - Máy chủ kiểm tra tem thời gian (có trên chứng chỉ) để đảm bảo rằng chứng chỉ chưa quá hạn. - Máy chủ có thể sử dụng một hệ thống gọi lại, trong đó địa chỉ máy khách và tên người sử dụng được kiểm tra, dựa vào danh sách tên người dùng và địa chỉ máy khách được gán trước. THỰC TRẠNG TẤN CÔNG, LỪA ĐẢO, GIAN LẬN TMĐT VIỆT NAM Giao hàng không đúng quy cách, chất lượng quảng cáo với hình thức chuyển khoản trả tiền khi mua hàng. Thư điện tử giả danh, lừa đảo trúng thưởng, tham gia xổ số,… Website giả mạo. Thổi phồng công dụng, chất lượng sản phẩm tác động đến tâm lý khách hàng THỰC TRẠNG TẤN CÔNG, LỪA ĐẢO, GIAN LẬN TMĐT VIỆT NAM Giao hàng không đúng quy cách, chất lượng quảng cáo với hình thức chuyển khoản trả tiền khi mua hàng. Thư điện tử giả danh, lừa đảo trúng thưởng, tham gia xổ số,… Website giả mạo. Thổi phồng công dụng, chất lượng sản phẩm tác động đến tâm lý khách hàng THỰC TRẠNG TẤN CÔNG, LỪA ĐẢO, GIAN LẬN TMĐT VIỆT NAM Vụ tin tặc tấn công các sân bay tại Việt Nam 2016 là vụ tấn công của các tin tặc (hacker) vào chiều 29 tháng 7 năm 2016 vào một số màn hình hiển thị thông tin chuyến bay tại khu vực làm thủ tục chuyến bay của các Sân bay quốc tế Tân Sơn Nhất, Sân bay quốc tế Nội Bài, Sân bay quốc tế Đà Nẵng, Sân bay Phú Quốc. Các màn hình của sân bay đã bị chèn những hình ảnh và nội dung câu chữ xúc phạm Việt Nam và Philippines, xuyên tạc các nội dung về biển Đông. Hệ thống phát thanh của sân bay cũng phát đi những thông điệp tương tự. Đồng thời website của Vietnam Airlines cũng bị hack với 411.000 dữ liệu của hành khách đi máy bay đã bị hacker thu thập và phát tán. Cuộc tấn công website và hệ thống thông tin sân bay này được đánh giá là lớn nhất từ trước đến nay vào hệ thống thông tin hàng không của Việt Nam. PHÁT HIỆN VÀ PHÒNG CHỐNG LỪA ĐẢO,GIAN LẬN TMĐT - Tuyệt đối không bao giờ gửi tên tài khoản, mật khẩu, số thẻ tín dụng, số tài khoản ngân hàng và các thông tin cá nhân qua email, Skype, Facebook Messenger, tin nhắn hay các dịch vụ chat trong bất kì một trường hợp nào. - Lưu ý tới các địa chỉ web, email chính thức và số điện thoại xác thực của ngân hàng, dịch vụ đang sử dụng. - Khi bị một số điện thoại hoặc email "lạ" yêu cầu cung cấp các thông tin cá nhân, hãy liên hệ lại với các địa chỉ xác thực trên và yêu cầu xác nhận. PHÁT HIỆN VÀ PHÒNG CHỐNG LỪA ĐẢO,GIANLẬN TMĐT