ĐẠI HỌC THƯƠNG MẠI

KHOA HTTT KINH TẾ VÀ THƯƠNG MẠI ĐIỆN TỬ

----------

BÀI THẢO LUẬN

AN TOÀN BẢO MẬT THÔNG TIN
Đề tài: Trình bày khái niệm, đặc điểm, phân loại và
cách phòng chống trong các hệ thống ngân hàng trực
tuyến (E - banking) và đối với tấn công SQL injection.

Giáo viên giảng dạy : Trần Thị Nhung

Nhóm : 7
Lớp HP : 2241eCIT0921

Hà Nội – 2022

1
 DANH SÁCH THÀNH VIÊN NHÓM
Tên Thành viên Nhiệm vụ Đánh giá
Nguyễn Thị Chi – Nhóm trưởng Trình bày khái Hoàn thành
Nguyễn Hữu Huỳnh niệm, đặc điểm, Hoàn thành
Nguyễn Như Thùy phân loại và cách Hoàn thành
phòng chống trong
E – banking
Nguyễn Việt Đoàn Thuyết trình Hoàn thành
Vũ Kim Oanh PowerPoint Hoàn thành
Nguyễn Thị Chi Tổng hợp word Hoàn thành
Nguyễn Phương Anh Trình bày khái Hoàn thành
Đỗ Thị Phương Thảo niệm, đặc điểm, Hoàn thành
Dương Thị Hồng Thắm phân loại và cách Hoàn thành
phòng chống đối
với tấn công SQL
Injection

2
MỤC LỤC
A. E – BANKING ........................................................................................................................ 4
1. Khái niệm, đặc điểm, phân loại E - banking ........................................................................ 4
1.1. Khái niệm: .................................................................................................................... 4
1.2. Đặc điểm: ...................................................................................................................... 5
1.3. Ưu điểm và hạn chế của E-banking: ............................................................................. 6
1.4. Vai trò của Dịch vụ Ngân hàng điện tử: ....................................................................... 8
1.5. Phân loại các dịch vụ của E-banking: ......................................................................... 10
2. Cách phòng chống trong các hệ thống ngân hàng trực tuyến (E - banking) ...................... 11
2.1. Các mối đe dọa tới E-banking .................................................................................... 11
2.2. Một số biện pháp phòng tránh phổ biến ..................................................................... 11
3. Liên hệ thực tế ................................................................................................................... 13
Ví dụ 1: Tin nhắn mạo danh các tổ chức tài chính, ngân hàng (TPBank, Sacombank,
ACB,… )................................................................................................................................ 13
Ví dụ 2: Vụ việc VN84App, phần mềm thu thập tin nhắn OTP giao dịch ngân hàng lên đến
hàng tỷ đồng, đã lây nhiễm hàng nghìn smartphone tại Việt Nam ....................................... 17
B. SQL INJECTION .................................................................................................................. 24
1. Khái niệm, đặc điểm, phân loại tấn công SQL Injection: .................................................. 24
1.1. Khái niệm: .................................................................................................................. 24
1.2. Đặc điểm: .................................................................................................................... 26
1.3. Hậu quả của tấn công SQL Injection .......................................................................... 26
2. Cách phòng chống đối với tấn công SQL Injection ........................................................... 27
2.1. Các dạng tấn công....................................................................................................... 27
2.2. Các mối đe dọa chính từ SQL Injection: .................................................................... 28
2.3. Phòng chống tấn công SQL injection: ........................................................................ 29
3. Liên hệ thực tế ................................................................................................................... 30
Ví dụ 1: Cuộc khủng hoảng của SONY ................................................................................ 30
Ví dụ 2: Yahoo bị tấn công .................................................................................................... 32
C. LIÊN HỆ TẤN CÔNG SQL INJECTION VÀ E – BANKING............................................ 34
D. TÀI LIỆU THAM KHẢO ..................................................................................................... 36

3
 A. E – BANKING
1. Khái niệm, đặc điểm, phân loại E - banking
1.1. Khái niệm:
Dịch vụ ngân hàng điện tử (Electronic Banking viết tắt là E-Banking), hiểu theo
nghĩa trực quan đó là một loại dịch vụ ngân hàng được khách hàng thực hiện nhưng
không phải đến quầy giao dịch gặp nhân viên ngân hàng. Hiểu theo nghĩa rộng hơn đây là
sự kết hợp giữa một số hoạt động dịch vụ ngân hàng truyền thống với công nghệ thông
tin và điện tử viễn thông. E-Banking là một dạng của thương mại điện tử (electronic
commerce hay e-commerce) ứng dụng trong hoạt động kinh doanh ngân hàng. Cũng có
thể hiểu cụ thể hơn, E-Banking là một hệ thống phần mềm tin học cho phép khách hàng
có thể tìm hiểu thông tin hay thực hiện một số giao dịch ngân hàng thông qua phương
tiện điện tử (công nghệ thông tin, điện tử, kỹ thuật số, từ tính, truyền dẫn không dây,
quang học, điện từ hoặc công nghệ tương tự).
Internet Banking là dịch vụ Ngân hàng điện tử dùng để truy vấn thông tin
tài khoản và thực hiện các giao dịch chuyển khoản, thanh toán qua mạng Internet.
Internet Banking cho phép khách hàng thực hiện giao dịch trực tuyến mà không
cần đến Ngân hàng. Chỉ cần một chiếc máy vi tính hoặc điện thoại di động có kết
nối Internet và mã truy cập do Ngân hàng cung cấp, khách hàng đã có thể thực
hiện các giao dịch với Ngân hàng mọi lúc mọi nơi một cách an toàn.
Dịch vụ ngân hàng điện tử hiểu theo nghĩa trực quan đó là một loại dịch
vụ ngân hàng được khách hàng thực hiện nhưng không phải đến quầy giao dịch
gặp nhân viên ngân hàng. Hiểu theo nghĩa rộng hơn đây là sự kết hợp giữa một
số hoạt động dịch vụ ngân hàng truyền thống với công nghệ thông tin và điện tử
viễn thông. E-Banking là một dạng của thương mại điện tử ứng dụng trong hoạt
động kinh doanh ngân hàng. Cũng có thể hiểu cụ thể hơn, E-Banking là một hệ
thống phần mềm tin học cho phép khách hàng có thể tìm hiểu thông tin hay thực
hiện một số giao dịch ngân hàng thông qua phương tiện điện tử (công nghệ
thông tin, điện tử, kỹ thuật số, từ tính, truyền dẫn không dây, quang học, điện từ
hoặc công nghệ tương tự).
4
 1.2. Đặc điểm:
a. Tính liên tục:
Khách hàng có thể sử dụng dịch vụ trong bất kỳ khoảng thời gian nào trong ngày, thời
gian thực hiện giao dịch phụ thuộc vào các điều kiện của giao dịch và cơ chế vận hành
của hệ thống.
b. Tính toàn cầu:
Các kênh phân phối E-Banking đều được tổ chức thành hệ thống mạng, một đầu mạng là
thiết bị giao dịch được nối với khách hàng như điện thoại, ATM, máy tính…..Các thiết bị
này được nối trực tiếp hoặc gián tiếp đến trung tâm của mạng là hệ thống cơ sở dữ liệu và
xử lý thông tin của ngân hàng thông qua mạng internet.
c. Các loại hình dịch vụ E - Banking rất đa dạng và phong phú.
Như đã biết, các kênh phân phối truyền thống có danh mục sản phẩm rất đa dạng, nhằm
thỏa mãn một cách tốt nhất nhu cầu của khách hàng, đồng thời để phân tán rủi ro.
Dịch vụ E- Banking là kênh phân phối song song tồn tại với những kênh phân phối
truyền thống. Tùy theo từng giai đoạn phát triển của hoạt động ngân hàng điện tử tại ngân
hàng, các sản phẩm dịch vụ được đưa ra ở những mức độ khác nhau, từ dịch vụ giản đơn
như xem thông tin tài khoản, lịch sử giao dịch…, đến những sản phẩm ở mức độ cao, đòi
hỏi các giải pháp công nghệ hiện đại như thực hiện thanh toán trực tuyến, mở L/C,…Ở
giai đoạn phát triển cao nhất, E- Banking, ngân hàng điện tử có thể phân phối đầy đủ các
sản phẩm, dịch vụ tương tự như một chi nhánh hay trụ sở ngân hàng. Các sản phẩm này
cũng hết sức đa dạng và phong phú. Bởi việc thiết kế chúng để đưa ra qua các kênh phân
phối điện tử là dễ dàng và thỏa mãn được tất cả những nhu cầu riêng biệt của khách hàng.
d. Đây là hình thức khách hàng tự phục vụ.
Đối với kênh phân phối truyền thống, khách hàng nhất thiết phải đến các chi nhánh hoặc
trụ sở ngân hàng. Tại đây họ sẽ được các nhân viên ngân hàng chỉ dẫn và thực hiện theo
yêu cầu của mình như mở tài khoản, thanh toán, chuyển khoản, … Hoạt động ngân hàng
điện tử không như vậy. Thay vì phải có sự trợ giúp của các giao dịch viên, khách hàng sẽ
tự đáp ứng, phục vụ nhu cầu riêng của mình. Thông qua việc bấm các phím trên máy
ATM, các phím số trên điện thoại…, khách hàng sẽ lựa chọn đúng loại hình dịch vụ phù

5
hợp nhất với yêu cầu của họ. Điều này sẽ đem lợi ích cho cả khách hàng và ngân hàng.
Ngân hàng sẽ không cần tuyển dụng đội ngũ nhân viên đông đảo, đồng thời cũng không
phải lo lắng về thái độ phục vụ khách hàng của các nhân viên. Còn khách hàng lại có thể
tự thỏa mãn nhu cầu của mình bất cứ nơi đâu, bất cứ khi nào họ muốn.
e. Dịch vụ E- Banking cho phép khách hàng thực hiện yêu cầu một cách chính
xác và tức thời.
Đối với hoạt động E- Banking, yêu cầu của khách hàng sau khi được truyền về ngân
hàng sẽ qua hệ thống server để xử lý: kiểm tra khách hàng về mã số cá nhân, mã tài
khoản, các thông tin cần thiết để xác định chính xác có phải là khách hàng của ngân hàng
hay không. Nếu kết quả trả lại là đúng thì hệ thống sẽ tự động thực hiện lệnh mà khách
hàng đưa ra theo đúng hệ thống quy trình đã được lập trình sẵn. Tất cả các công đoạn trên
chỉ mất một khoảng thời gian ngắn, có thể coi là ngay lập tức, thay vì quá trình xử lý giấy
tờ, in ấn phức tạp và tốn kém về thời gian, chi phí.
f. Tính khép kín:
Quy trình của một giao dịch điện tử bắt đầu khi khách hàng đặt lệnh yêu cầu dịch vụ và
kết thúc khi có phản hồi từ phía ngân hàng về trạng thái dịch vụ đang được yêu cầu.
1.3. Ưu điểm và hạn chế của E-banking:
1.3.1. Ưu điểm:
• Nhanh chóng, tiện lợi: E-Banking giúp bạn có thể liên hệ với ngân hàng để thực
hiện các giao dịch bất cứ thời điểm điểm nào tại bất cứ nơi đâu. Việc thực hiện các
giao dịch như: đóng tiền điện nước, nạp card, mua sắm, chuyển khoản...rất đơn
giản và nhanh chóng. Điều này vô cùng có ý nghĩa với những khách hàng có ít
thời gian để đến các điểm giao dịch trực tiếp với ngân hàng, các khách hàng cá
nhân có số lượng giao dịch với ngân hàng không nhiều, số tiền mỗi lần giao dịch
không lớn.
• Tiết kiệm chi phí, tăng doanh thu: Dịch vụ ngân hàng điện tử với công nghệ
hiện đại tiết kiệm thời gian và giảm chi phí dịch vụ cho khách hàng. Phí giao dịch
của E-Banking được đánh giá là ở mức thấp so với giao dịch truyền thống, đặc

6
 biệt là giao dịch qua Internet, từ đó góp phần tăng doanh thu cho hoạt động cho
ngân hàng.
• Mở rộng phạm vi hoạt động, tăng khả năng cạnh tranh: E-Banking là giải
pháp tốt để các ngân hàng nâng cao chất lượng và hiệu quả hoạt động, qua đó nâng
cao khả năng cạnh tranh của ngân hàng. Giúp thực hiện chiến lược toàn cầu hóa
mà không cần mở thêm chi nhánh ở trong nước cũng như ngoài nước. E-Banking
là công cụ quảng bá thương hiệu của ngân hàng một cách sinh động, hiệu quả.
• Nâng cao hiệu quả sử dụng vốn: Thông qua các dịch vụ ngân hàng điện tử, các
lệnh về chi trả, nhờ thu của khách hàng được thực hiện nhanh chóng, tạo điều kiện
cho vốn tiền tệ được chu chuyển nhanh. Qua đó đẩy nhanh tốc độ lưu thông hàng
hóa, tiền tệ.
• Tăng khả năng chăm sóc và thu hút khách hàng: E-Banking với mô hình ngân
hàng hiện đại, kinh doanh đa năng sẽ cung cấp cho khách hàng các dịch vụ chăm
sóc chất lượng nhất. Giúp khách hàng có được sự hài lòng và tin cậy hơn.
• Cung cấp các dịch vụ trọn gói: Các ngân hàng có thể liên kết với các công ty bảo
hiểm, công ty chứng khoán, công ty tài chính để đưa ra các sản phẩm tiện ích đồng
bộ nhằm đáp ứng các nhu cầu của một khách hàng về các dịch vụ liên quan đến
ngân hàng, bảo hiểm, đầu tư, chứng khoán…
1.3.2. Hạn chế
• Khả năng rủi ro cao: Đó là những rủi ro về việc rò rỉ thông tin. E-banking giúp
người dùng giao dịch tiện lợi hơn nhưng nền tảng internet cũng đầy rẫy nguy cơ.
Hacker có thể vượt qua hệ thống bảo vệ để có được tài khoản của bạn để thực hiện
những hành vi xấu. Mỗi năm luôn có những vụ việc bị lấy mất tiền từ tài khoản
ngân hàng thông qua dịch vụ này. Số tiền dao động có thể từ vài triệu cho đến
trăm triệu. Đây là một lời cảnh báo cho cả người dùng và ngân hàng. Cả 2 bên cần
nỗ lực để tối ưu bảo mật tài khoản Internet Banking.
Tiêu biểu là sự kiện: “Thông tin của 324.000 giao dịch tài chính qua
một cổng thanh toán đã bị đánh cắp. Đặc biệt dữ liệu bị mất bao gồm cả mã số
an ninh”.
7
 • Chất lượng dịch vụ thấp: Chất lượng dịch vụ cũng là một điểm hạn chế lớn của
E-banking. Nhiều ngân hàng vẫn chưa tạo ra được trải nghiệm mượt mà nhất cho
người dùng. Câu chuyện lỗi, bảo trì quá thường xuyên không phải là câu chuyện
hiếm. Điều này ảnh hưởng rất lớn tới người dùng, đặc biệt là khi họ bận rộn hoặc
có nhu cầu chuyển tiền gấp.
• Phụ thuộc vào internet: Hoạt động trên nền tảng internet nên rõ ràng dịch vụ này
phụ thuộc hoàn toàn vào đường truyền mạng. Tuy rằng với thời đại ngày nay, việc
kết nối internet không phải chuyện khó. Dù vậy, có rất nhiều thời điểm mạng
internet không ổn định khiến người dùng không thể truy cập app hoặc website.
1.4. Vai trò của Dịch vụ Ngân hàng điện tử:
1.4.1. Đối với ngân hàng
Đối với bản thân ngân hàng, lan rộng ra những loại dịch vụ ngân hàng điện tử
cũng một giải pháp để họ nâng cao chất lượng dịch vụ. Và qua đó nâng cao năng lực cạnh
tranh cũng như lan rộng ra khoanh vùng phạm vi hoạt động giải trí.
Xét về mặt kinh doanh của ngân hàng, thông qua các dịch vụ ngân hàng điện tử.
Các lệnh về nhờ thu, chi trả của khách hàng được thực hiện nhanh chóng. Tạo điều kiện
cho vốn tiền tệ chu chuyển nhanh, thực hiện tốt quan hệ giao dịch. Trao đổi tiền – hàng
hiệu quả hơn so với giao dịch kiểu ngân hàng truyền thống. Qua đó đẩy nhanh tốc độ lưu
thông hàng hoá, tiền tệ, nâng cao hiệu quả sử dụng vốn…
Một vai trò khác của dịch vụ ngân hàng điện tử là tăng năng lực chăm nom và lôi
cuốn người mua. Chính sự tiện ích có được từ loại dịch vụ này đã lôi cuốn và giữ người
mua sử dụng. Phát sinh những quan hệ thanh toán giao dịch. Và trở thành người mua
truyền thống cội nguồn của ngân hàng. Với quy mô ngân hàng văn minh. Kinh doanh
thương mại đa năng thì năng lực tăng trưởng. Đáp ứng những dịch vụ cho nhiều đối
tượng người dùng người mua. Nhiều ngành kinh doanh thương mại của dịch vụ NHĐT
(ngân hàng điện tử) là rất cao.

8
 1.4.2. Đối với người dùng
Có thể nói, so với người mua ưu điểm lớn nhất của dịch vụ ngân hàng điện tử
dành cho họ. Chính là sự tiện lợi và luôn sẵn sàng chuẩn bị. Khách hàng hoàn toàn có thể
sử dụng dịch vụ ngân hàng ở bất kể nơi đâu và tại bất kể thời gian nào.
Đặc biệt, so với những người dùng cá nhân, người dùng vừa và nhỏ. Có số lượng
thanh toán giao dịch với ngân hàng không nhiều. Số tiền trên mỗi lần thanh toán giao
dịch không lớn. Thì việc sử dụng mô hình dịch vụ này sẽ giúp họ thuận tiện hơn. Đây là
lợi ích mà những thanh toán giao dịch kiểu ngân hàng truyền thống khó có thể đạt được
với vận tốc nhanh, đúng mực so với dịch vụ NHĐT.
Với đặc trưng là sử dụng công nghệ hiện đại. Dịch vụ ngân hàng điện tử đã giúp
khách hàng tiết kiệm được thời gian và giảm chi phí dịch vụ. Họ hoàn toàn có thể thực
hiện một số các giao dịch thông thường. Mà không cần trực tiếp đến ngân hàng giao dịch.
Do đó tiết kiệm được chi phí đi lại. Đối với doanh nghiệp có thể sử dụng dịch vụ NHĐT
để chuyển khoản trả lương cho nhân viên. Giúp doanh nghiệp tiết kiệm thời gian và chi
phí đi lại.
1.4.3. Đối với nền kinh tế tài chính
Dịch vụ ngân hàng điện tử giúp tăng quy trình lưu thông tiền tệ và sản phẩm &
hàng hóa trong nền kinh tế tài chính. Nó được cho phép người mua giảm lượng thanh
toán giao dịch tiền mặt. Giúp cho quy trình thanh toán giao dịch nhanh gọn hơn, thuận
tiện hơn. Các dịch vụ giao dịch thanh toán trực tuyến giúp thôi thúc vòng xoay của vốn.
Luân chuyển vốn đến những nơi cần đến một cách tốt hơn. Làm tăng hiệu suất cao của
quy trình sử dụng vốn. Qua đó, những nhu yếu về vốn trong nền kinh tế tài chính được
cung ứng một cách hiệu suất cao .
Thông qua các dịch vụ NHĐT, các lệnh chi trả, nhờ thu của khách hàng được thực
hiện nhanh chóng. Tạo hiệu quả cho quá trình thương mại. Đẩy nhanh tốc độ chu chuyển
hàng – tiền – hàng, tiền – hàng – tiền. Nâng cao hiệu quả sử dụng vốn. Dịch vụ NHĐT
giúp hiện đại hóa hệ thống thanh toán. Chi phí giao dịch được giảm bớt đáng kể và tính
an toàn được đảm bảo hơn. Việc thanh toán trở nên thuận tiện hơn nhiều.

9
 1.5. Phân loại các dịch vụ của E-banking:
• Internet banking: Theo hertzum & ctg, internet banking đề cập đến các dịch vụ
ngân hàng cung cấp qua viễn thông.
• Mobile banking: Là ứng dụng cung cấp cho điện thoại cho phép khách hàng có tài
khoản E-banking giải quyết bao gồm: truyền dữ liệu phải được bảo mật, ứng dụng
và quyền truy cập phải được kiểm soát, tính toàn vẹn của dữ liệu phải được bảo
vệ, việc mất thiết bị phải có tác động hạn chế và kiểm soát ngay tức thì. Một số
tiện ích mà Mobile banking cung cấp cho khách hàng như cung cấp các thông tin
liên quan đến hoạt động tài khoản, thông báo số dư tài khoản khi có sự thay đổi,
truy vấn thông tin tài khoản, chuyển khoản…
• Hệ thống home banking: Home banking là hệ thống phân phối dịch vụ ngân hàng
kết nối tại nhà với nhiều tiện ích thông qua đường truyền kết nối internet với cổng
thông tin của ngân hàng. Một số dịch vụ tiện ích thông qua homebanking như:
chuyển khoản, thanh toán hóa đơn, xem số dư tài khoản …
• Hệ thống thẻ, máy ATM, máy POS: Là công cụ hỗ trợ tiêu dùng không cần tiền
mặt cho khách hàng, đa dạng về hình thức và tính năng: thẻ nội địa, thẻ quốc tế,
thẻ ghi nợ, thẻ tín dụng…Với các loại thẻ, khách hàng có thể thanh toán mà không
cần sử dụng tiền mặt.
• Call centre: Là dịch vụ ngân hàng điện thoại, khách hàng có tài khoản bất kỳ chi
nhánh nào đều có thể gọi điện thoại đến trung tâm này để được cung cấp thông tin
và giải đáp thắc mắc tuy nhiên dịch vụ này hiện chưa có mặt tại Việt Nam.
• Kiosk banking: Là sự phát triển của dịch vụ ngân hàng hướng tới việc phục vụ
khách hàng chất lượng cao nhất và thuận tiện nhất. Trên đường phố sẽ đặt các
trạm làm việc với đường truyền internet chất lượng cao, khi khách hàng thực hiện
giao dịch hoặc yêu cầu giao dịch họ chỉ cần truy cập, cung cấp số chứng nhận cá
nhân và mật khẩu để sử dụng dịch vụ.

10
2. Cách phòng chống trong các hệ thống ngân hàng trực tuyến (E - banking)
2.1. Các mối đe dọa tới E-banking
• Lừa đảo tài chính quốc tế: Trò lừa thường bắt đầu bằng một bức thư hoặc email
có hình thức như được gửi trực tiếp tới người nhận nhưng thực tế đã được phát tán
cho nhiều người để đưa ra đề xuất, theo đó người nhận sẽ nhận được một khoản
tiền lớn nhưng thực tế thì người nhận sẽ không thể nhận được.
• Trộm danh tính: Là hành vi của cá nhân, tổ chức thu thập các thông tin cá nhân
của khách hàng để kiếm các lợi ích tài chính, chủ yếu là trộm thông tin thẻ tín
dụng, tạo ra một món nợ lớn cho khách hàng.
• Virus: Là những chương trình hay đoạn mã được thiết kế để tự nhân bản và sao
chép chính nó vào các đối tượng lây nhiễm khác.
• Phishing (tấn công lừa đảo): đây là cách tấn công chiếm tỷ lệ lớn nhất hiện nay,
sử dụng như một tên website giả mạo để đánh lừa khách hàng đăng nhập vào để từ
đó lợi dụng, xâm phạm tài chính và thông tin của khách hàng, đặc biệt là thông
qua việc phát tán các link giả mạo qua email, tin nhắn mạng đầu số ngân hàng
khiến khách hàng nhầm lẫn. Tội phạm mạng tận dụng cơ hội này vì các doanh
nghiệp và truyền thông hoàn toàn phụ thuộc vào mạng internet
• Hacking: Truy cập bất hợp pháp vào máy tính khách hàng bằng Internet. Đối với
hacker thì việc tấn công vào hệ thống ngân hàng rất khó khăn, nên xu hướng của
hacker sẽ có xu hướng tiến tới tấn công người tiêu dùng song song với đó như giả
mạo công an, tấn công vào lòng sợ hãi, lòng tham … Đánh cắp mã OTP hiện là
cách tấn công phổ biến nhất của hacker, nhắm vào giao dịch, thanh toán có liên
quan tới tài khoản ngân hàng. Chiêu thức thường được bọn tội phạm sử dụng là
lừa người dùng cài đặt phần mềm ứng dụng được chúng nhúng mã độc vào
smartphone để lấy trộm tin nhắn OTP từ ngân hàng hay nơi cung cấp dịch vụ gửi
tới khi có giao dịch.
2.2. Một số biện pháp phòng tránh phổ biến
• Trí tuệ nhân tạo (Arificial Intelligence - AI): có thể cải thiện Tri thức an ninh
mạng (Threat Intelligence - TI), cải thiện khả năng dự doán nguy cơ và bảo đảm

11
 an ninh mạng. Trí tuệ nhân tạo có thể học hỏi từ các nhà phân tích bảo mật và cải
thiện hiện quả của nó theo thời gian, điều này giúp tiết kiệm thừoi gian và đưa ra
quyết định tốt hơn. Điều này rất cần thiết cho các ngân hàng khi các cuộc tấn công
mạng tiếp tục phát triển về số lượng và mức độ tinh vi.
• Mã OTP (hay còn gọi là mật khẩu dùng một lần - One Time Password): là
loại mã được tự động sinh ra và gửi đến cho khách hàng qua tin nhắn điện thoại
(SMS OTP) hoặc ngay trên ứng dụng (Smart OTP) mỗi khi tài khoản ngân hàng
điện tử phát sinh giao dịch. Mã OTP giúp hạn chế việc tài khoản bị tấn công từ xa.
Dù đánh cắp được thông tin tài khoản, kẻ xấu không có thiết bị chứa mã OTP để
thực hiện giao dịch trái phép.
• Đăng nhập bằng sinh trắc học (dấu vân tay, Face ID): Tính năng này được áp
dụng cho các ứng dụng di động của ngân hàng và chỉ hoạt động trên các thiết bị di
động có trang bị cảm biến vân tay và nhận diện khuôn mặt. Đây là một trong
những cách thức bảo mật có độ an toàn cao nhất hiện nay đối với ngân hàng điện
tử. Điều này dựa trên đặc điểm mỗi người có một dấu vân tay riêng và rất khó để
sao chép hoặc đánh cắp.
Một số ngân hàng đã hợp tác thành công với các Fintech để đưa công nghệ mới
vào hoạt động thanh toán trên thiết bị di động như áp dụng sinh trắc học, sử dụng QR
code, Tokenization, công nghệ mPOS, ví điện tử. Các ngân hàng như BIDV,
Techcombank, Vietcombank, TPBank, VPBank, …đã hoàn thiện hệ thống giao dịch tự
động, ứng dụng một phần dữ liệu lớn. MB, Techcombank, … đã ứng dụng công nghệ trí
tuệ nhân tạo AI, máy tự học (learning machine) và đưa ra các dịch vụ tư vấn tự động 24/7
qua các hộp hội thoại (chat box) tự động trên website ngân hàng hoặc các kênh mạng xã
hội. Các dịch vụ như kiểm tra số dư, thanh toán hóa đơn, chuyển khoản, đặt vé máy bay
với giao diện người dùng thân thiện, dễ sử dụng và không ngừng nâng cấp như iFast của
Techcombank, E-mobile banking của Agribank, BIDV với SmartBanking… Ðầu năm
2017, TPBank ra mắt ứng dụng TPBank LiveBank. Ðầu năm 2018, OCB giới thiệu nền
tảng hợp kênh (Omni - channel). Vietcombank với không gian giao dịch công nghệ số
Digital Lab và dự án chuyển đổi số quy mô lớn với tư vấn PwC. Vietcombank xác định 3

12
mức độ trưởng thành của ngân hàng số là 1.0, 2.0 và 3.0. Theo đó, định hướng đến năm
2025, Vietcombank sẽ tiệm cận 3.0, năm 2030 sẽ là ngân hàng số 3.0 thực sự.
VietinBank xây dựng Corebank thế hệ mới với hiệu suất cao; tháng 9/2018
VPBank triển khai ứng dụng ngân hàng số Yolo sau mô hình ngân hàng số Timo.
MBBank cho phép khách hàng chuyển tiền qua ứng dụng Facebook và tạo ra một kênh
giao tiếp mới với khách hàng trẻ qua ứng dụng eMBee fanpage. BIDV đưa ra sản phẩm
BUNO - chuyển tiền chỉ với số điện thoại của người nhận, không cần nhớ số tài khoản…
3. Liên hệ thực tế
Ví dụ 1: Tin nhắn mạo danh các tổ chức tài chính, ngân hàng (TPBank, Sacombank,
ACB,… )
• Khái quát vụ việc
Đối tượng lừa đảo đã sử dụng thiết bị phát sóng di động giả mạo để phát tán tin
nhắn rác lừa đảo nhắm vào người dùng của các tổ chức tài chính, ngân hàng như TPBank,
Sacombank, ACB, Zalopay, … gửi các nội dung giả mạo, lừa đảo nhằm chiếm đoạt tiền
của người dân.
Đây là các thiết bị có nguồn gốc từ nước ngoài, được các đối tượng mua bán, sử
dụng trái phép nhằm mục đích thực hiện các cuộc tấn công phát tán tin nhắn rác lừa đảo
người dùng, đặc biệt là người dùng tại các khu vực đô thị.
• Cách thức thực hiện của nhóm lừa đảo
Bước 1: Thực hiện phát tán tin nhắn rác lừa đảo
Đối tượng tấn công sử dụng các thiết bị phát sóng giả mạo (IMSI Catcher/SMS
Broadcaster) để thực hiện gửi tin nhắn rác trực tiếp vào điện thoại mà không thông qua
mạng viễn thông di động.
Các tin nhắn này bị các đối tượng thay đổi thông tin nguồn gửi (số điện thoại, đầu
số hoặc tên định danh) nhằm mục đích tạo lòng tin, đánh lừa người dùng.
Nội dung tin nhắn thường là quảng cáo, hướng dẫn hoặc chứa đường link tới
website giả mạo giống như các website chính thống của các tổ chức tài chính, ngân hàng
để dẫn dụ và đánh cắp thông tin của người dùng như tài khoản, mật khẩu, mã OTP,…
Bước 2: Người dùng cung cấp thông tin cá nhân

13
 Người dùng không nhận biết được website giả mạo nên sẽ cung cấp thông tin cá
nhân truy cập vào tài khoản ngân hàng như điền tên tài khoản, mật khẩu. Sau khi người
dùng cung cấp thông tin, website giả mạo sẽ điều hướng sang website khác hoặc thông
báo đề nghị người dùng chờ đợi.
Đối tượng dùng thông tin cá nhân của người dùng để đăng nhập vào website chính
thức của các tổ chức tài chính, ngân hàng để lấy mã xác thực OTP (nếu cần).
Bước 3: Lấy mã OTP của người dùng
Sau khi điện thoại người dùng nhận được mã xác thực OTP, website giả mạo sẽ
được điều hướng sang trạng thái yêu cầu người dùng cung cấp mã xác thực OTP. Người
dùng mà không cảnh giác sẽ cung cấp thông tin mã OTP để đối tượng hoàn tất quá trình
chiếm đoạt tiền trong tài khoản.
• Hậu quả: Rất khó đo lường, tính toán thiệt hại cho một vụ lừa đảo. Lừa đảo ảnh
hưởng đến thiệt hại người dùng nếu họ có trình báo thì ghi nhận được. Tổng thiệt
hại của những vụ tấn công trên khoảng 100 tỷ đồng, trong đó vụ một ngân hàng bị
hacker tấn công có chủ đích gây thiệt hại 44 tỷ đồng. Tuy nhiên, con số 100 tỷ
đồng đó mới chỉ được ghi nhận và xử lý còn những sự vụ khi xảy ra tấn công
những người dùng ít biết thông tin trình báo để xử lý.
• Nguyên nhân:
- Người dùng chủ quan, không có kiến thức về an toàn và bảo mật thông tin. Khi
các tin nhắn, cuộc gọi không xuất phát từ đầu số điện thoại lạ, mà từ một doanh
nghiệp có thương hiệu, một công ty có tiếng, từ một ngân hàng, thậm chứ từ
nhà mạng viễn thông hoặc sử dụng tin nhắn có thương hiệu gần giống của các
đơn vị như ngân hàng, nhà mạng viễn thông...... thì người dùng thường không
từ chối cuộc gọi và thường sẽ bấm vào link trong tin nhắn để kiểm tra tài
khoản.
- Dịch vụ giao dịch trực tuyến phát triển nhanh cùng với chủ trương của Chính
phủ về đẩy mạh chuyển đổi số và thực hiện giao dịch không tiền mặt. Đặc biệt
trong thời kỳ dịch bệnh Covid-19, các dịch giao dịch trực tuyến, thanh toán
online, quét mã QR… đã dần phổ biến hơn với người dùng. Các ngân hàng đã

14
 liên kết với các đơn vị để thực hiện các dịch vụ này. Với đặc thù của các giao
dịch trực tuyến có thể thực hiện bất kỳ thời điểm nào, ở bất kỳ nơi đâu đã trở
thành môi trường thuận lợi để những đối tượng có hành vi lừa đảo dễ dàng
thực hiện hơn.
- Nhiều ngân hàng cho biết các nhà mạng không xử lý tin nhắn mạo danh lừa
đảo, VNBA cho rằng kẻ gian đã dựa vào lỗ hổng bảo mật của một số nhà mạng
để gửi tin nhắn brandname tới khách hàng của nhiều ngân hàng để lừa đảo ,
chiếm đoạt tiền trong tài khoản của ngân hàng, vấn nạn trên diễn ra rất nhiều
nhưng đến nay các nhà mạng chưa thông báo rõ về nguyên nhân sự việc cúng
như chưa phối hợp với các tổ chức tín dụng và cơ quan nhà nước để xử lý
- Những năm gần đây ngân hàng đã đầu tư, trang bị các giải pháp bảo vệ hệ
thống nên việc hacker tấn công vào ngân hàng là rất khó khăn. Vì vậy, các
hacker sẽ chọn con đường khác dễ dàng hơn thông qua chuyển hướng tấn công
sang người dùng.
• Hướng giải quyết
Hiện tại, các ngân hàng vẫn chưa đưa ra giải pháp cụ thể cho sự cố này. Việc cần
làm này là gửi cảnh báo đến tất cả người dùng để tránh bị lừa đảo. Các doanh nghiệp
khác cũng tăng cường cảnh giác để hạn chế rủi ro bị giả mạo; gây ảnh hưởng đến uy tín
thương hiệu.
(1) Kiểm tra, xác minh kỹ các website, ứng dụng (app) trong các tin nhắn mà người dùng
nhận được, kể cả các tin nhắn thương hiệu, tin nhắn từ các đầu số ngắn; tuyệt đối không
truy cập vào các website, ứng dụng có nguồn gốc, nội dung không rõ ràng.
(2) Khi nhận được tin nhắn có nội dung lừa đảo, giả mạo, đề nghị phản ánh với Cục An
toàn thông tin (Trung tâm VNCERT/CC) qua đầu số tin nhắn 5656 hoặc qua Website
https://thongbaorac.ais.gov.vn/ để Cục An toàn thông tin kịp thời điều phối, phối hợp với
các đơn vị liên quan xử lý.
(3) Thông báo cho cơ quan công an hoặc Cục An toàn thông tin khi phát hiện các đối
tượng sử dụng, mua bán, trao đổi các thiết bị phát sóng giả mạo (IMSI Catcher/SMS
Broadcaster) qua số đường dây nóng của Cục An toàn thông tin 0339035656.

15
(4) Trung tâm Giám sát an toàn thông tin mạng quốc gia (NCSC) cung cấp tính năng
“Tra cứu tài khoản” cho phép người dùng tra cứu 1 tài khoản ngân hàng là tài khoản lừa
đảo hay an toàn dựa trên danh sách các tài khoản đã được báo cáo và kiểm duyệt nghiêm
ngặt bởi đội ngũ của Trung tâm.
(5) Không công khai các thông tin cá nhân như: ngày sinh, số chứng minh nhân dân/căn
cước công dân, số điện thoại, số tài khoản ngân hàng… lên các trang mạng xã hội để
tránh bị các đối tượng lợi dụng khai thác, sử dụng để lừa đảo. Khi chia sẻ thông tin trên
mạng xã hội cần chọn lọc những thông tin có thể chia sẻ công khai.
(6) Người dân cũng cần thường xuyên thay đổi mật khẩu đăng nhập tài khoản Internet
Banking, Smart Banking và có biện pháp để quản lý, bảo mật các thông tin này; tuyệt đối
không cung cấp thông tin tài khoản, mật khẩu, mã OTP cho bất kỳ ai dưới bất kỳ hình
thức nào. Không truy cập vào các đường dẫn (link) giả mạo ngân hàng khi chưa kiểm
chứng. Xác minh kỹ các thông tin trao đổi trên mạng xã hội, đặc biệt với các giao dịch
liên quan đến tài chính.
Cần ghi nhớ các trang web chính thức của các tổ chức tài chính, ngân hàng được
đăng ký với các cơ quan thẩm quyền ở Việt Nam thường được đăng ký tên miền .vn hoặc
com.vn, còn các đuôi khác thường là giả mạo nên người dân cần kiểm tra kỹ khi thấy các
đuôi như .vip, .top, .cc…
• Giải pháp từ phía ngân hàng
Các ngân hàng cần cảnh giác cao độ nên lựa chọn những nhà cung cấp dịch vụ tin nhắn
thương hiệu uy tín, thường xuyên nhắc nhở người dùng nâng cao ý thức bảo vệ, một số
ngân hàng đã chuyển sang thông báo mã OTP trực tiếp trên app (Smart OTP) để gia tăng
bảo mật.
Chủ tịch Hội đồng quản trị Ngân hàng Thương mại cổ phần Bưu điện Liên Việt
(LienVietPostBank) Huỳnh Ngọc Huy cũng cho biết, đơn vị đang tăng cường các giải
pháp như xây dựng, tuân thủ chặt chẽ các quy định, tiêu chuẩn về an toàn thông tin, nâng
cấp hệ thống ngân hàng lõi thế hệ mới với các quy trình được số hóa, quản trị thông
minh, dựa trên công nghệ trí tuệ nhân tạo, phân tích dữ liệu lớn và tự động hóa để hỗ trợ
công tác quản lý, điều hành, kinh doanh, hạn chế rủi ro.

16
Các ngân hàng khác như Vietcombank, BIDV, Vietinbank, Sacombank, ACB, TPBank,
VPBank… đều thông tin tới khách hàng về các hiện tượng lừa đảo, nguyên tắc an toàn
giao dịch để phòng ngừa. Đồng thời, các ngân hàng cũng hướng dẫn nếu đã bấm vào
đường link và tiết lộ thông tin, khách hàng cần chủ động thực hiện các biện pháp khóa
dịch vụ khẩn cấp.
(7) Một số ngân hàng đã sử dụng yếu tố bảo mật hai lớp trên ứng dụng ngân hàng điện
thoại, chuyển đổi sử dụng xác thực giao dịch tài chính qua các ứng dụng thay vì qua tin
nhắn điện thoại SMS.

Ví dụ 2: Vụ việc VN84App, phần mềm thu thập tin nhắn OTP giao dịch ngân hàng
lên đến hàng tỷ đồng, đã lây nhiễm hàng nghìn smartphone tại Việt Nam
• Khái quát vụ việc
Đầu tháng 5/2020, Hệ thống giám sát an ninh của Bkav phát hiện một website có
địa chỉ: http://bocongan113.com. Đây là điều không bình thường vì website của các cơ
quan Nhà nước bắt buộc phải sử dụng tên miền “.gov.vn” chứ không thể là “.com”. Nhận
định đây là một website giả mạo cơ quan công an và kiểm tra thêm, họ phát hiện một ứng
dụng được ẩn trên website có tên VN84App.apk. Ứng dụng này khi cài đặt sẽ thực hiện
các hành vi âm thầm thu thập trái phép thông tin người dùng.
Dựa vào việc đối tượng đặt tên cho ứng dụng là VN84App.apk thì “VN” có thể là
viết tắt của “Việt Nam” và “84” là mã vùng quốc tế của Việt Nam (+84). Như vậy có lẽ
hacker đang thực hiện một chiến dịch tấn công có tổ chức nhắm trực tiếp vào Việt Nam.
Họ tiến hành kiểm tra nhanh thông tin liên quan đến website
http://bocongan113.com thì không nằm ngoài dự đoán, thông tin đăng ký tên miền không
phải chủ quản là Bộ Công An mà do một người nước ngoài có tên “Laike Lee” đứng tên,
đăng ký ngày 19/04/2020.

17
 Giao diện của website
• Cách thức thực hiện của đối tượng lừa đảo
Từ kết quả phân tích, các chuyên gia chỉ ra phần mềm gián điệp VN84App được
phát tán thông qua các website giả mạo cơ quan chức năng, một trong số đó là trang giả
mạo Bộ Công an. Thực hiện kiểm tra theo domain http://bocongan113.com, họ phát hiện
thêm một số tên miền tương tự nhau như sau:

18
 Hacker lừa người dùng truy cập vào website này và tải về điện thoại ứng dụng
VN84App dưới dạng tập tin .apk. Khi được cài đặt thành công, VN84App sẽ âm thầm thu
thập tin nhắn, số điện thoại, thông tin IMEI… gửi về máy chủ điều khiển của hacker.
Phân tích VN84App, các chuyên gia phát hiện tin nhắn được thu thập từ điện thoại là
những giao dịch ngân hàng có số tiền lớn lên tới hàng tỷ đồng.
Nhận định về phần mềm gián điệp VN84App, ông Nguyễn Văn Cường, Trưởng
nhóm phân tích cho biết, VN84App là một spyware cực kì nguy hiểm, được thiết kế tinh
vi để thu thập tin nhắn của người dùng, bao gồm cả những thông tin nhạy cảm như mã
OTP để giao dịch ngân hàng, tin nhắn riêng tư… Mã độc này còn được thiết kế sẵn các
module để có thể thực hiện hành vi tấn công khác trong tương lai.
Để dễ dàng qua mặt người dùng, khiến họ hoàn toàn tin tưởng và làm theo các
hướng dẫn, hacker đã sử dụng một chiêu thức tinh vi là mạo danh cơ quan nhà nước, tổ
chức có uy tín và có tầm ảnh hưởng như Bộ Công an… Chúng cũng nhắm vào điểm yếu
là sự thiếu nhận thức an ninh mạng của nạn nhân để có thể thuyết phục họ cài đặt ứng
dụng không rõ nguồn gốc.
Qua phân tích, có thể nhận định mô hình cơ bản của cách thức lừa đảo này như
sau:
Bước 1: Hacker đóng giả người có thẩm quyền pháp luật gọi điện, dọa nạt nạn nhân.
Bước 2: Lừa nạn nhân vào trang web giả mạo tải và cài đặt ứng dụng có chứa mã độc vào
máy.
Bước 3: Mã độc sẽ thực hiện hành vi thu thập dữ liệu, tin nhắn trên thiết bị nạn nhân.
Bước 4: Thông tin của nạn nhân được thu thập và gửi lên server của hacker.
Bước 5: Hacker thực hiện đọc trộm thông tin riêng tư, chiếm tài khoản ngân hàng.

19
Các hành vi mã độc trên thiết bị di động:
Các phân tích chỉ ra VN84App có một số hành vi như sau:

20
 - Gửi, nhận, đọc và can thiệp vào tin nhắn.
- Theo dõi cuộc gọi, can thiệp vào danh bạ.
- Theo dõi GPS.
- Điều khiển thiết bị
- Lấy thông tin thiết bị.
Hành vi của malware trên thiết bị di động.

• Hậu quả

21
Theo các chuyên gia an ninh mạng Bkav, hệ thống gián điệp VN84App tấn công người
dùng Việt Nam, ước tính đã có hơn 300 nạn nhân chỉ trong một thời gian ngắn. Phân
tíchVN84App, các chuyên gia phát hiện máy chủ điều khiển có giao diện bằng tiếng
Trung Quốc và tin nhắn được thu thập từ điện thoại là những giao dịch ngân hàng có số
tiền lớn lên tới hàng tỷ đồng.
Một phụ nữ ở Hà Nội sau khi cài đặt phần mềm này theo hướng dẫn của kẻ xấu giả mạo
là cán bộ điều tra đã bị chiếm đoạt 6,1 tỷ đồng trong tài khoản ngân hàng..
• Nguyên nhân
- Với SMS OTP, khách hàng sẽ không thể nhận được tin nhắn trong trường hợp
điện thoại mất sóng, hay di chuyển ra nước ngoài mà không cài đặt dịch vụ
chuyển vùng quốc tế. Mã OTP nhận được có thể bị tin tặc đánh chặn và ăn cắp
thông tin bằng cách khai thác lỗi của các hệ thống viễn thông.
- Ví điện tử khiến nhiều người dùng mất cảnh giác, bị dẫn dụ truy cập vào các
trang web giả mạo do hacker lập ra. Hacker có thể khai thác, lợi dụng các dịch
vụ cung cấp brandname, chúng thuê server dịch vụ SMS và giả mạo
brandname để gửi tin nhắn đến các thuê bao hay điện thoại nạn nhân bị cài mã
độc và khi đó mã độc sẽ chèn các tin nhắn mạo danh vào các luồng nhắn tin
trên máy.
- Sự thiếu nhận thức an ninh mạng của nạn nhân, các hacker có thể thuyết phục
họ cài đặt ứng dụng không rõ nguồn gốc: Để dễ dàng qua mặt người dùng,
khiến họ hoàn toàn tin tưởng và làm theo các hướng dẫn, hacker đã sử dụng
chiêu thức tinh vi là mạo danh cơ quan Nhà nước, tổ chức có uy tín và có tầm
ảnh hưởng như Bộ Công an,...
• Hướng giải quyết:
- Các ngân hàng đã đầu tư nhiều giải pháp bảo đảm an toàn thông tin tiên tiến
như: Tường lửa thế hệ mới, phần mềm ngăn chặn mã độc, giải pháp chống thất
thoát dữ liệu, hệ thống phát hiện ngăn chặn xâm nhập, ban hành các quy định,
quy trình nội bộ kiểm soát hoạt động công nghệ thông tin……
• Khuyến cáo người dùng

22
 - Trường hợp đã tải tệp tin “vn84app.apk" thì nhanh chóng gỡ bỏ, xóa tệp tin mã
độc, tránh bị các đối tượng xấu lợi dụng để lừa đảo, chiếm đoạt tài sản.
- Cần nâng cao cảnh giác trước các cuộc gọi có liên quan tới cơ quan chức năng
mà không chắc chắn về nguồn gốc, không vội vàng làm theo các yêu cầu,
hướng dẫn, dứt khoát từ chối làm việc qua điện thoại.
- Cài đặt các phần mềm diệt virus để phát hiện kịp thời với các phần mềm độc
hại. Đồng thời, cần cài đặt thường trực phần mềm bảo vệ giao dịch ngân hàng
trên điện thoại cá nhân.
Không nên tải, cài đặt các phần mềm điện thoại tại các nguồn xuất xứ không rõ ràng, chỉ
nên cài đặt các phần mềm ứng dụng từ các kho ứng dụng chính thống (như Google Play,
App Store,...).
Khi phát hiện phần mềm độc hại, các trang web giả mạo cần thông báo với cơ quan chức
năng và cảnh báo mọi ngừoi xung quanh cảnh giác.

• Giải pháp an toàn cho mã OTP:

- Tăng cường nhận thức về an toàn thông tin cho khách hàng là điều quan trọng
đầu tiên mà chúng ta cần thực hiện, hỗ trợ khách hàng hiểu rõ hơn về các cách
thức bảo mật thông tin trên Internet cũng như trên các thiết bị kỹ thuật số.
Đồng thời, để khách hàng có thể phòng ngừa việc rò rỉ thông tin cá nhân và
bảo vệ thông tin một cách hiệu quả, các ngân hàng cần liên tục cập nhật các sự
việc, hình thức tấn công bảo mật thông tin mới cho khách hàng.
- Bộ phận công nghệ thông tin cần thiết lập các biện pháp bảo mật tốt hơn trên
các phần mềm, nhằm ngăn chặn trường hợp cài đặt phần mềm nhận OTP trên
các thiết bị di động đã bị phá vỡ những rào cản bảo mật của iPhone hoặc
Android (jailbreak (iOS) hay root (Android)).
- Hiển thị hình ảnh khách hàng chọn trước trên trang chính của trang Mobile
Banking và Internet Banking, nhằm đảm bảo kiểm tra thông tin đăng nhập
trang Ngân hàng là bình thường. Điều này đồng nghĩa với việc chức năng ngăn
chặn trang web lừa đảo đã được liên kết.

23
 B. SQL INJECTION
1. Khái niệm, đặc điểm, phân loại tấn công SQL Injection:
1.1. Khái niệm:
SQL Injection là một loại lỗ hổng ứng dụng web mà kẻ tấn công có thể thao tác và
thực hiện một lệnh truy vấn SQL để lấy các thông tin từ cơ sở dữ liệu. Đây là loại tấn
công chủ yếu khi một ứng dụng web cho phép người dùng sử dụng truy cập và sử dụng
dữ liệu mà không xét quyền truy cập hay mã hóa dữ liệu đó. Lỗ hổng này có thể dẫn đến
việc lộ các thông tin nhạy cảm, một số thẻ tín dụng, hoặc các dữ liệu tài chính khác cho
phép kẻ tấn công có thể thêm, xóa, sửa, cập nhật, thay đổi các dữ liệu được lưu trong cơ
sở dữ liệu. Đây là một lỗ hổng ứng dụng web, không phải là một lỗi về cơ sở dữ liệu hay
vấn đề về máy chủ.
Ví dụ tấn công:
Việc kiểm tra lỗ hổng này có thể được thực hiện rất dễ dàng. Đôi khi ta chỉ cần
nhập ký hiệu ' hoặc " vào các trường được kiểm tra. Nếu nó trả về bất kỳ thông báo bất
ngờ hoặc bất thường, thì ta có thể chắc chắn rằng SQL Injection khả thi cho trường đó.
Ví dụ: một Form đăng nhập như sau

Và đoạn code server xử lý của bạn:

if(isset($_POST['username']) && isset($_POST['password'])){
$sql = "SELECT * FROM tbl_user WHERE username='".
$_POST['username'] . "' AND password = '" .$_POST['password'] ."'";
}

24
Nếu như người dùng không nhập bình thường nữa mà chẳng hạn như họ có thêm một dấu
nháy ' hoặc " vào thì dòng code của bạn sẽ bị lỗi ngay. Hoặc họ có thể sửa thành một câu
truy vấn luôn luôn đúng như sau.
SELECT * FROM tbl_user WHERE username = '' OR '1' = '1' and
password = '' OR '1' = '1'
Hoặc chèn thêm một câu lệnh truy vấn phía sau:
VD:
SELECT * FROM tbl_user WHERE username = 'admin' and password =
'admin'; Drop table users;

Các phần dễ bị tấn công

Các phần dễ bị tấn công bao gồm:

• Form đăng nhập
• Form tìm kiếm

25
 • Form nhận xét
• Bất kì trường lưu hoặc trường đầu vào của dữ liệu
• Liên kết của website

1.2. Đặc điểm:

SQL Injection là một dạng tấn công dễ thực hiện, hầu hết mọi thao tác người
tấn công cần được thực hiện với một trình duyệt web, có thể kèm theo một ứng dụng
proxy server. Chính vì đơn giản như vậy cho nên bất cứ ai cũng có thể học cách tiến
hành một cuộc tấn công. Lỗi bắt nguồn từ mã nguồn của ứng dụng web chứ không
phải từ phía database, chính vì thế bất cứ thành phần nào của ứng dụng mà người
dùng có thể tương tác được để điều khiển nội dung (ví dụ : các form, tham số URL,
cookie, tham số referrer, user-agent, …) đều có thể được sử dụng để tiến hành chèn
truy vấn có hại.
Tùy vào mức độ tinh vi, tấn công chèn mã SQL có thể cho phép kẻ tấn công vượt qua
các khâu xác thực người dùng, chèn, xóa hoặc sửa đổi dữ liệu, đánh cắp các thông tin
trong cơ sở dữ liệu và chiếm quyền điều khiển hệ thống máy chủ cơ sở dữ liệu. Tấn công
chèn mã SQL là dạng tấn công thường gặp ở các ứng dụng web, các trang web có kết nối
đến cơ sở dữ liệu. Có 2 nguyên nhân chính của lỗ hổng trong ứng dụng cho phép thực
hiện tấn công chèn mã SQL là:
• Dữ liệu đầu vào từ người dùng hoặc từ các nguồn khác không được kiểm tra hoặc
kiểm tra không kỹ lưỡng;
• Sử dụng các câu lệnh SQL động trong ứng dụng, trong đó có thao tác nối dữ liệu
người dùng với mã lệnh SQL gốc.
1.3. Hậu quả của tấn công SQL Injection
Hậu quả lớn nhất mà SQL Injection gây ra là: Làm lộ dữ liệu trong cơ sở dữ liệu. Tùy
chỉnh tầm quan trọng của dữ liệu mà kết quả dao động ở mức độ nhẹ cho đến vô cùng
nghiêm trọng.
Hàng dữ liệu có thể ảnh hưởng rất quan trọng đến công ty. Công ty hình ảnh có thể bị
ảnh hưởng, khách hàng chuyển qua sử dụng dịch vụ khác, dẫn đến phá sản v… v…

26
 Họ thường sử dụng chung một mật khẩu cho nhiều tài khoản, chỉ cần tiết lộ mật khẩu
một tài khoản thì các tài khoản khác cũng lộ theo.
Trong nhiều trường hợp, hacker không chỉ đọc được dữ liệu mà có thể chỉnh sửa dữ
liệu. Lúc này hacker có thể đăng nhập dưới quyền quản trị trò chơi, hệ thống ứng dụng
lợi ích, hoặc xóa toàn bộ dữ liệu để hệ thống không ngừng hoạt động.
2. Cách phòng chống đối với tấn công SQL Injection
2.1. Các dạng tấn công
a. In-band SQLi
Đây là phương thức tấn công SQL phổ biến nhất hiện nay. Điểm nổi bật nhất của
In-band SQLi là kẻ xấu sẽ sử dụng cùng một kênh để tiến hành tấn công và thu thập dữ
liệu đánh cắp được. In-band SQLi hiện có 2 biến thể thông dụng bao gồm:
• Error-based SQLi: Đầu tiên, kẻ tấn công sẽ cài một đoạn mã độc để hệ thống cơ sở
dữ liệu báo lỗi. Sau đó hacker sẽ dùng dữ liệu thu thập được từ những thông báo
này để truy xuất ra thông tin của cấu trúc cơ sở dữ liệu.
• Union-based SQLi: Bằng cách lợi dụng toán tử UNION SQL, hacker sẽ tiến hành
hợp nhất các câu lệnh được tạo ra từ cơ sở dữ liệu để thu được một HTTP
response. Trong response sẽ chứa thông tin riêng tư mà kẻ tấn công nhắm đến.
a. Inferential SQLi (Blind SQLi):
Inferential SQLi có đặc tính blind vì hacker sẽ không thể thấy trực tiếp cách mà
cuộc tấn công hoạt động. Kẻ tấn công không trực tiếp gây tổn hại đến cơ sở dữ liệu mà sẽ
gửi các data payload đến server. Những data payload này sẽ gây ảnh hưởng đến cơ sở dữ
liệu của bạn và bạn buộc phải đưa ra những phản ứng công khai. Đây chính là điều
hacker cần, họ nắm bắt những phản ứng này và đưa ra những phán đoán về cấu trúc cơ sở
dữ liệu của bạn.

Inferential SQLi thường được thực thi chậm hơn vì nó cần đợi những phản ứng
của server. Tuy nhiên, thiệt hại nó gây ra lại không vì thế mà bị hạn chế bớt đi. Có 2 biến
thể của Inferential SQLi thường xuyên được sử dụng:

27
 • Boolean: Đầu tiên, kẻ xấu sẽ gửi một câu truy vấn SQL đến cho server. Khi đó, cơ
sở dữ liệu buộc phải gửi trả lại kết quả để trả lời cho câu lệnh này. Đáp án có thể
là đúng hoặc sai. Dựa theo đáp án mà thông tin của HTTP response sẽ được chỉnh
sửa đến khi đúng với thực tế. Vậy là hacker đã nắm được những thông tin xung
quanh cấu trúc server.
• Time-based: Cách thức tấn công này cũng tương tự như Boolean. Tuy nhiên, thay
vì đợi cơ sở dữ liệu đưa ra đáp án, hacker sẽ dùng những câu lệnh SQL làm server
ngừng hoạt động trong vài giây. Sau đó từ mốc thời gian phản hồi tra ra được kết
quả của các truy vấn. Như vậy, một HTTP response đã được tạo ra.
a. Out-of-band SQLi
Out-of-band SQLi không phải dạng tấn công phổ biến, chủ yếu bởi vì nó phụ
thuộc vào các tính năng được bật trên Database Server được sở dụng bởi Web
Application.
Kiểu tấn công này xảy ra khi hacker không thể trực tiếp tấn công và thu thập kết quả trực
tiếp trên cùng một kênh (In-band SQLi), và đặc biệt là việc phản hồi từ server là không
ổn định. Kiểu tấn công này phụ thuộc vào khả năng server thực hiện các request DNS
hoặc HTTP để chuyển dữ liệu cho kẻ tấn công.
Ví dụ như câu lệnh xp_dirtree trên Microsoft SQL Server có thể sử dụng để thực hiện
DNS request tới một server khác do kẻ tấn công kiểm soát, hoặc Oracle Database’s UTL
HTTP Package có thể sử dụng để gửi HTTP request từ SQL và PL/SQL tới server do kẻ
tấn công làm chủ.
2.2. Các mối đe dọa chính từ SQL Injection:
• Snoofing indentity (Mạo danh): Những kẻ tấn công sẽ mạo danh một email hoặc
một trang web của một tổ chức để đánh lừa người dùng.
• Changing prices (Thay đổi giá): Một trong số những vấn đề của SQL Injection là
nó có thể thay đổi dữ liệu. Ở đây, những kẻ tấn công sẽ thay đổi giá cả một trang
phục mua sắm trực tuyến để có thể mua sản phẩm đó với giá rẻ hơn

28
• Tamper with database records (Xáo trộn các hồ sơ cơ sở dữ liệu): Cơ sở dữ
liệu chính sẽ hoàn toàn bị hư hại; thậm chí còn có khả năng đã bị thay thế hoàn
toàn hoặc thậm chí bị xóa hết dữ liệu
• Escalation of privileges (leo thang đặc quyền): Một khi hệ thống bị tấn công, kẻ
tấn công sẽ tìm kiếm đặc quyền cao nhất của các thành viên quản trị để có thể
chiếm quyền truy cập vào hệ thống cũng như vào mạng nội bộ
• Denial-of-service on the server (Từ chối các dịch vụ từ máy chủ): Từ chối dịch
vụ từ máy chủ là một dạng tấn công mà người dùng không thể truy cập vào hệ
thống. Ngày càng nhiều yêu cầu được gửi đến máy chủ mà không thể sử lý nó.
Điều này dẫn đến tạm ngưng dịch vụ của máy chủ.
• Complete disclosure of all the data on the system (Lộ tất cả thông tin dữ liệu
của hệ thống): Một khi một hệ thống bị tấn công các dữ liệu quan trọng và bí mật
như: số thẻ tín dụng, chi tiết nhân viên về hồ sơ và tài chính, … v.v sẽ bị tiết lộ.
• Destruction of data (Phá hủy dữ liệu): Những kẻ tấn công sau khi chiếm hoàn
toàn quyền hệ thống sẽ phá hủy hoàn toàn dữ liệu, kết quả làm tổn thất rất lớn cho
công ty.
• Voiding system’s critical transaction (Tránh các giao dịch quan trọng của hệ
thống): Những kẻ tấn công có thể vận hành hệ thống tránh tất cả các giao dịch.
• Modifying the records (Thay đổi hồ sơ): Kẻ tấn công có thể sửa đổi các dữ liệu
trong cơ sở dữ liệu của công ty, gây ra trở ngại lớn cho hệ thống quản lý cơ sở dữ
liệu của công ty.
2.3. Phòng chống tấn công SQL injection:
• Không bao giờ được tin tưởng những input người dùng nhập vào: Dữ liệu luôn
phải được xác thực trước khi sử dụng trong các câu lệnh SQL.
• Các thủ tục được lưu trữ: Những thủ tục này có thể trừu tượng hóa các lệnh SQL
và xem xét toàn bộ input như các tham số. Nhờ đó, nó không thể gây ảnh hưởng
đến cú pháp lệnh SQL.
• Các lệnh được chuẩn bị sẵn: Điều này bao gồm việc tạo truy vấn SQL như hành
động đầu tiên và sau đó xử lý toàn bộ dữ liệu được gửi như những tham số.

29
 • Những cụm từ thông dụng: Những cụm từ này được sử dụng để phát hiện mã độc
và loại bỏ nó trước khi câu lệnh SQL được thực hiện.
• Thông báo lỗi đúng: Thông báo lỗi phải tuyệt đối tránh tiết lộ những thông tin/chi
tiết nhạy cảm và vị trí xảy ra lỗi trên thông báo lỗi.
• Giới hạn quyền truy cập của người dùng đối với cơ sở dữ liệu: Chỉ những tài
khoản có quyền truy cập theo yêu cầu mới được kết nối với cơ sở dữ liệu. Điều
này có thể giúp giảm thiểu những lệnh SQL được thực thi tự động trên server.
• Hãy loại bỏ các kí tự meta như ‘”/\; và các kí tự extend như NULL, CR, LF, …
trong các string nhận được từ: input do người dùng đệ trình; các tham số từ URL;
các giá trị từ cookie
• Đối với các giá trị numeric, hãy chuyển nó sang integer trước khi query SQL, hoặc
dùng ISNUMERIC để chắc chắn nó là một số integer.
• Thay đổi “Startup and run SQL Server” dùng mức low privilege user trong tab
SQL Server Security.
• Xóa các stored procedure trong database master mà không dùng như:
xp_cmdshell; xp_startmail; xp_sendmail; sp_makewebtask
3. Liên hệ thực tế
Ví dụ 1: Cuộc khủng hoảng của SONY
+ Khái quát vụ việc:
Tháng 4/2011, Sony PlayStation Network (PSN) đã bị các tin tặc tổ chức cuộc tấn
công mạng rầm rộ. Dịch vụ chơi game Multiplay, mua trò chơi trực tuyến và các nội
dung khác của Sony bị rò rĩ. Trong đó, có đến thông tin cá nhân của 77 triệu người chơi
toàn cầu. Thậm chí, các thông tin ngân hàng của các tài khoản này còn bị các Hacker xâm
phạm.
Ngay sau khi phát hiện vụ việc, PSN cũng như Sony Online Entertainment và
Qrocity đã phải ngưng tất cả dịch vụ trong khoảng 1 tháng. Để xoa dịu người dùng, Sony
đã phải chi 15 triệu đô la tiền bồi thường cho những người bị ảnh hưởng. Tuy nhiên,
Sony đã quá xem thường các tin tặc ở thời điểm đó. Thậm chí khi các Hacker đã công bố

30
lỗ hổng cơ sở dữ liệu của Sony nhưng họ đã bỏ ngoài tai lời cảnh báo này. Dữ liệu hoàn
toàn không được mã hóa và dễ dàng tấn công bằng SQL Injection.
Ngày 23/5/2011, Sony lên tiếng xác nhận dịch vụ âm nhạc Sony Music tại Hy Lạp
đã bị hacker tấn công, đánh cắp và công khai dữ liệu của người dùng lên Internet. Trong
khi đó, trang web của dịch vụ Sony Music tại Indonesia chỉ chịu thiệt hại ở mức độ “nhẹ”
hơn khi bị hacker tấn công và thay đổi nội dung.
Chỉ sau đó 1 ngày, một cuộc tấn công khác nhằm vào Sony, lần này là gian hàng
trực tuyến của Sony Ericsson tại Canada. Theo trang mạng Hacker News, một nhóm
hacker người Li-băng với tên gọi “Idahca” đã sử dụng các lỗ hổng của SQL để tấn công
và đánh cắp dữ liệu của gian hàng trực tuyến Sony Ericsson.
Vì lẽ đó tháng 11/2014 một công ty con của Sony là Sony Pictures Entertaiment bị
tấn công bởi một Virus mang tên “Guardians of Peace” và lần này thiệt hại còn lớn hơn
trước khi có đến 100 terabyte (1TB bằng khoảng 1000 GB) bao gồm các dữ liệu quan
trọng bị đánh cắp. Cuộc tấn công internet bởi các tin tặc lần này đã lấy đi nhiều kịch bản
phim, email và dữ liệu cá nhân của 47.000 nhân viên. Nhiều nhân viên bị buộc phải nghỉ
việc vì thiệt hại lần này. Ngoài ra, Sony còn phải hủy phát song một vài bộ phim và trả
tiền bồi thường lên đến 8 triệu đô la cho nội bộ nhân viên bị lộ thông tin.
+ Hậu quả: Việc tấn công vào dịch vụ âm nhạc Sony Music tại Hy Lạp thông tin
của 8 ngàn tài khoản người dùng tại dịch vụ Sony Music của Hy Lạp, bao gồm email, số
điện thoại và mật khẩu đã bị đánh cắp. Hậu quả của cuộc tấn công gian hàng trực tuyến
của Sony Ericsson tại Canada là hàng ngàn email, mật khẩu, tên sử dụng của người dùng
đã bị đánh cắp. Hiện nay gian hàng trực tuyến của Sony Ericsson tại Canada đã tạm
ngưng hoạt động.
+ Nguyên nhân: Sony đã tiến hành kiểm tra hệ thống bảo mật của công ty mình
cho thấy rằng họ sẽ không thể chịu nổi bất kì đợt tấn công internet mang tính vĩ mô nào
bởi sự khổng lồ của cơ sở dữ liệu. Việc chậm trễ nâng cấp đã khiến Sony phải chịu sự tấn
công
+ Hướng giải quyết:

31
Trang web của dịch vụ Sony Music Entertaiment tại Hy Lạp đã bị tấn công. Ngay sau khi
phát hiện dấu hiệu cuộc tấn công, trang web đã ngay lập tức ngừng hoạt động. Khoảng
chừng 8.500 thông tin của khách hàng, bao gồm địa chỉ email, số điện thoại, tên sử dụng
và mật khẩu đã bị đánh cắp. Tuy nhiên, trang web không cung cấp bất kỳ dịch vụ thương
mại nào, do vậy các thông tin về số thẻ tín dụng không bị ảnh hưởng. Trang web được
quản lý bởi một bên cung cấp dịch vụ thứ 3, không phải của hệ thống Sony Music
Entertainment. Sony Music Entertainment tại Hy Lạp đang cố gắng để khôi phục website
sớm nhất có thể sau khi tăng cường các biện pháp bảo mật.
Ví dụ 2: Yahoo bị tấn công
+ Khái quát vụ việc:
Theo Fox News, trong một thông cáo ra ngày 12/7/2012, Yahoo cho biết một "file
cũ" từ nền tảng chia sẻ nội dung Yahoo Contributor Network đã bị thâm nhập hôm 11/7.
Trong số mật khẩu bị đánh cắp có nhiều mật khẩu từ dịch vụ email của chính Yahoo và
nhiều công ty khác.;
Yahoo nói họ đang xử lý lỗ hổng dẫn đến vụ lộ tài liệu này, thay đổi mật khẩu của
người dùng Yahoo bị ảnh hưởng và thông báo cho các công ty có tài khoản có thể đã bị
đột nhập.
Các trang tin tức công nghệ như Cnet, Ars Technica và Mashable đã xác định các
hacker đứng sau vụ tấn công này là nhóm D33D Company ít được biết đến. Nhóm này
được trích dẫn rằng họ đã đánh cắp được các mật khẩu chưa mã hóa này bằng cách sử
dụng biện pháp tấn công phổ biến SQL injection – sử dụng các lệnh giả để trích xuất dữ
liệu từ các website có lỗ hổng. Các chuyên gia an ninh mạng cho rằng Yahoo lẽ ra nên
làm nhiều hơn (như mã hóa) để bảo vệ mật khẩu được lưu .
+ Hậu quả: Điểm nguy hiểm của hành động này là tất cả mật khẩu đều được lưu
trữ mà không có bất cứ hình thức mã hóa nào. Toàn bộ tên đăng nhập và mật khẩu của
hơn 450.000 người dùng Yahoo đã bị công khai.
+ Nguyên nhân: Máy chủ web của Yahoo hiện sở hữu vô số những lỗ hổng bảo
mật

32
 + Hướng giải quyết: Trang web liệt kê địa chỉ mail và mật khẩu đã bị xóa đi.
Hãng đã bắt đầu sửa lỗi này, và sẽ thay đổi mật khẩu của những người dùng bị ảnh
hưởng. Hãng cũng đã cảnh báo những công ty sử dụng tài khoản Yahoo về vụ tấn công
này quy mô lớn này.

33
 C. LIÊN HỆ TẤN CÔNG SQL INJECTION VÀ E – BANKING
• So sánh hai kiểu tấn công:
- Giống nhau:
+ Mục đích của người tấn công đều để đánh cắp dữ liệu từ phía người dùng
dẫn đến lộ thông tin cá nhân có thể gặp phải hệ lụy về sau này; làm cho người
sử dụng dịch vụ từ phía doanh nghiệp mất niềm tin vào doanh nghiệp.
- Khác nhau:
+ Tấn công vào E – Banking: Tội phạm tấn công vào E – Banking bằng cách
lừa các nạn nhận tải file hoặc nhấp vào đường link dẫn đến trang chứa mã độc
mà hacker kiểm soát. Mã độc xâm nhập vào nhằm đánh cắp dữ liệu từ người
dùng biến tài khoản ngân hàng thành của hacker hoặc bị lộ những thông tin
quan trọng để chiếm đoạt tài sản từ phía người dùng.
+ Tấn công đối với SQL Injection: Hacker tấn công bằng cách dựa vào lỗ hổng
SQL Injection nhằm chiếm đoạt dữ liệu của người dùng nhằm công khai chúng
ra bên ngoài, dẫn đến người dùng gặp phải những rắc rối khi bị lộ những thông
tin đó ra bên ngoài.
• Thực trạng hiện nay:
Theo đánh giá của giới chuyên gia và nhận ra được những bài học từ những vụ tấn
công trước đó, ngân hàng đã và đang ngành dành khoản đầu tư lớn cho hệ thống công
nghệ thông tin (CNTT) và bảo mật. Tuy nhiên, theo kết quả nghiên cứu an ninh mạng
trong năm 2015 của Công ty An ninh mạng Bkav, 30% trang web của các ngân hàng tại
Việt Nam tồn tại lỗ hổng và có nguy cơ bị tấn công mạng. Trong đó, đến 2/3 ở mức độ
nguy hiểm trung bình và cao. Lỗ hổng nguy hiểm nhất mà các trang web ngân hàng đang
gặp phải là SQL Injection mở đường cho hacker tấn công trực tiếp vào dữ liệu của
website. Các lỗ hổng XSS (Cross Site Scripting) và Open Redirection gây nguy cơ chiếm
quyền điều khiển của quản trị website hoặc chuyển hướng website đến trang lừa đảo.
Trong đó, có 7 lỗ hổng xuất hiện phổ biến nhất trong các hệ thống ngân hàng điện
tử ở Việt Nam hiện nay là: lỗ hổng XSS (Cross Site Scripting) cho phép hacker tấn công
trực tiếp vào máy tính người dùng (93% ngân hàng mắc lỗ hổng này); lỗ hổng CSRF lừa

34
người dùng truy cập vào đường link chứa mã độc để ăn cắp thông tin hoặc chiếm quyền
kiểm soát (93%); lỗ hổng trong quá trình xác thực cho phép hacker tấn công vào người
dùng khác trong hệ thống (64%); không cập nhật bản vá và cấu hình lỏng lẻo (80%); lỗi
SQL Injection mở đường cho hacker tấn công trực tiếp vào cơ sở dữ liệu (10%), và lỗ
hổng MFU (Malicious File Uploading) cho phép hacker tấn công vào hệ thống hosting
(16%). Các chuyên gia an ninh mạng của Bkis cho rằng sở dĩ các hệ thống ngân hàng
điện tử ở Việt Nam mắc nhiều lỗ hổng bảo mật như vậy là do thiếu quy trình đánh giá
bảo mật độc lập về an ninh mạng khi triển khai hệ thống và không áp dụng các tiêu chuẩn
về an ninh mạng một cách đồng bộ.
Theo ông Nguyễn Minh Đức - giám đốc bộ phận an ninh mạng của BKIS, 100%
các hệ thống Internet Banking mà BKIS kiểm tra đều chứa các lỗ hổng an ninh mạng.
Thậm chí, có những lỗ hổng có đến 93% hệ thống mắc phải, lại có những lỗ hổng xuất
hiện đã lâu như SQL Injection nhưng vẫn còn tồn tại.
Ví dụ, Tháng 4/2011, Sony PlayStation Network (PSN) đã bị các tin tặc tổ chức
cuộc tấn công mạng rầm rộ. Dịch vụ chơi game Multiplay, mua trò chơi trực tuyến và các
nội dung khác của Sony bị rò rĩ. Trong đó, có đến thông tin cá nhân của 77 triệu người
chơi toàn cầu. Thậm chí, các thông tin ngân hàng của các tài khoản này còn bị các
Hacker xâm phạm. Bởi vì dữ liệu hoàn toàn không được mã hóa và dễ dàng tấn công
bằng SQL Injection.
Nguy cơ tấn công bằng SQL Injection vào E – banking ở bước xử lý dữ liệu đầu
vào: Hacker có thể lấy cắp thông tin bằng cách vấn tin thông thường. Cách khắc phục của
điều này là kiểm soát tốt dữ liệu đầu vào, sử dụng Store Procedure.

35
D. TÀI LIỆU THAM KHẢO
1. https://www.ais.gov.vn/canh-bao-ve-phuong-thuc-su-dung-thiet-bi-phat-song-di-
dong-gia-mao-de-phat-tan-tin-nhan-rac-lua-dao-nham-vao-nguoi-dung-cua-cac-to-
chuc-tai-chinh-ngan-hang.htm
2. https://antoanthongtin.vn/an-toan-thong-tin/gia-mao-website-co-quan-chuc-nang-
phat-tan-phan-mem-gian-diep-vn84app-106224
3. https://baochinhphu.vn/phat-hien-he-thong-gian-diep-vn84app-tan-cong-nguoi-
dung-viet-nam-102274440.htm
4. https://www.w3schools.com/sql/sql_injection.asp
5. https://learn.microsoft.com/en-us/sql/relational-databases/security/sql-
injection?view=sql-server-ver16
6. https://www.geeksforgeeks.org/sql-injection-2/

36