Security Guide: EMV to rescue

1.Thẻ chip và mã PIN EMV an toàn hơn thẻ dải từ cũ vì chúng sử dụng chip được
nhúng trong thẻ để xác minh tính xác thực của thẻ vật lý và mã PIN (hoặc chữ ký) do
khách hàng nhập để xác minh danh tính của thẻ. chủ thẻ. Ngược lại, thẻ từ truyền thống
chỉ xác minh tài khoản được liên kết với thẻ. Với EMV, dữ liệu tài khoản bị đánh cắp
không thể được sử dụng để mua hàng mà không có thẻ thực và mã PIN được liên kết,
khiến việc gian lận thẻ tín dụng trở nên khó khăn hơn.
2.Các vi phạm dữ liệu được đề cập trong bài viết (Home Depot, Target và JPMorgan
Chase) đã gây chú ý đến mức độ phổ biến và mức độ nghiêm trọng của các cuộc tấn công
mạng và tội phạm mạng. Những sự cố này đã nâng cao nhận thức của các cá nhân về tầm
quan trọng của việc bảo vệ hệ thống và dữ liệu của chính họ. Nhiều người đã thay đổi
hành vi của mình bằng cách thận trọng hơn trong việc chia sẻ thông tin cá nhân, sử dụng
mật khẩu mạnh hơn và luôn cập nhật phần mềm chống vi-rút để giảm thiểu rủi ro liên
quan đến tội phạm mạng.
3.Các chuyên gia bảo mật sẽ lập luận rằng phần mềm chống vi-rút lỗi thời sẽ không
đóng vai trò gì trong vụ vi phạm Home Depot vì phần mềm độc hại mà tin tặc sử dụng có
thể là mới và không thể phát hiện được vào thời điểm đó. Mặc dù phần mềm chống vi-rút
của Home Depot là phiên bản cũ hơn nhưng các tệp chữ ký vi-rút, được sử dụng để xác
định các loại vi-rút cụ thể, đã được cập nhật. Do đó, vi phạm không phải do phần mềm
chống vi-rút lỗi thời mà do tội phạm mạng có khả năng xâm nhập vào mạng và truy cập
dữ liệu thẻ tín dụng trực tiếp từ hệ thống POS.
4.Truy cập dữ liệu còn lại đề cập đến việc giành quyền truy cập trái phép vào dữ liệu
còn lại trong bộ nhớ hoặc bộ lưu trữ của hệ thống sau khi giao dịch hoàn tất. Trong
trường hợp vi phạm Home Depot, tội phạm mạng có thể truy xuất dữ liệu thẻ tín dụng bị
bỏ lại trong bộ nhớ của hệ thống tự kiểm tra.
5.Liệu các công ty có phải chịu trách nhiệm pháp lý về việc bảo mật dữ liệu khách
hàng hay không là một chủ đề tranh luận. Một số ý kiến cho rằng các công ty phải chịu
trách nhiệm bảo vệ dữ liệu khách hàng kể từ khi họ thu thập và lưu trữ dữ liệu đó. Vi
phạm dữ liệu có thể dẫn đến tác hại đáng kể cho các cá nhân, chẳng hạn như đánh cắp
danh tính và tổn thất tài chính. Việc áp đặt trách nhiệm pháp lý có thể khuyến khích các
công ty ưu tiên an ninh mạng và thực hiện các biện pháp thích hợp để bảo vệ dữ liệu của
khách hàng. Mặt khác, việc triển khai và duy trì các biện pháp bảo mật mạnh mẽ có thể là
thách thức và tốn kém đối với các công ty. Tạo sự cân bằng giữa trách nhiệm pháp lý và
hỗ trợ các doanh nghiệp trong nỗ lực đảm bảo an ninh mạng là rất quan trọng. Các khu
vực pháp lý khác nhau có các quy định và luật khác nhau giải quyết vấn đề bảo vệ dữ liệu
và thông báo vi phạm để giải quyết những lo ngại này.

CASE PHISER

Guide
Kẻ lừa đảo là một cá nhân hoặc tổ chức giả mạo các công ty hợp pháp nhằm cố gắng
thu thập bất hợp pháp dữ liệu cá nhân như số thẻ tín dụng, tài khoản email và số giấy
phép lái xe. Một số kẻ lừa đảo cũng cài đặt mã chương trình độc hại trên máy tính của
người dùng.
Lừa đảo thường được bắt đầu qua email. Những kẻ lừa đảo ăn cắp các biểu trưng và
nhãn hiệu hợp pháp, đồng thời sử dụng các từ nghe có vẻ chính thức nhằm đánh lừa
người dùng tiết lộ dữ liệu cá nhân hoặc nhấp vào một liên kết. Những kẻ lừa đảo không
bận tâm đến luật thương mại đánh dấu sử dụng. Họ đặt tên và logo như Visa,
MasterCard, Discover và American Express trên các trang Web của họ và sử dụng chúng
làm mồi nhử. Trong một số trường hợp, những kẻ lừa đảo sao chép toàn bộ giao diện
trang Web của một công ty hợp pháp.

Trong bài tập này, bạn và một nhóm sinh viên của bạn sẽ được yêu cầu điều tra các
cuộc tấn công lừa đảo. Nếu bạn tìm kiếm lừa đảo trên Web, hãy lưu ý rằng tìm kiếm của
bạn có thể thu hút sự chú ý của một kẻ lừa đảo đang hoạt động. Do đó, không cung cấp
bất kỳ dữ liệu nào cho bất kỳ trang web nào bạn truy cập như một phần của bài tập này!
DISCUSSION QUESTION

1. Để tìm hiểu các nguyên tắc cơ bản về lừa đảo, hãy truy cập trang web sau:
www.microsoft.com/protect/fraud/phishing/symptoms.aspx. Để xem các ví dụ gần đây về
các cuộc tấn công lừa đảo, hãy truy cập www.fraudwatchinternational.com/phishing/. 
a. Sử dụng các ví dụ từ các trang Web này, mô tả cách thức hoạt động của lừa đảo.
b. Giải thích tại sao một liên kết có vẻ hợp pháp, chẳng hạn như
www.microsoft.mysite.com trên thực tế, có thể là một liên kết đến trang web của kẻ lừa
đảo. 
c. Liệt kê năm dấu hiệu của một cuộc tấn công lừa đảo. 
d. Viết một email mà bạn có thể gửi cho bạn bè hoặc người thân không rành về các vấn
đề kỹ thuật Loại thẻ của bạn: “TÍN DỤNG” giải thích lừa đảo là gì và làm thế nào người
đó có thể tránh được.
Trả lời: 
a. Phishing là một tội phạm mạng khi kẻ tấn công lừa người dùng tiết lộ thông tin nhạy
cảm hoặc cài đặt phần mềm độc hại như ransomware. Kẻ tấn công giả dạng là một tổ
chức hợp pháp và liên lạc với người dùng qua email, điện thoại hoặc tin nhắn văn bản để
lừa họ cung cấp dữ liệu nhạy cảm như thông tin cá nhân, chi tiết ngân hàng và thẻ tín
dụng và mật khẩu. Thông tin này sau đó được sử dụng để truy cập các tài khoản quan
trọng và có thể dẫn đến việc lấy cắp danh tính và mất mát tài chính .
b. Một liên kết có vẻ hợp pháp, chẳng hạn như www.microsoft.mysite.com có thể thực sự
là một liên kết đến trang web của kẻ phisher vì nó có thể là một trang web giả dạng trang
chính thống với một lỗi chính tả hoặc khi truy cập vào giao diện web hoàn toàn khác với
trang chính thống.
c. Năm dấu hiệu của một cuộc tấn công phishing là:
-Các ưu đãi hấp dẫn và các câu nói thu hút sự chú ý có vẻ quá hoàn mỹ để thành hiện
thực -Cảm giác được thôi thúc gấp rút để hành động nhanh .
-Các siêu liên kết đáng ngờ .
-Các tệp đính kèm không mong đợi .
-Một người gửi bất thường, không xác định danh tính.
d. Kính gửi bạn bè/ người thân
Hiện nay tình trạng phishing đã và đang phổ biến tràn lan và trở thành mối đe dọa.
Phishing là một loại tội phạm mạng khi kẻ tấn công lừa người dùng tiết lộ thông tin nhạy
cảm hoặc cài đặt phần mềm độc hại như ransomware. Họ giả dạng là một tổ chức hợp
pháp và liên lạc với bạn qua email, điện thoại hoặc tin nhắn văn bản để lừa bạn cung cấp
dữ liệu nhạy cảm như thông tin cá nhân, chi tiết ngân hàng và thẻ tín dụng và mật khẩu.
Để tránh bị lừa bởi các cuộc tấn công phishing, hãy thận trọng với các ưu đãi hấp dẫn và
các câu nói thu hút sự chú ý có vẻ quá hoàn mỹ để thành hiện thực, email tạo ra cảm giác
gấp rút để hành động nhanh, các siêu liên kết đáng ngờ, các tệp đính kèm không mong
đợi và người gửi bất thường.
2. Giả sử bạn nhận được email trong Hình 1 và bấm nhầm vào Xem thêm chi tiết tại
đây. Khi bạn làm như vậy, bạn sẽ được đưa đến trang Web được hiển thị trong
Hình 3. Liệt kê mọi dấu hiệu lừa đảo mà bạn tìm thấy trong hai hình này và giải
thích tại sao đó là dấu hiệu. 
Trả lời:
Các dấu hiệu lừa đảo: Email rất đáng ngờ trừ khi bạn thực sự đã mua vé đến Cozumel với
số tiền đó vào ngày đó. 
-Tên miền http thay vì https
-Cấu trúc email không chuyên nghiệp
-Mức giá niêm yết rất thấp cho hai vé hạng nhất đến Cozumel.
-Người dùng được yêu cầu nhập ID đơn hàng và số thẻ tín dụng để tìm đơn hàng. Số thẻ
tín dụng không cần thiết để tìm đơn đặt hàng
3. Giả sử bạn làm việc cho một tổ chức đang bị lừa đảo. 
a. Làm thế nào bạn biết được rằng tổ chức của bạn đang bị tấn công?
Có một số dấu hiệu cho thấy tổ chức của bạn đang bị tấn công hoặc bị lừa đảo như:
-Các giao dịch không xác định hoặc không rõ ràng xuất hiện trên các báo cáo tài chính
hoặc trong các khoản phí thanh toán.
-Các email, tin nhắn hoặc cuộc gọi từ các nguồn không xác định yêu cầu thông tin cá
nhân như tên đăng nhập, mật khẩu hoặc số thẻ tín dụng.
-Sự thay đổi đột ngột trong cấu trúc hoặc quy trình của tổ chức mà không có lời giải thích
hoặc thông báo trước.
-Các thông báo lỗi hoặc cảnh báo bảo mật xuất hiện liên tục trên hệ thống hoặc website
của tổ chức.
-Các hoạt động kỳ lạ hoặc không rõ ràng diễn ra trên hệ thống của tổ chức.
Để phát hiện bất kỳ dấu hiệu nào của tấn công hoặc lừa đảo, nên học hỏi và áp dụng
những kiến thức bảo mật hệ thống và sử dụng các công cụ bảo mật để giám sát và phát
hiện các hoạt động bất thường. Nên đào sâu và khám phá các hoạt động bất thường trên
hệ thống để có thể xác định những vấn đề và tìm cách khắc phục chúng kịp thời.
b. Tổ chức của bạn nên thực hiện những bước nào để đối phó với cuộc tấn công?
 Các doanh nghiệp cần thận trọng hơn, tránh nóng vội, ham lợi nhuận cao, và đặc
biệt là quả tin tưởng đối tác hoặc bên môi giới, bỏ qua các quy tắc cơ bản trong
kinh doanh quốc tế; không nghiên cứu kỹ các điều khoản trước khi ký hợp đồng
 Cảnh báo tình trạng bị tấn công cho tất cả thành viên trong tổ chức để họ cẩn thận
hơn, có những biện pháp bảo mật cao như mã hóa, xác thực, tường lửa,...
 Nghiên cứu xây dựng chuyên trang thông tin để cảnh báo, cập nhật về các vụ việc,
thủ đoạn, hành vi lừa đảo để cả công ty nắm thông tin
 Cài đặt các chương trình chống vi rút và phần mềm gián điệp trên máy tính từ một
nhà cung cấp có uy tín. 
 Thiết lập các chương trình chống phần mềm độc hại để quét máy tính của bạn
thường xuyên ít nhất một lần một tuần. 
 Báo cáo tình trạng này với cơ quan chức năng có thẩm quyền giải quyết
c. Bạn nghĩ tổ chức của mình phải chịu trách nhiệm pháp lý gì đối với những thiệt
hại cho khách hàng do một cuộc tấn công lừa đảo mang thương hiệu và nhãn hiệu
của bạn?
Nếu tổ chức của bạn bị lừa đảo và khách hàng của bạn gặp thiệt hại, tổ chức của bạn có
trách nhiệm pháp lý để bồi thường những thiệt hại đó. Việc này phụ thuộc vào luật pháp
ở từng quốc gia, tuy nhiên, nếu tổ chức của bạn đã bị lừa đảo, bạn có thể cần liên hệ với
luật sư hoặc các cơ quan chức năng để tìm hiểu về trách nhiệm pháp lý của tổ chức và các
biện pháp cần thiết để bảo vệ khách hàng. Trong trường hợp như vậy, điều quan trọng là
tổ chức của bạn cần hợp tác với các cơ quan chức năng để đưa ra phản ứng nhanh chóng
và giải quyết vụ việc một cách hiệu quả nhất cho khách hàng của mình.
 4. Tóm tắt lý do tại sao lừa đảo là một vấn đề nghiêm trọng đối với thương mại
ngày nay.
Lừa đảo trực tuyến trong lĩnh vực ngân hàng không chỉ ảnh hưởng đến cá nhân khách
hàng mà còn ảnh hưởng trực tiếp hoặc gián tiếp đến nền tài chính quốc gia (Datta và cộng
sự, 2020). Như là:
- Công ty “ma”, giả mạo doanh nghiệp, cung cấp các giấy tờ giả chứng minh năng lực
công ty để giao dịch.
-  Giả mạo giấy tờ, đại diện ngân hàng để lấy chứng từ gốc, chiếm đoạt hàng hoá mà
không thanh toán, mạo danh người khác, cung cấp thông tin sự thật nhằm chiếm đoạt tài
sản…
- Rủi ro về chất lượng sản phẩm, vấn nạn hàng giả, hàng nhái và xâm phạm quyền sở hữu
trí tuệ, mức độ an toàn và bảo mật trong các giao dịch qua mạng bị thách thức.
Những hành vi lừa đảo sẽ dẫn đến hậu quả là thiệt hại về tài sản, đánh mất nguồn thông
tin dẫn đến bị đe dọa, làm cho con người dần bị mất niềm tin vào mọi người, vấn đề xung
quanh. Gây ảnh hưởng xấu đến an ninh, trật tự, an toàn xã hội
5. Mô tả các hành động mà các tổ chức, công ty, chính phủ hoặc cá nhân trong
ngành có thể thực hiện để giúp giảm lừa đảo.

* Đối với cá nhân

 - Cẩn thận và không nên trả lời bất kỳ thư rác nào yêu cầu xác nhận, cập nhật bất kỳ
thông tin nào về tài khoản của cá nhân, tổ chức, doanh nghiệp;  
 - Trước khi tải xuống bất kỳ ứng dụng di động nào từ Google Play, người dùng phải
kiểm tra xem ai, tổ chức nào là người tạo ứng dụng
 - Cảnh giác với các thông tin khuyến mại, trúng thưởng nhận được trên mạng xã hội;
Không nhấp chuột vào các đường dẫn của các trang web lạ; Không cung cấp thông tin cá
nhân, đặc biệt là tài khoản ngân hàng; Sử dụng mật khẩu phức tạp đối với các tài khoản
mạng xã hội như Facebook và thường xuyên thay đổi các mật khẩu này.
 - Cảnh giác khi thực hiện truy cập vào các trang web, đặc biệt là các trang web không
phổ biến vì chúng rất có thể tồn tại lỗ hổng mà tin tặc đang nhắm vào để khai thác.
- Trước khi đăng nhập vào các website để giao dịch điện tử, link lạ, người dùng nên có
biện pháp kiểm tra, rà soát nhằm đảm bảo đó là đường link chính thống của đơn vị cung
cấp dịch vụ.
- Quản lý thiết bị di động (MDM) cũng giúp các nhóm bảo mật phát hiện các lỗi bảo mật,
chẳng hạn như vi phạm tuân thủ, thiết bị không hoạt động, ứng dụng bị chặn và thiết bị
đã bẻ khóa hoặc đã root - tất cả đều trong thời gian thực.
- Đầu tư các phần mềm chống virut và các phần mềm độc hại
*Đối với các tổ chức, doanh nghiệp
Các TC/DN nên thực hiện các giải pháp phòng chống tấn công Social Engineering như
sau:
- Phân chia tài khoản, quyền hạn và trách nhiệm rõ ràng đối với các tài khoản mạng xã
hội, website, hệ thống.
- Tránh sử dụng một mật khẩu cho nhiều tài khoản khác nhau nhằm tránh nguy cơ lộ lọt
thông tin.
- Hạn chế đăng những thông tin cá nhân, thông tin công ty, doanh nghiệp lên mạng xã hội
để tránh kẻ xấu mạo danh.
-Các chính sách mang thiết bị riêng (BYOD) trao quyền cho nhân viên hoàn thành nhiệm
vụ của họ bằng cách sử dụng các phương tiện và công cụ mà họ có. Điều này đã cho phép
tăng năng suất nhưng cũng dẫn đến sự hội tụ của dữ liệu cá nhân và công ty trong mạng.
MDM là cách tốt nhất để giảm thiểu bề mặt tấn công bằng cách định cấu hình mã hóa
cũng như hạn chế phần cứng và phần mềm trên thiết bị.
- Nâng cao kiến thức về tấn công và cách phòng tránh Social Engineering, kỹ năng an
toàn thông tin cho cán bộ, nhân viên; Thực hiện các buổi tập huấn với các tình huống giả
mạo, qua đó nâng cao nhận thức, ý thức cảnh giác và kinh nghiệm đối phó với những tình
huống tương tự.
- Thường xuyên cập nhật bản vá cho phần mềm, hệ điều hành, định kỳ tạo các bản sao
lưu nội dung cơ sở dữ liệu.
-Đầu tư các phần mềm chống virut và các phần mềm độc hại, đồng thời nâng cao nhận
thức về hành vi lừa đảo tinh vi hiện nay
-Tăng cường bảo mật, với nhiều hình thức như mật khẩu thêm MFA (nó sẽ cung cấp lớp
xác minh danh tính thứ hai mà người dùng cần phải trải qua). MFA dựa trên rủi ro cho
phép các tổ chức truy cập động dựa trên các điều kiện nhất định, bao gồm vị trí, địa chỉ
IP của người dùng và số lần đăng nhập không thành công. Dựa vào đó kiểm soát bảo mật
cho là đáng ngờ sẽ bị chặn cho đến khi người dùng hoàn tất quy trình xác thực phụ.