ĐẠI HỌC CÔNG NGHỆ GIAO THÔNG VẬN TẢI

KHOA CÔNG NGHỆ THÔNG TIN

HỌC PHẦN: AN NINH MẠNG

Đề số 1: Mối đe dọa an ninh trong thương mại điện tử

Thành viên nhóm: Đào Ngọc Đạt

Trần Hợp Thành

Nguyễn Quang Huy

Giảng viên hướng dẫn: Thanh Tấn

Hà Nội, ngày tháng 5 năm 2023

 Mục lục
LỜI MỞ ĐẦU.........................................................................................................3
Chương 1: Các mối đe dọa an ninh mạng hàng đầu đối với thương mại điện tử
..................................................................................................................................4
1.1 Gian lận thẻ tín dụng.....................................................................................4
1.2 E-skimming....................................................................................................4
1.3 Các cuộc tấn công từ chối dịch vụ phân tán (DDoS)...................................5
1.4 Phần mềm độc hại..........................................................................................5
1.5 Thuật toán tự động hoặc Bots.......................................................................6
Chương 2: Yêu cầu tổng thể của một doanh nghiệp thương mại điện tử...........7
2.1 Riêng tư..........................................................................................................7
2.2 Chính trực......................................................................................................8
2.3 Tính xác thực.................................................................................................8
2.4 Không bác bỏ.................................................................................................8
Chương 3: Các biện pháp an ninh mạng mà các doanh nghiệp thương mại
điện tử nên áp dụng................................................................................................9
Định nghĩa............................................................................................................9
Sử dụng phần mềm chống mã độc ................................................................10
Chương 4: Kết luận................................................................................................11

2
 LỜI MỞ ĐẦU

An ninh thương mại điện tử là quá trình làm giảm thiểu và hạn chế các rủi ro có thể
xảy đến trong thương mại điện tử liên quan đến các vấn đề về thủ tục, chính sách, pháp
luật và đặc biệt là công nghệ. Một ví dụ về an ninh thương mại điện tử điển hình là việc
doanh nghiệp đảm bảo an toàn trước các lỗi, mã độc mà do tin tặc gây ra.

Thương mại điện tử là đối mặt với nhiều mối đe dọa an ninh mạng, bao gồm cả những
ảnh hưởng đến các thông tin riêng tư, sở hữu và quản lý dữ liệu, vị trí của các trung tâm
dữ liệu, an ninh dữ liệu và luật pháp. Cách đây 30 năm, chỉ có 32% giá trị thị trường dựa
trên các tài sản vô hình, chủ yếu là sở hữu trí tuệ. Đến nay, con số này là 80% – một con
số lớn, yêu cầu doanh nghiệp phải bảo vệ cẩn thận các tài sản kỹ thuật số trước nguy cơ bị
tội phạm đánh cắp.

Tại Việt Nam, cùng với sự phát triển mạnh mẽ về số lượng người dùng internet, đặc
biệt là mua sắm online, các vụ tấn công mạng gia gia tăng, kể cả về số lượng, quy mô; các
hình thức tấn công tinh vi hơn. Trung tâm ứng cứu khẩn cấp máy tính Việt Nam đã ghi
nhận và xử lý gần 10.000 vụ tấn công website. Trong đó, gần 50% các sự cố đến từ phát
tán mã độc thông qua những lỗ hổng bảo mật.

3
 Chương 1: Các mối đe dọa an ninh mạng hàng đầu đối với thương
mại điện tử
1.1 Gian lận thẻ tín dụng

Đây là vấn đề phổ biến nhất của một trang web mua sắm trực tuyến và nó đang tăng
lên từng ngày. Tin tặc thường sử dụng dark web để mua thông tin thẻ tín dụng bị đánh
cắp. Sau đó, chúng cố gắng xác định vị trí tài khoản của những người bị đánh cắp thông
tin thẻ trên các trang web Thương mại điện tử khác nhau và tiến hành xâm nhập và sử
dụng thông tin thẻ của họ để thực hiện các giao dịch gian lận.

Nếu một công ty không thể xác định và ngăn chặn các giao dịch như vậy, điều đó dẫn
đến sự không hài lòng của khách hàng và mất đi sản phẩm có giá trị. Các công ty cũng
phải trả lại tiền cho những khách hàng đã bị lừa đảo trên trang web của họ và đối phó với
việc giảm uy tín do hành vi lừa đảo.

1.2 E-skimming

E-skimming là một phương thức tấn công khác mà tin tặc sử dụng để đánh cắp thẻ tín
dụng và thông tin cá nhân khác từ các giao dịch Thương mại điện tử, nhưng điều này xảy
ra trong quá trình thanh toán. Mối đe dọa này tồn tại nếu các giai đoạn của quy trình thanh
toán không liền mạch hoặc nếu có các liên kết gây hiểu lầm trên màn hình đến một trang
web bên ngoài hoặc cổng thanh toán nơi tin tặc đang chờ đợi để nắm bắt thông tin thẻ
trong thời gian thực khi khách hàng nhập chi tiết.

Kiểu tấn công này đang có xu hướng gia tăng ; những kẻ tấn công sử dụng nhiều phương
pháp như liên kết gây hiểu lầm, lừa đảo, tạo kịch bản trên nhiều trang web, v.v. Vào tháng
9 năm 2020, tin tặc đã lợi dụng lỗ hổng zero-day để chèn mã đọc lướt vào gần 2000 trang

4
web Thương mại điện tử đang chạy phiên bản cũ hơn của phần mềm Magento của Adobe.
Tin tặc cũng đã bắt đầu sử dụng các kỹ thuật tự động hóa để chạy các hoạt động đọc lướt..

1.3 Các cuộc tấn công từ chối dịch vụ phân tán (DDoS)

Trong một cuộc tấn công DDoS, một tin tặc làm tràn ngập các máy chủ của trang web
Thương mại điện tử với hàng nghìn yêu cầu từ các nguồn có khả năng không thể theo dõi,
tức là địa chỉ IP. Mục đích của cuộc tấn công này là làm cho nền tảng mua sắm không khả
dụng cho khách hàng bằng cách làm gián đoạn các dịch vụ giữa trang web và máy chủ.

Sự xuất hiện của cuộc tấn công này gia tăng trong các giai đoạn bán hàng phổ
biến như ưu đãi cuối năm, giảm giá dịp lễ đặc biệt, ra mắt và giảm giá lớn cho các sản
phẩm đang chờ đợi, v.v. Nếu khách hàng không thể sử dụng các sản phẩm và dịch vụ vào
những thời điểm đó, họ sẽ mất niềm tin và công ty, và sau đó, công ty phải chịu thiệt hại
nặng nề về danh tiếng và tổn thất tài chính.

1.4 Phần mềm độc hại

Các trang web thương mại điện tử cũng liên tục bị phần mềm độc hại đe dọa. Phần
mềm độc hại là phần mềm được thiết kế để đạt được kết quả độc hại chống lại mục tiêu.
Phần mềm độc hại rất đa dạng về kết quả mà nó được thiết kế để tạo ra; một số được liệt
kê dưới đây:

- Mạo danh doanh nghiệp Thương mại điện tử và thay mặt họ gửi email
- Kiểm soát nền tảng và kiến trúc
- Truy cập cơ sở dữ liệu và giả mạo hoặc đánh cắp dữ liệu

Có được quyền truy cập hoàn toàn vào hệ thống và khóa chủ sở hữu (về cơ bản giữ hệ

thống ở mức đòi tiền chuộc, được gọi là ransomware)

5
 Chúng ta có thể thấy phần mềm độc hại có thể có tác động sâu rộng, tốn kém và phá
hoại như thế nào đối với các doanh nghiệp Thương mại điện tử nếu họ không cảnh giác và
không áp dụng các biện pháp bảo mật thông tin phòng ngừa được cập nhật.

1.5 Thuật toán tự động hoặc Bots

Các hacker ngày nay đang sử dụng các kỹ thuật tự động cho các hoạt động đọc lướt
thẻ tín dụng. Các phần tử này được gọi là "bot"; chúng là các chương trình tự động được
thiết kế để thực hiện các nhiệm vụ cụ thể trong một hệ thống.

Chúng cũng được thiết kế để hoạt động như người dùng thực, trong đó họ có thể tiến
hành giao dịch giống hệt như một người. Có thể rất khó để phân biệt bot với người thật.

Bots đã làm cho các hoạt động hack trở nên dễ dàng hơn và khốc liệt hơn vì chúng có
thể lặp lại cùng một hành động hàng nghìn lần trong vòng vài giây. Chúng được sử dụng
để thực hiện các cuộc tấn công trên các nền tảng Thương mại điện tử như:

 Gian lận thẻ tín dụng: Bots được lập trình để sử dụng số thẻ tín dụng bị đánh cắp
và sau đó kiểm tra chúng với các kết hợp số CVV cho đến khi tìm thấy sự trùng
khớp. Sau khi thành công, hacker có thể sử dụng thông tin để mua hàng bằng cách
mạo danh người khác.

 Truy cập tài khoản: Tin tặc có thể đánh cắp chi tiết tài khoản hoặc lấy chúng từ
dark web. Được trang bị thông tin này, họ có thể lập trình bot để thử kết hợp tên
người dùng và mật khẩu trên các trang Thương mại điện tử khác nhau. Khi đăng
nhập tài khoản thành công, tin tặc có quyền truy cập hoàn toàn và miễn phí vào tất
cả thông tin được lưu trữ trong tài khoản của người dùng, cũng như khả năng thực
hiện các giao dịch mua trái phép và gian lận.

6
  Đánh giá: Một doanh nghiệp Thương mại điện tử có thể chèn bot vào nền tảng
của đối thủ cạnh tranh của họ để truy cập vào dữ liệu nhạy cảm như định giá sản
phẩm, kế hoạch tiếp thị, dòng sản phẩm, nhà cung cấp, chiến lược giá, mức tồn
kho, v.v.

Chương 2: Yêu cầu tổng thể của một doanh nghiệp thương mại điện
tử
Bất kỳ doanh nghiệp Thương mại điện tử nào cũng phải đáp ứng bốn nguyên tắc cơ
bản là nền tảng để thực hiện các giao dịch trực tuyến an toàn.

2.1 Riêng tư

Mọi thông tin được trao đổi hoặc lưu trên nền tảng mua sắm trực tuyến phải được
bảo vệ trước các thực thể trái phép. Điều này bao gồm thông tin tài khoản cá nhân, mật
khẩu, địa chỉ, chi tiết thẻ và thậm chí cả lịch sử mua sắm. Công ty nên có chính sách
về cách họ sử dụng thông tin này và làm cho nó được biết đến với khách hàng của họ.
Tuy nhiên, bất kỳ bên ngoài và bên trái phép nào đều không được phép truy cập vào
dữ liệu.

Một ví dụ về vi phạm quyền riêng tư trong Thương mại điện tử là tin tặc truy cập
trái phép vào tài khoản của khách hàng và đánh cắp thông tin cá nhân và thanh toán.

7
2.2 Chính trực

Thông tin đã lưu và trao đổi không thể bị thay đổi bởi một bên thứ ba trái phép. Trong
quá trình trao đổi hoặc hiển thị thông tin, dữ liệu phải được giữ nguyên bản giữa người
gửi và người nhận.

Một ví dụ về vi phạm tính toàn vẹn trong Thương mại điện tử là một cuộc tấn công
lướt qua điện tử trong đó người mua được chuyển hướng đến một cổng thanh toán gian
lận từ trang web Thương mại điện tử.

2.3 Tính xác thực

Các bên giao dịch phải có thể chứng minh danh tính của họ cho nhau. Một doanh
nghiệp Thương mại điện tử nên biết danh tính của mọi khách hàng. Ở góc độ khách hàng,
họ nên yên tâm rằng họ đang làm ăn chân chính. Điều này bao gồm các trường hợp trao
đổi thông tin trên trang web, qua email hoặc qua điện thoại.

Một ví dụ về vi phạm tính xác thực trong Thương mại điện tử là một nỗ lực lừa đảo
của kẻ tấn công khi họ mạo danh là công ty và gửi bản tin, ưu đãi, v.v. qua email cho
khách hàng với các liên kết được nhúng mà khách hàng có thể nhấp vào và nhập thông tin
đăng nhập tài khoản mua sắm trực tuyến của họ.

2.4 Không bác bỏ

Đối với bất kỳ giao dịch Thương mại điện tử nào, cần có bằng chứng rằng thông tin
trao đổi đã được nhận. Không được có phạm vi cho bất kỳ bên nào tham gia giao dịch từ
chối hành động của họ.

8
 Một ví dụ về việc thiếu không từ chối là không có lịch sử đặt hàng trong tài khoản của
khách hàng, điều này cho phép họ từ chối đặt hàng hoặc thiếu xác nhận thanh toán, như
hóa đơn thuế hoặc biên lai điện tử, điều này sẽ cho phép công ty từ chối khách hàng đã
thanh toán đặt hàng.

Chương 3: Các biện pháp an ninh mạng mà các doanh nghiệp

thương mại điện tử nên áp dụng.
Định nghĩa

Một số biện pháp an ninh mạng cơ bản có thể giúp một doanh nghiệp Thương mại
điện tử bảo vệ dữ liệu, hệ thống, khách hàng và danh tiếng của mình.

Triển khai mật khẩu mạnh và duy nhất. Buộc người dùng làm điều tương tự trên
trang web và khuyến khích họ không sử dụng thông tin đăng nhập giống như bất kỳ tài
khoản trực tuyến nào khác.

Triển khai CAPTCHA trên màn hình đăng nhập. CAPTCHA về cơ bản là một bài
kiểm tra Turing hoàn toàn tự động để phân biệt máy tính và con người; đây là viết tắt của
CAPTCHA. Đây là bước đầu tiên hiệu quả để ngăn chặn bot xấu tạo tài khoản giả và truy
cập thông tin chi tiết của khách hàng.

Thực hiện xác thực đa yếu tố. Bao gồm mức độ đảm bảo bổ sung rằng chỉ những
người dùng được ủy quyền mới đăng nhập vào trang web Thương mại điện tử.

Cài đặt hệ thống tường lửa. Giám sát và kiểm soát hoạt động của trang web và đầu
tư vào một hệ thống bảo vệ chống vi-rút mạnh mẽ. Thường xuyên cài đặt tất cả các bản
cập nhật phần mềm và hệ điều hành.

9
 Hạn chế giữ thông tin nhạy cảm trên trang web. Các công ty nên lưu trữ dữ liệu bí
mật và nhạy cảm của doanh nghiệp trong hệ thống của công ty họ sẽ được bảo vệ bằng
các biện pháp bảo mật nghiêm ngặt hơn.

Lưu trữ dữ liệu khách hàng cần thiết. Ngày nay, các vấn đề về quyền riêng tư của
dữ liệu cá nhân đang là tiêu điểm quan trọng và các công ty Thương mại điện tử nên tránh
yêu cầu những dữ liệu không bắt buộc.

Có giao thức và hệ thống cảnh báo để xác định các giao dịch mua gian lận có thể
xảy ra. Ví dụ: đơn đặt hàng có giá trị cao hơn nhiều so với mức bình thường được nhận,
đơn đặt hàng có địa chỉ giao hàng khác với địa chỉ thanh toán, nhiều lần thử đặt hàng
không thành công trong một khoảng thời gian và nhiều thông số khác.

Đào tạo nhân viên cách xử lý tình huống. Hướng dẫn họ đề phòng các email lừa đảo
có thể đưa tin tặc xâm nhập vào hệ thống của công ty.

Sao lưu dữ liệu thường xuyên. Trong trường hợp có vi phạm và doanh nghiệp
Thương mại điện tử mất dữ liệu hoặc quyền truy cập vào hệ thống, họ có thể khôi phục
dữ liệu đã sao lưu và tiếp tục hoạt động nhanh nhất có thể.

Thường xuyên thực hiện kiểm tra thâm nhập. Kiểm tra tính bảo mật của hệ thống
và trang web Thương mại điện tử và / hoặc ứng dụng di động của công ty để xác định
xem có tồn tại bất kỳ lỗ hổng bảo mật nào có thể bị khai thác bởi những kẻ tấn công mạng
hay không.

Sử dụng phần mềm chống mã độc .

Đây là một chương trình giúp doanh nghiệp phát hiện, loại bỏ và ngăn chặn các mã
độc lây nhiễm vào máy tính và hệ thống mạng. Vì mã độc là thuật ngữ chung, bao gồm cả
virus, worm, trojan… do đó việc sử dụng phần mềm chống mã độc sẽ giúp công ty ngăn
chặn được nhiều mối nguy hiểm từ tin tặc.

Bảo mật website và máy chủ

10
 Các quản trị viên của website nên sử dụng các mật khẩu phức tạp và thường xuyên
thay đổi chúng định kỳ. Ngoài ra, doanh nghiệp cần phân quyền quản trị website theo
đúng vai trò của nhân viên, giảm thiểu rủi ro làm mất dữ liệu website. Bên cạnh đó, đừng
quên thiết lập cảnh báo khi có bất cứ IP lạ, đáng nghi nào nào cố gắng truy cập vào
website của doanh nghiệp.

Chương 4: Kết luận

An ninh thương mại điện tử luôn là một trong những vấn đề nhức nhối đối với nhiều
doanh nghiệp hiện nay. Các tin tặc có thể tấn công bằng bất cứ phương thức nào, gây ra
nhiều tổn thất cho doanh nghiệp. Bởi vậy, việc xây dựng một hệ thương website thương
mại điện tử kiên cố ngay từ đầu và thường xuyên cập nhật, bảo trì trang web là điều cần
thiết mọi công ty nên làm để tránh những rủi ro về an ninh thương mại điện tử. Hãy tìm
cho mình một đối tác công nghệ uy tín, có tay nghề cao như Magenest để xây dựng và
bảo trì, kiểm tra website định kỳ.

Hệ thống thông tin phục vụ cho người dân và doanh nghiệp là một trong những hệ
thống thông tin cốt lõi của Bộ máy Nhà nước Việt Nam. Nó đóng một vai trò cực kì quan
trọng, là cầu nối giữa Chính phủ và những nhu cầu pháp lý của người dân, doanh nghiệp.
Hệ thống này cũng khiến cho việc tiếp cận các dịch vụ công trực tuyến càng dễ dàng hơn
cho người dân trong nước. Tuy bên cạnh đó vẫn là những rủi ro về tin tặc và rò rỉ thông
tin cá nhân, chúng ta cũng không thể phủ nhận những mặt tích cực mà hệ thống đem đến
cho chúng ta. Và để bảo vệ quyền lợi và thông tin của người dân khỏi kẻ gian, các lực
lượng công an đóng một vai trò chủ chốt trong việc đảm bảo an ninh mạng cũng như sửa
chữa, khắc phục kịp thời các rủi ro có thể gặp phải bất kì lúc nào. Mỗi người dân cũng
chính là một chiến sĩ trên mặt trận bảo vệ an ninh mạng, giữ vững lập trường, tin thần
đoàn kết và tin tưởng vào Đảng, Chính phủ cũng như nâng cao dân trí mỗi ngày chính là
tự bảo vệ bản thân và người thân khỏi sự tấn công từ trên mạng.

11
12