Bài thảo luận nhóm 11.
Đề tài: Tìm hiểu về các hoạt động lừa đảo và nguy cơ đối với hoạt động
thương mại điện tử hiện nay. Các biện pháp mà các công ty áp dụng để giảm thiểu
và khắc phục những nguy cơ này.
Thị trường ngày càng phát triển vì vậy các loại hình kinh doanh cũng ngày càng
trở lên đa dạng. Là một loại hình mua bán thông qua các phương tiện truyền thông, mạng
internet, tiết kiệm thời gian cũng như chi phí đối với cả người mua và người bán, thương
mại điện tử đã trở thành một sự ưu tiên lựa chọn đối với nhiều người. Tuy có nhiều lợi
ích song vẫn còn không ít những bất lợi trong thương mại điện tử. Vậy đó là những gì?
I. Lý thuyết về an toàn trong thương mại điện tử
1/ Các vấn đề đặt ra với an toàn thương mại điện tử.
Thương mại điện tử giúp thục hiện các giao dịch, thanh toán, marketing và
tăng giá trị của các sản phẩm hàng hóa hữu hình hoặc truyền những cơ sờ dữ liệu
liên quan tới thẻ tín dụng, các phương tiện thanh toán khác của khách hàng.Việc
đảm bảo an toàn cho các thông tin trên là rất quan trọng.
An toàn trong thương mại điện tử luôn mang tính tương đối.lịch sử an
toàn thương mại đã chứng minh rằng, bất cứ hệ thống an toàn nào cũng có thể bị
phá vỡ nếu không đủ sức để chống lại các cuộc tấn công. Vì vậy các vấn đề đặt ra
đối với an toàn trong thương mại điện tử :
-Yêu cầu từ phía người sử dụng :
+ Sử dụng đúng website của các công ty hợp pháp.
+ Không chứa đựng virus hay các đoạn mã nguy hiểm trong các website
hoặc các bảng khai thông tin cá nhân.
+ Thông tin cá nhân cần phải được đảm bảo bí mật
-Yêu cầu từ phía nhà cung cấp ( từ phía các website )
+ Người sử dụng không được tấn công máy chủ hay các trang web của
doanh nghiệp.
+ Người sử dụng không được làm gián đoạn hoạt động của máy chủ.
-Yêu cầu từ cả người sử dụng và nhà cung cấp:
+ Đảm bảo cho các thông tin trao đổi hai chiều giữa người sử dụng và
nhà cung cấp không bị bên thứ ba nghe trộm.
+Đảm bảo tính toàn vẹn của thông tin , đảm bảo cho các thông tin trao
đổi hai chiều giữa người sử dụng và nhà cung cấp không bị biến đổi trong quá
trình truyền.
-Các công việc cần phải thực hiện để đảm bảo an toàn trong TMDT:
+ Xác thực: là quá trình xác định xem những ai là người có quyền truy
cập vào quá trình trao đổi thông tin, xác định dối tượng của giao dịch là cái gì?
+ Cấp phép: cấp phép là quá trình xác định xem những ai là người có
quyền truy cập vào tài nguyên hệ thống và loại tài nguyên nào thì có thể được sử
dụng?
+ Là quá trình thu thập các thông tin về việc truy cập vào tài nguyên hệ
thống của người sử dụng thông qua cung cấp các bằng chứng cụ thể.
2/ Hệ thống an toàn điện tử được coi là an toàn cần phải đảm bảo các yêu
cầu.
a/ Đảm bảo tính bí mật của thông tin: đảm bảo cho các thông tin trao đổi
hai chiều không bị tiết lộ trong quá trình truyền, bát kì sự sửa đổi hay thay thế nội
dung, thông tin dù có bị chặn nhưng cũng không thể đọc được, hiểu được.
b/ Tính toàn vẹn của thông tin: đảm bảo cho các thông tin trao đổi hai
chiều không bị biến đổi trong quá trình truyền bất kỳ sự sửa đổi hay thay thế nào
dù là nhỏ nhất cũng sẽ dễ dàng bị phát hiện.
c/ Tính sẵn có của thông tin: đảm bảo thông tin luôn luôn sẵn sàng đáp
ứng yêu cầu truy cập các thông tin khi cần thiết.
d/ Đảm bảo tính chống từ chối hay phủ nhận: đảm bảo chống lại việc từ
chối hay phủ nhận các giao dịch đã thực hiện thông qua cung cấp các bằng chứng
cụ thể
II. Các hoạt động lừa đảo và nguy cơ với hoạt động thương mại điện tử
hiện nay
1.Tấn công phi kỹ thuật
Các nguy cơ phi kĩ thuật thường nhắm vào sự nhẹ dạ cả tin và thiếu hiểu
biết của người dùng ( không dùng các biện pháp kĩ thuật ) để lừa đảo
Các nguy cơ này có 12 dạng chính sau :
Dạng 1: Trang web giả mạo tổ chức từ thiện – Hãy cẩn thận khi bạn đóng
góp.
Vào mùa lễ, tin tặc lợi dụng lòng hảo tâm của cộng đồng bằng cách gửi đi
các thư điện tử có vẻ như hợp pháp của những tổ chức từ thiện. Trong thực tế, đó
là những trang web giả mạo được thiết kế nhằm ăn cắp tiền, thông tin thẻ tín dụng
và thông tin nhận dạng của các nhà tài trợ.
Dạng 2: Hóa đơn giả mạo từ các dịch vụ giao hàng nhằm ăn cắp tiền của
bạn.
Trong suốt mùa lễ, tội phạm mạng thường gởi các hóa đơn giả mạo và
hiện những thông báo giao hàng từ Federal Express, UPS hay dịch vụ hải quan
Mỹ.
Những Email họ gởi nhằm yêu cầu người tiêu dùng xác nhận các thông tin
chi tiết về thẻ tín dụng của họ để xâm nhập vào tài khoản, hoặc yêu cầu người sử
dụng mở một hóa đơn trực tuyến hoặc biên nhận thanh toán trọn gói.
Sau khi hoàn thành, thông tin người dùng bị đánh cắp hoặc các phần mềm
độc hại được tự động cài đặt trên máy tính của họ.
Dạng 3: Mạng xã hội –Tội phạm mạng “Muốn kết bạn”
Tội phạm mạng tận dụng thời gian này của năm bằng cách gửi đi các
email yêu cầu xác nhận “Yêu cầu kết bạn mới” từ các trang web trên mạng xã hội.
Người sử dụng internet nên thận trọng với việc truy cập vào các liên kết
trong các email có khả năng tự động cài đặt phần mềm độc hại trên các máy tính
và ăn cắp thông tin cá nhân
Dạng 4: Những E-Cards nguy hiểm có liên quan tới ngày nghỉ
Những kẻ trộm tiền mặt trong tài khoản của các khách hàng gởi những e-
cards ra sức nâng cao ý thức bảo vệ môi trường. Mùa lễ năm ngoái, trung tâm
nghiên cứu Labs của McAfee đã phát hiện một con sâu ngụy trang dưới các
chương trình khuyến mãi như các e-card của Hallmark, McDonald và Coca-Cola.
Những trang đính kèm trên email bằng PowerPoint liên quan tới ngày lễ
cũng phổ biến trong giới tội phạm mạng. Hãy cẩn thận với những gì bạn truy cập
vào.
Dạng 5: Các mặt hàng trang sức cao cấp giảm giá trong ngày lễ.
Mới đây, trung tâm nghiên cứu Labs của McAfee đã phát hiện một một
chiến dịch trong mùa lễ mới dẫn dắt người mua sắm tới những trang chứa đựng
phần mềm độc hại như chương trình “giảm giá” các mặt hàng quà tặng trang sức
cao cấp từ Cartier, Gucci, và Tag Heuer.
Tội phạm mạng thậm chí sử dụng cả biểu tượng gỉa mạo giống hệt biểu
tượng doanh nghiệp chính hãng nhằm lừa người mua sắm vào trong để mua những
sản phẩm mà họ không bao giờ nhận được.
Dạng 6: Thực hiện an toàn trong ngày lễ mua sắm – Nạn trộm cắp thông
tin nhận diện trực tuyến đang ngày càng gia tăng
Trung tâm nghiên cứu Forrester dự báo bán hàng trực tuyến trong dịp nghỉ
lễ sẽ tăng lên trong năm nay, những người săn giá rẻ sẽ đăng trên web để thỏa
thuận. Khi người sử dụng mua sắm và lướt trên các điểm nóng mở, tin tặc có thể
xâm nhập vào hoạt động để ăn cắp thông tin cá nhân của họ.
McAfee khuyên người sử dụng không nên mua sắm trực tuyến từ bất kỳ
một máy tính hoặc mạng không dây công cộng công cộng nào.
Dạng 7: Danh sách các bài hát mừng lễ Giáng Sinh có thể gây ra nguy
hiểm – Việc tìm kiếm vào mùa lễ là rất mạo hiểm.
Trong những ngày lễ, các tin tặc tạo ra các trang web lừa đảo có liên quan
tới ngày lễ dành cho những người tìm kiếm nhạc chuông hoặc hình nền về ngày lễ
đó, các danh sách nhạc mừng lễ Giáng Sinh hoặc hình nền lễ hội. Các tập tin họ tải
về có liên quan tới ngày lễ có thể lây nhiễm phần mềm độc hại cho máy tính với
phần mềm gián điệp, phần mềm quảng cáo hay các phần mềm độc hại khác.
McAfee đã tìm thấy một trong những trang web tải bài hát mừng lễ Giáng
Sinh đưa những người tiềm kiếm vào các phần mềm quảng cáo, phần mềm gián
điệp và các chương trình có khả năng không mong muốn khác.
Dạng 8: Thất nghiệp – Email lừa đảo có liên quan tới việc làm.
Gần đây, tỷ lệ thất nghiệp ở nước Mỹ đã tăng lên tới 10.2%, mức cao nhất
từ năm 1983 cho tới nay. Những kẻ lừa đảo đang lợi dụng sự tuyệt vọng của
những người tìm việc trong kinh tế nghèo, với những lời hứa công việc với mức
lương cao và có nhiều cơ hội làm việc kiếm tiền tại nhà.
Khi những người quan tâm gửi thông tin của họ và trả tiền phí để được
giới thiệu việc làm thông qua mạng trực tuyến, dựa vào các thông tin mà họ đã gửi
các tin tặc trộm tiền của họ thay vì cho họ cơ hội việc làm như chúng đã hứa.
Dạng 9: Outbidding cho tội phạm - Trang web đấu giá Gian Lận
Những kẻ lừa đảo thường ẩn dưới dạng các trang web đấu giá vào mùa lễ.
Người mua cần đề phòng những thỏa thuận đấu giá xuất hiện giống hệt như là
những thỏa thuận đấu giá hợp lệ, vì vậy những lần mua hàng thường không bao
giờ có chủ sở hữu mới.
Dạng 10: Trang web giả mạo đánh cắp mật khẩu
Ăn cắp mật khẩu là vấn nạn đại tràn trong mùa lễ, những kẻ trộm thường
sử dụng công cụ với chi phí thấp để khám phá mật khẩu của một người và gửi đi
những phần mềm độc hại ghi lại những tổ hợp phím, gọi là keylogging.
Một khi tội phạm có quyền truy cập vào một hay nhiều mật khẩu, chúng
truy cập vào tài khoản ngân hàng, chi tiết thẻ tín dụng trên phạm vi rộng lớn và rút
sạch tài khoản của khách hàng chỉ trong vài phút. Chúng cũng thường gởi thư rác
từ tài khoản của người dùng cho các địa chỉ trong danh sách liên lạc của họ.
Dạng 11: E-Mail giả mạo ngân hàng
Tội phạm mạng lừa các khách hàng tiết lộ chi tiết tài khoản ngân hàng của
họ bằng cách gửi những thư điện tử có vẻ như hợp pháp từ các tổ chức tài chính.
Họ yêu cầu người sử dụng xác nhận thông tin tài khoản, trong đó bao gồm
tên người dùng và mật khẩu, với một cảnh báo rằng tài khoản của họ sẽ không hợp
lệ nếu không thực hiện theo yêu cầu. Sau đó, họ thường bán thông tin này thông
qua một thị trường đen trực tuyến ngầm.
Trung tâm nghiên cứu labs của McAfee tin rằng các tội phạm mạng đang
tích cực hơn trong việc lừa đảo người tiêu dùng với chiến thuật này trong những
ngày lễ từ những người mua hàng mà chúng đang giám sát chặt chẽ.
Dạng 12: Đòi tiền chuộc dữ liệu
Các tin tặc giành quyền kiểm soát máy tính của người mọi người thông
qua một vài trang web giả mạo có liên quan tới ngày lễ. Sau đó, chúng hành động
như một kẻ bắt cóc tống tiền nhằm cướp các tập tin trên máy tính và mã hóa
chúng, làm cho họ không thể đọc và truy cập được
2.Tấn công kỹ thuật
Xét trên góc độ công nghệ, có ba bộ phân dễ bị tấn công và tổn thương
nhất khi thực hiện các giao dịch thương mại điện tử đó là hệ thống khách hàng,
máy chủ doanh nghiệp và đường truyền thông tin
A) .Maliciouscode
Trước khi tìm hiểu về virus, chúng ta cần hiểu khái niệm Malicious code.
Malicious code hay còn gọi là Malware ( Mã độc hại) là một khái niệm rộng, được
định nghĩa là “một chương trình (program) được chèn một cách bí mật vào hệ
thống với mục đích làm tổn hại đến tính bí mật, tính toàn vẹn hoặc tính sẵn sàng
của hệ thống”.
Định nghĩa này sẽ bao hàm rất nhiều thể loại mà chúng ta vẫn quen gọi
chung là virus máy tính ở Việt nam như: worm, trojan, spy-ware, thậm chí là
virus hoặc các bộ công cụ để tấn công hệ thống mà các hacker thường sử dụng
như: backdoor, rootkit, key-logger, …
Malware được phân loại như sau:
Loại Ví dụ
Maliciou
s code
Virus Nonre
sident
Virus
Miche
langelo,
Stined,
Jerusalem
Reside
nt virus
Melisa
Worm Netwo
rk service
worm
Sasser
Mass
mailing worm
Netsk
y, mydoom
Trojan
Malicious
Mobile Code
Nimd
a
Tracking
Cookie
Backd
oor
Trino,
Tribe Flood,
Network
Keylo
gger
KeySn
atch, Spyster
Attacker Tool Rootk
it
LRK5
,
Knark,Adore,
Hack
Defender
Web
Brower Plug-
in
Email
Generator
a.Virus:
Với cách định nghĩa, phân loại này, virus là một loại mã độc hại (Malicious code)
có khả năng tự nhân bản. tự tái tạo và lây nhiễm chính nó vào các file, chương
trình hoặc máy tính. Như vậy, theo cách định nghĩa này virus máy tính phải luôn
luôn bám vào một vật chủ (đó là file dữ liệu hoặc file ứng dụng) để lây lan. Các
chương trình diệt virus dựa vào đặc tính này để thực thi việc phòng chống và diệt
virus, để quét các file trên thiết bị lưu, quét các file trước khi lưu xuống ổ cứng,
Về bản chất virus chỉ lây nhiễm trên một máy tính đơn, nhưng nó sẽ có thể
lan sang nhiều máy tính khác bằng cách lây nhiễm vào các file share trên hệ thống
mạng nội bộ, máy nào truy cập vào thì sẽ bị nhiễm. Hoặc virus có thể được gửi
qua email để lây lan trên mạng diện rộng. Điều này cũng giải thích vì sao đôi khi
các phần mềm diệt virus tại PC đưa ra thông báo “phát hiện ra virus nhưng không
diệt được” khi thấy có dấu hiệu hoạt động của virus trên PC, bởi vì “vật mang
virus” lại nằm ở máy khác nên không thể thực thi việc xoá đoạn mã độc hại đó.
Phân loại: người ta chia virus thành 2 loại chính:
• Nonresident virus (virus ko thường trú):loại virus này gồm 2
module là finder module và replication module. Finder có nhiệm virus tìm các file
cần lây nhiễm, cứ mỗi file tìm được, nó sẽ gọi replication module để lây nhiễm file
đó.
• Resident virus (virus thường trú):ở loại này, virus chỉ có replication
module. Virus tải replication module vào trong bộ nhớ, và mỗi khi hệ điều hành
thực thi một file nhất định nào đó, replication module được gọi và lây nhiễm virus
vào các chương trình đang thực thi trên hệ điều hành.
b. Worm:
Worm cũng là một chương trình có khả năng tự nhân bản và tự lây nhiễm
trong hệ thống tuy nhiên nó có khả năng “tự đóng gói”, điều đó có nghĩa là worm
không cần phải có “file chủ” để mang nó khi nhiễm vào hệ thống. Như vậy, có thể
thấy rằng chỉ dùng các chương trình quét file sẽ không diệt được worm trong hệ
thống vì worm không “bám” vào một file hoặc một vùng nào đó trên đĩa cứng.
Môi trường hoạt động của worm chủ yếu là môi trường mạng, khác với virus là
chỉ “ăn dần ăn mòn” một máy tính nhất định, mục tiêu của worm là “ăn mòn”
mạng, làm lãng phí nguồn lực băng thông của mạng và phá hoại hệ thống như xoá
file, tạo backdoor, thả keylogger, Tấn công của worm có đặc trưng là lan rộng
cực kỳ nhanh chóng do không cần tác động của con người (như khởi động máy,
copy file hay đóng/mở file). Worm có thể chia làm 2 loại:
• Network Service Worm: lan truyền bằng cách lợi dụng các lỗ hổng
bảo mật của mạng, của hệ điều hành hoặc của ứng dụng. Sasser là ví dụ cho loại
worm này.
• Mass Mailing Worm: là một dạng tấn công qua dịch vụ mail, tuy
nhiên nó tự đóng gói để tấn công và lây nhiễm chứ không bám vào vật chủ là
email. Khi worm này lây nhiễm vào hệ thống, nó thường cố gắng tìm kiếm sổ địa
chỉ và tự gửi bản thân nó đến các địa chỉ thu nhặt được. Việc gửi đồng thời cho
toàn bộ các địa chỉ thường gây quá tải cho mạng hoặc cho máy chủ mail. Netsky,
Mydoom là ví dụ cho thể loại này.
c.Trojan:
Trojan là loại mã độc hại được đặt theo sự tích “Ngựa thành Troa”. Trojan không
tự nhân bản, tuy nhiên nó lây vào hệ thống với biểu hiện rất ôn hoà nhưng thực
chất bên trong có ẩn chữa các đoạn mã với mục đích gây hại. Trojan có thể lựa
chọn một trong 3 phương thức để gây hại:
• Tiếp tục thực thi các chức năng của chương trình mà nó bám vào,
bên cạnh đó thực thi các hoạt động gây hại một cách riêng biệt (ví dụ như gửi một
trò chơi dụ cho người dùng sử dụng, bên cạnh đó là một chương trình đánh cắp
password).
• Tiếp tục thực thi các chức năng của chương trình mà nó bám vào,
nhưng sửa đổi một số chức năng để gây tổn hại (ví dụ như một trojan giả lập một
cửa sổ login để lấy password) hoặc che dấu các hành động phá hoại khác (ví dụ
như trojan che dấu cho các tiến trình độc hại khác bằng cách tắt các hiển thị của hệ
thống).
• Thực thi luôn một chương trình gây hại bằng cách núp dưới danh
một chương trình không có hại (ví dụ như một trojan được giới thiệu như là một
chò chơi hoặc một tool trên mạng, người dùng chỉ cần kích hoạt file này là lập tức
dữ liệu trên PC sẽ bị xoá hết).
d.Malicious Mobile Code
Malicious Mobile Code là một dạng mã phần mềm có thể được gửi từ xa
vào để chạy trên một hệ thống mà không cần đến lời gọi thực hiện của người dùng
hệ thống đó. Malicious Mobile Code được coi là khác với virus, worm ở đặc tính
là nó không nhiễm vào file và không tìm cách tự phát tán . Thay vì khai thác một
điểm yếu bảo mật xác định nào đó, kiểu tấn công này thường tác động đến hệ
thống bằng cách tận dụng các quyền ưu tiên ngầm định để chạy mã từ xa. Các
công cụ lập trình như Java, ActiveX, JavaScript, VBScript là môi trường tốt cho
malicious mobile code. Một trong những ví dụ nổi tiếng của kiểu tấn công này là
Nimda, sử dụng JavaScript.
Kiểu tấn công này của Nimda thường được biết đến như một tấn công hỗn
hợp (Blended Atatck). Cuộc tấn công có thể đi tới bằng một email khi người dùng
mở một email độc bằng web-browser. Sau khi nhiệm vào máy này, Nimda sẽ cố
gắng sử dụng sổ địa chỉ email của máy đó để phát tán tới các máy khác. Mặt khác,
từ máy đã bị nhiễm, Nimda cố gắng quét các máy khác trong mạng có thư mục
chia sẻ mà không bảo mật, Nimda sẽ dùng dịch vụ NetBIOS như phương tiện để
chuyển file nhiễm virus tới các máy đó. Đồng thời Nimda cố gắng dò quét để phát
hiện ra các máy tính có cài dịch vụ IIS có điểm yếu bảo mật của Microsoft. Khi
tìm thấy, nó sẽ copy bản thân nó vào server. Nếu một web client có điểm yếu bảo
mật tương ứng kết nối vào trang web này, client đó cũng bị nhiễm (lưu ý rằng bị
nhiễm mà không cần “mở email bị nhiễm virus”). Quá trình nhiễm virus sẽ lan
tràn theo cấp số nhân.
e.Attacker Tool
Là những bộ công cụ tấn công có thể sử dụng để đẩy các phần mềm độc
hại vào trong hệ thống. Các bộ công cụ này có khả năng giúp cho kẻ tấn công có
thể truy nhập bất hợp pháp vào hệ thống hoặc làm cho hệ thống bị lây nhiễm mã
độc hại. Khi được tải vào trong hệ thống bằng các đoạn mã độc hai, attacker tool
có thể chính là một phần của đoạn mã độc đó (ví dụ như trong một trojan) hoặc nó
sẽ được tải vào hệ thống sau khi nhiễm. Ví dụ như một hệ thống đã bị nhiễm một
loại worm, worm này có thể điều khiển hệ thống tự động kết nối đến một web-site
nào đó, tải attacker tool từ site đó và cài đặt attacker tool vào hệ thống. Attacker
tool thường gặp là backdoor và keylogger.
• Backdoor: Là một thuật ngữ chung chỉ các phần mềm độc hại
thường trú và đợi lệnh điều khiển từ các cổng dịch vụ TCP hoặc UDP. Một cách
đơn giản nhất, phần lớn các backdoor cho phép một kẻ tấn công thực thi một số
hành động trên máy bị nhiễm như truyền file, dò mật khẩu, thực hiện mã lệnh,
Backdoor cũng có thể được xem xét dưới 2 dạng: Zombie và Remote
Administration Tool
Zombie (có thể đôi lúc gọi là bot): Là một chương trình được cài đặt lên
hệ thống nhằm mục đích tấn công hệ thống khác. Kiểu thông dụng nhất của
Zoombie là các agent dùng để tổ chức một cuộc tấn công DDoS. Kẻ tấn công có
thể cài Zombie vào một số lượng lớn các máy tính rồi ra leejnh tấn công cùng một
lúc. Trinoo và Tribe Flood Network là hai Zoombie nổi tiếng.
Remote Administration Tool: Là các công cụ có sẵn của hệ thống cho
phép thực hiện quyền quản trị từ xa. Tuy nhiên hacker cũng có thể lợi dụng tính
năng này để xâm hại hệ thống. Tấn công kiểu này có thể bao gồm hành động theo
dõi mọi thứ xuất hiện trên màn hình cho đến tác động vào cấu hình của hệ thống.
Ví dụ về công cụ RAT là: Back Orifice, SubSeven,
• Keylogger: Là phần mềm được dùng để bí mật ghi lại các phím đã
được nhấn bằng bàn phím rồi gửi tới hacker. Keylogger có thể ghi lại nội dung của
email, của văn bản, user name, password, thông tin bí mật, Ví dụ về keylogger
như: KeySnatch, Spyster,
• Rootkits: Là tập hợp của các file được cài đặt lên hệ thống nhằm
biến đổi các chức năng chuẩn của hệ thống thành các chức năng tiềm ẩn các tấn
công nguy hiểm. Ví dụ như trong hệ thống Windows, rootkit có thể sửa đổi, thay
thế file, hoặc thường trú trong bộ nhớ nhằm thay thế, sửa đổi các lời gọi hàm của
hệ điều hành. Rootkit thường được dùng để cài đặt các công cụ tấn công như cài
backdoor, cài keylogger. Ví dụ về rootkit là: LRK5, Knark, Adore, Hack
Defender.
• Web Browser Plug-in: Là phương thức cài mã độc hại thực thi
cùng với trình duyệt web. Khi được cài đặt, kiểu mã độc hại này sẽ theo dõi tất cả
các hành vi duyệt web của người dùng ( ví dụ như tên web site đã truy nhập) sau
đó gửi thông tin ra ngoài. Một dạng khác là phần mềm gián điệp có chức năng
quay số điện thoại tự động, nó sẽ tự động kích hoạt modem và kết nối đến một số
điện thoại ngầm định mặc dù không được phép của chủ nhân.
• Email Generator:Là những chương trình cho phép tạo ra và gửi đi
một số lượng lớn các email. Mã độc hại có thể gieo rắc các email generator vào
trong hệ thống. Các chương trình gián điệp, spam, mã độc hại có thể được đính
kèm vào các email được sinh là từ email generator và gửi tới các địa chỉ có trong
sổ địa chỉ của máy bị nhiễm.
• Attacker Toolkit: Là các bộ công cụ có thể được tải xuống và cài
vào hệ thống khi hệ thống đã bị khống chế bởi phần mềm độc hại. Các công cụ
kiểu như các bộ dò quét cổng (port scanner), bộ phá mật khẩu (password cracker),
bộ dò quét gói tin (Packet Sniffer) chính là các Attacker Toolkit thường hay được
sử dụng.
f.Tracking Cookie
Tracking cookie là một dạng lạm dụng cookie để theo dõi một số hành
động duyệt web của người sử dụng một cách bất hợp pháp. Cookie là một file dữ
liệu chứa thông tin về việc sử dụng một trang web cụ thể nào đó của web-client.
Mục tiêu của việc duy trì các cookie trong hệ thống máy tính nhằm căn cứ vào đó
để tạo ra giao diện, hành vi của trang web sao cho thích hợp và tương ứng với
từng web-client. Tuy nhiên tính năng này lại bị lạm dụng để tạo thành các phần
mềm gián điệp (spyware) nhằm thu thập thông tin riêng tư về hành vi duyệt web
của cá nhân.
Spyware là một phần mềm máy tính được cài bí mật trên một máy tính
cá nhân để thu thập thông tin về một user, máy tính và thói quen lướt web của user
đó mà không có sự đồng ý của họ.
Ban đầu thuật ngữ spyware chỉ mang ý nghĩa “giám sát” hoạt động của
user. Về sau, những chương trình spyware còn có thể thu thập những thông tin cá
nhân, chẳng hạn như thói quen lướt web và các trang web đã truy cập, ngoài ra
chúng còn gây trở ngại cho quyền điều khiển của user theo nhiều cách khác nhau
như cài phần mềm thêm, gây khó khăn khi sử dụng web browser. Spyware thay
đổi các thiết lập của máy tính, làm tốc độ kết nối chậm, ảnh hưởng đến chức năng
của nhiều ứng dụng liên quan mạng internet.
Không giống như virus hay worm, spyware thường không có khả năng tự
nhân bản. Mục đích chủ yếu của spyware là phân phát những quảng cáo mà ta
không mong muốn, bên cạnh đó là việc trộm cắp thông tin cá nhân, ngay cả thông
tin tài chính (số thẻ ngân hàng…), giám sát hoạt động lướt web để phục vụ cho
mục đích tiếp thị, quảng cáo… Tất nhiên những thông tin spyware thu thập được
sẽ được chuyển đến cho người chủ của spyware đó.Spyware nhiễm vào máy tính
cá nhân qua 3 cách cơ bản sau:
• Cách thứ nhất: Spyware có thể “trá hình” bằng vẻ bề ngoài là một
phần mềm hữu ích, chẳng hạn như “Web accelerator” (tăng tốc web)… để user
không nghi ngờ gì khi download về và cài trên máy tính của họ.
• Hai là: spyware đóng vai trò một thành phần phụ cài thêm khi user
cài đặt một số phần mềm shareware, trong lúc cài đặt phần mềm nhiều user không
chú ý điều này (thường hay bấm Next, Next… mà không đọc kĩ các bước cài đặt),
do vậy mà spyware thuận lợi cư ngụ trên máy tính của họ.
• Cách thứ ba là: trong khi lướt web có những mẩu pop-up hiện lên và
được thiết kế giống như một thông báo của windows, những thông báo này đại
loại như là “Bạn là người khách thứ 10000 của chúng tôi. Chúc mừng bạn đã trúng
thưởng 10000 $. Hãy nhấp vào đây để biết thêm chi tiết” hoặc “Máy tính bạn đang
bị nhiễm virus, nhấp vào đây để quét virus online”. Thông thường do tâm lý người
dùng nên user sẽ nhấp vào link hiện ra, và đó chính là lời xác nhận đồng ý cho
phép spyware cư ngụ trên máy user.
B) Gian lận thẻ tín dụng
Trong thương mại truyền thống, gian lận thẻ tín dụng có thể xảy ra trong
trường hợp thẻ tín dụng bị mất, bị đánh cắp : các thông tin về số thẻ, mã số định
danh cá nhân ( PIN), các thông tin về khác hang bị tiết lộ và sử dụng bất hợp pháp;
hoặc trong trường hợp xả ra những rủi ro.
Trong thương mại điện tử, các hành vi gian lận thẻ tín dụng xảy ra đa
dạng và phức tạp hơn nhiều so với trong thương mại truyền thống. Nếu như trong
thương mại truyền thống, việc mất thẻ hoặc thẻ bị đánh cắp là mối đe dọa lớn nhất
với khách hang, thì trong thương mại điện tử mối đe dọa lớn nhất là bị mất các
thông tin liên quan đến thẻ hoặc các thông tin về giao địch sử dụng thẻ trong quá
trình diễn ra giao dịch. Các tệp chứa dữ liệu thẻ tín dụng của khách hang thường là
những mục tiêu hấp dẫn với các tin tặc khi tấn công vào các website. Hơn thế nữa,
những tên tội phạm có thể đột nhập vào các website thương mại điện tử, lấy cắp
các thông tin khách hang như tên, địa chỉ, điện thoại…Với những thông tin này ,
chúng có thể mạo danh khách hang thiết lập các tài khoản tín dụng mới nhằm phục
vụ những mục đích đen tối. Và cuối cùng, đối với người bán hang, một trong
những đe dọa lớn nhất có thể xảy ra là sự từ chối với các đơn đặt hàng quốc tế.
Trong trường hợp một khách hàng quốc tế đặt hàng và sau đó từ chồi hành động
này, người bán hàng trực tuyến thường không có cách nào để xác định rằng thực
chất hàng hóa đã được giao tới tay khách hàng hay chưa và chủ thẻ tín đụng có
thực sự là người đã thực hiện đơn đặt hàng hay không.
Để giải quyết các vấn đề nêu trên , rất nhiều biện pháp và công nghệ đã
được triển khai và áp dụng nhưng cho đến nay, nhiều doanh nghiệp thương mại
điện tử vẫn đang phải gánh chịu hậu quả nghiêm trọng do những hành gian lận này
C) Sự lừa đảo ( phishing)
Là một hình thức tấn công thường có thể xem là kết hợp với mã độc hại.
Phishing là phương thức dụ người dùng kết nối và sử dụng một hệ thống máy tính
giả mạo nhằm làm cho người dùng tiết lộ các thông tin bí mật về danh tính (ví dụ
như mật khẩu, số tài khoản, thông tin cá nhân, ). Kẻ tấn công phishing thường
tạo ra trang web hoặc email có hình thức giống hệt như các trang web hoặc email
mà nạn nhân thường hay sử dụng như trang của Ngân hàng, của công ty phát hành
thẻ tín dụng, e-mail, trang web giả mạo này sẽ đề nghị nạn nhân thay đổi hoặc
cung cấp các thông tin bí mật về tài khoản, về mật khẩu, Các thông tin này sẽ
được sử dụng để trộm tiền trực tiếp trong tài khoản hoặc được sử dụng vào các
mục đích bất hợp pháp khác.
Một ví dụ cụ thể cho phishing là: chẳng hạn người dùng cần đăng nhập
mail yahoo, nhưng lại không vào trang chủ yahoo để vào mail
( )mà lại vào thông qua một link thấy được trên một trang
web khác, giả sử link này có dạng chỉ cần không quan sát
kĩ người dùng sẽ lầm tưởng đây là trang web đăng nhập mail yahoo. Trang web
giả này cũng có giao diện đăng nhập giống hệt trang web thật, và sau khi đăng
nhập ở đây, tài khoản yahoo của người dùng sẽ được chuyển đến cho chủ nhân của
trang web giả. Đây chỉ là một ví dụ nhỏ, trong thực tế đã có nhiều nạn nhân bị
thiệt hại lớn khi gặp kiểu tấn công phishing này.
D) Kẻ trộm trên mạng ( sniffer)
Kẻ trộm trên mạng ( sniffer) là một dạng của trương chình nghe lén , giám
sát sự di chuyển của thông tin trên mạng. Khi sử dụng vào những mục đích hợp
phá, nó có thể giúp phát hiện các yếu điểm của mạng, nhưng ngược lại, nếu sử
dụng vòa các mục đích phạm tội nó sẽ trở thành những mối đe dọa lớn và rất khó
có thể phát hiện. Kẻ trộm cũng có thế là chính những tên tin tặc chuyên ăn cắp các
thông tin có giái trị nhưng thông điệp thư điện tử, lữ liệu kinh odanh của các
doanh nghiệp, các báo cáo mật…từ bất cứ nơi nào trên mạng
Xem lén thư điên tử là một dạng mwois của hành vi trộm cắp trên mạng.
Kĩ thuật xem lến thư điện tử sử dụng 1 đoạn mã ẩn bí mật gắn vào một thông điệp
chuyển tiếp được gửi đi cùng với thông điệp bạn đầu. Ví dụ: một nhân viên phát
hiện thấy lỗi kux thuật trong khâu sản xuất anh ta lập tức gửi báo cáo cho cấp trên
để thông báo phát hiện của mình. Người này, sau đó sẽ tiếp tục gửi thông báo tới
tất cả các bộ phận có liên quan trong doanh nghiệp. Một kẻ nào đó sử dụng kĩ
thuật xem lén thư điện tử có thể theo dõi và biết được toàn bộ quá trình và thông
tin trong các bức thư điện tử. Sẽ rất nguy hiểm nếu như các thông tin bí mật trong
nội bộ doanh nghiệp bị kẻ xấu biết và sử dụng vào mục đích bất chính.
Đôi với thương mại điện tử , trộm cắp trên mạng đang là một mối nguy
hại lớn đe dọa tính bảo mật của các dữ liệu kinh doanh quan trọng. Nạn nhâm của
nó không chỉ là các doanh nghiệp mà cả các cá nhân tham gia thương mại điện tử.
E) Tấn công từ chối dịch vụ ( DoS)
Tấn công từ chối dịch vụ (DoS) là cuộc tấn công trên hệ thống mạng
nhằm ngăn cản những truy xuất tới một dịch vụ như là WEB, Email,… Tấn công
DoS phá huỷ dịch vụ mạng bằng cách làm tràn ngập số lượng kết nối, quá tải
server hoặc chương trình chạy trên server, tiêu tốn tài nguyên của server, hoặc
ngăn chặn người dùng hợp lệ truy nhập tới các dịch vụ mạng. Máy chủ chỉ có thể
xử lý một số yêu cầu vì vậy nếu một kẻ tấn công làm quá tải máy chủ với nhiều
yêu cầu thì có thể yêu cầu của bạn không được xử lý. Đây là kiểu “từ chối dịch
vụ” vì nó làm cho bạn không thể truy cập đến trang đó. Thủ phạm tẩn công từ chối
dịch vụ nhằm vào các mục tiêu site hay server tiêu biểu như ngân hàng, cổng
thanh toán thẻ tín dụng và thậm chí DNS root servers. Ví dụ: tháng 2-2000 các vụ
tấn công DoS của tin tặc gây nên sự ngừng hoạt động của hàng loạt website trong
nhiều giờ như: Ebay ngừng hoạt động 5 giờ, Amazon gần 4 giời hay
F) Sự tấn công từ bên trong doanh nghiệp
Trong kinh doanh chúng ta thường cho rằng những mối đe dọa an toàn có
nguồn gốc từ những yếu tó bên ngoài doanh nghiệp, nhưng thực tế cho thấy những
đe dọa này không chỉ đến từ bên ngoài mà còn đến từ chính những nhân viên đang
làm cho doanh nghiệp.
Trong thương mại điện tử cũng vậy. Có nhiều website thương mại điện tử
bị phá hủy nhiều doanh nghiệp thương mại điện tử phải gánh chịu hậu quả do dịch
vụ bị ngưng trệ, do bị lô các thông tin cá nhân hay các dữ liện tín dụng của khách
hàng mà thủ phạm lại chính là những nhân viên làm trong trong doanh nghiệp.
Những nhân viên làm việc trong doanh nghiệp có thể truy cập các thông tin bí
mật, hoặc xâm nhập tới mọi nơi trong hệ thống thông tin của tố chức nếu như biện
pháp bảo mật thông tin của doanh nghiệp thiếu thận trọng. Chính vì vậy, trong
nhiều trường hợp, hậu quả của những đe dọa loại này còn nghiêm trọng hơn những
vụ tấn công từ bên ngoài doanh nghiệp.
3. Một số ví dụ thực tế các hoạt động lừa đảo trên mạng
Những nhà đầu tư túi rỗng và nghệ thuật phù phép biến giấy lộn
thành tiền tỉ
Thủ đoạn lừa đảo khá phổ biến của bọn tội phạm quốc tế ở Việt Nam là
giả góp vốn đầu tư vào Việt Nam dưới hình thức góp vốn (máy móc, công
nghệ ), sau đó yêu cầu các doanh nghiệp của Việt Nam, ngân hàng chuyển tiền ra
nước ngoài để mua máy móc, thiết bị phục vụ hoạt động kinh doanh tại Việt
Nam nhưng thực chất là để lừa đảo chiếm đoạt tài sản với thủ đoạn nâng khống
giá trị các hợp đồng để chiếm đoạt tài sản lên tới hàng triệu đôla. Chúng làm giả
các giấy chứng nhận ngân hàng quốc tế, giấy tờ tuỳ thân để chứng minh khả
năng tài chính của mình và tạo niềm tin với các doanh nghiệp Việt Nam, từ đó đề
nghị chuyển tiền vào các tài khoản của bọn tội phạm.
Điển hình như năm 2008, tại Ninh Bình xảy ra vụ đối tượng Ahmed El
Fehdi - Chủ tịch Hội đồng quản trị Công ty cổ phần ENZO Việt nâng khống giá trị
hợp đồng nhập khẩu 59 máy dệt kim từ 2,1 triệu euro lên 3,3 triệu euro để biến
phần chênh lệch 1,2 triệu euro thành vốn góp của mình trong công ty. Sau khi ký
kết hợp đồng, phía Việt Nam chuyển tiền xong thì đối tượng bỏ trốn. Kết quả xác
minh tại nước ngoài cho thấy tất cả những giấy tờ tuỳ thân, giấy chứng nhận của
ngân hàng quốc tế về khả năng tài chính đều là giả.
Một thủ đoạn lừa đảo nữa đã được Interpol phát hiện là một số đối tượng
người nước ngoài sau khi thành lập công ty và được phép hoạt động tại Việt Nam
đã câu kết với một số cán bộ ngân hàng trong nước thiếu tinh thần trách nhiệm vay
vốn tín dụng để đầu tư vào dây chuyền sản xuất. Nhưng thực chất, các đối tượng
này đã chiếm đoạt số tiền vay vốn, không triển khai thực hiện dự án và trốn khỏi
Việt Nam. Xác minh tại nước ngoài cho thấy số đối tượng này đã từng có tiền án,
tiền sự ở nước ngoài về tội lừa đảo.
Điển hình như năm 2008, tại Hà Nam xảy ra vụ Công ty TNHH Thiết bị y
tế SENWOO 100% vốn nước ngoài được UBND tỉnh Hà Nam cấp phép thành lập
với mục đích đầu tư xây dựng nhà máy sản xuất thiết bị y tế tại tỉnh Hà Nam (liên
doanh với các công ty của Hàn Quốc) đã lừa đảo chiếm đoạt 1,5 triệu USD của
Ngân hàng Ngoại thương Việt Nam trong hoạt động vay vốn thực hiện dự án. Kết
quả xác minh của Cảnh sát Hàn Quốc cho thấy: một số đối tượng người Hàn Quốc
có liên quan đã có tiền án, tiền sự ở nước ngoài, có đối tượng đang bị truy nã.
Thủ đoạn lừa đảo thứ ba đã xuất hiện tại nước ta là các đối tượng người
nước ngoài thành lập các công ty ma để ký kết hợp đồng cung cấp hàng hoá cho
các công ty của Việt Nam sau đó nhận tiền nhưng không giao hàng hoặc giao hàng
không đảm bảo chất lượng. Đầu tiên, để câu được các doanh nghiệp Việt Nam,
chúng chào hàng với giá hấp dẫn, sau đó làm giả hoặc câu kết với các đối tượng
phạm tội ở nước ngoài để có được các loại giấy chứng nhận hàng hoá, giấy tờ tuỳ
thân thậm chí còn mời đại diện phía đối tác Việt Nam ra nước ngoài để xem
hàng, giấy tờ. Sau khi lấy được lòng tin của đối tác Việt Nam và nhận được tiền
của đối tác Việt Nam đã không chuyển hàng và bỏ trốn.
Trong nhiều vụ việc, thậm chí các đối tượng còn lấy lòng tin của các nạn
nhân bằng cách thực hiện trót lọt nhiều hợp đồng có giá trị nhỏ nhưng sau đó
thuyết phục thực hiện một hợp đồng lớn rồi lừa đảo chiếm đoạt. Sau khi vụ việc
xảy ra, xác minh về các công ty tại nước ngoài cho thấy hầu hết là các công ty ma,
không tồn tại hoặc có tồn tại nhưng chỉ trên giấy tờ, thực tế không có giao dịch
kinh doanh gì.
Điển hình như vụ Công ty Thép Miền Bắc ở Hải Phòng sau nhiều lần ký
kết làm ăn suôn sẻ với đối tác ở Ấn Độ, năm 2007 công ty này đã thực hiện một
hợp đồng mua bán với giá trị lớn nhưng sau đó đã bị lừa đảo và bị chiếm đoạt hơn
10 tỉ đồng. Xác minh tại Ấn Độ cho thấy công ty đối tác làm ăn của Công ty Thép
Miền Bắc không tồn tại ở Ấn Độ.
Một vụ việc đã từng bị phát hiện gây xôn xao dư luận tại Hà Nội, ấy là vụ
lừa đảo của Công ty Thanh Hà. Công ty này đã làm giả các giấy tờ của ngân hàng
Mỹ, Anh, Moldova, giấy chứng nhận của Văn phòng Tổng thống Mỹ, FBI, Tổng
thư ký Interpol để chứng minh rằng có khả năng tài chính lớn và có thể cho các
doanh nghiệp vay vốn. Công ty này yêu cầu các doanh nghiệp Việt Nam có nhu
cầu vay vốn đóng góp những khoản tiền để làm chi phí cho việc chuyển tiền, để
đóng thuế nhưng thực chất là để lừa đảo. Bằng thủ đoạn này, Công ty Thanh Hà
đã lừa đảo chiếm đoạt được hàng chục tỉ đồng.
Theo Interpol Việt Nam thì vụ việc của Công ty Thanh Hà là điển hình
cho một thủ đoạn lừa đảo của bọn tội phạm quốc tế. Đó là các đối tượng lợi dụng
danh nghĩa các công ty nước ngoài thậm chí cả các công ty trong nước nhưng có
quan hệ chặt chẽ với các đối tác nước ngoài có khả năng tài chính lớn, có khả năng
cho các doanh nghiệp Việt Nam vay vốn đầu tư. Bọn tội phạm còn làm giả những
giấy tờ chứng nhận của các ngân hàng ở nước ngoài, các tổ chức quốc tế có uy tín
để lấy lòng tin của các doanh nghiệp Việt Nam sau đó yêu cầu các doanh nghiệp
đóng góp các khoản phí chuyển tiền để cho vay vốn nhưng thực chất là lừa đảo
chiếm đoạt tài sản.
Một thủ đoạn lừa đảo nữa cũng đã được bọn tội phạm quốc tế sử dụng
nhiều ở Việt Nam đó là làm giả hợp đồng, hoá đơn, chứng từ để chiếm đoạt thuế
tiêu thụ đặc biệt, thuế VAT với số tiền lên tới hàng trăm tỉ đồng. Chúng lên mạng
Internet tra cứu thông tin về tên, địa chỉ, số điện thoại, số fax, tên giám đốc, ngành
nghề kinh doanh của các công ty nước ngoài. Sau đó làm giả các hợp đồng mua
bán với các công ty nước ngoài này để chiếm đoạt thuế VAT.
Xác minh tại nước ngoài cho thấy các công ty này không có quan hệ kinh
doanh với các công ty tại Việt Nam. Một số đối tượng còn sử dụng tên của những
công ty nước ngoài đã chấm dứt các hoạt động kinh doanh (giải thể) để làm giả
các hợp đồng mua bán nhằm gây khó khăn cho quá trình xác minh của cảnh sát
nước ngoài.
III. Các giải pháp các doanh nghiệp đã áp dụng
Thương mại điện tử là một hoạt động kinh doanh mang lại hiệu quả cao,
song một khi gặp rủi ro thì những thiệt hại đối với các doanh nghiệp kinh doanh
trên mạng cũng không nhỏ.
Những sơ suất trong kỹ thuật của nhân viên như sự nhầm lẫn khi truyền
dữ liệu, hay một động tác nhấp “chuột” vô tình… đều có thể làm cho toàn bộ dữ
liệu của một thương vụ đang giao dịch bị xoá bỏ, hoặc những chương trình và
những tệp
dữ liệu đang lưu trữ mà doanh nghiệp dầy công thiết kế và xây dựng bị
mất, gây thiệt hại nặng nề cho các doanh nghiệp về mặt tài chính.
Những yếu tố khách quan như máy hỏng hay thời tiết xấu, nghẽn máy…
có thể làm tê liệt hoạt động của doanh nghiệp, hoặc tệ hại hơn là virút xâm nhập
phá huỷ, đảo lộn toàn bộ cơ sở dữ liệu về khách hàng, đối tác, thị trường… được
lưu giữ hay ăn cắp những thông tin tuyệt mật có thể làm mất đi cơ hội kinh doanh
hoặc làm suy giảm nghiêm trọng uy tín của doanh nghiệp.
Các doanh nghiệp cần phải đối phó như thế nào?
Cũng theo bà Suzie Tan, số lượng các mối đe dọa bảo mật đang tăng lên
nhanh chóng, cộng hưởng với phương thức sử dụng web như một cơ chế phát tán
các mối đe dọa đã chứng tỏ nhu cầu ngày càng cấp bách về các phương thức bảo
mật chủ động, linh hoạt hơn.
Dù các phương thức bảo mật truyền thống như quét chữ ký virus, nhận
dạng dựa trên kinh nghiệm (heuristics detection) và chống xâm nhập trái phép vẫn
là những phương thức bảo mật quan trọng đối với doanh nghiệp cũng như với
người dùng cuối, nhưng những công nghệ mới như bảo mật dựa trên uy tín
(reputation-based security) sẽ ngày càng đóng vai trò quan trọng hơn.
Một hệ thống đánh giá bảo mật dựa trên uy tín là một cơ chế bảo mật mới
chống lại các mối đe dọa bảo mật bằng cách nhận dạng và phân loại chính xác
những tệp tin độc hại ít phổ biến hơn.
Chính vì thế các DNVVN cần phải đặc biệt lưu tâm tới những lỗ hổng bảo
mật ở mức trung bình nhưng vẫn đủ mạnh để thực hiện thành công việc tấn công.
Trong nhiều trường hợp, các DNVVN sẽ lờ đi những lỗ hổng bảo mật ở
mức trung bình và mức thấp, thay vào đó họ sẽ tập trung vào việc xử lý những lỗ
hổng bảo mật ở mức cao. Đây có thể không phải là một ý kiến khôn ngoan.
Bản báo cáo về các mối đe dọa bảo mật đã chỉ ra rằng 8 trong số 10 lỗ
hổng bảo mật đã bị khai thác nhiều nhất trong năm 2008 lại là những lỗ hổng bảo
mật ở mức trung bình. Sự thiếu sót khi vá những lỗ hổng bảo mật như vậy đồng
nghĩa với việc các DNVVN đã để cho những chiếc máy tính của mình phải đối
mặt với những mối đe dọa mới nhất.
Khi mà tỷ lệ các mối đe dọa bảo mật ngày càng tăng và thông tin quan
trọng đang trở thành mục tiêu tấn công chính, điều này đồng nghĩa với việc các
DNVVN phải cẩn trọng hơn bao giờ hết với những phương thức bảo mật đang áp
dụng.
Vì lý do đó, các DNVVN nên sử dụng những giải pháp phòng thủ mức
sâu, chú trọng vào các hệ thống phòng thủ đa lớp và hỗ trợ lẫn nhau. Hơn nữa, họ
cũng cần phải giám sát tất cả các máy tính kết nối mạng về những dấu hiệu hoạt
động mã độc, và điều quan trọng nhất là, phải đảm bảo cập nhật thường xuyên các
định nghĩa vi rút mới.
Thiết lập và áp dụng những chính sách nhằm xác định và hạn chế những
ứng dụng có thể truy nhập hệ thống mạng sẽ giúp giảm thiểu các nguy cơ bị tấn
công trong các hoạt động thường ngày. Một điều quan trọng nữa đối với các doanh
nghiệp là họ cần phải có giải pháp sao lưu và khôi phục dữ liệu hiệu quả nhằm
khôi phục những dữ liệu đã mất hoặc đã bị hư hại nếu bị tấn công.
Dướ đây là các biện pháp phòng tránh rủi ro trong thương mại điện tử có
nhiều, song có thể khái quát thành những biện pháp cơ bản, phổ biến sau đây:
Bảo mật trong giao dịch
Trong giao dịch thương mại nói chung, và giao dịch thương mại điện tử
nói riêng, việc bảo đảm tuyệt đối sự bí mật của giao dịch luôn phải được đặt lên
hàng đầu. Bằng không, doanh nghiệp có thể gặp những nguy cơ như nghe trộm,
giả mạo, mạo danh hay chối cãi nguồn gốc…
Để đảm bảo sự bí mật trong giao dịch, người ta thường dùng những biện
pháp sau:
a. Mã hoá dữ liệu:
- Mã hoá khoá bí mật (Secret key Crytography): Mã hoá khoá bí mật hay
còn gọi là mã hoá đối xứng, nghĩa là dùng một khoá cho cả hai quá trình “mã hoá”
và “giải mã”. Khoá này phải được giữ bí mật.
- Mã hoá công khai (Public key Crytography): Mã hoá công khai hay còn
gọi là mã hoá không đối xứng. Phương pháp này người ta sử dụng hai khoá khác
nhau, khoá công khai (Public key) và khoá bí mật (Private key). Khoá công khai
được công bố, khoá bí mật được giữ kín.
b. Chữ ký điện tử
Sử dụng chữ ký điện tử nhằm đảm bảo tính toàn vẹn, duy nhất và không bị
sửa đổi bởi người khác của dữ liệu trong giao dịch. Chữ ký điện tử là một công cụ
bảo mật an toàn nhất hiện nay. Nó là bằng chứng xác thực người gửi chính là tác
giả của thông điệp mà không phải là một ai khác. Không những thế, khi chữ ký
điện tử được gắn với một thông điệp điện tử thì đảm bảo rằng thông tin trên đường
chuyển đi sẽ không bị thay đổi bởi bất kỳ một người nào ngoài người ký ban đầu.
Mọi sự thay đổi dù nhỏ nhất sẽ đều bị phát hiện một cách dễ dàng.
Chữ ký điện tử có thể là chữ ký tự đánh từ bàn phím, một bản quét của
chữ viết tay; một âm thanh, biểu tượng; một thông điệp được mã hoá hay dấu vân
tay, giọng nói…
c. Phong bì số (Digital Envelope)
Tạo lập một phong bì số là một quá trình mã hoá một chìa khoá bí mật
(chìa khoá DES) bằng khoá công khai của người nhận. Chìa khoá bí mật này được
dùng để mã hoá toàn bộ thông tin mà người gửi muốn gửi cho người nhận và phải
được chuyển cho người nhận để người nhận dùng giải mã những thông tin.
d. Cơ quan chứng thực (Certificate Authority- CA)
Cơ quan chứng thực là một tổ chức nhà nước hoặc tư nhân đóng vai trò là
người thứ 3 đáng tin cậy trong thương mại điện tử để xác định nhân thân của
người sử dụng khoá công khai. Sự xác nhận của CA về chữ ký điện tử, về lai lịch
của người ký, thông điệp của người ký và tính toàn vẹn của nó là rất quan trọng
trong giao dịch điện tử. Cơ quan chứng thực có vai trò quan trọng, bởi trong
thương mại điện tử, các bên tham gia không gặp mặt trực tiếp nhau và đôi khi
không quen biết nhau nên rất cần có sự đảm bảo của người thứ 3.
Hệ thống bảo mật hiện nay đảm bảo độ an toàn rất cao, gần như là tuyệt
đối, song việc thực hiện phụ thuộc vào trình độ cũng như thực trạng cơ sở hạ tầng
tin học của các bên.
Kiểm tra tính đúng đắn và chân thực của thông tin trong giao dịch
Mặc dù đã sử dụng những biện pháp kỹ thuật để bảo mật thông tin trong
giao dịch, song khi nhận được các thông tin người sử dụng vẫn phải kiểm tra tính
đúng đắn, chân thật của thông tin.
Giao dịch trên mạng là loại hình giao dịch không biên giới có tính chất
toàn cầu. Các bên giao dịch không gặp nhau, thậm chí không hề quen biết nhau, và
đây cũng chính là cơ hội để cho kẻ xấu lợi dụng để thực hiện mục đích của mình.
Vì vậy, việc kiểm tra tính đúng đắn và chân thật của thông tin trong giao dịch cần
phải được thực hiện thường xuyên để phòng tránh những rủi ro như thông tin gây
nhiễu, giả mạo hay lừa đảo. Các biện pháp kiểm tra cần tuỳ theo tình huống cụ thể
mà áp dụng. Có thể dùng các phương pháp kỹ thuật hoặc phương pháp điều tra
mang tính xã hội…
Lưu trữ dữ liệu nhiều nơi với nhiều hình thức
Để đề phòng những rủi ro hiểm hoạ do thiên tai, sự cố bất ngờ hay những
hành động chiến tranh khủng bố… thì việc lưu trữ dữ liệu trong thương mại điện
tử ở nhiều nơi với nhiều hình thức là việc làm rất có ý nghĩa. Việc làm này tạo sự
an toàn và liên tục trong hoạt động kinh doanh trên mạng.
Cài đặt các phần mềm chống Virút tấn công
Virút luôn là hiểm hoạ đối với các doanh nghiệp kinh doanh trên mạng.
Sự phá hoại của virút là không thể lường hết được.
Virút máy tính là những đoạn mã được lập trình ra, do sự vô ý hay bất cẩn
của người sử dụng mà virút được cài vào hệ thống. Khi đã được cài đặt vào hệ
thống, nó sẽ tiến hành phá huỷ, đảo lộn toàn bộ cơ sở dữ liệu của doanh nghiệp
được lưu trữ trong máy tính hay ăn cắp những thông tin và chuyển những thông
tin đó cho người gửi virút… Virút máy tính có độ phát tán nhanh và ảnh hưởng
trong một phạm vi rộng. Các virút có cấu tạo ngày càng phức tạp và sự phá hoại
ngày càng lớn với mức độ nghiêm trọng.
Vì vậy để chống sự tấn công của virút máy tính các doanh nghiệp kinh
doanh trên mạng cần cài đặt những phần mềm chống virút có hiệu quả và thường
xuyên cập nhật để chống những virút mới.
Tham gia bảo hiểm
Các biện pháp nêu trên đều là những biện pháp cần thiết để phòng tránh
những rủi ro bất trắc trong thư Vì vậy, để đảm bảo an toàn hơn trong quá trình
giao dịch trên mạng, ngoài áp dụng các biện pháp nêu trên, các doanh nghiệp kinh
doanh nên tham gia bảo hiểm các rủi ro trong kinh doanh trên mạng. Hiện nay,
một số công ty bảo hiểm nước ngoài đã tung ra thị trường một loại dịch vụ bảo
hiểm mới là “Bảo hiểm Internet – Internet insurance” cũng ở ngay trên mạng
Internet
Các giải pháp nhằm ngăn ngừa hạn chế rủi ro trong hoạt động kinh doanh
thẻ tại các NHTM
A - Đối với các NHTM
- Bộ phận chuyên môn về hoạt động kinh doanh thẻ tập trung cập nhật xây
dựng, sửa đổi các quy định, quy trình nghiệp vụ một cách kịp thời, phù hợp với
thông lệ quốc tế. Xây dựng hệ thống quản lý rủi ro trong đó việc kiểm tra, kiểm
soát cần được tiến hành nghiêm túc bởi những cán bộ có chuyên môn cao và có
đạo đức tốt.
- Thường xuyên nắm bắt các thông tin về quản lý rủi ro ở các trọng tâm
thẻ quốc tế, hoặc qua các phương tiện thông tin, Internet để cập nhật biên soạn
cẩm nang nhằm phổ biến các loại rủi ro đã và có thể xuất hiện trong lĩnh vực kinh
doanh thẻ, cách thức phát hiện các biện pháp phòng ngừa đến từng cán bộ nghiệp
vụ trong NH.
- Thường xuyên mở các lớp huấn luyện đào tạo cán bộ một cách bài vản
về nghiệp vụ này, xây dựng tiêu chí lựa chọn cán bộ bên cạnh yếu tố chuyên môn
nghiệp vụ cần chú trọng đến vấn đề đạo đức đáp ứng được nhu cầu mở rộng và
phát triển dịch vụ này trong thời gian tới, tiến tới hình thành đội ngũ chuyên
nghiệp tránh việc làm bộ phận khác phải kiêm nhiệm.
- Thường xuyên kiểm tra các điểm kiểm tra thẻ xem các thiết bị thanh toán
có phù hợp với quy định của NH không (Các điểm chấp nhận thanh toán không
được sử dụng thiết bị có khả năng lưu trữ thông tin, các thiết bị để skimming thẻ).
Phối hợp với điểm chấp nhận thẻ để đào tạo các nhân viên chấp nhận thẻ các kiến
thức và các kỹ năng cần thiết trong giao dịch thẻ.
- Cần xây dựng, chuẩn bị một hệ thống máy móc, thiết bị dự phòng bên
cạnh hệ thống đang hoạt động, sẵn sàng khi có sự cố hỏng hóc xảy ra. Việc chuẩn
bị này có thể làm gia tăng chi phí nhưng rất cần thiết vì thế các NHTM nên có sự
chuẩn bị thích hợp để thực hiện giải pháp này.
- Nghiên cứu áp dụng các loại thẻ chip, thẻ thông minh, có những tính
năng hiện đại như: tính bảo mật cao, khó làm giả
B - Đối với khách hàng
- Thông qua việc quảng cáo các sản phẩm thẻ của mình các NHTM nên
lòng vào đó các hướng dẫn cần thiết, cần lưu ý cho khách hàng trong quá trình sử
dụng thẻ như: Các thông tin cần bảo mật tuyệt đối như mã số PIN, cách thanh toán
thẻ an toàn tránh bị skimming thẻ, cảnh giác trong các giao dịch thanh toán qua
mạng bằng thẻ vì có thể bị đánh cắp thông tin thẻ, hướng dẫn khách hàng những
việc cần thiết phải làm khi phát hiện có hiện tượng nghi ngờ, gian lận trong thanh
toán thẻ, các biện pháp giải quyết
C- Đối với các cơ quan hữu quan
- Chính phủ và NHNN cần nghiên cứu sớm ban hành các văn bản pháp lý,
tạo hành lang pháp lý chặt chẽ cho hoạt động kinh doanh thẻ của NH, cũng như
các quy định xử lý các hành vi giả mạo, lừa đảo trong giao dịch thẻ phù hợp với
thông lệ quốc tế.
Hiệp hội thẻ VN cần phát huy vai trò đầu mối nghiên cứu ban hành các
quy định đối với các NH thành viên trong việc cung cấp thông tinH, phối hợp
hành động trong việc phòng chống gian lận giả mạo trong lĩnh vực thẻ, bên cạnh
đó thường
xuyên phối hợp tổ chức các lớp bồi dưỡng nâng cao trình độ cho các cán
bộ của các NH thành viên nâng cao ý thức phòng chống rủi ro trong lĩnh vực này.
Đối với thanh toán thẻ qua internet
Người ta thường nói khách hàng là người gặp nhiều rủi ro khi giao dịch
trực tuyến nhưng trên thực tế chính nhà kinh doanh lại là nạn nhân của các quá
trình thanh toán thẻ tín dụng trên Internet. Bởi vì khi bán hàng qua mạng họ không
có thời gian để kiểm tra những thông tin của khách hàng, địa chỉ email và địa chỉ
liên lạc có thể xảy ra những sai sót như thẻ tín dụng.
Hiện nay có một số phương pháp bảo vệ khỏi gian lận khi thanh toán thẻ
như sử dụng chữ ký trên kỹ thuật tạo ảnh ba chiều và thậm chí là cả hình ảnh của
chủ thẻ nhưng phỏng có ích gì vì người bán không có cơ hội tận mắt nhìn thấy thẻ
và kiểm tra chữ ký của người mua.
Nếu như bạn muốn thanh toán bằng thẻ tín dụng khi kinh doanh trên mạng
thì bạn nên làm gì để không xảy ra lừa đảo trong kinh doanh.
Dưới đây là 12 cách giúp bạn có thể áp dụng để giảm thiểu những gian trá:
a) Luôn phải kiểm tra địa chỉ của khách hàng. Điều này có thể tự động
thực hiện bằng hệ thống kiểm tra địa chỉ (Address Verification System - AVS). Hệ
thống này so sánh địa chỉ của khách hàng ghi trên hoá đơn của nhà phát hành thẻ
với địa chỉ trên đơn đặt hàng của họ để đảm bảo rằng khách hàng là chủ thẻ hợp
pháp. Đồng thời kiểm tra phần mềm hay các thiết bị xử lý có hỗ trợ AVS không.
AVS ra đời nhằm giúp các nhà kinh doanh trực tuyến tránh gặp phải lừa
đảo. Một trong những cơ hội lớn nhất mà Internet đem lại đó là khả năng chấp
nhận đơn đặt hàng trên toàn thế giới. Một điểm thuận lợi của Internet đó là các
mặt hàng "mềm" như phầm mềm được mua và chuyển tải ngay lập tức.
b) Địa chỉ chuyển hàng và địa chỉ hoá đơn phải khớp nhau. Một số nhà
kinh doanh không chấp nhận đơn đặt hàng nơi mà điạ chỉ chuyển đến khác với địa
chỉ gửi đi nhất là đối với khách hàng quốc tế.
c) Hãy kiểm tra các đơn đặt hàng có địa chỉ email miễn phí. Một khi kẻ
trộm lấy được số thẻ tín dụng và địa chỉ họ cần thì có một điều nữa mà họ cần
hoàn thiện quá trình lừa đảo của mình đó là địa chỉ email không ai có thể phát hiện
được. Đó là lý do tại sao tỷ lệ đơn đặt hàng có các địa chỉ email miễn phí này lại
càng gia tăng. Kết quả là nhiều nhà kinh doanh không chấp nhận đơn đặt hàng
hoặc ít nhất là thực hiện những bước kiểm tra phụ. Bạn có thể thấy một loạt các
địa chỉ email miễn phí trên AntiFraud Website tại
d) Kiểm tra website của khách hàng nếu có thể để xác định địa chỉ nguồn
đồng bộ (Unified Resource Locations - URL) trên website của khách hàng bằng
cách đơn giản đưa "www" vào trước phần thứ hai của điạ chỉ email.
Một số nhà kinh doanh còn cẩn thận hơn đó là họ kiểm tra ai có tên miền.
Những thông tin về quyền sở hữu tên miền của nước Mỹ luôn có trên website
Network Solutions ở www.NetworkSolutions.com
e) Kiểm tra các đơn đặt hàng khi thấy lạ. Kẻ trộm thường đặt những đơn
đặt hàng rất khác với những đơn đặt hàng thông thường.
f) Gọi điện cho khách hàng nếu có nghi ngờ.
g) Thu thập tất các dữ liệu về đơn đặt hàng có thể. Cố gắng loại bỏ các
đơn đặt hàng gian trá và thu lại số tiền bị mất mát. Bạn càng có nhiều dữ liệu về
đơn đặt hàng càng tốt, bao gồm địa chỉ và số điện thoại khách hàng, tên ngân hàng
phát hành thẻ và địa chỉ IP (Internet Protocol) nơi đặt đơn đặt hàng.
h) Thông báo rõ ràng cho khách hàng trên website là bạn có các thiết bị
bảo vệ.
j) Không vi phạm mọi thoả thuận giữa bạn và khách hàng.
i) Nếu sử dụng các dịch vụ kiểm tra thì phải đảm bảo là dịch vụ đó đáng
tin cậy.
k) Tốt nhất là kiểm tra bằng các dịch vụ tinh vi chống gian lận như
CyberSource's tại địa chỉ www.cybersource.com nếu như phát hiện gian trá.
Những dịch vụ này tự động kiểm tra giúp bạn và giảm sự cố xuống mức thấp nhất.
l) Sử dụng SET (Secure Electronic Transaction) hoặc phương pháp
Microsoft Wallet với các chứng chỉ số hoá để kiểm tra khách hàng đến thăm
website của bạn.
Theo Thương mại điện tử. Song cho dù có áp dụng biện pháp nào đi chăng
nữa cũng không thể đảm bảo an toàn một cách tuyệt đối bởi có rất nhiều rủi ro
mang tính khách quan. Rủi ro có thể xảy ra hoặc không, lúc này hay lúc khác,
mang lại tai hoạ lớn, vừa hay nhỏ… con người đều hoàn toàn không lường trước
được.
Mặc dù chưa phải là đầy đủ, song những biện pháp nêu là các bước cơ bản
để phòng ngừa và hạn chế những rủi ro tổn thất có thể gặp phải trong quá trình
kinh doanh trên mạng của các doanh nghiệp.