ĐẠI HỌC QUỐC GIA HÀ NỘI
TRƯỜNG ĐẠI HỌC CÔNG NGHỆ


Đỗ Minh Hưng

NGHIÊN CỨU CÁC PHƯƠNG PHÁP BẢO MẬT
TRONG INTERNET BANKING VÀ MOBILE
BANKING





KHOÁ LUẬN TỐT NGHIỆP ĐẠI HỌC HỆ CHÍNH QUY

Ngành: Các Hệ Thống Thông Tin




HÀ NỘI - 2010

ĐẠI HỌC QUỐC GIA HÀ NỘI
TRƯỜNG ĐẠI HỌC CÔNG NGHỆ

Đỗ Minh Hưng

NGHIÊN CỨU CÁC PHƯƠNG PHÁP BẢO MẬT
TRONG INTERNET BANKING VÀ MOBILE
BANKING






KHOÁ LUẬN TỐT NGHIỆP ĐẠI HỌC HỆ CHÍNH QUY

Ngành: Các Hệ Thống Thông Tin



Cán bộ hướng dẫn: TS Lê Phê Đô

HÀ NỘI - 2010



Lời tóm tắt
Trong bối cảnh mạng máy tính đã bao phủ toàn thế giới, người ta có thể thực
hiện rất nhiều việc trên mạng trong đó có các giao dịch với ngân hàng. Hệ thống dịch
vụ của ngân hàng cung cấp cho khách hàng các giao dịch trực tuyến là hệ thống
Internet Banking và Mobile Banking cũng đã phát triển rộng khắp và cung cấp rất sản

phẩm đem lại lợi ích cho cả ngân hàng cũng như khách hàng. Tuy nhiên cùng với sự
phát triển của Internet Bankingvà Mobile Banking thì cũng đồng thời với sự phát triển
của các mối đe dọa về bảo mật của dịch vụ này làm đau đầu cả các ngân hàng lẫn các
khách hàng sử dụng dịch vụ.
Trước thách thức đó tôi đã lựa chọn đề tài “Nghiên cứu các phương pháp bảo
mật trong Internet Banking và Mobile Banking” làm khóa luận tốt nghiệp của mình.
Trong khóa luận tôi đã nghiên cứu tổng quan chung về tình hình triển khai
Internet Banking tại Việt Nam, các mối đe dọa với ngân hàng và khách hàng khi
sử dụng dịch vụ và trọng tâm là một số phương pháp bảo mật được áp dụng để
bảo đảm an toàn của hệ thống Internet Banking và một phần tìm hiểu khái quát
về Mobile Banking. Thông qua khóa luận tôi muốn mọi người hiểu thêm và thực
trạng cũng như các biện pháp bảo mật được áp dụng tại các ngân hàng, từ đó có những
kiến thức để tự tin sử dụng dịch vụ Internet Banking và Mobile Banking một cách an
toàn. Mặc dù đã hết sức cố gắng nhưng do hoàn cảnh nghiên cứu còn hạn hẹp, chưa có
điều kiện trực tiếp nghiên cứu tại các ngân hàng nên không tránh khỏi những thiếu xót,
tôi rất mong những ý kiến đóng góp của người đọc quan tâm đến lĩnh vực này.
Tôi xin gửi lời cảm ơn chân thành nhất Tiến sỹ Lê Phê Đô, giảng viên trường đại
học Công Nghệ, đại học Quốc Gia Hà Nội, người đã tận tình hướng dẫn và cho tôi
những nhận xét quý báu giúp tôi hoàn thành khóa luận này. Tôi cũng xin cảm ơn toàn
thể gia đình, người thân, bạn bè đã nhiệt tình giúp đỡ và động viên tôi rất nhiều trong
quá trình làm khóa luận này.








Mục lục

Lời mở đầu 1
Chương 1: Internet Banking và thực trạng ở Việt Nam 2
1.1. Internet Banking 2
1.1.1. Khái niệm 2
1.1.2. Các chức năng cơ bản của Internet Banking 2
1.1.3. Lịch sử 2
1.2. Thực trạng Internet Banking tại Việt Nam 4
1.2.1. Tình hình triển khai Internet Banking tại Việt Nam 4
1.2.2. Những khó khăn thuận lợi cho việc phát triển Internet Banking tại Việt Nam
8
Chương 2: Những thách thức với an toàn của Internet Banking 11
2.1. Thách thức phía ngân hàng 11
2.1.1. Nguy cơ rò rỉ thông tin khách hàng 11
2.1.2. Nguy cơ bị chiếm đoạt tiền 13
2.1.3. Nguy cơ tấn công từ chối dịch vụ 14
2.2. Thách thức phía khách hàng 15
2.2.1. Nguy cơ từ phishing 15
2.2.2. Nguy cơ từ pharming 24
2.2.3. Nguy cơ từ các phần mềm mã độc, virus, trojan 30
Chương 3 : Các giải pháp an toàn trong Internet Banking 35
3.1. Xây dựng hệ thống xác thực mạnh 35
3.1.1. Khái niệm 35
3.1.2. Hệ thống xác thực bằng mật khẩu sử dụng một lần (One time password
OTP) 36
3.2. Xây dựng hệ thống tường lửa 40
3.2.1. Cơ bản về tường lửa 40
3.2.2. Lựa chọn hệ thống tường lửa cho internet banking như thế nào ? 42
3.2.3. Mô hình tường lửa cho hệ thống internet banking 46



3.3. Xây dựng hệ thống phòng chống xâm nhập (Intrusion Prevention System IPS)46
3.3.1. Thiết bị phòng chống xâm nhập IPS là gì ? 47
3.3.2. Hoạt động của IPS 47
3.3.3. Lựa chọn IPS cho hệ thống internet banking 49
3.4. Xây dựng tường lửa ứng dụng web (Web Application Firewall WAF) 52
3.4.1. Tại sao phải xây dựng tường lửa ứng dụng web ? 52
3.4.2.Khái niệm về hệ thống tường lửa ứng dụng web 52
3.4.3. Hoạt động của tường lửa ứng dụng web 53
3.4.4. Lưa chọn WAF thích hợp cho hệ thống internet banking 55
3.5. Triển khai hệ thống phòng chống mã độc 56
3.5.1. Chiến lược phòng chống mã độc EPS thế hệ thứ 3 56
3.5.2. Một số công cụ phòng chống mã độc theo chiến lược EPS của Trend Micro
58
3.6. Triển khai chữ ký số và chứng thực số 60
3.6.1. Yêu cầu an toàn trong giao dịch Internet Banking 60
3.6.2. Lợi ích của việc áp dụng chữ ký số và chứng thực số trong giao dịch
Internet Banking 60
3.6.3. Áp dụng chữ kí số và chứng thực số 61
3.7. Mã hóa thông tin 62
3.7.1. Mã hóa một phần thông tin trong máy tính 62
3.7.2. Mã hóa toàn bộ thông tin trong máy tính 63
3.8. Triển khai các phương pháp bảo vệ dữ liệu ở người dùng cuối 64
3.9. Triển khai mạng riêng ảo VPN (Virtual Private Network) 66
3.9.1. Khái niệm, phân loại các hình thức mạng riêng ảo 66
3.9.2. Thiết lập VPN cho hệ thống Internet Banking 70
Chương 4: Mobile Banking 74
4.1. Tổng quan về Mobile Banking 74
4.2. Một số hình thức triển khai Mobile Banking 75
4.3. Các nguy cơ về bảo mật khi sử dụng dịch vụ Mobile Banking 77
4.4. Giải pháp an toàn cho Mobile Banking 79



Danh sách tài liệu và nguồn tham khảo 82
Phụ Lục: Chương trình demo sinh mật khẩu một lần (One Time Password) dựa trên hệ
thống S/Key One Time Password System 83





Bảng ký hiệu và chữ viết tắt

STT Chữ viết tắt Chữ viết đầy đủ Nghĩa tiếng Việt
1 EPS Enterprise Protection Strategy Chiến lược bảo vệ toàn diện
2 IPS Intruction Prevention System Hệ thống phòng chống xâm
nhập
3 VPN Virtual Private Network Mạng riêng ảo
4 OTP One Time Password Mật khẩu một lần
5 WAF Web Application Firewall Tường lửa ứng dụng web



















Danh mục hình vẽ
STT Tên hình
1 Ảnh thiết bị videotex
2 Ảnh thẻ xác thực của DongA bank
3 Mô tả thời gian đáp ứng của trang web US bank khi bị tấn công
4 Ví dụ về một email phishing
5 Biểu tượng an toàn trên trình duyệt
6 Hình minh họa thể hiện trang web của Paypal được chứng thực bới tổ chức
VerySign
7 Xác định cơ quan cấp chứng chỉ số
8 Cảnh báo của trình duyệt web
9 DNS cache poisioning
10 Mô tả kịch bản tấn công DNS
11 Host file
12 Website của ngân hàng tạm ngừng hoạt động
13 Hai yếu tố xác thực thường được sử dụng
14 Sử dụng mật khẩu một lần để đăng nhập
15 Các thiết bị phân phối OTP
16 Các máy chủ dịch vụ web đặt ở vùng DMZ, Data center đặt ở vùng Intranet
17 Mô tả cơ chế hoạt động của một IPS
18 Chúc năng bản vá ảo
19 Thị phần IPS trên thị trường thiết bị an ninh mạng
20 Mô phỏng tường lửa ứng dụng web của SecuresPhere bảo vệ máy chủ cơ

sở dữ liệu và vùng DMZ
21 Mô tả hoạt động của môt tường lửa ứng dụng hãng Netcontinuum
22 Tập hợp các sản phầm phòng chống mã độc của Trend Micro
23 Website ngân hàng sử dụng chứng chỉ số của VerySign cấp
24 Mã hóa một phần thông tin
25 Mã hóa toàn bộ thông tin
26 Intranet VPN
27 Extranet VPN
28 Remote Access VPN
29 Tổng hợp các hình thức VPN


30 IPSec VPN
31 SSL VPN
32 VPN tích hợp với Firewall
33 Biểu đồ về Mobile Banking so với Online Banking trong giai đoạn 1995-
2006 và dự đoán trong tương lai đến 2016 tại Mỹ.
34 Hoạt động của một software client trên mobile
35 Hình ảnh mô tả hoạt động của chương trình OTP



















1

Lời mở đầu

Internet Banking và Mobile Banking đã đang và sẽ trở thành những dịch vụ thiết
yếu với cuộc sống của con người trong xã hội hiện đại ngày nay, tuy nhiên cùng với sự
tiện lợi mà các dịch vụ này đem lại thì các ngân hàng cũng như khách hàng sử dụng
dịch vụ phải đối mặt với nhiều nguy cơ thách thức về mặt bảo mật. Cuộc chiến với tội
phạm công nghệ cao là cuộc chiến mang tính chất rượt đuổi không ngừng nghỉ đòi hỏi
trình độ khoa học kỹ thuật ngày càng cao.
Vì nguyên nhân ấy tôi quyết định nghiên cứu về đề tài “Các phương pháp bảo
mật trong Internet Banking và Mobile Banking” nhằm mục tiêu tìm hiểu các biện pháp
và nguyên tắc bảo mật được áp dụng để chống lại các nguy cơ và thách thức từ phía tội
phạm. Các kiến thức trong đề tài cung cấp các giải pháp công nghệ cho phía ngân hàng
đồng thời cũng nâng cao nhận thức của khách hàng nhằm giúp họ có thể tự bảo vệ
mình trước những hình thức tấn công phổ biến.
Khóa luận bao gồm 4 chương và phần phụ lục, chương 1 “Internet Banking và
thực trạng ở Việt Nam”, chương 2 “Những thách thức với an toàn của Internet
Banking”, chương 3 “Triển khai các giải pháp an toàn cho Internet Banking”, chương
4 “Mobile Banking”, và phần phụ lục “Chương trình sinh mật khẩu một lần”. Các biện
pháp kỹ thuật trong đề tài mang tính thực tiễn cao và đang được áp dụng trên thực tế
tại một số ngân hàng tại Việt Nam đồng thời cũng mở ra hướng nghiên cứu phát triển
trong tương lai.








2


Chương 1: Internet Banking và thực trạng ở Việt Nam

1.1. Internet Banking
1.1.1. Khái niệm
Internet Banking là một hệ thống cho phép khách hàng truy cập đến tài khoản
ngân hàng, các thông tin và dịch vụ mà ngân hàng cung cấp thông qua một máy tính
có kết nối mạng hay thông qua các thiết bị thông minh khác.
1.1.2. Các chức năng cơ bản của Internet Banking
Tra cứu thông tin tài khoản: thay vì phải đến ngân hàng hay nơi có đặt máy atm
thì bạn có thể tra cứu tài khoản của mình bất cứ đâu khi bạn có một kết nối mạng.
Chuyển khoản: giúp việc gửi tiền từ tài khoản này sang tài khoản khác được dễ
dàng, một số ngân hàng chỉ cho phép chuyển khoản trong cùng một ngân hàng, một số
ngân hàng cho phép chuyển khoản sang cả tài khoản của ngân hàng khác, việc này tùy
thuộc vào từng ngân hàng và loại tài khoản của bạn.
Thanh toán hóa đơn điện tử (bạn có thể dùng tài khoản để thanh toán một số loại
hóa đơn như điện nước, cước phí điện thoại).
Chuyển tiền từ tài khoản tiền gửi thanh toán của mình đến người nhận bằng
CMND, hộ chiếu, địa chỉ…
Chuyển đổi ngoại tệ trực tuyến.
Nạp tiền vào thẻ: khách hàng có thể thực hiện việc chuyển tiền từ tài khoản tiền

gửi thanh toán của khách hàng đến tài khoản thẻ.
1.1.3. Lịch sử
Tiền thân cho Internet Banking là dịch vụ ngân hàng từ xa thông qua đường
truyền điện tử từ đầu những năm thập niên 80 của thế kỷ 20. Thuật ngữ trực tuyến trở
lên phổ biến vào cuối những năm 1980 cùng với việc sử dụng thiết bị đầu cuối, bàn
phím và màn hình để truy cập vào hệ thống ngân hàng bằng đường dây điện thoại.
Dịch vụ trực tuyến bắt đầu xuất hiện tại NewYork vào năm 1981 khi 4 ngân hàng
chính (Citibank, Chase Manhattan, Chemical và Manufactorers Hanover) cung cấp
dịch vụ ngân hàng tại nhà sử dụng hệ thống videotex. Tuy nhiên hệ thống videotex đã
3

thất bại nên các dịch vụ mà ngân hàng cung cấp thông qua hệ thống này đã không thể
trở lên phổ biến ngoại trừ ở Pháp nơi mà hệ thống videotex đã có những thành công
nhất định.

Hình 1: Ảnh thiết bị videotex.
Dịch vụ ngân hàng trực tuyến đầu tiên tại Anh ra đời vào năm 1983 được thiết
lập tại Nottingham Building Society. Hệ thống hoạt động dựa trên trang bị của Prestel,
sử dụng máy tính kết nối qua đường điện thoại. Hệ thống có tên Homelink cho phép
người sử dụng vấn tin tài khoản, chuyển khoản và trả tiền hóa đơn.
Năm 1994, Stanford Federal Credit Union là tổ chức tài chính đầu tiên cung cấp
dịch vụ ngân hàng trực tuyến cho tất cả thành viên của mình. Vào ngày 18/10/1995
ngân hàng SFNB cung cấp dịch vụ Internet Banking đầu tiên trên thế giới. SFNB là
tên viết tắt của ngân hàng Security First National Bank có trụ sở đóng tại Atlanta Mỹ
và cung cấp dịch vụ này tới khách hàng tại 50 bang của nước này.
Ngày nay, có rất nhiều ngân hàng chỉ tồn tại ở hình thức ngân hàng trực tuyến.
Các ngân hàng này không phải mở và mất phí hoạt động cho các chi nhánh, nhờ vậy
mà họ tạo được sự khác biệt với các ngân hàng thông thường khác (mức lãi suất tốt và
các dịch vụ ngân hàng trực tuyến phong phú).
4


1.2. Thực trạng Internet Banking tại Việt Nam
1.2.1. Tình hình triển khai Internet Banking tại Việt Nam
a. Khái quát
Internet Banking đem lại nhiều thuận lợi cho cả ngân hàng và khách hàng nên là
vấn đề được nhiều ngân hàng tại Việt Nam quan tâm. Hầu hết các ngân hàng tại Việt
Nam đến thời điểm hiện tại đều đã triển khai Internet Banking nhưng mức độ và số
lượng dịch vụ còn khác nhau. Có thể kể tên một số ngân hàng đã triển khai Internet
Banking tại Việt Nam như ACB, DongA, Viettinbank, Incombank, Agribank,
Techcombank, BIDV và một số ngân hàng vốn nước ngoài như HSBC, ANZ Việc
triển khai Internet Banking đem lại rất nhiều lợi ích cho cả khách hàng lẫn ngân hàng:
 Tiết kiệm được thời gian tiền bạc cho cả hai phía: ngân hàng không phải tốn
tiền thuê nhân viên giao dịch, mở chi nhánh tại các vùng xa, tiết kiệm được
chi phí vận hành bộ máy. Khách hàng thì không cần mất thời gian tới ngân
hàng, tiết kiệm các khoản phí khi giao dịch với nhân viên ngân hàng (vì hầu
hết các dịch vụ Internet Banking là miễn phí).
 Mang lại nhiều dịch vụ thiết thực cho khách hàng: ngân hàng liên kết với các
công ty cung cấp nhiều loại dịch vụ giá trị gia tăng cho khách hàng ngoài các
dịch vụ cơ bản của ngân hàng, khách hàng thì được hưởng sự tiện lợi từ các
dịch vụ này.
 Ngân hàng triển khai các dịch vụ của mình mà không phụ thuộc vào mạng
lưới đại lý cũng như khoảng cách địa lý, dịch vụ được cung cấp mọi lúc mọi
nơi khi mà các mạng Internet tốc độ cao trở lên phổ biến trên toàn thế giới.
b. Các dịch vụ được triển khai
Về cơ bản thì Internet Banking tại Việt Nam cũng đã triển khai các dịch vụ chính
như các nước trên thế giới, điểm khác biệt lớn nhất của Internet Banking tại Việt Nam
so với nước ngoài là quy mô chất lượng dịch vụ cũng như các biện pháp bảo mật.
ACB và DongA là hai ngân hàng đã triển khai dịch vụ Internet Banking từ sớm và có
nhiều dịch vụ phục vụ khách hàng đi kèm với các giải pháp công nghệ tiên tiến. Chúng
ta hãy cùng tìm hiểu về giải pháp Internet Banking của hai ngân hàng này.

*Ngân hàng á châu ACB
Trang web chính thức: ACB triển khai Internet
Banking vào năm 2003. ACB cung cấp giải pháp Internet Banking với nhiều phương
5

thức bảo mật khác nhau phù hợp với điều kiện và mục đích sử dụng của từng đối
tượng khách hàng, hiện ACB có 6 tùy chọn bảo mật cho dịch vụ Internet Banking với
các hạn mức sử dụng dịch vụ khác nhau. Các tùy chọn đó là:
 Phương thức xác thực giao dịch bằng mã số truy cập và mật khẩu tĩnh. Khi
khách hàng đăng ký phương thức này khách hàng chỉ được chuyển khoản
giữa các tài khoản tiền gửi thanh toán của cùng chủ tài khoản trong hệ thống
ACB và tạo tài khoản tiền gửi đầu tư trực tuyến.
 Phương thức xác thực giao dịch bằng mã số truy cập và mật khẩu tĩnh, chứng
thư điện tử.
 Phương thức xác thực giao dịch bằng mã số truy cập và mật khẩu tĩnh, OTP
SMS.
 Phương thức xác thực giao dịch bằng mã số truy cập và mật khẩu tĩnh, OTP
SMS, chứng thư diện tử.
 Phương thức xác thực giao dịch bằng mã số truy cập và mật khẩu tĩnh, OTP
Token.
 Phương thức xác thực giao dịch bằng bằng mã số truy cập và mật khẩu tĩnh,
smart card có tích hợp chứng thư diện tử.
 Các hình thức xác thực theo mức độ tăng của bảo mật nên cũng có hạn mức
giao dịch tăng dần từ chỉ được chuyển tiền giũa các tài khoản của cùng một
chủ đến loại không có hạn mức.
Đối tượng cung cấp dịch vụ của ACB là khách hàng cá nhân có tiền gửi thanh
toán Việt Nam đồng tại ACB. Yêu cầu sử dụng: Khách hàng đăng kí dịch vụ Internet
Banking, sử dụng trình duyệt web trên máy tính truy cập Internet vào địa chỉ
là có thể sử dụng dịch vụ này mọi lúc mọi nơi.
Đăng kí dịch vụ: Nếu đã có tài khoản tại ACB, khách hàng chỉ cần đến điểm giao dịch

đăng kí theo mẫu có sẵn là có thể sử dụng được dịch vụ Internet Banking, mọi vướng
mắc về dịch vụ sẽ được các nhân viên ACB giải đáp.
Các dịch vụ cụ thể trên hệ thống Internet Banking của ACB:
 Tra cứu thông tin tài khoản: Khách hàng có thể tra cứu thông tin về tài khoản,
chi tiết các giao dịch đã thực hiện với tài khoản của ACB.
6

 Chuyển khoản: Khách hàng có thể chuyển tiền từ tài khoản của mình qua tài
khoản khác trong cùng một hệ thống hoặc ra ngoài hệ thống của ACB.
 Thanh toán hoá đơn: Khách hàng có thể thanh toán hóa đơn của một số dịch
vụ mà ngân hàng có liên kết như hóa đơn điện, nước, Internet, điện thoại…
 Chuyển tiền: Thực hiện việc chuyển tiền cho người nhận ở trong hay ngoài
nước một cách dễ dàng.
 Chuyển đổi ngoại tệ: Giúp khách hàng thực hiện việc chuyển đổi ngoại tệ
trong tài khoản dễ dàng.
 Nạp tiền vào thẻ: Khách hàng có thể nạp tiền trực tiếp tại quầy hoặc sử dụng
dịch vụ chuyển tiền từ tài khoản tiết kiệm sang tài khoản thẻ.
 Tạo tài khoản tiền gửi đầu tư trực tuyến.
*Ngân hàng DongA
Trang web chính thức : Đối tượng sử dụng, yêu
cầu sử dụng và cách đăng kí dịch vụ tương tự như ngân hàng ACB. DongA bank cung
cấp Internet Banking với hai tùy chọn hình thức bảo mật:
 Xác thực qua tin nhắn SMS gửi 1 lần (OTP): DongA gửi tin nhắn có mã xác
thực đến số điện thoại đã đăng ký của khách hàng.
 Thẻ Xác Thực: Là 1 thẻ nhựa do DongA tạo ra chứa thông tin ma trận các ô
số ngẫu nhiên theo dạng hàng cột (gồm 64 ô số tạo thành 8 hàng x 8 cột). Mã
xác thực là 2 ô số (mỗi ô gồm 3 số) được tra theo hàng/ cột trên Thẻ Xác
Thực.

7



Hình2: Ảnh thẻ xác thực của DongA bank
Các hình thức xác thực mà DongA cung cấp xét về độ bảo mật thì không bằng
ACB nhưng phù hợp với đặc điểm của thị trường Việt Nam tại giai đoạn hiện tại, hạn
mức của dịch vụ là 500 triệu đồng đối với khách hàng cá nhân và lên tới 5 tỷ đồng với
khách hàng là doanh nghiệp. Các dịch vụ triển khai trên hệ thống Internet Banking của
DongA bank:
 Chuyển khoản: Từ tài khoản thẻ đa năng đến tài khoản thẻ đa năng, từ tài
khoản thẻ đa năng đến tài khoản thẻ tín dụng, từ tài khoản thẻ đa năng đến tài
khoản Tiền gửi thanh toán không kỳ hạn VNĐ cá nhân và doanh nghiệp.
 Thanh toán trực tuyến: khi mua hàng qua mạng tại các website bán hàng có
liên kết với DongA Bank.
 Thanh toán hóa đơn thanh toán cho tất cả hóa đơn tiền điện, nước, điện thoại,
Internet, học phí… của các nhà cung cấp có liên kết với DongA Bank.
 Mua thẻ trả trước: Các loại thẻ điện thoại di động, thẻ Internet và điện thoại…
 Nạp tiền điện tử: Vcoin, VCard, Bạc, VCash, VnTopup, Thẻ học tiếng Anh…
 Tra cứu số dư.
 Tra cứu thông tin giao dịch.
 Khoá/Mở khoá tài khoản thẻ nhanh chóng.
 Nhận SMS thông báo phát sinh giao dịch theo thời gian thực.
c. Sự quan tâm của nhà nước
Trước sự phát triển mạnh mẽ của cá dịch vụ Internet Banking, nhà nước ta cũng
rất quan tâm và tạo mọi điều kiện thuận lợi để ngân hàng cũng như người dân có thể
sử dụng dịch vụ một cách an toàn và thuận lợi. Vào ngày 29/11/2005, tại kì họp thứ 8
8

quốc hội khóa XI luật giao dịch điện tử số 51/2005/QH11 đã được thông qua, những
năm sau đó bộ luật không ngừng được hoàn thiện và bổ sung các điều khoản mới cho
phù hợp với tình hình phát triển không ngừng của Internet Banking và một số loại hình

tội phạm có liên quan. Để triển khai luật giao dịch điện tử và cuộc sống, chính phủ liên
tục ban hành các nghị định có liên quan như:
 Nghị định 26/2007/NĐ-CP quy định các điều khoản thi hành Luật Giao dịch
điện tử về chữ ký số và dịch vụ chứng thực chữ ký số.
 Nghị định 27/2007/NĐ-CP quy định các điều khoản về giao dịch điện tử
trong các hoạt động tài chính.
*Khái quát về luật giao dịch điện tử :
Luật gồm 8 chương, với 54 điều bao gồm hầu hết các yếu tố, bên liên quan đến
giao dịch điện tử như: Chữ ký điện tử, tổ chức cung cấp dịch vụ chứng thực chữ ký
điện tử, giá trị pháp lý chữ ký điện tử, giá trị pháp lý của hợp đồng ký bằng chữ ký
điện tử, trách nhiệm các bên liên quan đến bảo mật thông tin, giải quyết tranh chấp liên
quan đến giao dịch điện tử cũng như quy định về giao dịch điện tử trong hoạt động của
các cơ quan nhà nước, lĩnh vực dân sự, kinh doanh, thương mại và các lĩnh vực khác
do pháp luật quy định.
Luật Giao dịch điện tử ra đời đã tạo hành lang pháp lý cơ bản cho các giao dịch
điện tử. Giao dịch điện tử giúp giảm các hoạt động thủ công trong ngành ngân hàng,
giảm lượng tiền mặt lưu thông trên thị trường và giúp khách hàng có thể giao dịch với
ngân hàng một cách an toàn tiện lợi.
1.2.2. Những khó khăn thuận lợi cho việc phát triển Internet Banking tại Việt
Nam
a. Khó khăn
*Khó khăn từ phía ngân hàng
Việt Nam đi lên từ một nước nông nghiệp trình độ khoa học kỹ thuật còn nhiều
hạn chế trong khi triển khai Internet Banking lại cần nhiều biện pháp công nghệ tiên
tiến nhằm bảo đảm an toàn cho cả khách hàng lẫn ngân hàng , đây là trở ngại lớn nhất
của các ngân hàng khi triển khai Internet Banking. Để giải quyết bài toàn về các biện
pháp công nghệ các ngân hàng có 2 lựa chọn nhưng cả 2 lựa chọn đều vấp phải những
khó khăn nhất định:
9


 Các giải pháp nhập khẩu công nghệ từ nước ngoài có giá thành quá cao cũng
như đòi hỏi nhân lực có trình độ cao để vận hành hệ thống.
 Các giải pháp công nghệ từ các công ty trong nước chưa đáp ứng được yêu
cầu khắt khe của các ngân hàng.
 Các ngân hàng đang phân vân lựa chọn giải pháp bảo mật phù hợp với yêu
cầu và điều kiện của mình.
*Khó khăn phía khách hàng:
Internet Banking là dịch vụ mới với đa số khách hàng, cần tốn thời gian tìm hiểu
và làm quen. Nhiều khách hàng không tin tưởng vào khả năng bảo mật cũng như lo sợ
rủi ro khi thực hiện các giao dịch trên Internet Banking, nhất là những người có tuổi họ
có xu hướng thích đến thực hiện giao dịch tại các chi nhánh ngân hàng. Điều kiện của
từng khách hàng là khác nhau, không phải ở đâu khách hàng cũng có máy tính kết nối
Internet để thực hiện các giao dịch trên Internet Banking được.
b. Thuận lợi
*Thuận lợi phía ngân hàng
Cơ sở hạ tầng mạng của Việt Nam ngày càng phát triển, theo thống kê 6/2009
thì lượng người sử dụng Internet thường xuyên ở Việt Nam lên tới hơn 21.5 triệu
chiếm khoảng 25% dân số và còn tiếp tục gia tăng, diện phủ Internet đã mở rộng trong
cả nước tới được các vùng sâu vùng xa nên lượng khách hàng sử dụng các dịch vụ
Internet Banking của các ngân hàng sẽ ngày càng gia tăng.
Việt Nam có cấu trúc dân số trẻ, tỉ lệ thanh niên dưới 30 tuổi chiếm số lượng lớn
trong cấu trúc dân số .Với cấu trúc dân số trẻ như vậy, người Việt Nam dễ thích nghi
nhanh với các công nghệ tiên tiến bởi họ rất thông minh và ham học hỏi, đây là thành
phần hứa hẹn sẽ trở thành khách hàng của các dịch vụ Internet Banking.
Đội ngũ nhân lực trình độ cao được đào tạo đã đang và sắp ra trường sẽ đáp ứng
cho yêu cầu của các ngân hàng về các lĩnh vực như mạng, bảo mật, cở sở dữ liệu…
Khoa học kỹ thuật đang trên đà phát triển nhanh, các công ty trong nước cũng dần đưa
ra những giải pháp tốt phù hợp hơn với yêu cầu của các ngân hàng.
Bên cạnh đó, với sự khuyến khích và hỗ trợ của Ngân hàng Nhà nước, các ngân
hàng đang bày tỏ kế hoạch liên kết với nhau, chia sẻ kinh nghiệm và xây dựng tiêu

chuẩn chung để việc giao dịch ngân hàng trực tuyến trở nên đơn giản hơn và gần gũi,
dễ sử dụng hơn cho khách hàng.
10

*Thuận lợi phía khách hàng
Khách hàng chỉ cần có máy tính nối mạng là có thể thực hiện được các giao dịch
của mình như khi đến ngân hàng, nhờ vậy mà họ có thể làm việc mọi lúc mọi nơi điều
này rất phù hợp với các khách hàng bận rộn thường xuyên đi công tác mà vẫn có nhu
cầu sử dụng các dịch vụ của ngân hàng.
Các dịch vụ Internet Banking ngày càng phong phú, phù hợp với những yêu cầu
của cuộc sống, giúp khách hàng tiết kiệm được thời gian tiền bạc và công sức nên
được đông đảo khách hàng lựa chọn. Nhờ áp dụng các biện pháp bảo mật tiên tiến,
khách hàng có thể tin tưởng khi thực hiện các giao dịch trên hệ thống Internet Banking
của các ngân hàng.
Kết luận: Chương 1 cung cấp thông tin khái quát về dịch vụ Internet
Banking, lịch sử ra đời của nó trên thế giới. Ngoài ra chương 1 còn tìm hiểu về
thực trạng dịch vụ Internet Banking tại Việt Nam cùng những khó khăn thuận
lợi trong quá trình phát triển.















11

Chương 2: Những thách thức với an toàn của Internet Banking

2.1. Thách thức phía ngân hàng
2.1.1. Nguy cơ rò rỉ thông tin khách hàng
a.Vấn đề đặt ra ?
An toàn thông tin về tài khoản khách hàng là yếu tố được coi trọng hàng đầu
trong ngành ngân hàng. Chắc hẳn mọi người đều biết đến Thụy Sỹ nơi mà ngành ngân
hàng nổi tiếng vào bậc nhất trên thế giới, sở dĩ các ngân hàng tại đây được ưa chuộng
như vậy cũng là nhờ họ giữ bí mật thông tin cho khách hàng rất tốt, những thông tin
này ngay cả các cơ quan chính phủ cũng không được cung cấp. Với dịch vụ Internet
Banking, thông tin của khách hàng càng trở lên quan trọng hơn bao giờ hết, vì vậy
nhiệm vụ bảo mật thông tin khách hàng luôn được đặt lên hàng đầu với mọi ngân
hàng.
b.Thực tế
Tuy các ngân hàng rất coi trọng việc bảo vệ thông tin khách hàng nhưng các vụ
mất cắp thông tin khách hàng vẫn xảy ra, gây thiệt hại lớn đến kinh tế và uy tín của các
ngân hàng. Một số vụ mất cắp thông tin khách hàng gần đây như :
* Ngân hàng Techcombank làm lộ thông tin khách hàng (4/2009):
Anh Ngô Xuân Dũng, chủ một doanh nghiệp tư nhân ở Hà Nội đã có tài khoản ở
ngân hàng kỹ thương Việt Nam (Techcombank) được 2 năm nay. Đến tháng 2 năm
2009 anh mới đến ngân hàng để đăng kí dịch vụ Internet Banking để tiện cho việc tra
cứu tài khoản, lịch sử giao dịch ngay trên mạng mà không phải đến tận ngân hàng.
Anh Dũng sau khi làm theo hướng dẫn của ngân hàng để kích hoạt tài khoản
bằng tên truy cập và mật khẩu do hệ thống cung cấp thì anh rất ngạc nhiên khi thông
tin trong tài khoản này không phải là của anh mà là của một khách hàng khác cũng là
một doanh nghiệp. Anh Dũng không thể thực hiện các giao dịch với tài khoản này vì

không có thiết bị bảo mật đi kèm (thiết bị sinh OTP) nhưng anh có thể xem chi tiết về
tài khoản cũng như các giao dịch của tài khoản này.
Đại diện Techcombank đã xác nhận lỗi xảy ra trong hệ thống của ngân hàng
mình so sai sót của nhân viên giao dịch trong quá trình chuyển thông tin về tên truy
cập và mật khẩu lên trung tâm công nghệ thông tin của ngân hàng. Sau khi được thông
12

báo về lỗi trên ngân hàng Techcombank đã thực hiện việc khóa tạm thời cả 2 tài khoản
và cấp lại tên truy cập cũng như mật khẩu mới cho khách hàng. Ngân hàng
Techcombank cho rằng đây chỉ là thiếu sót của một nhân viên và không ảnh hưởng
đến độ an toàn của hệ thống đồng thời cũng liên lạc với khách hàng để xin lỗi. Tuy
nhiên anh Dũng cho rằng ngân hàng vẫn chưa đánh giá đúng mức độ của sự việc và
ngân hàng cần có các biện pháp rà soát lại các thủ tục trong hệ thống.
*Ngân hàng HSBC làm mất thông tin 24000 khách hàng (3/2010):
Ngân hàng HSBC vừa ra tuyên bố xác nhận việc ngân hàng làm mất thông tin cá
nhân của 24000 khách hàng thuộc bộ phận quản lý tài sản tư nhân tại Thụy Sỹ. Thủ
phạm là một cựu nhân viên của ngân hàng và con số 24000 chỉ là con số ước tính vì
nhiều khả năng con số thực tế còn cao hơn.
Theo HSBC thì nhân viên ăn cắp các thông tin khách hàng là Herve Falciani vốn
là một nhân viên công nghệ thông tin từng làm việc tại chi nhánh HSBC tại Thụy Sỹ,
hiện thủ phạm đã bỏ trốn và vụ việc vẫn đang được cảnh sát Thụy Sỹ điều tra.
Hiện ngân hàng HSBC vẫn chưa rõ thủ đoạn của tên trộm, trong số 24000 tài
khoản bị đánh cắp thông tin thì có 9000 tài khoản đã được đóng và số tài khoản bị
nguy hiểm hiện là 15000 tài khoản. Ngân hàng đã gửi lời xin lỗi đến toàn bộ khách
hàng bị ảnh hưởng và họ cũng đang chịu cuộc điều tra của cảnh sát nhằm xác định
trách nhiệm của HSBC trong vụ việc và xác định lại độ bảo mật trong việc bảo vệ
thông tin khách hàng tại đây.
Hiện các khách hàng bị lộ thông tin có thể bị bọn tội phạm truy cập vào tài khoản
hay nguy hiểm hơn là các thông tin về tài khoản của họ có thể bị bán cho các cơ quan
thuế vụ nhằm truy thu thuế của các khách hàng này. Hiện Thụy Sỹ là quốc gia có các

quy định rất chặt chẽ về bảo mật ngân hàng và họ cũng là quốc gia có dịch vụ ngân
hàng rất phát triển và là thiên đường cho các khách hàng muốn “trốn thuế”. Ngân hàng
HSBC tại Thụy Sỹ đã đầu tư thêm 93 triệu USD để tăng cường hệ thống bảo mật sau
vụ mất thông tin khách hàng này.
c.Nguyên nhân
Nguyên nhân của việc mất thông tin khách hàng có rất nhiều, trong đó một phần
lớn là do lỗi của nhân viên ngân hàng đã không thực hiện đúng các nguyên tắc cần
thiết. Một số nguyên nhân thường gặp gây mất hoặc lộ thông tin khách hàng như:
Người ăn cắp thông tin là nhân viên khách hàng: là người được tiếp cận với hệ
thống máy tính lưu trữ thông tin, đôi khi dưới vai trò người quản lý các thông tin này
13

nên nhiều nhân viên ngân hàng đã đánh cắp các thông tin nhạy cảm này. Vụ việc của
ngân hàng HSBC là một ví dụ bởi rất nhiều vụ mất cắp thông tin là do nguyên nhân từ
các cựu nhân viên của ngân hàng. Họ là người hàng ngày làm việc với hệ thống và có
thể biết được những lỗ hổng hay backdoor để thực hiện mục đích đánh cắp thông tin
của mình, bởi vậy các ngân hàng phải có chế độ quản lý nghiêm ngặt với các thông tin
nhạy cảm để tránh những trường hợp này .
Thông tin khách hàng không được mã hóa: về nguyên tắc thông tin của khách
hàng phải được mã hóa và các nhân viên ngân hàng cũng không được biết, tuy nhiên
trong nhiều trường hợp các thông tin này lại không được bảo mật và dễ dàng thấy
được bởi các nhân viên ngân hàng .
Thông tin khách hàng không được cô lập và có thể tiếp cận được: nhiều trường
hợp thông tin được lưu trữ trong đĩa cd, ổ cứng di động và có thể bị mất vào tay kẻ
gian. Trong thực tế nhiều trường hợp tương tự như vậy đã xảy ra và dù thông tin có
được mã hóa thì nhiều tin tặc vẫn có thể giải mã sau một thời gian nhất định nếu thuật
toán mã hóa là không đủ mạnh.
Sai sót của nhân viên ngân hàng hay quy trình làm việc của hệ thống có vấn đề:
nhân viên ngân hàng cũng là con người nên khi làm việc có thể có sai sót là điều
không tránh khỏi, nhiều thông tin mật của ngân hàng bị lộ ra ngoài là do chính nhân

viên nội bộ của họ. Quy trình làm việc của ngân hàng cũng có thể là nguyên nhân cho
việc mất mát thông tin bởi khoa học kỹ thuật phát triển không ngừng, những thủ đoạn
của tội phạm cũng không ngừng tinh vi nên các quy trình ngân hàng cũ không được
cập nhật dễ trở thành đối tượng tấn công đánh cắp thông tin .
2.1.2. Nguy cơ bị chiếm đoạt tiền
a.Vấn đề đặt ra
Lĩnh vực kinh doanh chính của các ngân hàng là tiền tệ và đây cũng là đích nhắm
của tội phạm. Internet Banking ngày càng phát triển tạo ra nhiều cơ hội cho ngân hàng
nhưng cũng kèm theo nhiều thách thức, các loại hình tội phạm công nghệ cao ngày
càng gia tăng. Chúng lợi dụng các kẽ hở về quy trình cũng như kỹ thuật để khai thác
nhằm mục đích chiếm đoạt tài sản. Một số loại hình tội phạm nhằm vào các ngân hàng
như: giả mạo khách hàng chiếm đoạt tiền, sử dụng thẻ giả, thẻ hết hạn …
b.Thực tế
*Hacker đánh cắp 41 triệu tài khoản tín dụng (2008):
14

Ngày 5/8/2008 các quan chức liên bang Mỹ cho biết đã bắt 12 người (bao gồm 3
người Mỹ, ba người Estonia, ba người Ukraina, hai người Trung Quốc và một người
Belarus) vì tội đánh cắp, mua bán bất hợp pháp hơn 41 triệu thẻ tín dụng và thẻ ghi
nợ. Đây là vụ tấn công lớn nhất của hacker mà bộ tư pháp Mỹ từng khởi tố.
Các hacker đã sử dụng các chương trình do thám được thiết kế để lưu lại số thẻ
tín dụng, mật khẩu và thông tin tài khoản khi chúng chạy qua mạng xử lý thẻ của các
cửa hàng bán lẻ hỗ trợ thẻ thanh toán.
Vụ điều tra này được tiến hành từ năm 2006, tin tặc đã giấu toàn bộ dữ liệu ăn
cắp tại 2 server đặt tại Ukraina và Latvia. Chúng dùng nhưng dữ liệu này để kiếm tiền
bằng cách rao bán các thẻ tín dụng trên Internet, rút tiền từ các máy ATM…
Cũng theo bộ tư pháp Mỹ, tin tặc Gonzalez (chủ mưu vụ án này) đã từng bị cục
tình báo bắt vào năm 2003.Vào tháng 5/2008 các nhà điều tra phát hiện hắn tham gia
kế hoạch tấn công mạng máy tính tại chuỗi nhà hàng Dave and Buster, đánh cắp số thẻ
tín dụng, gây thiệt hại tới 600.000 USD cho các ngân hàng phát hành thẻ tín dụng và

thẻ ghi nợ. Vụ án trên là lời cảnh báo cho các ngân hàng phải tăng cường đề phòng với
loại hình tội phạm công nghệ cao này.
c.Giải pháp
Hoàn thiện lại các quy trình nghiệp vụ, nâng cao trình độ nhân viên. Tăng cường
các biện pháp khoa học kỹ thuật tiên tiến, bắt kịp thời đại để chống lại loại hình tội
phạm công nghệ cao đang ngày càng phát triển. Liên kết chặt chẽ với cơ quan công an,
thông báo ngay để điều tra khi có các dấu hiệu nghi vấn.
2.1.3. Nguy cơ tấn công từ chối dịch vụ
a.Vấn đề đặt ra
Hoạt động của ngân hàng phải luôn sẵn sàng 24/7 đối với khách hàng, chỉ một sự
cố nhỏ làm hệ thống phải ngừng hoạt động cũng gây ra những thiệt hại rất lớn. Nhiệm
vụ đặt ra cho những người thiết kế và quản trị hệ thống internet banking của các ngân
hàng là phải đảm bảo cho hệ thống phục vụ được cùng lúc nhiều người dùng và chạy
ổn định trong thời gian dài. Tuy nhiên trong thực tế nhiều trường hợp các dịch vụ
Internet Banking của ngân hàng đã phải dừng hoạt động do bị tấn công từ bên ngoài.
Có nhiêu hình thức tấn công như chiếm đoạt tên miền, tấn công từ chối dịch vụ…
nhưng hình thức tấn công phổ biến và khó đối phó nhất là hình thức tấn công từ chối
dịc vụ DoS hoặc DDoS.
15

b.Thực tế
Ở Việt Nam cũng như trên thế giới, rất nhiều ngân hàng đã trở thành mục tiêu
của các cuộc tấn công từ chối dịch vụ gây thiệt hại nặng nề về tài chính cũng như uy
tín của các ngân hàng. Một số vụ tấn công DDoS gần đây như :
*Ngân hàng US bank bị tấn công từ chối dịch vụ (7/2009):
Ngân hàng lớn thứ 6 của Mĩ này đã bị hạ gục bởi những cuộc tấn công DDoS vào
ngày mùng 5 và mùng 6 tháng 7 năm 2009. Vụ tấn công chia làm 2 đợt đã làm cho hệ
thống của ngân hàng bị gián đoạn trong một thời gian.



Hình 3: Mô tả thời gian đáp ứng của trang web US bank khi bị tấn công
2.2. Thách thức phía khách hàng
2.2.1. Nguy cơ từ phishing
a.Vấn đề đặt ra
Internet Banking ra đời mang lại cho khách hàng rất nhiều tiện lợi nhưng cũng ẩn
chứa rất nhiều nguy hiểm, phishing là một trong số đó. Rất nhiều khách hàng đã bị lừa
đảo phishing khi sử dụng dịch vụ Internet Banking và phishing cũng là nguyên nhân
khiến một bộ phận khách hàng tỏ ra dè dặt với dịch vụ này .
b.Thực tế
Dù phishing đã xuất hiện từ lâu và các thủ đoạn phishing cũng trở thành quen
thuộc và được phổ biến đến rộng rãi khách hàng nhưng các vụ tấn công bằng phishing
16

vẫn tỏ ra rất nguy hiểm và được tội phạm sử dụng một cách rộng rãi trong nhiều lĩnh
vực không chỉ riêng Internet Banking. Phishing qua thư điện tử là phương pháp được
bọn tội phạm thường xuyên sử dụng rất phổ biến trên thế giới cũng như ở Việt Nam,
sau đây là một số vụ việc thực tế:
*Giám đốc FBI từng suýt bị phishing khi giao dịch Internet Banking:
Vào tháng 10/2009 ông Robert Mueller nguyên giám đốc FBI trong một cuộc trò
chuyện với câu lạc bộ Commonwealth đã tiết lộ về việc mình ngừng sử dụng dịch vụ
Internet Banking do suýt mắc bẫy phishing.
Bức thư phishing mà ông nhận được được bắt chiếc theo mẫu những bức thư hợp
pháp của ngân hàng mà ông sử dụng vẫn thường gửi cho khách hàng trước đó. Chỉ cần
vài cú kích chuột nữa là ông đã bị lộ mất những thông tin tài khoản của mình vào tay
tội phạm nhưng may mắn là ông đã nhận ra để kịp dừng lại trước khi quá muộn. Sau
sự việc ông cùng vợ đã quyết định ngừng sử dụng dịch vụ Internet Banking do thấy nó
quá nguy hiểm. Bức thư phishing mà ông Robert Mueller nhận được là một dạng tấn
công phishing cổ điển mà cách phòng chống đã được hướng dẫn cho các khách hàng
nhưng trong rất nhiều trường hợp họ vẫn bị lừa.
Qua trường hợp này, ta thấy rằng dù với người rất nhiều kinh nghiệm trong lĩnh

vực bảo mật như ông Robert Mueller mà vẫn bị đe dọa bới phishing thì những người
dùng thông thường khác mối đe dọa từ phishing còn lớn cỡ nào?
*Ngân hàng Postbank của Đức bị tấn công phishing (4/2005):
Vào tháng 4 năm 2005, ngân hàng Postbank AG của Đức đã trở thành mục tiêu
của tấn công phishing. Đợt tấn công này là đợt tấn công thứ ba nhằm vào ngân hàng
này sau hai đợt tấn công vào tháng 8 năm 2004. Vào ngày 4/4/2005, phát ngôn viên
của ngân hàng là ông Hartmut Schlegel đã thông báo trước công chúng về sự việc này.
Các cuộc tấn công diễn ra vào ban đêm và ngân hàng đã lường trước được sự việc nên
không có ảnh hưởng nghiêm trọng đến công việc kinh doanh của ngân hàng.
Nhiều khách hàng của Postbank đã nhận được một thư điện tử yêu cầu họ cung
cấp các mã số giao dịch của mình vì lý do an ninh. E-mail tấn công này có địa chỉ clà
có vẻ như xuất phát từ ngân hàng. Người phát ngôn cho biết
rằng trang web của ngân hàng Postbank đã bị đình trệ trong một thời gian ngắn nhưng
không cho biết nguyên nhân cũng như thủ phạm cho vụ việc này. Viện công nghệ bảo
mật thông tin Fraunhofer vừa công bố một bản nghiên cứu về bảo mật của các ngân
hàng Đức trước các cuộc tấn công phishing, kết quả có vẻ không mấy khả quan đối với