n ninh
ương mại điện tử

Chương 10


Dẫn nhập

yberwar: MAD 2.0


Môi trường an ninh TMĐT
mọi công dân, Internet mang lại rất nhiều cơ hội

tội phạm, Internet tạo ra cách thức mới trong chiếm đoạt tài sả
n 1 tỷ khách hàng trực tuyến toàn cầu năm 2013: từ sản phẩm đ
h vụ, tiền mặt, thông tin

ủi ro hơn khi phạm tội trực tuyến (remotely và anonymously)

ernet được tạo ra ban đầu không phải để cho 1 tỷ người giao dịc
au, và không có các đặc điểm an ninh cơ bản

ernet là một mạng lưới mở, dễ tổn thương

phạm mạng mang lại gánh nặng cho cả doanh nghiệp và ngườ
ng (làm tăng chi phí đầu vào)


Tầm quan trọng của vấn đề

phạm mạng trở thành vấn đề lớn của cả doanh nghiệp/tổ chức
ười tiêu dùng

networks, DDoS attacks, Trojans, phishing, data theft, identity f
dit card fraud, spyware: là những mối đe doạ thường thấy trên t

cial networks cũng có những xâm phạm an ninh

y nhiên khó đánh giá thiệt hại chính xác tội phạm mạng gây ra b

ông ty ngại báo cáo lỗ hổng an ninh do sợ mất khách hàng

gay cả khi báo cáo tội phạm mạng xảy ra, khó định lượng thiệt


ầm quan trọng của vấn đề (tt

ông tin về thống kê thiệt hại do tội phạm mạng: Pone
stitute (Mỹ), năm 2012:

thiệt hại trung bình hàng năm của tổ chức là khoảng
triệu (tăng 6% so năm 2011)

loại tội phạm gây thiệt hại nhiều nhất là denial of serv
malcious insiders, Web-based attacks

tác nhân phạm tội phổ biến nhất là viruses, worms,
Trojans (100% các tổ chức), malware (95%), botnets
(71%), Web-based attacks (64%)



ầm quan trọng của vấn đề (tt

ng tin từ Symantec (nhà cung cấp dịch vụ an ninh):

ến bộ công nghệ làm giảm đáng kể chi phí cũng như kỹ năng trở thàn
hạm mạng

ác chương trình/hướng dẫn rất rẻ tiền có sẵn trên Web giúp hackers t
alware rất dễ dàng mà không cần lập trình như trước đây

ơn nữa, các malware này có tính polymorphic, tức là, mỗi malware nh
ào máy tính khác nhau thì khác nhau, làm rất khó tiêu diệt bởi các phầ
ềm bảo vệ an ninh

ấn công có chủ đích (nhắm vào đối tượng cụ thể) ngày càng gia tăng;
ã hội đang trợ giúp cho việc này

obile và applications đang trở nên dễ bị tổn thương hơn bao giờ hết


ầm quan trọng của vấn đề (tt

ine credit card fraud và phishing attacks là các loại tội phạm
ổ biến trong TMĐT

ệ online credit card fraud / online card transaction là 0.8%

với doanh thu TMĐT, online credit card fraud đang có xu
ớng giảm dần vì công ty TMĐT và công ty thẻ tín dụng tăn

ờng hệ thống an ninh để ngăn ngừa các tội phạm mạng cơ

y nhiên, online credit card fraud thay đổi từ việc lấy cắp đơ
tín dụng và sử dụng để mua hàng hoá ở một vài Website
c lấy cắp đồng thời hàng triệu thẻ tín dụng và mạng lưới p
ối các thẻ tín dụng lấy cắp này


ầm quan trọng của vấn đề (tt

trường mạng chợ đen (cyber black market/underground economy serv

ội phạm lấy cắp thông tin từ Internet không phải luôn luôn sử dụng trự
à bán lại thông tin này cho thị trường mạng chợ đen (khoảng vài ngàn
ường này)

ìm các thị trường này thì khó, cần phải đóng giả làm tội phạm để xâm
tội phạm mạng rất giỏi về an ninh mạng

ng phải tội phạm mạng nào cũng vì tiền là mục đích. Đôi khi chỉ là mu
h sập một Website nào đó thay vì lấy cắp thứ gì ->thiệt hại cho kiểu tộ
m này không những là thời gian và nổ lực để phục hồi site, mà còn là
ơng danh tiếng và hình ảnh công ty, và lợi nhuận mất đi vì ngưng trệ d


ầm quan trọng của vấn đề (tt

m lại:

Tội phạm mạng TMĐT rất thay đổi theo thời gian, nhiều rủi ro

uất hiện

Thiệt hại đối với doanh nghiệp là lớn, tuy nhiên có xu hướng ổ
định vì ý thức của doanh nghiệp trong bảo vệ an ninh cơ bản n

Cá nhân đối mặt với nhiều rủi ro về lừa đảo (fraud), nhất là cá
hoản thiệt hại không được bảo hiểm liên quan đến debit card
bank account

Cần phải chuẩn bị đối diện với loại tội phạm luôn biến đổi này,
uôn cập nhật công nghệ bảo vệ an ninh mới nhất


hế nào là TMĐT có an ninh tố

hế nào là một giao dịch thương mại an toàn?


hế nào là TMĐT có an ninh tốt
(tt.)

ế nào là một giao dịch thương mại an toàn?

Bất cứ khi nào ra thị trường là đối diện rủi ro, bao gồm cả mất q
êng tư (privacy) (thông tin về hàng hoá mua)

Rủi ro trước mắt với người tiêu dùng là không có được thứ mà m
ã trả tiền

Đối với người bán chính là không được trả tiền thứ mà mình đã


Trộm lấy hàng hoá, hoặc là không trả tiền, hoặc là trả bằng các
ụ lừa đảo (thẻ tín dụng đánh cắp, tiền giả)


hế nào là TMĐT có an ninh tốt
(tt.)

ười bán và người mua trên môi trường TMĐT đối diện với
ều rủi ro tương tự như môi trường TMTT

ộm là trộm, cho dù là trộm điện tử hay trộm truyền thống

rglary (bẻ khoá), breaking & entering (đột nhập), embezzle
am ô, biển thủ), trespass (xâm phạm), malicious destructio
ự huỷ diệt tàn ác), vandalism (phá hoại): tội phạm môi trườn
MTT đều có TMĐT

y nhiên, giảm rủi ro trên TMĐT thì phức tạp liên quan đến c
hệ mới, chính sách và biện pháp, luật pháp mới và tiêu chu
ành liên quan


Các đặc tính an ninh TMĐT

grity (Toàn vẹn): khả năng đảm bảo rằng thông tin được hiển thị trên We
được truyền đi hay nhận được qua Internet không bị biến đổi bởi những
ng được phép

repudiation (Thừa nhận): khả năng đảm bảo rằng các bên TMĐT không

hối hành động trực tuyến của họ

henticity (Xác thực): khả năng nhận ra danh tính của một người hay chủ t
liên lạc trên Internet

fidentiality (Bảo mật): khả năng đảm bảo rằng thông điệp và dữ liệu chỉ đ
bởi những người được cho phép

acy (Riêng tư): khả năng kiểm soát sử dụng thông tin về bản thân

lability (Hiệu lực): khả năng đảm bảo rằng một Website TMĐT tiếp tục ch
g như dự định



Các đe doạ an ninh TMĐT

ừ khía cạnh công nghệ, có 3 vị trí yếu điểm dễ bị tổ
ương trên môi trường TMĐT:

Client

Server

Internet




Malicious Code (Mã độc)


n gọi là Malware

o gồm: viruses, worms, Trojan horses, ransomware, bo

ong quá khứ, mã độc thường có mục đích phá hoại máy
h, và thường do một hacker thực hiện

ày nay, mã độc thường có xu hướng đánh cắp địa chỉ e
ail, mật khẩu đăng nhập, dữ liệu cá nhân, thông tin tài c

ã độc cũng được dùng để phát triển mạng lưới mã độc t
p để tổ chức lấy cắp thông tin và tiền


Malicious Code (Mã độc)

ột trong những phát triển gần đây của mã độc là gắn vào
ảng cáo trực tuyến, kể cả Google và các mạng quảng cá
ác

ive-by dowload” là một dạng mã độc gắn với tập tin đượ
mà người dùng cố ý hoặc không cố ý thực hiện

ã độc cũng có thể được gắn vào tập tin PDF

ã độc thường được gắn vào các links trong nội dung ema
ay vì theo cách truyền thống là đính kèm với email

uynh hướng hiện tại của mã độc là vì mục đích tiền hơn

ục đích khẳng định tài năng


Malicious Code (Mã độc)

s: chương trình máy tính có khả năng tự nhân bản hay sao chép chính nó, và
qua các tập tin khác

m: một dạng mã độc được thiết kế để phát tán từ máy tính qua máy tính

somware (Scareware): một dạng mã độc (thường là worm) ngăn cản đăng nh
tính hay tập tin và yêu cầu trả tiền phạt

an horse: xuất hiện lành tính, nhưng sau đó gây ra các hành động không mon
ờng là một phương thức cho virus hay mã độc khác xâm nhập máy tính

kdoor: là một đặc điểm của virus, worm, Trojan, cho phép attacker điều khiển
tính bị hại

robot): một loại mã độc được cài đặt ngầm vào máy tính khi kết nối Internet. K
c cài đặt, robot được điều khiển bởi câu lệnh từ attacker

et: tập hợp các máy tính bị nhiễm robot


Potentially Unwanted Programs
(PUPS)

tentially Unwanted Program (PUP) (chương trình không mon
ốn): chương trình tự cài đặt vào máy tính mà không được s

ng ý của người dùng

ware: là một PUP làm xuất hiện pop-up quảng cáo trên máy

owser parasite: là chương trình có thể theo dõi và thay đổi th
trình duyệt của người dùng. Ví dụ: Websearch là một thành
ần của adware làm biến đổi trang chủ và chức năng tìm kiếm
ernet Explorer

yware: là chương trình được sử dụng để lấy thông tin như m
, email, instant message của người dùngs


Phishing

ocial engineering: lợi dụng sự tò mò, tham lam, cả
a con người để phát tán mã độc

hishing: trò lừa đảo trực tuyến của một bên thứ 3 đ
y được thông tin bí mật để thu lợi tài chính

hishing thường không dựa vào mã độc mà chủ yếu
ựa vào lừa đảo trực tiếp, hay gọi là social engineer

mail scam letter là một kiểu điển hình của phishing
n gọi là “Nigerian letter” scam



Hacking, Cybervandalism, Hacktivism, Data

Breaches

cker: cá nhân có ý định xâm nhập không cho phép vào hệ thống má

cker: trong cộng đồng hacker, dùng để chỉ hacker có ý đồ phạm tội

ervandalism (chương trình phá hoại): cố ý phá hoại, làm xấu đi hay
một Website

cktivism: chương trình phá hoại và lấy cắp dữ liệu cho mục đích chí

te hats: hacker “tốt”, giúp định vị và sửa các lỗi an ninh

ck hats: hacker hành động cố ý làm gây hại

a breach: xảy ra khi một tổ chức/công ty mất kiểm soát để thông tin
ài


Credit Card Fraud/Theft

nh cắp dữ liệu thẻ tín dụng là một trong những điều sợ nhất tr
ernet

sợ thông tin thẻ tín dụng bị đánh cắp ngăn cản người dùng m
ng trực tuyến trong nhiều trường hợp

ú vị là, nổi sợ này hầu hết là không có căn cứ

ệ thông tin thẻ tín dụng bị đánh cắp rất thấp so với người dùn

hĩ, khoảng 0.8% toàn bộ giao dịch thẻ trực tuyến (Cybersource
13)

y nhiên, lừa đảo thẻ tín dụng trực tuyến thì cao gấp 2 lần so v
đảo thẻ không trực tuyến