1. Trang chủ
  2. » Luận Văn - Báo Cáo

Tìm hiểu về các loại nguy cơ đe doạ tới sự an toàn của các giao dịch thanh toán điện tử hiện nay. Những loại nguy cơ nào có khả năng bùng phát mạnh nhất trong thời gian tới?

18 101 0

Đang tải... (xem toàn văn)

Tài liệu hạn chế xem trước, để xem đầy đủ mời bạn chọn Tải xuống

THÔNG TIN TÀI LIỆU

Thông tin cơ bản

Định dạng
Số trang 18
Dung lượng 237,44 KB

Nội dung

Tại sao cần đảm bảo sự an toàn trong các giao dịch Thanh toán điện tử ? Cần đảm bảo sự an toàn trong các giao dịch thanh toán điện tử bởi vì để hạn chế, đề phòng được các rủi ro từ các bên tham gia trong quá trình thực hiện giao dịch. Rủi ro từ phía khách hàng(lộ số pin, mất thẻ, các trường hợp giả mạo); rủi ro từ ngân hàng( sự cố hoạt động,..) hay do hacker tội phạm( sửa đổi xóa thông tin, giả mạo);lấy trộm thông tin, thiết bị...)

Trang 1

ĐẠI HỌC THƯƠNG MẠI Khoa HTTT Kinh tế và Thương Mại Điện Tử

- -BÀI THẢO LUẬN

TÌM HIỂU VỀ CÁC LOẠI NGUY CƠ ĐE DOẠ TỚI SỰ AN TOÀN CỦA CÁC GIAO DỊCH THANH TOÁN ĐIỆN TỬ HIỆN

NAY

NHỮNG LOẠI NGUY CƠ NÀO CÓ KHẢ NĂNG BÙNG PHÁT

MẠNH NHẤT TRONG THỜI GIAN TỚI?

GVHD: TS Nguyễn Trần Hưng

Hà Nội, 05/2021

Trang 2

MỤC LỤC

Phần 1 1

Tổng quan về thanh toán điện tử 1

1.1 Tổng quan về thanh toán điện tử 1

1.1.1 Khái niệm: 1

1.1.2 Các yếu tố cấu thành Thanh toán điện tử 1

1.1.3 Lợi ích và hạn chế của thanh toán điện tử 1

1.1.4 Phân loại các hình thức thanh toán điện tử 1

1.2 Sự an toàn của các giao dịch thanh toán điện tử 2

1.2.1 Khái niệm: 2

1.2.2 Các vấn đề đặt ra đối với bảo mật trong thanh toán điện tử 2

1.2.3 Các biện pháp bảo mật trong thanh toán điện tử 3

1.3 Tại sao cần đảm bảo sự an toàn trong các giao dịch Thanh toán điện tử ? 3

Phần 2 3

Các loại nguy cơ đe doạ tới sự an toàn của các giao dịch thanh toán điện tử3 2.1 Nguy cơ từ bên ngoài DN 3

2.1.1 Virus 3

2.1.2 Mã độc 4

2.1.3 Tin tặc (hacker) và một số hình thức tấn công phổ biến của hacker 5

2.2 Các nguy cơ từ bên trong Doanh nghiệp hoặc trong hệ thống Thanh toán điện tử 7

Phần 3 8

Xác định nguy cơ có khả năng bùng phát mạnh nhất 8

Phần 4 Giải pháp có thể áp dụng để ngăn chặn 10

4.1 Đối với cá nhân 10

4.2 Đối với các tổ chức doanh nghiệp 11

4.3 Cách xác định một email lừa đảo 11

4.3.1 Nhận biết Phishing Email 11

4.3.2 Xử lí như thế nào khi gặp phải những Email có dấu hiệu Phishing 12

4.3.3 Kiểm tra Phishing Email 12

4.3.4 Xử lí như thế nào khi đã lỡ trả lời hoặc click vào link của Phishing Email 12

4.4 Các công cụ hữu ích giúp phòng chống Phishing 12

Trang 3

PHẦN 1.

TỔNG QUAN VỀ THANH TOÁN ĐIỆN TỬ

1.1. Tổng quan về thanh toán điện tử

1.1.1 Khái niệm:

bằng các thông điệp điện tử thay cho việc giao tay bằng tiền mặt

bên này sang bên kia thông qua các phương tiện điện tử

toán qua mạng viễn thông hoặc thiết bị điện tử khác

1.1.2 Các yếu tố cấu thành Thanh toán điện tử

Card)

+ ATM

+ POS

+

1.1.3 Lợi ích và hạn chế của thanh toán điện tử

giá trị lớn

tài khoản

Trang 4

- Hạn chế

1.1.4 Phân loại các hình thức thanh toán điện tử

1.2. Sự an toàn của các giao dịch thanh toán điện tử

1.2.1 Khái niệm:

Là an toàn thông tin trao đổi giữa các chủ thể khi tham gia giao dịch thanh toán, an toàn cho các hệ thống (hệ thống máy chủ thương mại và các thiết bị đầu cuối, đường truyền, ) không bị xâm hại từ bên ngoài hoặc có khả năng chống lại những tai họa, lỗi và sự tấn công từ bên ngoài

1.2.2 Các vấn đề đặt ra đối với bảo mật trong

thanh toán điện tử

website

Trang 5

+ Được bảo mật thông tin về thanh toán: Số tk, pass,exp, pin,

toán

1.2.3 Các biện pháp bảo mật trong thanh toán

điện tử

1.3. Tại sao cần đảm bảo sự an toàn trong các

giao dịch Thanh toán điện tử ?

Cần đảm bảo sự an toàn trong các giao dịch thanh toán điện tử bởi vì để hạn chế, đề phòng được các rủi ro từ các bên tham gia trong quá trình thực hiện giao dịch Rủi ro từ phía khách hàng(lộ

số pin, mất thẻ, các trường hợp giả mạo); rủi ro từ ngân hàng( sự cố hoạt động, ) hay do hacker tội phạm( sửa đổi xóa thông tin, giả mạo);lấy trộm thông tin, thiết bị )

Trang 6

PHẦN 2.

CÁC LOẠI NGUY CƠ ĐE DOẠ TỚI SỰ AN TOÀN CỦA CÁC GIAO DỊCH THANH TOÁN ĐIỆN TỬ

2.1. Nguy cơ từ bên ngoài DN

2.1.1 Virus

Virus có khả năng tự sao chép và là vật chủ ký sinh Trong khoa học máy tính: virus được hiểu là các chương trình hay bản mã được thiết kế để nhân bản và lây nhiễm chính bản thân chúng vào các đối tượng khác Các đối tượng khác có thể là các file, các chương trình, các ổ đĩa

Macro virus

Còn được gọi là virus văn bản chuyên tấn công, lây nhiễm vào các tệp ứng dụng soạn thảo của word, excel, powerpoint,

Cơ chế lây nhiễm: khi người dùng mở một tệp tin văn bản bị nhiễm virus, virus sẽ thực hiện tự sao chép chính bản thân nó

và lây nhiễm vào tệp chứa đựng khuôn mẫu chung (normal) của ứng dụng để từ đó tất cả các tài liệu được tạo mới ra đều mặc định bị nhiễm macro virus

VD: Melissa

Virus tệp

Loại file infecting virus này chuyên lây nhiễm vào các tệp mệnh lệnh tự thi hành Tệp mệnh lệnh tự thi hành là một tệp tin tự bản thân nó có khả năng thực thi không cần mở nó qua bất kỳ ứng dụng trung gian nào Là các tệp tin có phần đuôi mở rộng như sau exe, com, bat, cmd, reg,.dll

Cơ chế lây nhiễm: khi người dùng chạy một tệp mệnh lệnh thi hành bị nhiễm virus, virus sẽ tự thực hiện tự sao chép chính bản thân nó và lây nhiễm vào toàn bộ các tệp mệnh lệnh được thi hành khác trên hệ thống đang được thực thi tại thời điểm trên

hệ thống

VD: virus chernobyl

Virus Script

Trang 7

Được tạo ra bởi 2 ngôn ngữ lập trình là visual basic script và javascript Là loại virus chuyên lây nhiễm vào các chương trình

có phần đuôi mở rộng vbs, js trên hệ thống

Cơ chế lây nhiễm: Khi một chương trình có phần đuôi mở rộng vbs hoặc js bị nhiễm virus được kích hoạt Virus sẽ thực hiện tự sao chép chính bản thân nó và lây nhiễm vào toàn bộ các chương trình có phần đuôi mở rộng .vbs và .js trên hệ thống

VD: virus i love you

2.1.2 Mã độc

Sâu máy tính

Là một chương trình phần mềm có sức lây lan nhanh chóng, rộng khắp và phổ biến nhất hiện nay trên thế giới Sâu máy tính không cần phải có bất kỳ tệp tin mồi nào để đính kèm Chúng

có khả năng tồn tại độc lập

Chúng có khả năng tự nhân bản mà không cần kích hoạt hay tácđộng của người dùng, tự lây nhiễm, tự phát tán qua môi trường internet, qua các mạng ngang hàng hoặc các DV chia sẻ

ví dụ như chia sẻ phần mềm, chia sẻ ảnh, những chia sẻ miễn phí rất dễ bị nguy cơ virus hoặc chỉ cần truy cập vào 1 web chia

sẻ nếu như web đó có sâu máy tính thì ngay lập tức sẽ bị nhiễm

Ví dụ về sâu máy tính: w32

Con ngựa thành Tơroa (Trojan horse)

Là một chương trình phần mềm được tạo ra theo đúng các mô

tả của con ngựa gỗ trong câu chuyện thành Tơroa trong Phim cuộc chiến thành Troy

Con ngựa thành Toroa là 1 chương trình phần mềm được ngụy trang bởi vẻ bề ngoài hào toàn vô hại nhưng ẩn chứa bên trong lại là các đoạn mã nguy hiểm có khả năng đánh cắp các thông tin cá nhân (các thông tin về tài khoản, thông tin về phương tiện thanh toán, số pin, pasword của người dùng) hoặc mở các cổng hậu để hacker xâm nhập biến máy tính hoặc 1 hệ thống bị khống chế trở thành công cụ để phát tán thư rác hoặc trở thành công cụ để tấn công một website nào đấy Con ngựa thành Tơroa không có khả năng tự nhân bản

Trang 8

Ví dụ: Trojan Antimalware doctor - trình duyệt chống virus - đội lốt

Phần mềm gián điệp (Spyware)

Là một chương trình phần mềm được thiết kế để theo dõi mọi hoạt động của người dùng trên thiết bị máy tính, hệ thống Các Spyware có khả năng thâm nhập trực tiếp vào hệ điều hành, không để lại dấu vết gì Chúng âm thầm đi thu thập dữ liệu của người dùng bao gồm cả các thông tin cá nhân, các thông tin về lịch sử giao dịch, các thông tin về phương tiện thanh toán Sau

đó gửi về cho tác giả tạo ra Spyware, trên cơ sở những thông tin thu thập được, tác giả tạo ra Spyware có thể sử dụng cho mục đích phá hoại hoặc trục lợi cá nhân

VD: Win32.Greenscreen

Phần mềm quảng cáo ngụy trang (Adware)

Là một chương trình phần mềm được cài đặt một cách lén lút lên trên một HT máy tính hoặc do người dùng không biết nên tự nguyện cài đặt thông qua các DV chia sẻ hoặc tải miễn phí phần mềm và các sản phẩm số hóa khác Tuy nhiên, không dừng lại ở mức độ quảng cáo đơn thuần Phần mềm quảng cáo ngụy trang

sẽ nhanh chóng chiếm hết dung lượng bộ nhớ trong ram, bộ nhớ tạm thời hoặc kết hợp với các virus và sâu máy tính khác

để tăng hiệu quả tấn công hoặc phá hoại hệ thống người dùng hoặc hệ thống của Doanh nghiệp khiến cho mọi hệ thống bị đình trệ không thực hiện được

2.1.3 Tin tặc (hacker) và một số hình thức tấn

công phổ biến của hacker

Khái niệm: Là những người có khả năng xâm nhập bất hợp

pháp vào 1 hệ thống công nghệ thông tin Người hacker này đã xác định rõ lỗi của hệ thống và khai thác triệt để lỗ hổng đấy

Phân loại:

lương thiện Đây là những chuyên gia phần mềm chuyên tìm lỗi để sửa chữa để giúp HT hoạt động tốt hơn

với mục đích phá hoại hoặc trục lợi

Trang 9

- Hacker mũ xanh/ samurai là loại hacker tài năng nhất hiếm nhất: được các hãng lớn như google, facebook, thuê về để làm việc chuyên tìm và sửa lỗi cho phần mềm

đen tấn công thay đổi giao diện

Tấn công deface (tấn công thay đổi giao diện)

Là hình thức tấn công chiếm quyền kiểm soát ở mức cao nhất

Và cũng là hình thức tấn công mà mọi hacker đều mong muốn thực hiện vì nó chứng tỏ được bản lĩnh và trình độ của hacker Đây là một hình thức tấn công ghi danh, bởi những kẻ tấn công khi thực hiện hình thức này đều muốn cộng đồng người khác biết tới mình và ghi nhận khả năng, trình độ bản lĩnh của mình

Vì vậy họ thường để lại danh tính

Cách thức tiến hành: Bằng việc khai sách triệt để các lỗ hổng của phần mềm hoặc của hệ thống mà hacker xâm nhập được vào sâu bên trong máy chủ của một website và nắm quyền kiểm soát máy chủ này Sau đó sử dụng quyền kiểm soát để tạo

ra những thay đổi về mặt nội dung cũng như giao diện của website đó Vào thời điểm website bị tấn công deface, khách hàng truy cập chỉ có thể nhìn thấy những nội dung, những hình ảnh mà hacker đăng tải Toàn bộ nội dung giao diện trước đây của website bị biến đổi hoàn toàn

2 điều kiện để có thể tấn công deface:

khai thác triệt để lỗ hổng này

Tấn công từ chối dịch vụ Dos (Denial of Service)

Mục đích: nhắm vào khả năng xử lý của máy chủ để làm quá tải máy chủ Từ đó gây ra hiện tượng tắc nghẽn mạng truyền thông

Cách thức tiến hành: Bằng cách khai thác sự không hiểu biết của người dùng trên thiết bị máy tính cá nhân mà hacker nắm

đc quyền điều khiển thiết bị máy tính cá nhân này từ xa khi người dùng kết nối được với internet mà người dùng không hề hay biết Sau đó hacker sử dụng quyền điều khiển để điều khiển thiết bị máy tính bị khống chế gửi một số lượng khổng lồ các

Trang 10

truy vấn thông tin dưới dạng yêu cầu truy cập dịch vụ tới máy chủ của một website làm cho máy chủ đó bị quá tải dẫn tới mạng truyền thông bị tắc nghẽn Lúc này máy chủ không thể nào đáp ứng được nhu cầu truy cập dịch vụ từ các máy khách

hàng khác hay còn gọi tấn công “không ăn được thì đạp đổ”.

Tấn công từ chối dịch vụ phân tán DDoS

DDoS là hình thức biến tướng của tấn công từ chối dịch vụ Dos Cách thức tiến hành: bằng việc khai thác sự không hiểu biết của người dùng trên thiết bị máy tính cá nhân mà hacker nắm được quyền kiểm soát của một số lượng khổng lồ của các thiết bị máy tính cá nhân từ xa khi người dùng kết nối với internet Sau

đó hacker sử dụng quyền này để ra lệnh đồng loạt tấn công Mỗi thiết bị máy tính bị khống chế chỉ gửi đi duy nhất một truy vấn thông tin tới máy chủ của 1 website trong một đơn vị thời gian(s), làm cho máy chủ đó bị quá tải, dẫn tới mạng truyền thông bị tắc nghẽn khi đó máy chủ không thể nào đáp ứng được nhu cầu truy cập dịch vụ từ các máy của khách hàng khác

2.2. Các nguy cơ từ bên trong Doanh nghiệp hoặc trong hệ thống Thanh toán điện tử

Đa phần các nguy cơ đe dọa từ bên trong Doanh nghiệp đều có xuất phát hoặc có liên quan trực tiếp tới nhân viên của Doanh nghiệp đó, về cơ bản chia thành 2 loại nguy cơ:

Doanh nghiệp là kẻ xấu Đây là những người có quyền truy cập vào tài nguyên hệ thống hoặc đánh cắp quyền truy cập này từ các đồng nghiệp hay cộng tác viên Sau đó sử dụng quyền truy cập này nhằm mục đích phá hoại hoặc trục lợi cá nhân

Doanh nghiệp bị lợi dụng, kẻ xấu có thể lợi dụng quan hệ tình cảm hoặc sử dụng áp lực xã hội để ép buộc nhân viên bên trong Doanh nghiệp thực hiện các hành vi gây tổn hại tới tài nguyên hệ thống => tổ chức các khóa đào tạo về an toàn và

an ninh hệ thống

Ngoài ra, các lỗ hổng bảo mật, công nghệ kém cũng là một trong những nguy cơ có thể kể đến ở đây:

Trang 11

- Sự cố hoạt động do yếu kém trong hệ thống thông tin và công nghệ, trang thiết bị: sự cố ngẫu nhiên như chức năng nào đó ngừng hoạt động (chức năng kế toán, chức năng bảo mật, hoặc lỗi trong quá trình truyền tải, xử lý thông tin) Kết quả khảo sát thực trạng an toàn thông tin toàn cầu do PwC thực hiện cho thấy, có tới 44% Doanh nghiệp không có chiến lược tổng thể về an toàn thông tin; 48% không có chương trình đào tạo nâng cao nhận thức về an toàn thông tin cho nhân viên; 54% không có cơ chế đối phó với tấn công mạng… Trước thực trạng này, nhiều chuyên gia cho rằng không chỉ có các Doanh nghiệp trên thế giới, mà tại Việt Nam, nhiều Doanh nghiệp dù nhận thức được mối nguy hại đến từ lỗ hổng an ninh mạng đang tăng cao nhưng vẫn chưa có sự chuẩn bị để đối phó với rủi ro này

hàng để tiện cho các giao dịch lần sau, nếu những đơn vị này không bảo mật tốt, bị mất dữ liệu thì mất an toàn thông tin khách hàng có thể xảy ra

tử chưa quan tâm sát sao đến việc thường xuyên thông tin cập nhật các hình thức lừa đảo đến khách hàng, cũng như đưa

ra các cảnh báo đề phòng, hướng dẫn khách hàng để phòng tránh các vấn đề rủi ro lừa đảo, khuyến cáo khách hàng tăng tính bảo mật thông tin

PHẦN 3.

XÁC ĐỊNH NGUY CƠ CÓ KHẢ NĂNG BÙNG PHÁT

MẠNH NHẤT

Hiện nay có rất nhiều nguy cơ tư bên ngoài cũng như bên trong doanh nghiệp đe dọa đến sự an toàn của các giao dịch trong thanh toán điện tử Nhưng nguy cơ có khả năng bùng phát mạnh nhất trong thời gian tới thì có thể cho rằng đó là tấn công Phishing Có rất nhiều lí do cho rằng như vậy , tiêu biểu là một

số lí do sau:

- Thứ nhất là sự bùng phát của đại dịch Covid-19

Việt Nam đang dần ổn định sau đại dịch nhưng trên toàn thế giới vẫn đang gồng mình chống lại những biến thể của

Covid-19 Trong những thời gian này, chính phủ cũng như các ngân

Trang 12

hàng đã đưa ra hàng loại các ưu đãi nhằm khuyến khích người dân sử dụng các hình thức thanh toán không sử dụng tiền mặt, kết quả là giao dịch thanh toán điện tử tăng mạnh Lợi dụng điều này, các đối tượng tội phạm cũng đẩy mạnh các hoạt động lừa đảo để chiếm đoạt tài sản Phương thức lừa đảo chủ yếu là phát tán mã độc thông qua thông tin cập nhật về dịch bệnh và cách phòng tránh gửi tới khách hàng trên email, SMS, các ứng dụng mạng xã hội, hoặc lập số điện thoại gần giống số đường dây nóng của ngân hàng Sau đó, các đối tượng đã lừa người dùng cung cấp thông tin để chiếm đoạt tài khoản ngân hàng Các doanh nghiệp cũng trở thành nạn nhân của những vụ lừa đảo khi tin tặc giả mạo là các tổ chức kinh tế gửi các email đến các doanh nghiệp với cam kết sẽ hồi vốn khi đầu tư vào các dự

án liên quan đến các thiết bị y tế, khẩu trang,… giữa một bên là khủng hoảng kinh tế vì phải đóng cửa thực hiện dãn cách xã hội

và một bên là hứa hẹn hồi vốn cùng lợi nhuận cao, dù là được trang bị kiến thức đầy đủ song không phải doanh nghiệp nào cũng tránh được những cạm bẫy hoàn hảo của tội phạm công nghệ cao

Theo kết quả phân tích của hãng an ninh mạng Kaspersky, đã phát hiện khoảng 1300 tệp có tên tương tự những ứng dụng hội họp phổ biến như Zoom, Webex và Slack Các nhà nghiên cứu của Kaspersky đã phát hiện những phần mềm độc hại liên quan đến Covid-19, với hoạt động ẩn mã độc trong những tài liệu về dịch bệnh

Đặc biệt, năm 2020, ngay trong thời điểm đồng bào cả nước chung tay hướng về miền Trung với tinh thần lá lành đùm lá rách, các đối tượng xấu đã lợi dụng sự cảm thông và lòng tốt của nạn nhân, đã gửi các tin nhắn, email với nội dung yêu cầu nạn nhân click vào đường link chứa mã độc và yêu cầu nạn nhân nhập thông tin tài khoản để ủng hộ tiền cho đồng bào miền Trung và đương nhiên sau khi nạn nhân rơi vào bẫy thì chúng sẽ cuỗm sạch số tiền trong tài khoản ngân hàng của họ Thậm chí có một số yếu tố khiến nạn nhân dù đã biết đến các hình thức tấn công này những vẫn rơi vào bẫy với nghệ thuật đánh lừa ảo giác của tin tặc Cụ thể là việc làm cho nạn nhân

Ngày đăng: 17/01/2022, 19:29

TỪ KHÓA LIÊN QUAN

TÀI LIỆU CÙNG NGƯỜI DÙNG

TÀI LIỆU LIÊN QUAN

w