PHẦN 2:PHÂN LOẠIKIỂU TẤN CÔNG VÀO E-BANKING... Tấn công giả mạo PhishingSử dụng các phương tiện như email, tin nhắn, trangweb giả mạo, hoặc trang đăng nhập giả mạo.Kẻ tấn công yêu cầu ng
Trang 1BÀI THẢO LUẬN
TRÌNH BÀY KHÁI NIỆM, ĐẶC ĐIỂM, PHÂN LOẠI VÀ CÁCH PHÒNG CHỐNG TRONG CÁC HỆ THỐNG NGÂN HÀNG
TRỰC TUYẾN (E-BANKING)
Nhóm 1
Học phần: An toàn và bảo mật thông tin
Trang 2PHẦN III
PHÒNG CHỐNG CÁC CUỘC TẤN CÔNG
VÀO E-BANKING
Trang 3PHẦN I TỔNG QUAN
VỀ E-BANKING
1.1.Khái niệm về E-Banking 1.2.Đặc điểm của E-Banking
Trang 41.1 Khái niệm về E-Banking
Giai đoạn 1 (1970-1990): Máy tính và mạng nội bộ Giai đoạn 2 (1990-2000): Giai đoạn Internet Banking Giai đoạn 3 (2000-2010): Giai đoạn Mobile Banking Giai đoạn 4 (2010-đến nay): Giai đoạn phát triển dịch vụ mở
rộng và tích hợp và Giai đoạn phát triển công nghệ mới.
Đối với khách hàng Đối với ngân hàng
1.1.1 Định nghĩa E-Banking
E-Banking (ngân hàng trực tuyến) là loại hình số hoá các dịch
vụ cung cấp bởi ngân hàng thông qua các phương tiện điện tử có kết nối Internet.
1.1.2 Lịch sử và phát triển của E-Banking
1.1.3 Tầm quan trọng của E-Banking trong hệ thống ngân hàng
Trang 51.2 Đặc điểm của E-Banking
Sự tiện lợi và linh hoạt cho người dùng
Sự phức tạp và đa dạng của dịch vụ E-Banking Đặc điểm kỹ thuật và giao diện người dùng
Trang 6PHẦN 2:PHÂN LOẠI KIỂU TẤN CÔNG VÀO E-BANKING
Trang 7PHẦN 2:PHÂN LOẠI KIỂU TẤN CÔNG VÀO E-BANKING
2.1 Đánh cắp
thông tin xác
thực
2.2 Tấn công giả mạo (Phishing)
2.4 Tấn công người ở giữa (Man in the Middle)
2.3 Chuyển hướng lưu lượng
truy cập (Pharming)
2.5 Người trong trình duyệt (Man in the browser)
2.6 Trojan
Trang 92.1 Đánh cắp thông tin xác thực
Rủi ro bảo mật cá nhân
Đánh cắp tài sản tài chính
Lừa đảo danh tính
Mất kiểm soát tài khoản
Ảnh hưởng đến danh tiếng
Trang 102.2 Tấn công giả mạo (Phishing)
Sử dụng các phương tiện như email, tin nhắn, trangweb giả mạo, hoặc trang đăng nhập giả mạo
Kẻ tấn công yêu cầu người nhận tin nhắn cung cấpthông tin cá nhân nhạy cảm
Giả mạo Email
Giả mạo Website
Giả mạo tin nhắn
Trang 112.2 Tấn công giả mạo (Phishing)
Mất thông tin cá nhân
Mất tài khoản ngân hàng
Rủi ro về an ninh mạng
Thiệt hại tài chính
Mất danh tiếng và tin tưởng
Trang 122.3 Chuyển hướng lưu lượng truy cập (Pharming)
Trang 132.3 Chuyển hướng lưu lượng truy cập (Pharming)
Các phương thức tấn công
Dựa trên phần mềm độc hại Làm nhiễm độc DNS
Ví dụ
Trang 142.4 Tấn công người ở giữa (Man in the Middle)
Đặc điểm
Xảy ra khi ai đó ở giữa hai máy tính (máy tính xách tay
và máy chủ từ xa) và có khả năng chặn lưu lượng truy cập.
Trang 152.4 Tấn công người ở giữa (Man in the Middle)
Cách hoạt động
Các phương thức tấn công
Đánh chặnGiải mãNgười trong trình duyệt
Trang 162.5 Người trong trình duyệt (Man in the browser)
Đặc điểm
Đánh chặn ở cấp ứng dụngNgười dùng truy cập một trang web hợp pháp nhưngthực sự thấy thì được kiểm soát bởi kẻ tấn công
Các phương thức (dạng tấn công)
Cách hoạt động
Giai đoạn 1: Chèn phần mềm độc hạiGiai đoạn 2: Gián đoạn giao dịchGiai đoạn 3: Sửa đổi phản hồi
Là khi người dùng bị đánh chặn hoặc sửa đổi dữ liệu được gửi giữa trình duyệt và máy chủ web.
Trang 172.5 Người trong trình duyệt (Man in the browser)
Trang 182.6 Trojan
Đặc điểm
Tấn công một cách ẩn danh và không bị phát hiệnTrojan Horse về mặt kỹ thuật chỉ là một phần mềmthông thường và không có ý nghĩa tự lan truyền
Các phương thức (dạng tấn công)
Trojan ẩn mình dưới rất nhiều hình thức từ bàihát, phần mềm, hình ảnh, link tải, quảng cáo
Cách hoạt động, tiến trình của trojan
Truyền tải hoặc lừa nạn nhân để tải xuống và càiđặt phần mềm
Phần mềm chạy ẩn danh trong nền tảng
Sử dụng phần mềm Trojan để thiết lập kết nối từ xavới thiết bị của nạn nhân
Truy cập và kiểm soát máy tính nạn nhân
Là một chương trình độc hại cho máy tính, được ngụy trang bằng một vỏ bọc tưởng chừng vô hại.
Trang 192.6 Trojan
Thiệt hại Ví dụ cụ thể
Trang 202.7 Nguy cơ mất an toàn trong hệ thống ngân hàng trực tuyến
Rủi ro về an ninh Nguy cơ bị lừa cài đặt phần mềm gián điệp Rủi ro từ thủ đoạn giả danh của kẻ xấu
Nguy cơ bị lừa chuyển tiền
Trang 21CHƯƠNG 3: GIẢI PHÁP PHÒNG CHỐNG CÁC CUỘC TẤN CÔNG VÀO E-BANKING
Trang 223.1 Nguyên nhân dẫn đến các cuộc tấn công
Nguyên nhân từ người dùng
Nguyên nhân từ ngân hàng
thương mại
Nguyên nhân từ ngân hàng nhà
nước và hành lang pháp lý
Trang 23Nâng cao nhận thức người
dùng về tấn công E-banking
3.2.1 Giải pháp cho người dùng
3.2 Cách phòng chống các cuộc tấn công vào E-banking
Biện pháp tự bảo vệ chongười dùng
Trang 24Sử dụng mạng VPN (Virtual Private Network)
Đào tạo nhân viên và khách hàng
Xây dựng chính sách và quy trình bảo mật
Phân quyền và kiểm soát truy cập
Triển khai cơ sở pháp lý
3.2.2 Giải pháp cho ngân hàng thương mại
3.2 Cách phòng chống các cuộc tấn công vào E-banking
Trang 253.2.3 Giải pháp đối với ngân hàng nhà nước và cơ quan
có thẩm quyền
Xây dựng và điều chỉnh khung pháp lý
3.2 Cách phòng chống các cuộc tấn công vào E-banking
Trang 26Thank You