Với đề tài “Trình bày các kiêu tấn công vào các hệ thống thanh toán điện tử E-payment và các giải pháp phòng tránh,” bài tiêu luận này sẽ tập trung phân tích các kiểu tấn công phô biến m
Trang 1
Le
TRUONG DAI HOC THUONG MAI
KHOA HE THONG THONG TIN KINH TE VA THUONG MAI DIEN TU
BAI THAO LUAN
MON: AN TOAN VA BAO MAT THONG TIN
DE TAI: TRINH BAY CAC KIEU TAN CONG VAO CAC HE
THONG THANH TOAN DIEN TU E-PAYMENT VA CAC GIAI
PHAP PHONG TRANH
Giảng viên hướng dẫn : T8 Nguyễn Thị Hội
Trang 2
DANH SÁCH THÀNH VIÊN
châm
56 Đỗ Văn Long 21D191150 - Làm nội dung
- Nhóm trưởng
- Làm nội dung
- Làm Word, PowerPoint
9.5
f7 Nguyễn Thu Phương 21D191187 - Làm nội dung
Trang 3
MỤC LỤC LOI MO DAU " 4
I Giới thiệu chung về hệ thống thanh toán điện tử E-payment s55 5 1.1 Khái niệm hệ thống thanh toán điện tử E-payment 5 c2 srrrssrrsec 5
1.2 Vai trò của bảo mật trong hệ thông thanh toán điện tử E-paymert 5
II Các kiểu tắn công, cách phòng chống và khắc phục sự có đối với hệ thống thanh
2.1 Thực trạng các cuộc tán công hệ thống thanh toán điện tử E-payment 8 2.2 Các kiểu tân công - - -c + 111 11112215113 1111 11151 111111115111 11 0101111 1H ng 10 2.3 Cách phòng chống + 2-1 11225123 51512312351 115511111 21115 1101111011101 1g 11
2.3.1 Đôi với người sử dụng hệ thông thanh toán điện tử E-payment 11
2.3.2 Đôi với tô chức/doanh nghiệp cung cấp dịch vụ thanh toán điện tử E-payment
2.3.3 DOE VOI NAA MUG EGrraađắỒỒỖ 15
2.4 Biện pháp khắc phục - S122 123E52112312325 1112325115 11111111111 1111111118101 tr 15 4000) 3 5 17
TÀI LIỆU THAM KHÁO - - c1 3 222121211111511111111121111111011111111012110101110 21 1x6 18
Trang 4LOI MO BAU
Trong thời đại công nghệ 36 phat triển vượt bậc, các hệ thống thanh toán điện tử E-
payment đã trở thành nền tảng quan trọng, không thể thiếu trong các giao dịch thương mại
điện tử Chúng mang lại sự tiện lợi, nhanh chóng và hiệu quả cho cả người tiêu dùng lẫn
doanh nghiệp Tuy nhiên, bên cạnh những lợi ích đó, các hệ thông thanh toán điện tử cũng
đang phải đối mặt với nhiều mối đe dọa về an ninh và bảo mật Các cuộc tan công mạng
ngày càng trở nên tỉnh vi và phức tạp, gây ra rủi ro lớn cho người dùng và tô chức Với đề tài “Trình bày các kiêu tấn công vào các hệ thống thanh toán điện tử E-payment
và các giải pháp phòng tránh,” bài tiêu luận này sẽ tập trung phân tích các kiểu tấn công phô biến mà hệ thống thanh toán điện tử thường gặp phải, từ các hình thức tấn công truyền thống như phishing, malware, đến các cuộc tấn công từ chối dịch vụ (DDoS) và tấn công
man-in-the-middle Đồng thời, bài tiểu luận sẽ đề xuất các giải pháp nhằm nâng cao bảo
mật, phòng tránh các nguy cơ tấn công và bảo vệ thông tin của người dùng khi thực hiện
các giao dịch điện tử
Bài tiểu luận hy vọng mang lại cái nhìn toàn diện và sâu sắc về các vấn đề bảo mật trong
thanh toán điện tử, từ đó góp phần nâng cao nhận thức và xây dựng một môi trường giao dịch an toàn hơn cho cộng đồng người dùng và các tô chức
Trang 5I Giới thiệu chung về hệ thống thanh toán điện tử E-payment
1.1 Khái niệm hệ thống thanh toán điện tử E-payment
Thanh toán điện tử (E-payment hay Electronic Payment) la qua trình giao dịch tiền tệ thông qua các internet và các thiết bị điện tử thay như máy tính, điện thoại thông minh, máy tính bảng để thực hiện các giao dịch nạp, rút, chuyển, nhận tiền thay vì sử dụng tiền mặt hoặc séc giấy Điều này bao gồm việc sử dụng thẻ ngân hàng, ví điện tử, chuyển khoản
ngân hàng trực tuyến và các hệ thống thanh toán sô khác
1.2 Vai trò của bảo mật trong hệ thống thanh toán điện tử E-payment
vai tro quan trọng trong việc bảo vệ các quy trình giao dịch tài chính, ngăn chặn nguy cơ xâm nhập, lừa đảo và đánh cắp thông tin Hệ thông thanh toán an toàn đảm bảo rằng mọi giao dịch được xử ly một cách minh bạch và bảo mật, giúp các doanh nghiệp và người tiêu
dùng yên tâm khi sử dụng dịch vụ
tảng cho một môi trường an toàn, nơi các ứng dụng thanh toán trực tuyến có thể hoạt động hiệu quả mà không lo bị gián đoạn hay xâm phạm Một môi trường bảo mật tốt cho phép
triển khai nhiều dịch vụ thanh toán mới mà vẫn đảm bảo tính an toàn cho người dùng và
doanh nghiệp
điện tử thường lưu trữ và xử lý các thông tin nhạy cảm như số thẻ tín dụng và chỉ tiết tài khoản ngân hàng Bảo mật giúp mã hóa và báo vệ dữ liệu này, ngăn chặn các truy cập trái phép, giám thiểu nguy cơ mất mát thông tin và bảo vệ quyên riêng tư của khách hàng
© Dam bdo tudn thi cdc tiéu chudn va quy định bảo mật: Bảo mật hệ thống thanh toán
điện tử giúp các doanh nghiệp tuân thủ các tiêu chuân bảo mật ngành, như PCI DSS, nhằm ngăn chặn gian lận và bảo vệ thông tim tài chính của khách hàng Việc tuân thủ này không chi bảo vệ dữ liệu mà còn giúp tránh các khoản phạt do vĩ phạm quy định, nâng cao uy tín doanh nghiệp trên thị trường
e Bao vệ tài sản công nghệ và duy trì hoạt động kinh doanh liên tục: Các hệ thống
thanh toán điện tử là tài sản quan trọng đối với doanh nghiệp Bảo mật giúp bảo vệ các tài sản công nghệ này trước các cuộc tấn công mạng, đảm bảo rằng hoạt động thanh toán diễn
Trang 6ra trôi chảy, liên tục và không bị gián đoạn Điều này giúp duy trì doanh thu ôn định và
giảm thiểu tác động tiêu cực khi xảy ra sự cô bảo mật
trong những tài sản quý giá nhất Mỗi giao dịch an toàn đều củng có niềm tin đó, trong khi bất kỳ vi phạm nào, dù nhỏ đến đâu, cũng có thê làm mắt di thiện cảm mà doanh nghiệp
đã xây dựng trong nhiều năm Khách hàng luôn mong muốn đữ liệu nhạy cảm của mình
được xử ly một cách cân thận Việc đảm bảo bảo mật thanh toán tốt nhất là một thông điệp
rõ ràng gửi đến khách hàng rằng doanh nghiệp coi trọng lòng tin của họ và cam kết bảo vệ
quyền lợi của họ Điều này thúc đây khách hàng quay lại và giới thiệu dịch vụ cho người
khác, góp phần tăng trưởng lâu dài cho doanh nghiệp
1.3 Các hình thức thanh toán điện tử E-payment
1.3.1 Thanh toán bằng thẻ
ngân hàng cung cấp cho khách hàng, cho phép chủ sở hữu (chủ thẻ) truy cập tiền vào tài
khoản ngân hàng được chỉ định của khách hàng hoặc thông qua tài khoản tín dụng và thanh
toán bằng chuyền tiền điện tử và truy cập máy rút tiền tự động (ATM)
e Có hai loại thẻ chính được sử dụng trong thanh toán:
- Thanh todn bang thé ghi no néi dia: Thé ghi ng nội địa là loại thẻ có phạm vi sử
dụng trong quốc gia mà nó được phát hành Thẻ được liên kết với tài khoản ngân hàng của người sử dụng Bạn cần phải nạp tiền vào tài khoản ngân hàng mới có thê sử dụng thẻ -_ Thanh toán bằng thẻ tín dụng: Thẻ tín dụng là thẻ thanh toán trước trá tiền sau Ngân hàng sẽ cấp một hạn mức tín dụng nhất định cho chủ thẻ chi tiêu theo yêu cầu Sau
đó, chủ thẻ phải hoàn trả số tiền đã sử dụng trong thời hạn thanh toán nêu không sẽ bị tính
thêm lãi suất
1.3.2 Thanh toán bằng Mobile Banking
hàng trên điện thoại, cho phép khách hàng giao dịch với ngân hàng ở bất kỳ đâu thông qua thiết bị di động có kết nối internet Đề thực hiện, người dùng chỉ cần tải phần mềm về thiết
bị di động là có thể thực hiện được những giao dịch mong muốn
® Khách hàng có thê dễ đàng thực hiện các giao dịch trên Mobile Banking như:
6
Trang 7- Tra ctu s6 du co trong tai khoản, thông tin tài khoản
- Kiém tra lich sử giao dịch ngân hàng
- Chuyén tiền tài khoán nội bộ và liên ngân hàng
-_ Thanh toán hóa đơn
- Mua thé, nap tién điện thoại
- Str dung thém m6t s6 tién ich khac (tty méi ngdn hang): dat vé xem phim, gtri tién
mừng, đặt khách sạn, nap tiền địch vụ, nhận tiền kiều hồi, mua sắm trực tuyến, 1.3.3 Thanh toan bang Internet Banking
Cũng tương tự như Mobile Banking, thì Internet Banking cũng là một hình thức giao
dịch online trực tuyến Điều kiện có thể dùng đó là cần một thiết bị điện tử có kết nối
Internet ôn định, sau đó truy cập vào trang web của ngân hàng bạn dùng và bạn đã có thể
thực hiện các giao dịch
1.3.4 Thanh toán bằng ví điện tử
phép một bên thanh toán điện tử cho một bên khác, hay cụ thê là đổi tiền điện tử lẫy hàng
hóa và dịch vụ Ví điện tử ban đầu được coi là một phương pháp lưu trữ nhiều dạng tiền điện tử (e-cash) khác nhau, nhưng không mang lại nhiều thành công, nên nó đã phát triển thành một dạng dịch vụ cho phép người dùng Internet lưu trữ và sử dụng thông tin trong mua bán
nhiều tính năng, dịch vụ tiện ích khác nhau như:
- Thanh toán tiền nước, tiền điện
- Thanh toan mang internet
- Dong hoc phi
- Mua sam online
- Nap tién dién thoai
- Chuyén tién cho ban bé
Trang 8- Choi tro choi
-_ Nhận mã voucher giảm giá
- Gửi tiết kiệm online
1.3.5 Thanh toán bằng séc trực tuyến
thanh toán qua Internet thay vì dùng séc giấy Sau khi ngân hàng kiêm tra tính hợp lệ của
tờ séc sẽ tiễn hành chuyên tiền cho người được thanh toán
®_ Toàn bộ quá trình thanh toán được thực hiện trực tuyến nên tiết kiệm thời gian, chỉ
phí hơn so với séc bằng giấy Các chuyên gia ước tính chỉ phí sử dụng séc điện tử chỉ bằng 1⁄3 so với chỉ phí sử dụng séc giấy
1.3.6 Thanh toán qua công thanh toán điện tử
người bán với ngân hàng dé hỗ trợ và thực hiện thanh toán hoá đơn
cao, an toản, giúp cho việc thanh toán trên các trang thương mại điện tử được diễn ra nhanh
chóng, tiện lợi
Ủy quyền: Xác minh thông tin thẻ ATM/thẻ tín dụng của người mua
-_ Thanh toán: Chuyến tiền được thanh toán đến ngân hàng của người bán
- Bao cao: Ghi lai théng tin giao dich
II Các kiểu tắn công, cách phòng chống và khắc phục sự cố đối với hệ thống thanh toán điện tử E-payment
2.1 Thực trạng các cuộc tấn công hệ thống thanh toán điện tử E-payment
2.1.1 Tình hình thế giới
Vào ngày 06/04/2022, công ty bao mật Kaspersky đã công bồ nghiên cứu chỉ ra mối liên
hệ tích cực giữa việc sử dụng các phương thức thanh toán kỹ thuật số và mức độ nhận thức
Trang 9thanh toán điện tử, trong khi gần 3⁄4 (72%) đã từng gặp phải ít nhất một rủi ro liên quan đến công nghệ này
Hơn 25% người tham gia khảo sát đã gặp phải các hình thức lừa đảo như tin nhắn hoặc cuộc gọi giá mạo (37%), trang web giá mạo (27%), khuyến mãi giả (27%), và khoảng 1/4 báo cáo nhận được các trò lừa đảo trực tuyên (25%) Đáng chú ý, lừa đảo phi kỹ thuật là môi đe dọa hàng đầu ở hầu hết các quốc gia Đông Nam A, bao gồm Indonesia (40%), Malaysia (45%), Philippines (42%), Singapore (32%) va Viét Nam (38%), trong khi tại Thái Lan, mỗi đe dọa chính là trang web giả mạo (31%)
Nghiên cứu cũng cho rằng việc tiếp xúc nhiều với các môi đe dọa mạng có thê giúp nâng cao nhận thức về an ninh mạng Những mối đe dọa thường gặp nhất là lừa đảo phi kỹ thuật, trang web giả mạo và khuyên mãi giả, với tỷ lệ nhận biết tương ứng là 72%, 75% và 64%
Các vấn đề khác như tài khoản bị xâm phạm do vi phạm dữ liệu (47%), ứng dụng giả và
hành vi gian lận (45%), mã độc tống tiền ransomware (45%) và khuyến mãi giả (43%) cũng nằm trong sô 5 mối đe dọa hàng đầu gây thiệt hại tài chính tại Đông Nam Á Vào tháng 6/2024, Slim CD, một nhà cung cấp dịch vụ xử lý thanh toán thẻ tín dụng cho
cá nhân và doanh nghiệp tại Mỹ và Canada, đã thông báo về một cuộc tấn công mạng Vụ
tấn công có khả năng làm lộ thông tin thé tin dung cua 1,7 triệu người dùng Theo Slim
CD, dữ liệu bị xâm phạm bao gồm số thẻ tín dụng, ngày hết hạn, tên và địa chỉ người dùng Điều tra cho thấy đã có truy cập trái phép vào hệ thống từ ngày 17/08/2023 đến ngày
15/06/2024 kéo dài gần một năm
2.1.2 Tình hình tại Việt Nam
Trong bổi cánh hiện nay, việc thanh toán điện tử hoặc mua sắm trực tuyến trên nền tảng
Internet trở nên phô biến đối với mọi người dân, điều này càng khiến cho tin tac dé dang
khai thác dữ liệu và đánh cắp thông tin nhiều hơn trên không gian mạng
Theo số liệu mới nhất từ Kaspersky, có đến 26,36% các nỗ lực lừa đảo tại Việt Nam vào tháng 4/2022 liên quan đến tài chính Các vụ lừa đảo nhắm vào ngân hàng, các hệ thống thanh toán và cửa hàng trực tuyến Trong đó, lừa đảo thông qua các hệ thống thanh toán là trường hợp phô biến nhất được hãng bảo mật phát hiện, chiếm I 1,77% tông số lừa đảo và
Trang 10Theo ghi nhận từ Cục An toàn thông tin trong 9 tháng đầu năm 2023, hơn 9.503 cuộc tấn công mạng nhắm vào các cơ quan, tô chức, người dùng trong nước, trong đó có 8.168 cuộc tấn công lừa đảo (phishing), 451 cuộc thay đổi giao diện (deface), và 884 cuộc tấn công phát tán mã độc (malware) Có nhiều cuộc tấn công lừa đảo nhằm vào người dùng là khách hàng của các ngân hàng tại Việt Nam, với mục đích lây tiền, thông tin cá nhân, thông
tin giao dịch thanh toán
2.2 Các kiểu tần công
2.2.1 Kỹ nghệ xã hội
Kỹ thuật này khai thác yếu tô con người, nhắm vào nhân viên của các hệ thống thanh
toán điện tử Hacker có thể giả danh bộ phận quản trị hệ thống hoặc ngân hàng, gọi điện
thoại hoặc gửi email lừa đảo đề lấy mật khâu hoặc thông tin đăng nhập của nhân viên Hình thức này khó ngăn chặn và đòi hỏi phải giáo dục nhận thức an ninh mạng cho nhân viên để phòng ngừa
2.2.2 Mạo danh - Đánh cắp quyền truy cập
Kỹ thuật này cho phép kẻ tắn công giả danh người dùng hợp pháp đề truy cập vào hệ thống thanh toán điện tử Ví dụ, hacker có thể nghe lén các phiên kết nói không an toàn đề đánh cắp thông tin đăng nhập, từ đó có thê đăng nhập vào hệ thông và thực hiện các giao dịch giá mạo Việc sử dụng các công cụ như tepdump hoặc nitsniff có thê giúp hacker thu thập đữ liệu này
2.2.3 Khai thác lỗ hồng
Các phần mềm thanh toán điện tử thường có những lỗ hồng trong mã nguồn hoặc hệ
điều hành mà hacker có thể khai thác để xâm nhập vào hệ thống Các lỗ hồng có thê xuất
phát từ việc phát hành phần mềm vội vàng mà chưa kiêm tra kỹ Hacker sẽ tìm cách quét
các máy chủ để phát hiện và lợi dụng các lỗ hồng chưa được vá đề thực hiện hành vi xâm
nhập hoặc đánh cắp thông tin
2.2.4 Tân công dữ liệu
Các hệ thống thanh toán điện tử sử dụng các đoạn mã và script dé tao tính linh hoạt cho
ứng dụng web Tuy nhiên, điều này cũng mở ra lỗ hỗng bảo mật do các đoạn mã độc Hacker có thể đưa mã độc (như trojan, worm, virus) vào hệ thống thông qua các script để đánh cắp dữ liệu hoặc gây tôn hại đến tính toàn vẹn của dữ liệu trong hệ thống
10