Tiểu luận Đề tài giải pháp tăng cường an ninh mạng cho hệ thống ngân hàng trực tuyến

Hệ thông ngân hàng trực tuyến e-banking là một kênh giao dịch ngân hàng điện tử cho phép khách hàng thực hiện các giao dịch tài chính thông qua internet hoặc thiết bị di động mả không cầ

TRƯỜNG ĐẠI HỌC CÔNG NGHIỆP TP HCM KHOA CÔNG NGHỆ ĐIỆN TỬ

Lm) INDUSTRIAL UNIVERSITY OF HOCHIMINH CITY

NHAP MON AN TOAN THONG TIN

TIEU LUAN

Đề Tài : GIẢI PHÁP TĂNG CƯỜNG AN NINH MẠNG

CHO HE THÓNG NGÂN HÀNG TRỰC TUYẾN

NHÓM 06

GVHD: ThS NGO HỮU DŨNG

NGUYEN TRƯƠNG HOANG DANH

LOP : DHIOT17A

TP HCM, thang 04, 2024

TRƯỜNG ĐẠI HỌC CÔNG NGHIỆP TP HCM KHOA CÔNG NGHỆ ĐIỆN TỬ

A INDUSTRIAL UNIVERSITY OF

NGUYEN TRƯƠNG HOANG DANH

LOP : DHIOT17A

Hệ thông ngân hàng trực tuyến (e-banking) là một kênh giao dịch ngân

hàng điện tử cho phép khách hàng thực hiện các giao dịch tài chính thông qua

internet hoặc thiết bị di động mả không cần đến trực tiếp quầy giao dịch của ngân

hang Hệ thông này mang đến nhiều tiện ích cho khách hàng, giúp tiết kiệm thời

gian và chị phí giao dịch

1.1.1 Truy vấn thông tin tài khoản Kiểm tra số đư tài khoản Xem lich su giao dich Tra cứu thông tin tài khoản tiết kiệm Xem sao kê tài khoản

In sao kê tài khoản

1.1.1 Thanh toán hóa đơn Thanh toán hóa đơn điện nước Thanh toán hóa đơn internet Thanh toán hóa đơn truyền hình cáp Thanh toán hóa đơn di động Thanh toán học phí Thanh toán bảo hiểm

1.1.2 Chuyên tiền

Chuyên tiền nội bộ (trong cùng ngân hàng)

Chuyên tiền liên ngân hàng Chuyên tiền quốc tế Chuyên tiền theo lịch Chuyên tiền tiết kiệm

1.1.3 Nạp tiền

® Nạp tiền từ tài khoản khác sang tài khoản e-banking

® - Nạp tiên từ thẻ ATM

1.2

e - Nạp tiền mặt tại quây giao dịch ngân hàng

e Nap tién qua internet banking cua ngan hang khac

1.1.4 Mo tai khoan M6 tai khoan thanh toan

Mở tài khoản tiết kiệm

Mở tải khoản ngoại tệ

Mở tài khoản cho trẻ em

1.1.5 Vay vốn Vay tín chấp Vay thế chấp Vay theo lương Vay mua nhà Vay mua xe

1.1.6 Quản lý thể

Kích hoạt/khóa thẻ

Thay đổi mã PIN Bao cao thé mat/bi danh cap Nang han mức thẻ

Xem sao ké giao dich thé

1.1.7 Dich vu khach hang Tra cứu thông tin chi nhanh/phong giao dich Liên hệ với tông đài hỗ trợ khách hàng Gửi yêu câu hỗ trợ trực tuyên Dat lich hen gap tu van viên

Ngoài những chức năng chính trên, hệ thông ngân hàng trực tuyến còn cung câp nhiều dịch vụ tiện ích khác như:

Đầu tư chứng khoán Mua bán ngoại tệ Đặt vé máy bay, khách sạn

Mua sắm trực tuyến

Thanh toán QR Pay

Dữ liệu

1.2.1 Thông tin khách hàng 1.2.1.1 Loại dữ liệu:

e Thong tin cá nhan: Ho va tén, ngay sinh, pIới tính, địa chỉ, số điện thoại, email, số CMND/CCCD, hinh anh chan dung

¢ Thong tin lién hé: Dia chi nha, email, số điện thoại liên lạc

e Thông tin công việc: Nơi làm việc, chức

1.2.1.3 Mục đích sử dụng:

Cung cấp dịch vụ ngân hàng trực tuyến Phát triển sản phâm và dịch vụ Quản lý rủi ro

Cung cấp dịch vụ khách hàng 1.2.1.4 Lưu trữ và bảo mật:

® - Lưu trữ trong cơ sở dữ liệu an toàn

® - Áp dụng biện pháp bảo mật tiên tiến như mã

hóa dữ liệu, quản lý truy cập, piám sát hệ thống, dao tao nhân viên an ninh mạng

1.2.2 Thông tin giao dịch

1.2.2.1 Loại dữ liệu:

® Loại giao dịch (chuyên tiền, thanh toán hóa

đơn, nạp tiền, rút tiền, vay vốn, mở tài khoản) e©_ Số tiền giao dịch

1.2.3

1.2.2.1

1.2.2.2

1.2.2.3

® - Thời gian giao dịch

e Dia diém giao dich

e Thông tin tài khoản (số tải khoản nguồn, số tai khoản đích, tên chủ tài khoản)

® Thông tin bên nhận (tên người nhận, số điện thoại, email)

® Ma xac nhan giao dich Nguồn gốc dữ liệu:

® - Thu thập từ khách hàng khi thực hiện ø1ao dịch

e Thu thập từ hệ thống thanh toán nội bộ và liên ngân hàng

Mục đích sử dụng:

e Xu ly giao dịch

¢ Quan ly rui ro

e Cung cap dịch vụ khách hàng e© _ Phân tích dữ liệu

Lưu trữ và bảo mật:

® Lưu trữ trong cơ sở đữ liệu an toàn

® - Áp dụng biện pháp bảo mật tiên tiến như mã

hóa dữ liệu, quản lý truy cập, giám sát hệ thống, dao tao nhân viên an ninh mạng,

Thong tin tài khoán 1.2.3.1

1.2.3.2

Loại dữ liệu:

Số tài khoản Loại tài khoản (thanh toán, tiết kiệm, ngoại tệ)

Số dư tài khoản Lich su giao dich Lai suat Hạn mức giao dịch Phi giao dich Théng tin thé (s6 the, loai thé, han mute thé, ngay phat hanh, ngay hét han)

Nguồn gốc dữ liệu:

1.3

gom:

Loi ich

e Thu thap ttr khach hang khi mở tài khoản, thực

hiện giao dich, cập nhật thông tin

e Thu thập từ hệ thông thanh toán nội bộ và liên ngân hàng

1.2.3.3 Mục đích sử dụng:

Cung cấp dịch vụ ngân hàng Quản lý rủi ro

Cung cấp dịch vụ khách hàng Phân tích dữ liệu

1.2.3.4 Lưu trữ và bảo mật:

® - Lưu trữ trong cơ sở dữ liệu an toàn

® - Áp dụng biện pháp bảo mật tiên tiến như mã

hóa dữ liệu, quản lý truy cập, giám sát hệ thống, dao tao nhân viên an ninh mạng,

Hệ thông ngân hàng trực tuyên mang đến nhiều lợi ích cho khách hàng, bao

1.3.1

1.3.3

Tiện lợi Khách hàng có thể thực hiện giao dich moi luc, moi noi chi

cần có kết noi internet

Không cần đến trực tiếp quây giao dịch của ngân hàng, tiết kiệm thời gian và công SỨC

Có thể thực hiện giao dịch 24/7, kế cả ngày nghỉ và lễ tết

Hỗ trợ nhiều giao dịch đa dạng như chuyên tiền, thanh toán

hóa đơn, nạp tiền, mở tài khoản, vay vôn,

Cho phép quản lý tài khoản đễ dàng thông qua website hoặc ứng dụng di động

Nhanh chóng Giao dịch được xử ly nhanh chóng, tiết kiệm thời gian cho

Khách hàng không phải chịu phí di chuyển đến quây giao dịch

Ngân hàng thường miễn phí hoặc giảm phí giao dịch cho

khách hàng sử dụng dịch vụ ngân hàng trực tuyên

Tiết kiệm chỉ phí in ân hóa đơn, sao kê tài khoản

Giảm chi phí cho ngân hang do tự động hóa quy trinh giao dịch

An toàn

Hệ thống ngân hàng trực tuyến được bảo mật bằng các biện

pháp tiên tiến như mã hóa dữ liệu, tường lửa, xác thực đa yếu

Có hướng dẫn sử dung chi tiết và hỗ trợ trực tuyến 24/1

Hỗ trợ nhiều ngôn ngữ để đáp ứng nhu cầu của khách hàng

Thích hợp cho mọi đối tượng khách hàng, từ người cao tudi đến trẻ em

1.4 Xu hướng phát triển

Hệ thống ngân hàng trực tuyến đang không ngừng phát triển dé dap ứng nhu câu ngày càng cao của khách hàng Một số xu hướng phát triển nỗi bật trong thời gian tới bao gồm:

1.4.1

1.4.2

Ứng dụng di động Ứng dụng di động sẽ đóng vai trò ngày càng quan trọng trong việc cung cap dich vụ ngân hàng trực tuyên

Các ngân hàng sẽ tập trung vào việc phát triên các ứng dụng

dị động với nhiều tính năng hơn, dê sử dụng hơn và bảo mật hơn

Ứng dụng di động sẽ cho phép khách hàng thực hiện nhiều giao dich hơn, chang hạn như mở tài khoản, vay von, dau

tư

Ứng dụng di động cũng sẽ được tích hợp với các dịch vụ khác

như thanh toán di động, mua sắm trực tuyến

Thanh toán không tiếp xúc

Thanh toán không tiếp xúc sẽ trở nên phô biến hơn nhờ sự

phát triên của công nghệ thẻ chịp và ví điện tử

1.4.3

Khách hàng có thé str dụng thẻ chip hoac vi dién tr dé thanh toán tại các cửa hàng mà không cần sử dụng tiền mặt hoặc thẻ thanh toán truyền thống

Thanh toán không tiếp xúc giúp giao dịch nhanh chóng, tiện lợi và an toàn hơn

Trí tuệ nhân tạo (AT)

AI sẽ được sử dụng để cá nhân hóa trải nghiệm của khách hang, nâng cao hiệu quả hoạt động và phát hiện ø1an lận

AI có thể được sử dụng để đề xuất các sản phẩm và dịch vụ

phù hợp với nhu cầu của từng khách hàng

AI cũng có thé duoc str dung dé tu động hóa các quy trinh

giao dịch, giúp giảm thiểu chỉ phí va thời gian cho ngân hàng

AI có thê được sử dụng để phát hiện các giao địch bất thường

Mục 2

THUC TRANG AN NINH MANG CUA HE THONG NGAN

HANG TRUC TUYEN

2.1 Các mối đe dọa an ninh mang

2.1.1 Tấn công mạng Với sự phát triển của công nghệ và Internet, các cuộc tắn công mang vào hệ thống Internet Banking và ngân hàng di động ngày càng tỉnh vi và phức tạp hơn Các hacker có thé sử dụng các kĩ thuật tấn công như mã độc, tan công giả mạo hoặc tấn công từ chối dịch vụ đề tấn công vào hệ thống

và chiếm quyền điều khiển các tài khoản của khách hà 2.1.2 Tấn công từ chối dịch vụ(DoS) Tấn công từ chối dịch vụ (DoS): Tô# phạm mạng nỗ lực tấn cong làm cho tài nguyên mạng không khả dụng cho người dùng Bản chất của

các cuôd tấn công nảy nghiêm trọng đến mức cá nhân các cuôé tấn công từ

chối dịch vụ phân tán có thể sớm hạ gục không chỉ môftrang web ma con bất kỳ sự can thiệp nào từ các nhà cung cập dịch vụ Thiệt hại về vật chất

của các cuôd tần công DoS đối với các tô chức cơ sở hạ tầng quan trọng có

thé rat đáng kế Ví dụ, môttneười trả lời cuôt Điều tra Tôft phạm May tinh

và An ninh của Úc năm 2005 đã báo cáo khoản lỗ môf sự cố là 08 triệu phat sinh tir mét cud¢ tấn công DoS Các dịch vụ ngân hảng trực tuyến phải xem xét mức đôtnghiêm trọng của các cuêttấn công qua Do§ và các

mỗi đe dọa không gian mạng đối với sự tăng trưởng kinh doanh và do đó

các biện pháp nghiềm túc cần được thực hiện để cải thiện mức đôtbảo mật

và để duy trì tăng trưởng kinh doanh bền vững Cần liên tục cải thiện các lớp bảo mật cho các ứng dụng của dịch vụ ngân hàng trực tuyến và để giảm thiểu các mối đe dọa hiện có đến từ không gian mạng

2.1.3 Tấn công lừa đảo Day là trường hợp tin tặc tạo các trang web siả mạo don vi uy tin, sau đó lừa đảo người dùng cung cấp các thông tin cá nhân cho chúng

Thông thường, hình thức này được thực hiện thông qua email và dịch vụ tin nhắn thứ ba Trong trường hợp này, tín tặc thường sẽ giả mạo trang web của ngân hàng hoặc cac trang giao dịch trực tuyê, ví điện tử, và lừa

người dùng cung cấp các thông tin nhạy cảm như tài khoản và mật khẩu

đăng nhập, mã xác thực O'TP,

2.1.4 Phần mềm độc hại Phần mềm đô hại: Phần mềm đôé hại (Virus, Worms, Trojan va cac môi đe dọa khác) là môi đe dọa đáng kề nhât hiện nay khi những kẻ tôft

phạm mạng xâm nhập để có được quyền truy cập trái phép vào tài khoản của người dùng đề lấy cắp đữ liệu tài chính của người đùng Internet và các thông tin nhạy cảm Sự phát triển nhanh chóng trong các thiết bị di đông

như điện thoại thông minh và máy tính bảng dẫn đến nhiều phát triển phần

mềm đôứ hại Các ứng dụng phần mềm đôứ hại được sử dụng trong những năm qua bởi những kẻ tôt phạm mạng đã thực hiện thành công hảng tram nghin vụ gian lận trực tuyến trong kinh doanh, đặc biệt là trong lĩnh vực

ngân hàng trực tuyến dé rit ra mot lượng lớn tiền Phần mềm đôứ hại trên

điện thoại di đông là điều quan trọng cân được xem xét ở đây vì một số nên tảng di dong dang phat triển như Android được những tôt phạm mạng

khai thác cây phân mềm đôé hại Vì vậy, thách thức lớn nhất là làm sao

phát triển hệ thống phòng thủ mạnh mẽ để đủ năng lực chống lại những ứng dụng phân mém dé¢ hai, tinh vi nham vào các dịch vụ ngân hàng trực tuyến và các tô chức tải chính khác

2.1.5 Ma doc tong tién

Mã độc tống tiền được tội phạm mạng sử dụng để mã hóa dữ liệu quan trọng và yêu cầu chủ sở hữu dữ liệu phải trả tiền để có thế truy cập vào đữ liệu đó Hình thức tấn công mạng này là mối đe đọa nghiêm trọng đối với các ngân hàng Trong thời đại tiền điện tử, tội phạm an ninh mạng đặc biệt quan tâm đến việc tìm kiếm các lỗ hồng trong hệ thống phi tập trung, từ đó, chúng có thê dễ dàng lấy cắp tiền từ hệ thống giao dịch

2.1.6 Mắt dữ liệu

Thông qua việc lây cắp dữ liệu và bé khóa máy tính, những tôtphạm mạng có thê đôt nhập vào máy tính và mạng máy tính đề lấy cắp thông tin tài chính mà sau này có thể được sử dụng cho các mục đích trái phép khác

Ngày càng có nhiều phần mềm đôé hại ấn danh khác nhau có thê được sử dụng cho mục đích tân công mạng máy tính bởi những kẻ tôt phạm mạng

2.1.7 Rò rỉ dữ liệu Tội phạm mạng sẽ khai thác các lỗ hông trong phần mềm mã nguồn

mo (open-source software) nhắm xâm phạm an ninh mạng của doanh

nghiệp và điêu này có khả năng dân đền rò rỉ dữ liệu và tôn thât tài chính

2.2 Nguy cơ từ phía người dung

2.2.1 Mật khẩu yếu Người dùng có thê không tuân thủ các quy trỉnh an toàn khi quản lí tài khoản của họ, sử dụng mật khâu yêu điêu này có thê gây ra rủi ro bảo mật và bị tân công

2.2.2 Chia sé thông tin cá nhân Cùng với sự bùng nỗ của Internet cũng như smartphone và mạng xã

hội, nhiêu người dùng Việt Nam còn đề dãi khi chia sẻ thông tin dữ liệu cá

nhân Ví dụ đơn cử như tỉnh trạng Deepfake hiện nay hay những thủ đoạn lừa đảo băng công nghệ hiện đại khác như AI, Chat giả giọng đôi tượng muôn nói như thật

2.2.3 Thiếu nhận thức về an ninh mạng

Tình trạng lộ dữ liệu cá nhân diễn ra phô biến trên không gian mạng trong khi người sứ dụng chưa có ý thức bảo vệ dữ liệu cá nhân, đăng tải công khai hoặc lộ trong quá trình chuyền giao, lưu trữ, trao đổi phục vụ

hoạt động kinh doanh hoặc do biện pháp bảo vệ không tương xứng dẫn tới

bị chiếm đoạt và đăng tải công khai

2.3 Nguy cơ từ phía nội bộ

Nguy cơ nội bộ trong hệ thống ngân hàng trực tuyến là những mối de doa xuất phát từ bên trong tô chức, có thê gây tổn hại nghiêm trọng đến hoạt động kinh

doanh, uy tín và an ninh tài chính Các nguy cơ này có thê do chủ ý hoặc vô ý từ

các bên liên quan nội bộ như nhân viên, ban lãnh đạo, nhà cung cấp dịch vụ, v.v

2.3.1 Nhân viên gian lận Nhân viên øian lận là một trong những mối đe đọa nội bộ nguy hiểm nhất đối với hệ thống ngân hàng trực tuyến Họ có thể sử dụng quyền truy cập và thông tin nội bộ để trục lợi cá nhân, eây ra các thiệt hại to lớn cho

ngân hàng và khách hàng Một số hành vi gian lận phô biến của nhân viên

ngân hàng bao gồm:

« _ Đánh cắp thông tin tài khoản khách hàng: Sử dụng thông tin tài khoản

để thực hiện các øiao dịch ø1an lận như rút tiền trái phép chuyền tiền bất hợp pháp, v.v

¢ Sir dung sai hệ thống ngân hàng: Sử dụng hệ thống ngân hàng cho mục

đích cá nhân như thanh toán hóa đơn cá nhân, chuyên tiền cho người thân,

VV

« Tham nhũng: Nhận hối lộ từ khách hàng để đổi lấy các dịch vụ ưu đãi

hoặc bỏ qua các quy định

e Lira dao: Su dung các thủ đoạn gian lận để lừa đảo khách hàng hoặc ngân

hàng

2.3.2 Lỗ hỗng quản lý

Lỗ hồng quản lý là những điểm yếu trong hệ thống kiểm soát nội bộ của ngân hàng, có thê tạo cơ hội cho gian lận hoặc sai sót xảy ra Những lỗ hồng nảy có thể liên quan đến:

« - Quy trình kiểm soát: Quy trình kiểm soát nội bộ không đây đủ, thiếu hiệu

quả, hoặc không được thực hiện nghiêm túc