STT Họ và tên Nhiệm vụ Đánh giá Nguyễn Quốc Bảo Các mỗi de dọa và hậu quả an toàn thông tin trong hé thong ứng dụng BIDV SmartBanking 100% Kiêu Thị Kim Duyên Tông hợp, nhận xét, chỉn
Trang 1
TRƯỜNG ĐẠI HỌC CÔNG NGHIỆP TP HỎ CHÍ MINH
KHOA CÔNG NGHỆ THÔNG TIN
là
INDUSTRIAL UNIVERSITY OF HOCHIMINHCITY
TIỂU LUẬN MÔN: AN TOÀN THÔNG TIN
CHU DE:
TANG CUONG TINH XAC THUC CHO HE THONG
UNG DUNG NGAN HANG BIDV SMARTBANKING
THONG QUA “ SINH TRAC HOC”
GIẢNG VIÊN: TS Ngô Hữu Dũng
LỚP HỌC PHẢN: 420300365906
NHÓM THỰC HIỆN: Nhóm 9
TP Hà Chí Minh, ngày 20 tháng 11 năm 2023 DANH SÁCH THANH VIÊN
Trang 2
1 | Nguyễn Quốc Bao 21005141 DHKQI7A
2 | Kiều Thị Kim Duyên 21079631 DHKQI7A
3 _ | Hồ Thị Hà Giang 21006831 DHMK17A
4 | Nguyén Ha Bich Ngoc 21067841 DHKQI7A
5 | Lé Quoc Quy 21036561
6 | Nguyén Tran Phuong Quyén 21019571 DHKQI7A
7 _ | Trân Nguyễn Ngọc Tài 21078281 DHMK17A
8 | Dang Thi Kim Thoa 21019041 DHKQI7A
9 | Bùi Thị Bích Trâm 21015981 DHKQI7A
BANG PHAN CONG VA DANH GIA NHIEM VU
Trang 3
STT Họ và tên Nhiệm vụ Đánh giá
Nguyễn Quốc Bảo Các mỗi de dọa và hậu quả an
toàn thông tin trong hé thong ứng dụng BIDV SmartBanking
100%
Kiêu Thị Kim Duyên Tông hợp, nhận xét, chỉnh sửa 100%
Ho Thi Ha Giang Kêt luận 100%
Nguyễn Hà Bích Ngọc Thực trạng và van đề thực tiễn
về các nguy cơ an toàn thông tin trong hệ thống ngân hàng hiện nay
100%
Lê Quoc Quy Phân công, thuyết trình 100%
Nguyễn Trần Phương Quyên Mục đích của tiêu luận
Giới thiệu về hệ thông ứng dụng
BIDV SmartBanking
100%
Trân Nguyễn Ngọc Tài Các giải pháp tăng cường tính
xác thực cho hệ thông ứng dụng BIDV SmartBanking thông qua
“sinh trắc học”
100%
của hệ thông
Các chức năng chính của hệ thống
100%
Trang 4
MỤC LỤC
I TÔNG QUAN VỀ ĐÈ TÀI TIỂU LUẬN 5s SE EEEExeExtetrrerren 1
1.1 Thực trạng và vấn đề thực tiễn về các nguy cơ an toàn thông tin trong hệ thống ngân hàng hiện nay Q Q0 0101211121112 tr 12101111111 111 11H kh ke 1
1.2 Mục đích của tiểu luận - S12 SE E1 1121111 1E 1 HH ng gen 1
II TONG QUAN VE HE THONG ỨNG DỤNG BIDV SMARTBANKING 2
2.2 Các thông tin, dữ liệu quan trọng của hệ thống - SE E21 22tr 3 2.3 Các chức năng chính của hệ thống "—— 3 3.1 Các mối đe dọa có thể ảnh hưởng đến an toàn của hệ thống thông tin của ứng dụng BIDV SmartBanking ccc 2211 1nn 1122 n1 ng ng KHE 1111k rea 4 3.1.1 Rủi ro bị đánh cắp thông tin qua website, fanpage giả mạo co 4 3.1.2 Tấn công từ phía haCkeF 5c ch TH HH He uy 4 3.1.3 Rúi ro từ thủ đoạn giá danh của kẻ XẤNM SH HH rêu 4 3.2 Tình huống minh họa cho các mối đe dọa có thể ảnh hưởng đến an toàn của hệ thong thông tin của ứng dụng BIDV SmartBanking 0 2 2222222212 re 5
PHAN IV CAC GIẢI PHÁP TĂNG CƯỜNG TÍNH XÁC THỰC CHO HỆ THÓNG ỨNG DỤNG BIDV SMARTBANKING QUA XÁC THỰC SINH TRÁC HỌC 52 5 1 E21 1 2n 1 12121211 net ngu nga 5 4.1 Giới thiệu về xác thực sinh trắc học - 5s: s2 E1221221 2c tre ereo 5
4.2 Các giải pháp xác thực bằng sinh trắc học cho các thông tin và chức năng của
hệ thông - Q20 1201122221 112111511011 1515111011 1k1 k1 KH KH HH kh kg 6 4.2.1 Giải pháp cho rủi ro bị đánh cắp thông tín do lộ thông tin tài khoản 6
4.2.2 Giải pháp nâng cao độ bảo mật khi bị kẻ lừa đáo mạo danh để tấn công 6 PHÂN V KẾT LUẬN 5-5 S2 TỰ HH1 HH HH grruyn 7
Trang 5I TONG QUAN VE DE TAI TIEU LUẬN
1.1 Thực trạng và vấn đề thực tiễn về các nguy cơ an toàn thông tin trong hệ thống ngân hàng hiện nay
Ngày nay, việc ứng dụng công nghệ thông tin vào mọi mặt của đời sống đã mang lại những kết quả to lớn cho xã hội, đặc biệt là những ứng dụng của mạng Internet trong thời đại thông tin hiện nay Thế nhưng những thách thức về bảo mật mạng lại nảy sinh
bởi chính bản chất của sự chia sẻ toàn cầu đó Do vậy làm sao để có những giao dịch trực
tuyến an toàn la van dé cap bach và thiết yêu!
Van đề xác thực trở thành một trong những vấn đề nóng bỏng Xác thực là xác
minh, kiêm tra một thông tin hay một thực thê nào đó để công nhận hoặc bác bỏ tính hợp
lệ của thông tin hay thực thê đó Đây là yêu cầu rất quan trọng trong các giao tiếp cần có
sự tin cậy giữa các đối tượng tham gia trao đôi thông tin Thiếu tướng Nguyễn Văn Giang (Phó Cục trưởng, Cục An ninh mạng và phòng, chống tội phạm sử đụng công nghệ cao,
Bộ Công an) cho hay từ đầu năm đến nay, đã có khoảng 4.000 vụ việc liên quan đến tan công an ninh mạng, trong đó có lĩnh vực ngân hàng như khách hàng bị lừa mắt tiền qua tài khoán do bị lừa đảo, kẻ gian mạo danh nhân viên ngân hàng hoặc gửi link giả mạo ngân hàng "Tổng thiệt hại của những vụ tân công trên khoảng 100 tỷ đồng, trong đó vụ một ngân hàng bị hacker tấn công có chủ đích gây thiệt hại 44 ty đồng Sau đó, vụ việc đã được cơ quan công an triệt phá và xử lý" Trên diễn đàn RaidForums - một diễn đàn của
hacker chuyên rao bán đữ liệu - xuất hiện bài viết của thành viên Ox1337xO rao ban 17
GB dữ liệu chứa ảnh chụp chứng minh nhân dân, căn cước công dân (mặt trước, mặt
sau), ảnh/video selfie, đi kèm dia chi, số điện thoại và email của gan 10.000 người Việt
Nam Trên đây là một trong số hàng nghìn vụ việc an toàn thông tin không được đảm bảo
1.2 Mục đích của tiểu luận
Nhận diện thực trạng an toàn thông tin của ngân hàng hiện nay về sự tăng trưởng nhanh chóng của công nghệ, nhân t6 con người, thiếu sự hợp tác giữa các bên liên quan
Trang 6Đặc biệt là các nguy cơ đe đọa an toàn thông tin đối với hệ thống thông tin ngân hàng BIDV có thê kê đến như tắn công mạng, cuộc tấn công DDOS, lừa dao tai chinh
Từ đó đề xuất các giải pháp tăng cường tính xác thực cho hệ thống thông tin ngân hàng BIDV đề đối phó với các nguy cơ trên ( tăng cường nhận thức và kỹ năng an toàn thông tin cho nhân viên, áp dụng biện pháp bảo mật, )
II TONG QUAN VE HE THONG UNG DUNG BIDV SMARTBANKING
2.1 Giới thiệu về hệ thống ứng dụng BIDV SmartBanking
BIDV SmartBanking là dịch vụ ngân hàng trên điện thoại thông mình do BIDV -
Ngân hàng Đầu tư và Phát triển Việt Nam cung cấp cho các khách hàng cá nhân nhằm hỗ
trợ các tiện ích và giao dịch tài chính - phi tài chính Dịch vụ BIDV Smart Banking cho
phép tất cả khách hàng cá nhân, người cư trú và người không cư trú, có hoặc không có tài
khoản thanh toán tại BIDV, cho dù họ có đăng ký dịch vụ BIDV Smart Banking hay không, sử dụng dịch vụ ở các cấp độ khác nhau
Một số tính năng nồi bật của BIDV SmartBanking bao gồm:
° Chuyền tiền: Chuyên tiền nhanh chóng và dễ dàng đến các tài khoản nội bộ BIDV, tài khoán ngân hàng khác và tài khoản cá nhân
° Nạp tiền điện thoại, thé cao: Nạp tiền điện thoại, thẻ cào cho các nhà mạng Viettel, MobiFone, VinaPhone, Vietnamobille,
° Thanh toán hóa đơn: Thanh toán các loại hóa đơn, như điện, nước, Internet, truyền hình cáp,
° Mua sắm online: Mua sắm online tại các trang thương mại điện tử, như Tiki, Shopee, Lazada,
của bạn
° Vay tiền: Đăng ký vay tiền online và nhận tiền ngay trong ngày
° Tài chính cá nhân: Theo dõi tài chính cá nhân, bao gồm thu nhập, chi tiêu, đầu
Trang 7` Khám phá: Nhận tin tức, khuyến mãi và ưu đãi từ BIDV
2.2 Các thông tin, dữ liệu quan trọng của hệ thống
Hệ thống thông tin của ngân hàng BIDV bao gồm các thông tin và đữ liệu quan trọng như sau:
*⁄ Thông tin về tài khoản ngân hàng: số tài khoản, số dư, lịch sử giao dich, thông tin chuyên khoản, thông tin thẻ ATM và thẻ tín dụng
v Thông tin về khách hàng: thông tin cá nhân, thông tin liên lạc, thông tin về
tài sản và thu nhập
*⁄ Thông tin về sản phâm và dịch vụ của ngân hàng: thông tin về các khoản vay, tiền gửi, bảo hiểm, đầu tư và các địch vụ khác
*⁄ Thông tin về hệ thống thanh toán: thông tin về các phương thức thanh toán,
hệ thống thanh toán trực tuyến và các dịch vụ liên quan đến thanh toán
*⁄ Thông tin về quán lý rủi ro và an ninh thông tin: thông tin về các chính sách
và quy trình quản lý rủi ro, bảo mật thông tin và các biện pháp phòng chống gian lận
v Thông tin về quản lý và điều hành hệ thống: thông tin về cơ cấu tô chức, quy trình hoạt động và các hệ thông hỗ trợ quán lý và điều hành hệ thống
2.3 Các chức năng chính của hệ thống
© Quản lý tài khoản: cho phép khách hàng quản lý tài khoản của mình, kiểm
tra số dư, lịch sử giao dịch và thực hiện các thao tác như chuyển khoản, thanh toán
hóa đơn, mua bán ngoại tệ
© Quản lý thẻ: cho phép khách hàng quản lý các loại thẻ của mình, bao gồm thẻ ATM, thẻ tín dụng và thẻ ghi nợ Khách hàng có thể kiêm tra số dư, lịch sử
giao dịch và thực hiện các thao tác như rút tiền, chuyển tiền và thanh toán bằng
thẻ
Trang 8© Quản lý vay: cho phép khách hàng quản lý các khoản vay của mình, bao gồm vay tiêu dùng, vay mua nhà và vay mua ô tô Khách hàng có thể kiểm tra
thông tin vé khoản vay, lịch sử thanh toán và thực hiện các thao tác như đóng tiền trước hạn hoặc gia hạn khoản vay
© Quản lý đầu tư: cho phép khách hàng quản lý các khoản đầu tư của mình, bao gồm tiết kiệm, trái phiêu và cổ phiêu Khách hàng có thể kiểm tra thông tin về
khoản đầu tư, lịch sử lợi nhuận và thực hiện các thao tác như rút tiền hoặc mua
bán cô phiếu
Ví dụ: Khách hàng có thê sử dụng hệ thống thông tin ngân hàng BIDV đề kiểm tra
số dư tài khoản của mình và thực hiện chuyển khoản cho người thân hoặc thanh toán hóa
đơn trực tuyến Ngoài ra, khách hàng cũng có thể quản lý các khoản vay và đầu tư của mình thông qua hệ thông này
Phần III Các mối đe dọa và hậu quả an toàn thông tin trong hệ thống ứng dụng BIDV SmartBanking
3.1 Các mối đe dọa có thể ảnh hưởng đến an toàn của hệ thống thông tin của ứng dụng BIDV SmartBanking
3.1.1 Rui ro bj danh cap thong tin qua website, fanpage gia mao
Kẻ xấu có thê mạo đanh người thân/người quen và thông báo sẽ chuyền tiền cho bạn Đề thủ đoạn trót lọt, đối tượng đó sẽ gửi cho bạn các đường link giả mạo (thường là website ngân hàng, website công ty chuyên tiền quốc tế giả mạo) và yêu cầu xác nhận thông tin
Một khi truy cập vào đường link giả mạo và cung cấp thông tin tài khoản như tên truy cập, mật khâu, mã OTP hoặc thông tin liên quan đến thẻ như số thẻ, ngày hiệu lực,
CVV/CVC-mã số bảo mật, mã OTP, bạn đã vô tình đây mình vào tình huống nguy hiểm
3.1.2 Tấn công từ phía hacker
Hacker có thê tìm cách xâm nhập vào hệ thống thông tin của ứng dụng BIDV SmartBanking để truy cập thông tin cá nhân của khách hàng hoặc thực hiện các giao dịch
Trang 9trái phép Điều này có thể đẫn đến mất cắp thông tin cá nhân, tiền tệ hoặc các tài sản khác của khách hàng
3.1.3 Rúi ro từ thủ đoạn giá danh của kẻ xấu
Có 2 nhóm đối tượng thường bị kẻ gian nhắm đến đề mạo danh là nhân viên ngân
hàng, nhân viên của tô chức cung ứng dịch vụ ví điện tử và nhân viên thuộc cơ quan công
an, tòa án, viện kiểm sát Mục đích của chúng là đánh cắp thông tin tài khoản/thông tin cá
nhân của bạn
Khi mạo danh nhân viên ngân hàng, nhân viên của tô chức cung ứng dịch vụ ví điện tử, kẻ xấu sẽ yêu cầu bạn xác thực thông tin đề nâng cấp dịch vụ
Khi mạo danh nhân viên thuộc cơ quan công an, tòa án, viện kiểm sát, kẻ xấu sẽ thông báo là bạn đang dính líu tới một vụ án nào đó và yêu cầu cung cấp thông tin để phục vụ công tác điều tra
3.2 Tình huống minh họa cho các mối đe dọa có thể ảnh hưởng đến an toàn của hệ thông thông tin của ứng dụng BIDV SmartBanking
Một người dùng tự ý tải ứng dụng BIDV Smartbanking trên các trang web, không xem hướng dẫn đã vô tình nhân vào các link giả mạo, yêu cầu người dùng cung cấp các thông tin cá nhân, mật khẩu, OTP Từ đó người dùng có thể bị đánh cấp thông tin cá
nhân, tiền bạc hoặc các tài sản khác
SmartBanking đề thực hiện giao dịch chuyền tiền Tuy nhiên, do không kiểm tra
kỹ thông tin người nhận, khách hàng đã chuyên tiền cho một tài khoản không đúng Hậu quá là điều này có thể dẫn đến mắt tiền của khách hàng và gây ra mối
đe dọa về an toàn tài chính,
> Vi dụ về hành động cô ý: Một kẻ tấn công đã lừa đảo một khách hàng đề cung cấp thông tin đăng nhập của ứng dụng BIDV SmartBanking Kẻ tấn công sau đó sử dụng thông tin này để truy cập tài khoản của khách hàng và thực
Trang 10hiện các giao dịch trái phép, bao gồm chuyên tiền và mua hàng trực tuyến Hậu quả là có thê dẫn đến mất cắp thông tin cá nhân và tài sản của khách hàng
PHAN IV CAC GIẢI PHÁP TĂNG CƯỜNG TÍNH XÁC THỰC CHO HE
THONG UNG DUNG BIDV SMARTBANKING QUA XÁC THỰC SINH TRẮC HỌC
4.1 Giới thiệu về xác thực sinh trắc học
Theo Wikipedia: “Sinh trắc học là một môn khoa học ứng dụng phân tích xác suất thông kê để nghiên cứu các hiện tượng sinh học hoặc các chỉ tiêu sinh học có thể đo lường được.”
Xác thực sinh trắc học thực hiện thông qua các dấu hiệu nhận diện như: dấu vân
tay, dái tai, võng mạc, hình đạng bàn tay, khuôn mặt hoặc chữ ký bằng văn bản Trong
do, dau vân tay là loại xác thực sinh trắc học được sử dụng pho bién va lau doi nhat
Trung Quốc thời cô đại đã sử dụng dấu vân tay như một dấu hiệu xác thực duy nhất
Với sự ra đời của công nghệ, số hóa và cơ sở dữ liệu, xác thực sinh trắc học đã tiền
lên một tầm cao mới Việc lăn tay lên mực rồi lưu trữ trên giấy đã chuyên sang quét trên máy và lưu trữ kỹ thuật số
Mỗi cá nhân đều có đặc điểm nhận diện sinh học riêng Dữ liệu sinh trắc học của
từng người được tích hợp với phần mềm, tạo ra mật khâu cho các giao dịch điện tử hoặc
mở khóa thiết bị di động Phương thức này chính là “công nghệ sinh trắc đa nhân tổ”
4.2 Các giải pháp xác thực bằng sinh trắc học cho các thông tin và chức năng của
4.2.1 Giải pháp cho rủi ro bị đănh cấp thông tín do lộ thông tín tài khoản
Xác thực sinh trắc học giảm thiểu khả năng bị đánh cắp thông tin nhờ cơ chế xác minh danh tính có độ an toàn cao là bằng các đặc điểm sinh trắc học của riêng người chủ
sở hữu tài khoản ngân hàng Khi có bắt cử lệnh hoặc thao tac nao trực tiếp ảnh hưởng làm thay đối số du tai san (giao dịch) hay thay đổi thông tin tài khoản (tên, số tài khoản, mật khâu ) sẽ ngay lập tức được hệ thống yêu cầu xác thực thao tác đó bằng Xác thực sinh trắc học Và do đó, nêu kẻ tắn công có được mật khâu và tên tài khoản thì cũng không thê