Đề tài an toàn trong ứng dụng di Động và giao dịch trực tuyến của ngân hàng agribank

BỘ GIÁO DỤC & ĐÀO TẠO TRƯỜNG ĐẠI HỌC CÔNG NGHIỆP TP.HCM TIỂU LUẬN MÔN HỌC: NHẬP MÔN AN TOÀN THÔNG TIN Đề tài: An toàn trong Ứng dụng di động và Giao dịch trực tuyến của Ngân Hàng A

BỘ GIÁO DỤC & ĐÀO TẠO

TRƯỜNG ĐẠI HỌC CÔNG NGHIỆP TP.HCM

TIỂU LUẬN

MÔN HỌC: NHẬP MÔN AN TOÀN THÔNG TIN

Đề tài: An toàn trong Ứng dụng di động và

Giao dịch trực tuyến của Ngân Hàng Agribank

Giảng viên hướng dẫn: Thầy Ngô Hữu Dũng

Sinh viên thực hiện: Nhóm 5

Lớp: DTMT18CTT

TP.HCM, ngày 20 tháng 11 năm 2023

Danh sách thành viên nhóm

Họ và tên: Đỗ Hoàng Thắng

MSSV: 22704191

Họ và tên: Nguyễn Phú Quý

MSSV: 22715941

Họ và tên: Lê Bá Nhật Tân

MSSV: 22704661

Họ và tên: Nguyễn Lê Thành

MSSV: 22726331

Họ và tên: Nguyễn Hoàng Lâm

MSSV: 22728701

Họ và tên: Bằng Tấn Việt

MSSV: 22720251

Họ và tên: Bạch Ngọc Minh Quang

MSSV: 22697481

Họ và tên: Nguyễn Phạm Thái Trí

MSSV: 22700441

Họ và tên: Lê Nguyên Minh

MSSV: 22718571

Bảng phân công công việc

Bảng đánh giá nhiệm vụ

Mục tiêu

nhiệm

vụ

Thời

gian

hoàn

thành

Chất lượng công việc

Hiệu suất hoàn thành

Đánh giá tổng thể

MỤC LỤC

MỞ ĐẦU -6

I Lý do chọn đề tài -6

II Ý nghĩa và tầm quan trọng bảo mật trong ứng dụng di động và giao dịch trực tuyến -6

III Mục tiêu nghiên cứu -6

CHƯƠNG 1: RỦI RO BẢO MẬT TRONG ỨNG DỤNG DI ĐỘNG -8

A Phân loại các rủi ro chính -8

1 Rủi ro về Dữ liệu Người dùng -8

1.1 Tấn công mạng: -8

1.2 Mất Mát Dữ liệu: -8

2 Rủi ro về Tấn công Phần mềm độc hại (Malware) -8

CHƯƠNG 2: RỦI RO BẢO MẬT TRONG GIAO DỊCH TRỰC TUYẾN -10

A Rủi ro trong Quá trình Thanh toán -10

I Phishing và Các kỹ thuật lừa đảo -10

II Tấn công Man-in-the-Middle (MITM) -11

1 Phương pháp Tấn công MITM: -11

2 Biện pháp Bảo mật chống lại Tấn công MITM: -11

3 Phòng ngừa và Giáo dục Người dùng: -12

4 Mã hóa Dữ liệu và Sự Tích hợp An toàn: -12

CHƯƠNG 3: BIỆN PHÁP BẢO MẬT ĐỂ BẢO VỆ THÔNG TIN KHÁCH

HÀNG -13

A.Bảo vệ Dữ liệu Người dùng trong Ứng dụng Di động -13

1 Sử dụng Kỹ thuật Mã hóa mạnh mẽ -13

2 Xác thực Hai yếu tố (2FA) cho tài khoản người dùng -13

B An toàn Trong Quá trình Thanh toán Trực tuyến -13

1 Sử dụng Giao thức HTTPS cho các trang thanh toán -13

2 Giáo dục và Phát triển Kỹ năng An toàn cho người dùng -13

C Quản lý và Bảo vệ Dữ liệu Tài khoản Ngân hàng -13

CHƯƠNG 4: THỰC HIỆN VÀ ĐÁNH GIÁ HIỆU SUẤT -15

I.Triển khai Biện pháp Bảo mật trong ứng dụng và hệ thống thanh toán -15

II Đánh giá hiệu suất của biện pháp đã triển khai -16

III Đề Xuất Cải Thiện và Điều Chỉnh: -17

CHƯƠNG 5: KẾT LUẬN -19

A Tóm tắt kết quả quan trọng -19

B Nhấn mạnh tầm quan trọng bảo mật trong ứng dụng di động và giao dịch trực tuyến -19

C Đề xuất hướng phát triển và nghiên cứu tương lai -19

MỞ ĐẦU

I Lý do chọn đề tài

 Trong bối cảnh nguy cơ mạng ngày càng tăng, việc nghiên cứu về biện pháp bảo mật trong ứng dụng di động và giao dịch trực tuyến là quan trọng để hiểu và đối mặt với những thách thức an ninh mới

 Đề tài này giúp nghiên cứu và đánh giá cách mà Ngân hàng Agribank đảm bảo

an toàn cho thông tin và tài khoản của khách hàng trong quá trình sử dụng ứng dụng di động và thực hiện giao dịch trực tuyến.Giúp áp dụng kiến thức lý thuyết vào thực tế, cung cấp cái nhìn chi tiết về cách Ngân hàng Agribank triển khai và duy trì các biện pháp bảo mật

 Thông qua việc nghiên cứu, đề tài có thể giúp nâng cao ý thức an ninh của người

sử dụng và cộng đồng, giúp họ hiểu rõ về các rủi ro và biện pháp bảo vệ

II Ý nghĩa và tầm quan trọng bảo mật trong ứng dụng di động và giao dịch trực tuyến

 Nghiên cứu về an toàn trong ứng dụng di động và giao dịch trực tuyến không chỉ

hỗ trợ ngân hàng mà còn đóng góp vào sự phát triển của ngành công nghiệp an ninh mạng và công nghệ thông tin

 Việc tập trung vào an toàn trong ứng dụng di động và giao dịch trực tuyến của Ngân hàng Agribank không chỉ là nhu cầu cấp thiết mà còn là đóng góp tích cực vào sự phát triển và duy trì uy tín của ngân hàng trong thời đại kỹ thuật số ngày nay

III Mục tiêu nghiên cứu

 Phát triển các chương trình đào tạo cho người dùng nhằm nâng cao nhận thức về

an toàn và bảo mật khi sử dụng ứng dụng di động và thực hiện giao dịch trực tuyến

 Phát triển quy trình để phản ứng nhanh chóng và hiệu quả khi có vấn đề an toàn xảy ra, bao gồm cả thông báo cho người dùng và cơ quan quản lý

 Mục tiêu nghiên cứu này nhằm mục đích bảo vệ thông tin cá nhân và tài chính của người dùng, xây dựng niềm tin từ phía khách hàng và đồng thời đảm bảo rằng ngân hàng tuân thủ các quy định về bảo mật

CHƯƠNG 1: RỦI RO BẢO MẬT TRONG ỨNG DỤNG DI ĐỘNG

A Phân loại các rủi ro chính

1 Rủi ro về Dữ liệu Người dùng

1.1 Tấn công mạng:

Mỗi ngày, các cuộc tấn công mạng ngày càng trở nên thường xuyên hơn, tinh vi hơn và gây thiệt hại lớn hơn Cho dù hacker chọn xâm nhập mạng của tổ chức bằng cách lợi dụng lỗ hổng zero-day chưa được vá, cung cấp một payload nguy hiểm để tạm dừng hoạt động của họ hoặc chặn lưu lượng mạng để đánh cắp dữ liệu, nếu tổ chức đó không chuẩn bị cho một cuộc tấn công như vậy, lợi nhuận ròng có thể bị ảnh hưởng nghiêm trọng

1.2 Mất Mát Dữ liệu:

Sự mất mát thông tin người dùng có thể xảy ra do lỗi hệ thống, tấn công mạng hoặc thậm chí là do nhân viên không tốt

Sự kiện vi phạm dữ liệu: Nếu dữ liệu người dùng bị truy cập trái phép hoặc bị đánh cắp, thông tin nhạy cảm như tên, địa chỉ, và thông tin tài khoản ngân hàng có thể bị

lộ ra ngoại trừ

2 Rủi ro về Tấn công Phần mềm độc hại (Malware)

Một khi được cài đặt thành công, malware sẽ gây ra: Ngăn cản người dùng truy cập vào một file hoặc folder quan trọng (ransomware) Cài đặt thêm những phần mềm độc hại khác Lén lút theo dõi người dùng và đánh cắp dữ liệu (spyware) Phần Mềm Độc Hại trên Ứng dụng: Các ứng dụng di động có thể bị nhiễm malware, ảnh hưởng đến hiệu suất và an toàn của người dùng

Sự Hiện Diện của Virus và Trojans: Virus và trojans có thể lợi dụng các lỗ hổng bảo mật để xâm nhập vào hệ thống, gây hại và thu thập thông tin người dùng Rủi ro về Vi phạm Quyền riêng tư

Thu Thập Dữ liệu Quá Mức: Các ứng dụng có thể thu thập thông tin cá nhân mà không có sự đồng ý rõ ràng của người dùng, vi phạm quyền riêng tư của họ Chia Sẻ Dữ liệu không An Toàn: Nếu dữ liệu cá nhân bị chia sẻ với bên thứ ba mà không được bảo vệ đúng cách, có thể dẫn đến các vấn đề về quyền riêng tư Ảnh hưởng của các rủi ro bảo mật đối với khách hàng và doanh nghiệp có thể là nặng nề và mang lại hậu quả lớn

Ảnh hưởng của các rủi ro này đối với khách hàng và doanh nghiệp

Đối với Khách hàng:

1 Mất An Toàn Tài Khoản:

Thiệt Hại Tài Chính: Nếu tài khoản của khách hàng bị tấn công và thông tin tài khoản bị đánh cắp, họ có thể mất tiền từ tài khoản của mình hoặc trải qua các giao dịch gian lận, gây ra thiệt hại tài chính

Rủi Ro Giao Dịch Trực Tuyến: Nếu thông tin đăng nhập bị đánh cắp, có thể xảy ra giao dịch trực tuyến không mong muốn, dẫn đến mất mát tài chính và mất lòng tin Gián Đoạn Dịch Vụ: Nếu tấn công phần mềm độc hại làm gián đoạn dịch vụ, khách hàng có thể gặp khó khăn khi truy cập vào tài khoản của họ, thực hiện thanh toán hoặc thậm chí làm giao dịch quan trọng

2 Mất Lòng Tin:

Việc gặp sự cố trong giao dịch trực tuyến có thể làm mất lòng tin của khách hàng đối với hệ thống và dịch vụ của ngân hàng

Đối với Doanh Nghiệp:

1 Suất Hiện Của Việc Ứng Dụng Bị Tấn Công:

Mất Uy Tín và Tín Dụng: Nếu tin tức về việc ứng dụng bị tấn công trở nên công

bố, doanh nghiệp có thể mất uy tín và tín dụng từ phía khách hàng và cộng đồng doanh nghiệp

Ảnh Hưởng Đến Cổ Phiếu và Giá Trị Thị Trường: Các vụ tấn công nghiêm trọng

có thể ảnh hưởng đến giá trị cổ phiếu của doanh nghiệp và thậm chí dẫn đến sự mất mát trên thị trường tài chính

2 Thất Bại Trong Việc Bảo Vệ Thông Tin Khách Hàng:

Phạt và Trách Nhiệm Pháp Lý: Nếu doanh nghiệp không bảo vệ được thông tin cá nhân của khách hàng, họ có thể phải đối mặt với các khoản phạt lớn từ cơ quan quản lý và tòa án, cũng như thiệt hại đến hình ảnh pháp lý của họ

Mất Khách Hàng và Doanh Số Bán Hàng: Nếu khách hàng mất lòng tin và chuyển sang ngân hàng khác, doanh nghiệp có thể mất doanh số bán hàng và khách hàng trung thành

CHƯƠNG 2: RỦI RO BẢO MẬT TRONG GIAO DỊCH TRỰC TUYẾN

A Rủi ro trong Quá trình Thanh toán

I Phishing và Các kỹ thuật lừa đảo

Có rất nhiều kỹ thuật lừa đảo khác nhau, nhưng tôi sẽ giới thiệu cho bạn một số kỹ thuật lừa đảo phổ biến nhất

1.

Phishing:

 Đây là một kỹ thuật lừa đảo trực tuyến, trong đó kẻ tấn công giả mạo một trang web hoặc một email để lừa người dùng cung cấp thông tin nhạy cảm như tên đăng nhập, mật khẩu, số thẻ tín dụng, và thông tin tài khoản ngân hàng Khi bạn cung cấp thông tin này, kẻ tấn công có thể sử dụng nó để truy cập vào tài khoản của bạn hoặc thực hiện các giao dịch trái phép Để tránh bị lừa đảo, bạn nên luôn kiểm tra URL của trang web và đảm bảo rằng nó là chính xác Bạn cũng nên tránh mở các email hoặc tệp đính kèm từ nguồn không rõ hoặc không tin cậy

2.

Spear Phishing:

 Đây là một loại phishing phức tạp và nâng cao hơn nhằm vào một nhóm hoặc thậm chí một cá nhân cụ thể Nó thường được sử dụng bởi các hacker cao cấp để xâm nhập vào các tổ chức Những kẻ lừa đảo nghiên cứu sâu rộng về nạn nhân, lý lịch của họ hoặc những người mà họ thường xuyên tương tác để có thể tạo ra một thông điệp cá nhân hơn Bởi vậy nạn nhân của nó thường không nghĩ rằng có gì đó không ổn Luôn kiểm tra địa chỉ email và định dạng của thư xem có giống những gì bạn thường nhận được từ người đó không

3.

Vishing:

 Đây là một kỹ thuật lừa đảo qua điện thoại, trong đó kẻ tấn công giả mạo một tổ chức hoặc một cá nhân để lừa người dùng cung cấp thông tin nhạy cảm Khi bạn cung cấp thông tin này, kẻ tấn công có thể sử dụng nó để truy cập vào tài khoản của bạn hoặc thực hiện các giao dịch trái phép Để tránh bị lừa đảo, bạn nên luôn kiểm tra số điện thoại của người gọi và đảm bảo rằng nó là chính xác

4.

Smishing :

 Smishing là một hình thức tấn công lừa đảo mà kẻ tấn công sử dụng tin nhắn văn bản (SMS) để gửi các thông điệp giả mạo, thường là với nội dung lừa dối,

để lừa đảo người nhận thực hiện các hành động không mong muốn, thường là

để lấy thông tin cá nhân hoặc tài khoản ngân hàng Từ "Smishing" được tạo ra bằng cách kết hợp "SMS" (Short Message Service) và "phishing" (lừa đảo trực tuyến)

5 Một kỹ thuật lừa đảo trực tuyến thông qua tin nhắn văn bản (SMS):

Smishing là một dạng của phishing, trong đó kẻ tấn công giả mạo một tin nhắn văn bản để lừa người dùng cung cấp thông tin nhạy cảm như tên đăng nhập, mật khẩu,

số thẻ tín dụng, và thông tin tài khoản ngân hàng Khi bạn cung cấp thông tin này,

kẻ tấn công có thể sử dụng nó để truy cập vào tài khoản của bạn hoặc thực hiện các giao dịch trái phép Để tránh bị lừa đảo, bạn nên luôn kiểm tra số điện thoại của người gửi và đảm bảo rằng nó là chính xác Bạn cũng nên tránh mở các tin nhắn văn bản hoặc tệp đính kèm từ nguồn không rõ hoặc không tin cậy

II Tấn công Man-in-the-Middle (MITM)

- Tấn công Man-in-the-Middle (MITM) là một loại tấn công mà kẻ tấn công chèn mình vào giữa giao tiếp giữa hai bên mà không được phép Trong ngữ cảnh bảo mật thông tin khách hàng trong ứng dụng di động và giao dịch trực tuyến, tấn công MITM có thể xảy ra khi người tấn công kiểm soát, theo dõi hoặc thậm chí sửa đổi thông tin truyền qua giữa người dùng và hệ thống mục tiêu

Dưới đây là một số chiến thuật thường được sử dụng trong tấn công MITM và biện pháp bảo mật để ngăn chặn chúng:

1 Phương pháp Tấn công MITM:

a Interception (Ngăn chặn): Người tấn công có thể "nghe" và theo dõi thông tin

truyền qua giữa người dùng và hệ thống mục tiêu

b Modification (Sửa đổi): Kẻ tấn công có thể sửa đổi dữ liệu truyền qua mà

không bị phát hiện, điều này có thể dẫn đến thay đổi thông tin giao dịch

2 Biện pháp Bảo mật chống lại Tấn công MITM:

a Sử dụng Giao thức HTTPS: Giao thức HTTPS sử dụng mã hóa để bảo vệ dữ liệu

truyền qua giữa người dùng và máy chủ, giúp ngăn chặn người tấn công từ việc đọc thông tin

b Xác thực Hai yếu tố (2FA): Sử dụng xác thực hai yếu tố để tăng cường bảo mật,

ngay cả khi thông tin đăng nhập bị kiểm soát, kẻ tấn công vẫn phải vượt qua bước xác thực bổ sung

c Giám sát Liên tục: Theo dõi hoạt động đáng ngờ và các biểu hiện của tấn công

MITM để có thể phát hiện và đối phó kịp thời

3 Phòng ngừa và Giáo dục Người dùng:

a Giáo dục người dùng: Cung cấp thông tin và hướng dẫn cho người dùng về cách

nhận biết các dấu hiệu của tấn công MITM và hành vi an toàn

b Cảnh báo An toàn: Sử dụng cảnh báo an toàn để thông báo người dùng khi có

hoạt động đáng ngờ hoặc khi họ kết nối với một trang web không an toàn

4 Mã hóa Dữ liệu và Sự Tích hợp An toàn:

a Mã hóa Dữ liệu: Sử dụng mã hóa để bảo vệ dữ liệu truyền qua, đặc biệt là trong

các giao dịch tài chính và thông tin cá nhân

b Sự Tích hợp An toàn (Secure Integration): Đảm bảo rằng tất cả các phần của hệ

thống được tích hợp an toàn, giảm khả năng bị tấn công thông qua các kết nối không an toàn

Tổng cộng, việc kết hợp nhiều biện pháp bảo mật có thể giúp ngăn chặn tấn công MITM và bảo vệ thông tin khách hàng trong môi trường ứng dụng di động và giao dịch trực tuyến

Tài liệu tham khảo :

https://owasp.org/

https://www.ncsc.gov.uk/

https://staysafeonline.org/

CHƯƠNG 3: BIỆN PHÁP BẢO MẬT ĐỂ BẢO VỆ THÔNG TIN

KHÁCH HÀNG A.Bảo vệ Dữ liệu Người dùng trong Ứng dụng Di động

1 Sử dụng Kỹ thuật Mã hóa mạnh mẽ

Ngân hàng sử dụng mã hóa mạnh mẽ để bảo vệ dữ liệu người dùng trong ứng dụng

di động Mã hóa trợ giúp biến đổi dữ liệu thành dạng không thể đọc được nếu không có chìa khóa giải mã chính xác

2 Xác thực Hai yếu tố (2FA) cho tài khoản người dùng

Sử dụng phương pháp xác thực hai yếu tố để tăng cường bảo mật tài khoản người dùng Điều này bao gồm việc sử dụng một tiện ích bổ sung phương tiện bảo mật, chẳng hạn như mã OTP (Mật khẩu một lần) hoặc thông điệp xác nhận, để đảm bảo rằng chỉ có người dùng chính xác mới có thể truy cập vào tài khoản

B An toàn Trong Quá trình Thanh toán Trực tuyến

1 Sử dụng Giao thức HTTPS cho các trang thanh toán

Đảm bảo rằng mọi giao dịch tiếp theo giữa người dùng và trang thanh toán trực tuyến đều được thực hiện thông qua giao thức HTTPS (Giao thức truyền siêu văn bản bảo mật) để mã hóa dữ liệu và ngăn chặn các mối đe dọa như tấn công man-in-the- ở giữa

2 Giáo dục và Phát triển Kỹ năng An toàn cho người dùng

Tổ chức chương trình giáo dục và phát triển kỹ năng an toàn nhằm nâng cao nhận thức của người dùng về cách rủi ro trực tuyến và bảo vệ thông tin cá nhân của họ khi sử dụng các dịch vụ thanh toán trực tuyến

C Quản lý và Bảo vệ Dữ liệu Tài khoản Ngân hàng

1 Chiến lược Quản lý Rủi ro Tài chính

Phát triển và phát triển khai chiến lược quản lý rủi ro về tài chính để giải quyết các nguy cơ có thể ảnh hưởng đến tài khoản ngân hàng của khách hàng Điều này có thể bao gồm việc đánh giá giá và giảm thiểu rủi ro qua các biện pháp an ninh hiệu quả

2 Giám sát Liên tục và Phát hiện Xâm phạm ngay lập tức

Thực hiện giám sát liên tục đối với hệ thống và tài khoản ngân hàng dữ liệu để phát hiện và phản hồi với bất kỳ hoạt động nghi ngờ hoặc xâm phạm nào ngay lập tức Hệ thống cần có khả năng phân tích nhật ký và cảnh báo để giữ an toàn thông tin khách hàng và bảo vệ khỏi các mối đe dọa mạng

Tài liệu tham khảo :

https://csrc.nist.gov/pubs/sp/800/63/b/upd2/final

https://owasp.org/www-project-mobile-app-security/

https://csrc.nist.gov/