Các mối đe dọa ảnh hưởng đến người dùng trong quá trình sử dụng hệ thống Internet Banking/Mobile Banking của ngân hàng Vieteombank...- -- s55 ss52 8 3.2 Mất tiền oan do trục trặc hệ thốn
Trang 1BỘ CÔNG THƯƠNG TRƯỜNG ĐẠI HỌC CÔNG NGHIỆP THÀNH PHÓ HÒ CHÍ MINH
KHOA THƯƠNG MẠI DU LỊCH
Oo a
61 Yor ys
Ô Ầ
Zz
=|
“ 2
TIỂU LUẬN NHÓM MÔN: AN TOÀN THÔNG TIN
ĐÈ TÀI: TĂNG CƯỜNG TÍNH BẢO MẬT THÔNG TIN CHO KHÁCH HÀNG KHI SU DUNG INTERNET BANKING/MOBILE BANKING QUA APP CUA
NGAN HANG VIETCOMBANK
NHOM: 6
LỚP HP: DHKQ17BTT
MÃ LỚP: 422000373504
GVHD: NGÔ HỮU DŨNG
TP.HCM, ngày 19 thắng 11 năm 2023
Trang 2MỤC LỤC
LÝ DO CHỌN ĐÈ TÀI - 22c 2221111222211122221111021111122111.0 1110110 re 5 )iU0M0h co) 0 6
1 Giới thiệu về hệ thống Internet Banking/Mobile Bank Banking của ngân hàng Mai TP 6 2 Thực trạng an toàn thông tin, bảo mật thông tin hiện nay - 525222222 *5552 7 2.1 Tại Việt Nam nói chung c1 2112212211121 115111511111511 1111 1187111111111 XE+ 7 2.2 _ Trong lĩnh vực ngân hàng - c2 112112211121 121 1111112211011 81 1111111221 12kg 7
3 Các mối đe dọa ảnh hưởng đến người dùng trong quá trình sử dụng hệ thống Internet Banking/Mobile Banking của ngân hàng Vieteombank - s55 ss52 8
3.2 Mất tiền oan do trục trặc hệ thống — 8 3.3 Rủi ro lộ thông tin cá nhân - - 2 22 2221 22111211251 1511151 1111171 2821 81118 1 ca 9
4 Hậu quả nếu xảy ra rủi ro từ các mối đe đọa trên - s23 111 S151 1112215151 2ssE 9
Al Giả mạo ngân hàng - c1 2112111211211 121 111 110111011111 1111 1111111111118 1 1kg 9 4.2 Mất tiền oan do trục trặc hệ thống — 9 4.3 Rúi ro lộ thông tin cá nhân 2 20 22112111221 121 115111111111 111 1 1118111111111 xk 9
5 Giải pháp bảo mật thông tin khách hàng khi sử dụng Internet Banking/Mobile Banking của ngân hàng Vietcombank - c 22c 2212211123111 11511 221281181111 1182 xay 10 5.1 Về phía ngân hàng Vieteombank 5s + 211921 EE111121122211112121112 E12 10 5.2 Về phía người đùng 5 Sc EEE112112121111 21 1212121012121 1n re 11
sẽ .ẽ 12
Trang 3
1 Nguyễn Thị Hong Phúc | 21115131 | Phân chia nhiệm vụ, soạn nội Tốt
(nhóm trưởng) dung, chỉnh sửa word
2 | Lait Ngoc Thao 21119081 | Soạn nội dung Tốt
3 | Lê Hoài Phong 21116301 | Lam powerpoint Tốt
5 Nguyễn Đàm Bảo Ngọc | 21115481 | Soạn nội dung Tốt
Trang 4
LỜI CÁM ƠN
Đầu tiên, chúng em xin gửi lời cảm ơn chân thành đến Trường Đại học Công Nghiệp
đã đưa môn học An toàn thông tin vào chương trình piảng dạy Đặc biệt, chúng em xin gửi lời cảm ơn đến giảng viên hướng dẫn thầy Ngô Hữu Dũng truyền đạt những kiến thức quý báu cho em trong suốt thời gian học tập vừa qua Trong thời gian tham gia lớp học An toàn thông tin của thầy, chúng em đã có thêm cho mình nhiều kiến thức bổ ich, tinh than hoc tập hiệu quả, nghiêm túc về an toàn thông tin giúp chúng em có thế
tự bảo vệ mình khi tiếp xúc với môi trường công nghệ cao như hiện nay Đây chắc chắn sẽ là những kiến thức quý báu, là hành trang dé chung em có thế vững bước sau này Bộ môn An toàn thông tin là môn học thú vị, vô củng bô ích và có tính thực tế cao Đảm bảo cung cấp đủ kiến thức, sắn liền với nhu cầu thực tiễn của sinh viên trong các vấn để về bảo mật và an toàn thông tin trong quá trình tụi em tham gia vào công nghệ Tuy nhiên, do vốn kiến thức còn nhiều hạn chế và khả năng tiếp thu thực tế còn nhiều bỡ ngỡ Mặc dù chúng em đã cô gắng hết sức nhưng chắc chắn bài tiêu luận khó
có thể tránh khỏi những thiếu sót và nhiều chỗ còn chưa chính xác, kính mong thầy xem xét và góp ý để bài tiêu luận của chúng em được hoàn thiện hơn Chúng em xin chân thành cảm ơn!
Trang 5LỜI CAM ĐOAN
Với đề tài tiêu luận “Tăng cường tính bảo mật thông tin cho khách hàng khi sử dụng internet banking/mobile banking qua app cua ngan hàng Vietcombank” của nhóm chúng em nghiên cứu trong thời gian vừa qua là thành quả của quá trình học hỏi, tiếp thu kiến thức và sự hướng dẫn nhiệt tình thầy Ngô Hữu Dũng khoa Thương mại và Du lịch - Trường Đại học Công nghiệp Thành phố Hồ Chí Minh và từ kinh nghiệm thực
tế Nhóm chúng em xin cam đoan những kết quả thực hiện được thê hiện trong tiểu luận này là sản phẩm của cả nhóm và không có bất kỳ sự gian lận Toàn bộ nội dung của tiểu luận đều được trình bày dựa trên quan điểm, kiến thức hoặc tích lũy, chọn lọc
từ nhiều nguồn tài liệu có đính kèm chỉ tiết và hợp lệ
LY DO CHON DE TAI
Trang 6Hiện nay tình hình lừa đảo phô biến qua các app ngân hàng là vô cùng phô biến trong môi trường công nghệ hiện nay Những người lừa đảo họ nhắm đến những lỗ hồng trong các dữ liệu thông tin mà chúng ta cung cấp khi thực hiện các giao dịch hoặc dịch
vu dé từ đó lấy cấp thông tin và xâm nhập vào các hệ thống ngân hàng để tiễn hành cướp đoạt tai san, thủ đoạn vô cùng tính vi khiến chúng ta bị mất hết tài sản chỉ qua các đường link hoặc các web mà bọn lừa đảo đã tạo ra do đó việc tăng cường tính bảo mật thông tin là vô cùng cần thiết Thông qua đề tài “Tăng cường tính bảo mật thông tin cho khách hàng khi sử dụng internet banking/mobile banking qua app cua ngan hang vietcombank” nhóm chúng em sẽ phân tích vẻ thực trạng và các mối đe dọa mà người sử dụng sẽ sặp phải trong an toàn thông tin và những hậu quả mà nó đem lại cho doanh nghiệp cũng như khách hàng khi sử dụng dịch vụ Từ đó đưa ra những đề xuất, giải pháp nhằm giúp người sử dụng và doanh nghiệp có thê khắc phục rủi ro về các vấn đề an toan thông tin
Trang 7NỘI DUNG CHÍNH
1 Giới thiệu về hệ thống Internet Banking/Mobile Bank Banking của ngân hàng Vietcombank
Internet Banking (E-Banking, ngân hàng điện tử) là dich vụ ngân hàng trực tuyến, øiúp khách hàng quản lý tài khoản, thực hiện các giao dịch một cách nhanh chóng thông qua các thiết bị kết nối internet như điện thoại, laptop, máy tính bàn
Cac giao dich có thể thực hiện qua Internet Banking:
e_ Chuyến khoản nội bộ và liên ngân hàng
e_ Truy vấn, cập nhật thông tin tài khoản, số dư hiện có
e_ Thanh toán hóa đơn mua sắm, dịch vụ như mua vé máy bay, mua vé tàu, thanh toán hóa đơn điện nước, nạp tiền điện thoại cho thuê bao trả trước
e Nộp thuế
e©_ Mở tài khoản tiết kiệm online, tất toán tài khoản tiết kiệm
e_ Nguy cơ về an toàn thông tin có thể gặp phải là kẻ xấu có thế lợi dụng vào lỗ hồng của thông tin để đánh cắp các đữ liệu cá nhân
e _ Nguy cơ tự lộ thông tin cá nhân qua khi mua sắm
e_ Bị đánh cắp tiền va tai sản khi kẻ xâu đăng nhập được vào hệ thống ngân hàng thông qua các web
2 Thực trạng an toàn thông tin, bao mat thong tin hiện nay
2.1 Tại Việt Nam nói chung
Những dự báo trong năm 2022 và 2023, tình hình an ninh mạng ở Việt Nam đã xuất
hiện những vẫn đề như tin tặc gia tăng hoạt động tấn công mạng có chủ đích (APT) nhằm chiếm quyền điều khiển; tắn công DDoS§; tấn công bằng mã độc, nhất là mã độc tống tiền nhằm vào các hệ thống thông tin trọng yếu Mục tiêu tấn công là các cơ quan, ban noành, tập đoàn kinh tế lớn, trọng yếu, nhằm đánh cắp dữ liệu cả nhân, dữ liệu khách hàng, thông tin tài liệu bí mật nhà nước,
Ngoài ra còn có các thủ đoạn thông qua các hoạt động thương mại điện tử như: tạo lập cac trang Web, san dién tu, giao dịch,nhắn tin hay gọi điện qua các trang mạng xã hội
để quảng cáo, giới thiệu việc làm tại nhả,oiả mạo người nước ngoài mua hàng và yêu cầu người bán thực hiện bán hàng qua “øiao dịch quốc tế ảo” để đánh cắp thông tin, tai khoản của người bán
2.2 Trong lĩnh vực ngần hàng
Việc phát triển ngân hàng số đang đối mặt với nhiều vẫn để về bảo mật thông tin khách hàng, khi ngân hàng luôn là mục tiêu số một của tội phạm công nghệ Có thể nhắc đến hình thức đánh cắp thông tin phổ biến nhất là đánh cắp thông tin thông qua việc đối tượng lừa đảo thực hiện gửi nội dung thông báo kèm theo đường link qua tin nhắn SMS,email,phần mềm chat
Mặc dù đã có nhiều hình thức bảo mật nhưng việc đánh cắp thông tin cá nhân vẫn có thể xảy ra vì các máy tính truy cập có thê bị cải những mã độc, đòi hỏi cả khách hàng
và ngân hàng phải đặc biệt quan tâm đến vẫn đề bảo mật này Năm 2022, các tội phạm
Trang 8nước ngoài đã dễ dàng thâm nhập vào hệ thống máy chủ của các ngân hàng thương mại lớn của Việt Nam đề đánh cắp tiền trong tài khoản khách hàng bằng thủ đoạn là rà quét lỗ hồng bảo mật và tấn công vào hệ thống quản trị của máy chủ Các khách hàng
do thiếu hiểu biết nên đã dễ dang bị các kẻ pian lợi dụng lừa đảo, gian lận bằng thẻ tín dung dé chiếm đoạt tiền qua cách thức lừa đảo tạo website giả mạo và lừa đảo lấy thông tin
3 Các mối đe dọa ảnh hưởng đến người dùng trong quá trình sử dụng hệ thống Internet Banking/Mobile Banking của ngân hàng Vietcombank Cùng với sự phát triển mạnh mẽ của khoa học, công nghệ, Internet gần như được phú rộng khắp mọi nơi Sự bùng nỗ của thương mại điện tử, các nền tảng số các kênh ngân hàng hiện đại như internet banking, mobile banking, sms banking đang dần được đông đảo khách hàng Việt Nam biết đến và ngày cảng yêu thích sử dụng như các kênh thanh toán, p1ao dịch tiện lợi, mọi lúc mọi nơi, tiết kiệm chỉ phí và thời ø1an
Bên cạnh những tiện ích như vậy thì rủi ro đi kèm cũng không ít, khi những vấn dé về trộm cắp trên không gian mạng ngày càng gia tăng, khả năng bảo mật của ngân hàng
và người dùng chưa thật sự đáp ứng so với những chiêu trò lừa đảo, chiếm đoạt, đánh cắp tài sản của khách hàng Từ đó ảnh hướng đến tâm lý của người dùng khi thực hiện cac giao dich trén internet banking/ mobile banking Dya trén co so ly thuyét da hoc va các nghiên cứu tìm hiểu nhóm đưa ra những yếu tố rủi ro ảnh hưởng đến quá trình sử dụng hệ thống internet bankins/ mobile bankine của ngân hàng Vietcombank như sau: 3.1 Giả mạo ngân hàng:
Thủ đoạn lừa đảo được kẻ gian thực hiện bằng cách đánh cắp thông tin truy cập dịch
vụ của khách hàng: tên đăng nhập, mật khâu truy cập dịch vụ internet banking, mat khâu truy cập email cá nhân, mã xác nhận giao dịch một lần (OTP) sau đó thực hiện việc giao dịch lay cắp tiền của khách hàng dưới nhiều hình thức
Việc lừa lẫy thông tin thường được kẻ gian thực hiện bằng cách thông báo về việc khách hàng đã trúng thưởng, được Ngân hàng hoàn tiền và khách hàng cần xác nhận
để nhận lại tiền hoặc giả danh người thân/bạn bẻ trên mạng xã hội để nhờ khách hàng chuyên tiền/nạp tiền điện tử trên các kênh Ngân hàng điện tử vào tài khoản hay số điện thoại của kẻ gian đề lấy cắp tiền
3.2 Mắt tiền oan do trục trặc hệ thông
Mất tiền oan đo trục trặc hệ thống là trường hợp ngân hàng đã thông báo chuyển khoản thành công và số tiền trong tài khoản đã bị trừ Tuy nhiên tài khoản được thụ hưởng lại không nhận được số tiền đã chuyên đến
Nguyên nhân dẫn đến rủi ro: Đường truyền internet và hệ thống nhận chuyến khoản của bạn hoặc bên đối tượng thụ hưởng pặp trục trặc, hoạt động không ổn định Ngân hàng đang quá tải giao dịch hoặc đang bảo trì dẫn đến tiền không tới được bên người nhận
3.3 Rủi ro lộ thông tin cá nhân
Trang 9Vấn đề riêng tư, bảo mật đang trở thành một vấn để quan trọng trong việc sử dụng các dịch vụ ngân hàng trực tuyến Thông tin cá nhân của những người sử dụng ngân hàng trực tuyến rất có giá trị đối với các doanh nghiệp trực tuyến Do đó rat dé sây ra những tốn thất như trộm cắp thông tin, đữ liệu trong quá trình chuyển giao và thông tin cá nhân người dùng bị truy cập trái phép Rủúi ro lộ thông tin cá nhân khi thanh toán trực tuyến là tình trạng các thông tin của khách hàng như tên tuổi, ngày tháng năm sinh, số điện thoại, nơi ở, sở thích, thói quen, email, công việc, tài khoản ngân hàng, mối quan hệ bị rò ri ra bên ngoài ngân hàng
4 Hậu quả nếu xảy ra rủi ro từ các mối đe dọa trên
4.1 Giá mạo ngân hàng
Hiện nay, tình hình tội phạm sử dụng công nghệ cao để lừa đảo chiếm đoạt tài sản có nhiều diễn biến phức tạp, với nhiều phương thức, thủ đoạn gây bức xúc Có không ít người đùng nhận được tin nhắn giả mạo các ngân hàng thương mai để dẫn du vao đường link với mục đích đánh cắp thông tin, chiếm quyền quản trị tài khoản ngân hàng của người dùng Khi nạn nhân truy cập vào website và đường link siả mạo va lam theo hướng dẫn, các đối tượng sẽ thu thập các thông tin bảo mật để thực hiện các lệnh chuyền tiền và chiếm đoạt số tiền trong tài khoản
4.2 Mắt tiền oan do trục trặc hệ thông
Đôi khi khách hàng thanh toán hóa đơn thông qua tính năng Internet Banking/Mobile Banking cua VCB sé gap truong hop tiền trong tài khoản đã bị trừ nhưng hóa đơn vẫn chưa có xác nhận đã thanh toán đại diện hãng hàng không trên thừa nhận trường hợp này có sai sót và lỗi hệ thống Thông thường khi gặp các vấn đề về lỗi hệ thống thì tiền
sẽ tự động được chuyền về lại tài khoản của khách hàng Tuy nhiên vẫn sẽ có những trương hợp như người dùng chờ hoài vẫn không thấy tin nhắn báo về tài khoản là đã hoàn lại số tiền cho giao dịch không thành công đó
4.3 Rủi ro lộ thông tin cá nhân
Việc khách hàng tham gia các hoạt động giao dịch, mua bán trên mạng và cung cấp thông tin cá nhân diễn ra không ít Song ngay cả việc mua hàng trực tiếp tại những điểm bán hàng lớn, nguy cơ lộ thông tin hoặc bị bán thông tin cá nhân cũng vẫn xảy ra khi người dùng tham gia các chương trình khuyến mãi hoặc làm thủ tục vay tiền trả gop đề mua hàng Từ đó các đối tượng xấu rất dé loi dụng thông tin của khách hàng
để thực hiện những hành vi lừa đảo, chiếm đoạt tài sản, hoặc hơn là đe đọa dựng lên tình huống tống tiền Thông tin của khách hàng cũng có thể bị trao đổi mua bán
Không thé khang định được mức độ bảo mật của các phần mềm online (ví dụ như Internet Banking/Mobile Banking) cua ngan hàng nói chung và cả Vietcombank nói riêng khi hàng loạt các thông tin cá nhân bị lộ dưới nhiều hình thức khác nhau Có thé nhắc đến hình thức đánh cắp thông tin thông qua việc đối tượng lừa đảo thực hiện gửi nội dung thông báo kèm theo đường link qua tin nhắn SMS, email, phần mềm chat Thậm chí, SMS pửi về điện thoại có định dang tên và mã rất giống với thương hiệu
Trang 10của các ngân hàng đề lừa khách hàng bấm vào link và cung cấp thông tin bảo mật dịch
vu ngan hang số và dịch vụ thẻ (tên đăng nhập, số thẻ, mật khâu, mã OTP), từ đó chiếm đoạt tiền trong tải khoản của khách hàng
5 Giải pháp báo mật thông tin khách hàng khi sử dụng Internet Banking/Mobile Banking của ngân hàng Vietcombank
5.1 Về phía ngân hàng Vietcombank
- Đối với ngân hàng, cần nâng cao tính bảo mật, thường xuyên kiêm tra đề phát hiện
và triệt tiêu các trang web giả mạo Điều này giúp ngân hàng nâng cao uy tín, sự tin tưởng của khách hàng cùng như đảm bao lợi ích cho họ khi tham gia thanh toán trực tuyên
- Cần tăng cường việc chia sẻ thông tin để hạn chế rủi ro khi bị tấn công, luôn có những cảnh báo kịp thời giữa các ngân hàng, xây dựng cơ chế trao đồi, cách thức xử lý
để ứng xử trong những tình huống khẩn cấp
- Đầu tư nâng cấp hệ thống hạ tầng bảo mật đảm bảo mức độ an toàn cao nhất, trong trường hợp, khi hệ thống máy chủ của ngân hàng bị tấn công, hạn chế tối đa sự ảnh hưởng đến người dùng thông qua những hệ thống dự phòng dữ liệu hay cơ chế đối chiếu đữ liệu đề khôi phục đữ liệu khi xảy ra sự cố Có đội ngũ nhân lực trình độ cao đáp ứng yêu cầu kỹ thuật đề vận hành giải pháp một cách hiệu quả
- Đưa ra cảnh báo về các hành vi lừa đảo; khuyến cáo khách hàng chủ động bảo vệ thiết bị cá nhân và thay đôi thường xuyên mật khấu truy cập dịch vụ, email cá nhân và chỉ thực hiện đăng nhập trên website chính thức của ngân hàng và mua săm, thanh toán trực tuyến tại các trang mạng uy tín, ø1ữ bí mật tuyệt đối, bảo mật mã OTP, không cung cấp cho bất kỳ ai và bằng bất cứ hình thức nảo như nhắn tin, trả lời điện thoại không dùng tính năng ghi nhớ mật khâu tại các trình duyệt; Không truy cập các website lạ; không click vào đường link lạ được gửi qua tin nhắn, qua thư điện tử không
rõ nguồn gốc, qua mạng xã hội
- Cần tiếp tục áp dụng một số hàng rào kỹ thuật để bảo đảm sự tôn thất của người dùng trong trường hợp bị lừa đảo (chẳng hạn như quy định hạn mức chuyền tiền một lần, hạn mức chuyền tiền liên ngân hàng ) Ngay cả trong hệ thống ngân hàng chuyền tiền giữa các ngân hàng với nhau cũng cần có quy định giới hạn chuyên từng lần, từng ngày
- Tiếp tục triển khai áp dụng An toàn thông tin theo các tiêu chuẩn quốc tế như hệ thông quản lý an toàn bao mật thông tin theo tiêu chuân ISO 27001, áp dụng tiêu chuẩn an ninh đữ liệu thẻ PCI DSS, áp dụng “Khung tiêu chuẩn bảo mật khách hàng - Customer Security Framework” của SWIFT với các yêu cầu liên quan đến sự an toàn của khách hàng trong các giao dich