đồ án tốt nghiệp tìm hiểu giải pháp bảo mật cho giao dịch thanh toán ngân hàng qua thẻ atm

Chỉ với một chiếc thẻ ATM đã nạp tiền mang theo người, chúng ta có thể đi mua sắm, thanh toán hóa đơn điện – nước, và rất nhiều tiện ích khác nữa,...Lợi ích của nó là: giúp bạn tránh phả

PHIẾU GIAO NHIỆM VỤ ĐỒ ÁN TỐT NGHIỆP

1 Mục đích nội dung của ĐATN:

Tìm giải pháp bảo mật giao dịch thanh toán ngân hàng, cụ thể là tìm hiểu cơ chế bảomật thanh toán ngân hàng qua thẻ ATM Xây dựng thử nghiệm cơ chế bảo mật bằngphương pháp chữ ký điện tử

2 Các nhiệm vụ cụ thể của ĐATN:

- Tìm hiểu về giao dịch thanh toán ngân hàng qua thẻ ATM

- Tìm hiểu cơ chế bảo mật và lỗ hổng an ninh khi thanh toán qua thẻ ATM

- Tìm hiểu về chữ ký điện tử và ứng dụng của nó vào trong giao dịch thanh toán ngânhàng

- Xây dựng thử nghiệm)cơ chế bảo mật cho giao dịch thanh toán ngân hàng qua thẻ

3 Lời cam đoan của sinh viên:

Tôi – Quách Hoàng Trung - cam kết ĐATN là công trình nghiên cứu của bản thân tôi dưới sự hướng dẫn của ThS Lương Mạnh Bá

Các kết quả nêu trong ĐATN là trung thực, không phải là sao chép toàn văn của bất kỳcông trình nào khác

Hà Nội, 15 ngày 05 tháng năm2008

Tác giả ĐATN

Quách Hoàng Trung

4 Xác nhận của giáo viên hướng dẫn về mức độ hoàn thành của ĐATN và cho phépbảo vệ:

Hà Nội, ngày tháng năm

Giáo viên hướng dẫn

ThS Lương Mạnh Bá

Đồ án tốt nghiệp chính là cơ hội cho chúng em có thể áp dụng, tổng kết lạinhững kiến thức mà mình đã tích lũy trong suốt quá trình học tập Thông qua quá trìnhlàm đồ án, bản thân em cũng đã rút ra những kinh nghiệm thực tế hết sức quý báu Saumột học kỳ tập trung thời gian và công sức thực hiện đề tài với sự nỗ lực của bản thân

và đặc biệt với sự hướng dẫn, giúp đỡ tận tình của thầy giáo – Thạc sĩ Lương Mạnh

Bá, em đã hoàn thành đồ án một cách thuận lợi và thu được những kết quả nhất định.

Tuy nhiên, bên cạnh những kết quả đạt được chắc chắn sẽ không tránh khỏi sai lầm,thiếu sót trong quá trình thực hiện đồ án tốt nghiệp Em mong nhận được sự phản hồi

từ phía thầy cô, sự phê bình và góp ý của thầy cô sẽ là những bài học quý báu cho em

Em xin gửi lời cảm ơn chân thành và tỏ lòng biết ơn sâu sắc tới thầy giáo – Thạc

sĩ Lương Mạnh Bá, giảng viên Bộ môn Công nghệ phần mềm, Khoa Công nghệ thông

tin, Trường Đại học Bách khoa Hà nội Trong suốt thời gian thực hiện luận văn thầyluôn tạo điều kiện tốt nhất và tận tình hướng dẫn, giúp đỡ em

Em xin chân thành cảm ơn các thầy cô giáo trong Bộ môn Công nghệ phầnmềm, Khoa Công nghệ thông tin cùng toàn thể các thầy cô giáo trong trường Đại họcBách khoa Hà nội đã truyền đạt cho chúng em những kiến thức quý báu trong quá trìnhhọc tập

Em xin bày tỏ lòng biết ơn sâu sắc đến gia đình, bạn bè đã động viên khích lệ

em trong quá trình học tập cũng như trong thời gian làm đồ án tốt nghiệp

Cuối cùng, em xin kính chúc các thầy cô luôn luôn mạnh khỏe tiếp tục đạt được nhiềuthắng lợi trong sự nghiệp nghiên cứu khoa học và sự nghiệp giáo dục vĩ đại của mình

Hà nội, ngày 15 tháng 05 năm 2008

Quách Hoàng Trung

MỤC LỤC

PHIẾU GIAO NHIỆM VỤ ĐỒ ÁN TỐT NGHIỆP 1

LỜI CẢM ƠN 2

MỤC LỤC 3

DANH MỤC CÁC HÌNH VẼ 4

TÓM TẮT NỘI DUNG ĐỒ ÁN TỐT NGHIỆP 5

TÌM HIỂU VỀ GIAO DỊCH THANH TOÁN NGÂN HÀNG QUA THẺ ATM 9

CHƯƠNG 2 23

CƠ CHẾ BẢO MẬT VÀ LỖ HỔNG AN NINH KHI GIAO DỊCH QUA THẺ ATM 23

CHƯƠNG 3 32

CÁC GIẢI PHÁP BẢO MẬT, ƯU NHƯỢC ĐIỂM CỦA TỪNG GIẢI PHÁP 32

+ Visionics giới thiệu hệ thống nhận dạng khuôn mặt 40

CHƯƠNG IV 64

XÂY DỰNG GIẢI PHÁP CHỮ KÝ ĐIỆN TỬ ỨNG DỤNG VÀO THẺ ATM 64

I.CHỮ KÝ ĐIỆN TỬ 64

II.DỊCH VỤ TRUYỀN FILE 66

III.PHÂN TÍCH VÀ THIẾT KẾ 72

1 Cách làm việc của digital signature 72

2 Thuật toán mã hóa RSA 78

III.3 CÁC VẤN ĐỀ ĐẶT RA TRONG THỰC TẾ 81

1.An ninh 81

2.Quá trình tạo khóa 82

3.Tốc độ 82

4.Phân phối khóa 83

5.Tấn công 83

IV.XÂY DỰNG GIẢI PHÁP CHỮ KỸ ĐIỆN TỬ ỨNG DỤNG VÀO GIAO DỊCH THANH TOÁN NGÂN HÀNG 84

III.4 XÂY DỰNG CHƯƠNG TRÌNH VÀ MỘT SỐ KẾT QUẢ ĐẠT ĐƯỢC 86

Do hạn chế về kiến thức, thời gian và công nghệ nên em không thể xây dựng một SAT hoàn hảo đúng như mong muốn Trong đó có một số khó khăn sau: 86

1.Môi trường thực hiện 87

Chương trình chạy trên hầu hết các hệ điều hành của windows Cài đặt bằng ngôn ngữ C# trên môi trường Visual Studio 2005 87

2 Kết quả đạt được 87

Hình 26 Giao diện quá trình truyền file 93

KẾT LUẬN 94

1 Kết quả đạt được: 94

2 Hạn chế: 94

3 Hướng phát triển: 94

TÀI LIỆU THAM KHẢO 95

DANH MỤC CÁC HÌNH VẼ

TÓM TẮT NỘI DUNG ĐỒ ÁN TỐT NGHIỆP

- Tìm hiểu về giao dịch thanh toán ngân hàng qua thẻ ATM

- Cơ chế bảo mật và lỗ hổng an ninh khi giao dịch qua thẻ ATM

- Các giải pháp bảo mật, ưu nhược điểm của từng giải pháp

- Xây dựng giải pháp chữ ký điện tử ứng dụng vào giao dịch ngân hàn qua thẻ ATM

- Kết luận và hướng phát triển

ABSTRACT OF THESIS

- Study about banking payment transaction by ATM card

- Security structure and gaps in the security when ATM card transaction

- Security solutions, the advantage – weaknesses of each individual case

- To set up digital Signature solution apply for banking payment transaction by ATMcard

- Conclusion and the way of development

LỜI GIỚI THIỆU

Thế giới đã và đang bước vào kỷ nguyên của sự bùng nổ thông tin Cùng với sựphát triển như vũ bão của các phương tiện truyền thông đại chúng, lĩnh vực truyềnthông máy tính đã và đang phát triển không ngừng Không thể phủ nhận những tiện ích

to lớn mà ngành công nghệ thông tin đem lại cho đời sống ứng dụng của nhân loại.Công nghệ thông tin đã len lỏi vào từng ngõ ngách trong đời sống sinh hoạt của mọingười

Nhờ sự phát triển không ngừng của lĩnh vực công nghệ thông tin, lĩnh vực tàichính ngân hàng cũng có những bước chuyển mình mạnh mẽ Một ví dụ điển hình làquá trình giao dịch giữa ngân hàng và khách hàng trở nên đơn giản, gọn nhẹ hơn rấtnhiều sau khi ứng dụng công nghệ thông tin vào công việc quản lý Chỉ với những thaotác hết sức đơn giản khi bạn sở hữu một thẻ thanh toán ATM là bạn có thể “giao dịch”với ngân hàng mà không cần phải trực tiếp đến ngân hàng Qua đó giúp bạn tiết kiệmthời gian và ngân hàng cũng tránh được tình trạng quá tải trong trường hợp có nhiềungười cùng đến ngân hàng để trực tiếp giao dịch

Việc giao dịch giữa ngân hàng và khách hàng giờ đây không chỉ đơn thuần làgửi tiền và rút tiền Chỉ với một chiếc thẻ ATM đã nạp tiền mang theo người, chúng ta

có thể đi mua sắm, thanh toán hóa đơn điện – nước, và rất nhiều tiện ích khác nữa, Lợi ích của nó là: giúp bạn tránh phải mang quá nhiều tiền mặt, việc thanh toán trở nênnhanh gọn và chính xác, ngoài ra với khả năng giao dịch tự động 24/7, thủ tục nhanhchóng, thuận tiện, dịch vụ ATM đã và đang trở thành một phần không thể thiếu đối vớinhững người có tài khoản tại ngân hàng

Tuy nhiên bên cạnh những tiện lợi trên thì nguy cơ mất an toàn, khả năng bịđánh cắp thông tin cũng không nhỏ Bạn có thể bị kẻ xấu lợi dụng đánh cắp thông tin

và làm giả thẻ để rút sạch tiền trong tài khoản Ngân hàng có thể bị lợi dụng để rút tiềnvượt quá rất nhiều so với số dư tài khoản trong thẻ Theo thống kê thì ở Việt Nam mấynăm trở lại đây đã xảy ra rất nhiều vụ người dùng bị mất thẻ (do bị kẻ xấu lợi dụnglàm giả thẻ và rút sách tiền trong tài khoản), còn một số ngân hàng do lỗ hổng bảo mậtdẫn đến tình trạng một tài khoản có thể rút vượt quá số dư tài khoản lên đến hàng tỷđồng Chính vì vậy nhu cầu bảo mật giao dịch thanh toán qua ngân hàng nói chung vàbảo mật giao dịch thanh toán ngân hàng qua thẻ ATM nói riêng ngày càng trở nên cấpbách hơn bao giờ

Từ những luật điểm này, trong phạm vi của đồ án tốt nghiệp em đã tìm hiểu vềgiao dịch thanh toán ngân hàng qua thẻ ATM Từ đó đưa ra các giải pháp có thể ứngdụng trong việc bảo mật thanh toán ngân hàng qua thẻ ATM nhằm hạn chế kẻ xấu cóthể lợi dụng lỗ hổng an ninh để thực hiện các hành vi phạm pháp Trong các giải pháp

em đưa ra, em đi sâu về giải pháp “chữ ký điện tử” Trên cơ sở đó em tiến hành xây

dựng chương trình SAT, SAT có thể hiểu là từ được viết tắt từ cụm từ Security for ATM (Bảo vệ thẻ ATM) hoặc Digital Signature for ATM (chữ ký điện tử cho thẻ

ATM) Chương trình nhằm xây dựng thêm một lớp bảo mật nữa ngoài giải pháp xácthực người dùng hai yếu tố: Thẻ ATM (cái mà bạn có) và số PIN (cái mà chỉ có bạn

xác nhận thêm một Passcode nữa Sau khi nhập xong Passcode, dữ liệu sẽ được mã hóa

và gửi về sever để kiểm tra

Trong quá trình làm đồ án em đã cố gắng hết sức để có thể đạt được những kếtquả tốt nhất Tuy nhiên, do hạn chế về kiến thức cũng như thời gian làm đồ án chắcchắn em sẽ không tránh khỏi những thiếu sót Sự đóng góp ý kiến của các thầy cô cũngnhư bạn bè sẽ là cơ sở để em khắc phục và phát triển đồ án có tính ứng dụng cao hơnnữa, hi vọng một ngày nó có thể triển khai trong thực tế

Em xin chân thành cảm ơn tất cả những ý kiến đóng góp quý báu của thầy cô vàbạn bè

CHƯƠNG I

TÌM HIỂU VỀ GIAO DỊCH THANH TOÁN NGÂN HÀNG QUA THẺ ATM

i HỆ THỐNG THANH TOÁN NGÂN HÀNG QUA THẺ ATM

1 Lịch sử của chiếc thẻ thanh toán điện tử

ATM Là từ được viết tắt từ cụm từ Automated Teller Machine, nên được hiểu

là máy giao dịch tự động, chứ không chỉ đơn thuần là máy rút tiền tự động (Tellertrong tiếng Mỹ có nghĩa là thủ quỹ.) Ngoài giao dịch rút tiền mặt, máy còn có chứcnăng nhận tiền gửi, thanh toán không dùng tiền mặt, chuyển khoản, kiểm tra số dư tàikhoản mà không cần có sự tham gia của nhân viên ngân hàng

Thẻ ATM hiện đang được coi là một công cụ văn minh, linh hoạt, hỗ trợ kháchhàng điều hành tài khoản cá nhân của mình một cách hiệu quả, nhanh chóng, an toàn

và bảo mật Nó mang lại rất nhiều tiện ích cho khách hàng Vậy ATM đã ra đời như thếnào?

Một buổi tối năm 1949, lúc trả tiền một bữa ăn đãi khách, luật sư người Mỹ

Franck McNamara mới biết mình quên mang ví lẫn chi phiếu “Thật xấu hổ chưa từng thấy!” – Ông ta nhớ lại

Năm sau, Franck vận động 14 nhà hàng tại New York chấp nhận để mình và 200 đồngnghiệp cùng thân hữu được trả tiền bằng cách xuất trình một tấm thẻ nhỏ Diners Club– Câu lạc bộ ăn tối – ra đời và thành công nhanh chóng

Một năm sau nữa, 20.000 người đã được cấp thẻ Diners Tổ chức này bắt đầuphát triển ra nước ngoài năm 1952 Phương thức này đã được American Express bắtchước vào năm 1958, cải tiến với một tấm thẻ nhựa có khả năng thanh toán khi đi dulịch, và trong vòng năm năm đã đạt 1 triệu khách hàng

Tại Pháp, kiểu chi trả này ra đời từ sự hợp tác giữa năm ngân hàng lớn: CréditLyonnais, Société Générale, BNP, CIC, CCF Vào thời gian ấy, chi phiếu phát triểntràn lan và chuyện xử lý trở nên tốn kém Từ đó manh nha ý tưởng về một thẻ nhỏ đểthanh toán mà không cần chữ ký như những tờ séc

Khởi đầu, năm 1967, chỉ có một nhóm nhỏ người sử dụng được tuyển chọntrong số 19% chủ trương mục ngân hàng Lúc ấy, chỉ khoảng 17.000 khách sạn, nhàhàng và cửa hàng sang trọng chấp nhận kiểu chi trả này

Phần lớn các nhà buôn Pháp không thèm ngó ngàng đến một hệ thống chi trả

“chấm mút” từ 2-3% hoa hồng cho mỗi hóa đơn giao dịch trên 1 franc! Hết năm 1971chỉ có 550.000 người sử dụng thẻ thanh toán tại 40.000 cơ sở kinh doanh ở Pháp

Nhưng tiến bộ kỹ thuật đã cứu nguy cho họ: thẻ từ xuất hiện Người ta không phải xếphàng dài trước các quầy và chẳng cần chờ đợi văn phòng mở cửa

Năm 1968, Công ty Marseillaise de Crédit đưa vào phục vụ vài “cỗ máy rúttiền” Đưa vào máy một thẻ có đục lỗ do ngân hàng phát hành và gõ một mã số Máynhả ra một số tiền cố định 200 franc, dưới dạng 3 tờ 50 F và 5 tờ 10 F Chiếc thẻ đượcmáy giữ lại, và gửi trả cho khách hàng 24 giờ sau Sau đó, thẻ từ đã cho ra đời một

Thời đó trên các báo chí của Pháp tràn ngập quảng cáo theo dạng: Làm sao cóđược 500 franc vào lúc nửa đêm mà không cần phải cướp ngân hàng? Làm sao rút tiềntrương mục chỉ trong 10 giây và không cần bước vào cửa ngân hàng? Việc chế tạo vàlắp đặt một máy rút tiền khi đó còn rất đắt, từ 100.000-300.000F cho mỗi máy Vàonăm 1974 cả nước Pháp chỉ có 476 máy, còn hiện nay là 45.000

Máy rút tiền được hiện đại hóa nhưng việc chi trả qua thẻ vẫn còn nặng nề Mỗibuổi tối, các nhà buôn phải gom thu hóa đơn và chuyển đến ngân hàng, đồng thời xácminh các chi phiếu không bảo chứng

Năm 1979, nhóm Liên hiệp ngân hàng Pháp gồm: Thẻ Xanh, Crédit Agricole vàNgân hàng Bình dân cho ra đời thẻ tín dụng điện tử và việc xử lý các hóa đơn được dễdàng hơn

Những năm cuối thập niên 1970, ở Pháp, nạn cướp tiền lương tháng tại các xínghiệp đã thúc đẩy việc trả tiền qua thẻ điện tử Năm 1976, số người dùng thẻ tăng gấpđôi, lên đến 1,2 triệu người, nhưng các siêu thị vẫn còn từ chối trang bị máy rút tiền vìkhông muốn chi trả huê hồng

Tại Pháp có ba hệ thống chi trả độc lập: thẻ xanh lá của Crédit Agricole làm báchủ vùng nông thôn, thẻ xanh dương ở các thành phố và Intercarte Năm 1982, Ngânhàng Bình dân cũng dùng thẻ xanh dương 18 tháng sau, Liên minh các ngân hàng cho

ra đời thẻ Carte Bancaire (CB) Năm 1985, mọi loại thẻ ngân hàng đều được máy rúttiền chấp nhận Từ đó CB phổ biến mạnh, các siêu thị không thể từ chối được nữa Và

từ ba năm qua, thẻ thanh toán đã qua mặt việc dùng séc

Tấm thẻ chữ nhật chinh phục thế giới

1882 - American Express, một công ty bưu chính tốc hành phát triển cùng thờivới nước Mỹ, đã lao vào thị trường ngân phiếu Hệ thống chi trả từ xa này bảo đảm anninh cho các giao dịch Chỉ sau mười năm thử nghiệm, họ đã phát hành ngân phiếu dulịch

1951 - Franck McNamara nghĩ ra một tấm thẻ cho phép thanh toán hóa đơn nhàhàng, lập ra Câu lạc bộ ăn tối

1959 - Jacques de Fouchier, một nhà ngân hàng, thành lập Cetelem, một tổ chứctín dụng chi tiêu đầu tiên Sau đó, liên minh với Tập đoàn tài chính Galeries Lafayette

1972 - Các công ty dầu hỏa với mạng lưới trạm xăng dầu dày đặc cũng pháthành loại thẻ tín dụng riêng cho khách hàng ruột của mình

1974 - Ngày 1-4, Tập đoàn thẻ xanh dương của Pháp ký kết với Bank American

để phát hành thẻ tín dụng quốc tế Visa Từ nay, người Pháp có thể trả tiền ở nước ngoàinhờ tấm thẻ này Loại hình du lịch balô bùng phát

1979 - Ngày 5-2, Ngân hàng Ain đề nghị một kiểu chi trả bằng thẻ từ với mật

mã do khách hàng tự điền vào Đây là hình thức thanh toán điện tử đầu tiên

1989 - Các ngân hàng tìm cách tạo an toàn tối đa cho các giao dịch Sau bảy năm thửnghiệm, họ đã chọn việc sử dụng con bọ điện tử Nhà nghiên cứu Pháp Roland Morenohợp tác với Công ty Cii-Honeywell Bull phát minh hệ thống “bất khả xâm phạm” này

1996 - Chính phủ Pháp cho phép sử dụng một quyển sổ tiết kiệm nhỏ và một thẻrút tiền dành cho trẻ em từ 12 tuổi trở xuống giống như người lớn, ngoại trừ việc chúngkhông được phép mở ra

2007 - Trả tiền bằng điện thoại di động chẳng bao lâu sẽ được phổ biến tại Pháp,giống như ở Nhật Bản Thử nghiệm đầu tiên diễn ra tại Strasbourg giữa các ngân hàngCrédit Mutuel, CIC với nhà sản xuất Sagem Muốn trả tiền chỉ cần đưa điện thoại diđộng vào tầm phủ sóng của thiết bị thanh toán của cửa hàng Số tiền hiện lên màn hình

và khách sẽ bấm mã số của mình trên bàn phím điện thoại

2 Cấu tạo của ATM

Máy ATM có hai thiết bị đầu vào:

- Bộ phận đọc thẻ: Bộ phận này nắm bắt thông tin về tài khoản được lưu giữtrên dải băng từ ở mặt sau của thẻ ATM, thẻ nợ hoặc thẻ tín dụng Máy chủ sử dụngthông tin này truyền gửi giao dịch cho ngân hàng của chủ thẻ

- Bàn phím: Bàn phím khiến chủ thẻ có thể cho ngân hàng biết loại giao dịchnào được yêu cầu (rút tiền, vấn tin số dư ) và với số lượng bao nhiêu Về phía mình,ngân hàng yêu cầu số PIN (mã số riêng) của chủ thẻ để kiểm tra Luật Liên bang Hoa

Kỳ quy định rằng nhóm số PIN được gửi cho máy chủ dưới dạng mật mã

Máy ATM có bốn thiết bị đầu ra:

- Speaker: Speaker đưa ra cho chủ thẻ thông tin phản hồi bằng giọng nói khiphím được bấm

- Màn hình hiển thị: Màn hình hiển thị đưa ra lời nhắc cho chủ thẻ theo từngbước của quá trình giao dịch Các máy ATM thuê đường dây thường sử dụng màn hìnhđen trắng hoặc màn hình màu chân không Máy ATM quay số thường sử dụng mànhình đen trắng hoặc màn hình màu tinh thể lỏng

- In hóa đơn: Bộ phận in hóa đơn cung cấp cho chủ thẻ hóa đơn in trên giấy củagiao dịch

- Bộ phận trả tiền: Phần quan trọng nhất của một máy ATM là cơ chế trả tiền và

cơ chế an toàn Toàn bộ phần đáy của hầu hết các máy ATM nhỏ là một két sắt đểđựng tiền

Cơ chế trả tiền có một mắt điện tử để đếm mỗi tờ giấy bạc khi nó ra khỏi máytrả tiền Tổng số tờ giấy bạc và tất cả các thông tin liên quan đến một giao dịch cụ thểđược ghi vào một cuốn sổ Cuốn sổ thông tin này được in ra định kỳ và bản in trên giấyđược người chủ sở hữu máy ATM lưu giữ trong vòng hai năm Bất cứ khi nào một chủthẻ có tranh chấp về một giao dịch, anh ta có thể yêu cầu bản in chỉ ra giao dịch, và sau

đó tiếp xúc với bên sở hữu máy chủ Nếu nơi nào không cung cấp bản in từ cuốn sổ,chủ thẻ cần phải thông báo cho ngân hàng hoặc định chế phát hành thẻ biết và điền vào

một mẫu đơn và mẫu đơn này sẽ được fax cho bên sở hữu máy chủ Trách nhiệm giảiquyết tranh chấp thuộc về bên sở hữu máy chủ

Bên cạnh mắt điện tử để đếm từng tờ giấy bạc, cơ chế trả tiền cũng có một bộphận cảm biến để đánh giá độ dày của mỗi tờ tiền Nếu hai tờ tiền bị kẹt với nhau, khi

đó thay vì được trả ra cho chủ thẻ, tờ tiền này được chuyển vào một thùng loại bỏ ởtrong máy Máy cũng sẽ làm tương tự đối với các tờ tiền bị sờn, rách, bị gấp

Số lượng tờ giấy bạc bị loại bỏ cũng được ghi lại, vì thế chủ sở hữu máy có thể biếtđược chất lượng của những tờ giấy bạc được xếp vào trong máy Một tỷ lệ loại bỏ cao

sẽ cho thấy các tờ tiền hoặc cơ chế trả tiền có vấn đề

3 Nguyên tắc hoạt động trên một hệ thống máy ATM

Máy ATM đơn giản là một trạm thu nhận dữ liệu với hai thiết bị đầu vào và bốnthiết bị đầu ra Giống như bất kỳ trạm thu nhận dữ liệu nào khác, máy ATM phải kếtnối với một máy chủ (bộ xử lý chủ) và chuyển thông tin qua máy chủ này Máy chủnày tương tự như một thiết bị cung cấp dịch vụ mạng (Internet Service Provider - ISP)

ở chỗ nó là cổng vào mà qua đó tất cả các mạng lưới ATM khác nhau trở nên có thể sửdụng được đối với chủ thẻ (người muốn rút tiền)

Hầu hết các máy chủ đều có thể kết nối được với các máy ATM thuê đường dâyhoặc các máy ATM quay số Các máy thuê đường dây nối trực tiếp với máy chủ quamột đường dây điện thoại riêng gồm 4 dây, điểm nối điểm Các máy ATM quay số nốivới máy chủ qua một đường dây điện thoại thường sử dụng một modem và một số điệnthoại miễn phí, hoặc thông qua một ISP sử dụng số điện thoại địa phương qua mộtmodem

Máy ATM thuê đường dây riêng thích hợp đối với các điểm giao dịch số lượnglớn vì khả năng giao dịch nhanh và máy ATM quay số thích hợp với các điểm bán lẻnơi mà chi phí là một yếu tố quan trọng hơn là tốc độ giao dịch Chi phí ban đầu chomột máy quay số chỉ chưa bằng một nửa chi phí ban đầu cho một máy thuê đường dây.Các chi phí hoạt động hàng tháng của một máy quay số chỉ là một phần nhỏ so với chiphí hoạt động của một máy thuê đường dây

Máy chủ có thể do một ngân hàng hoặc một tổ chức tài chính sở hữu, hoặc cóthể do một nhà cung cấp dịch vụ độc lập sở hữu Máy chủ do ngân hàng sở hữu thườngchỉ phục vụ các máy ATM của ngân hàng, trong khi đó máy chủ độc lập phục vụ chocủa những đơn vị chấp nhận thẻ

Thông thường thì:

- Hệ thống máy ATM dùng mạng VPN, mạng này được ngân hàng thuê line điệnthoại của các nhà cung cấp, thường là của VNPT vì nó có mạng lưới rộng Tức là sửdụng riêng line này để kết nối thẳng tới Hội Sở của Ngân hàng (Trung Tâm Thẻ)

- Mọi hoạt động trên máy ATM (rút tiền, in sao khê, ) đều được ghi vào Logfiletrên máy ATM (bằng giấy và ngay trên máy tính), để Ngân hàng có thể lấy file thôngtin đó về Hội Sở kiểm tra, xem xét nếu có bất kì sự cố gì xảy ra

- Dữ liệu từ máy ATM tới Ngân hàng đều được mã hoá, thường là dùng hệ thống16bit, nhưng nay có một số Ngân hàng trang bị hiện đại hơn, mã hoá trên bộ 32bit (nhưngân hàng Vietcombank, Techcobank, ) đảm bảo bảo mật thông tin hơn Mã hoá sẽ

dựa trên 1 key (khóa) được cung cấp từ Hội Sở cho mỗi máy, chứ không dùng chunggiống nhau cho tất cả máy ATM trên hệ thống của Ngân hàng, do đó thông tin cực kìbảo mật.

4 Làm sao để có được một tấm thẻ ATM ở Việt Nam

Ngày nay, việc sở hữu một tấm thẻ ATM là chuyện hết sức đơn giản Ngoài rabạn còn có rất nhiều sự lựa chọn: chọn loại thẻ nào và chọn ngân hàng nào, bởi ở Việtnam hiện nay có rất nhiều ngân hàng (Vietcombank, Vietinbank, Agribank,Techcombank, VPbank, BIVbank, ABbank, FPTbank, Militarybank, Maritimebank,ACBbank, Dongabank, Saigonbank, Eximbank, HaBuBank, Citibank, Sacombank,Oceanbank, HSBC, ) Sau khi đã lựa chọn được loại thẻ và lựa chọn được ngân hàngphù hợp với mục đích sử dụng, bạn chỉ cần mang CMT (kèm theo bản photocopy) vàđóng một khoản phí làm thẻ cho ngân hàng đó họ sẽ hướng dẫn bạn cụ thể bạn làm thẻATM

Trong cơ sở dữ liệu (database) quản lý khách hàng của hầu hết các ngân hàng ởViệt Nam hiện nay họ đều lưu trữ các thông tin sau:

- Email và điện thoại (nếu có)

Tất cả các thông tin này được coi là “cơ sở” để xác nhận chủ thẻ của kháchhàng, nếu bạn bị mất thẻ và cần khôi phục lại thẻ thì bạn phải cung cấp các thông tintrên để chứng thực bạn là chủ thẻ Vậy sẽ thật là tai hại nếu hoặc bạn hoặc ngân hàng

để lộ các thông tin trên vào tay kẻ xấu

5 Cách thức giao dịch thanh toán ngân hàng qua thẻ ATM

Hình 1 Giao dịch với ngân hàng bằng thẻ ATM

Từ hình minh họa trên ta có thể thấy cách thức giao dịch bằng thẻ ATM củangười dùng với ngân hàng được thực hiện qua các điểm giao dịch có đặt máy rút tiền

tự động ATM Người dùng phải có thẻ và mật khẩu (số pin) mới có thể tiến hành giaodịch

Khi bạn đút thẻ vào máy ATM, nó sẽ bắt bạn phải nhập mã pin Nếu bạn nhậpđúng mã pin thì dữ liệu từ máy ATM sẽ được gửi tới ngân hàng, các dữ liệu này đềuđược mã hóa thương dùng hệ thống 16bit (hiện đại hơn là dùng 32bit) Sau khi tiếnngân hàng nhận được dữ liệu từ máy ATM sẽ tiến hàng giải mã và kiểm tra các thôngtin về thẻ ATM Nếu mọi thông tin đều chính xác thì bạn có thể giao dịch bình thường Xin lưu ý, hầu hết các ngân hàng đều chỉ cho phép bạn nhập tối đa 3 lần mã pin, nếusau 3 lần mà bạn vẫn nhập sai thì ngay lập tức thẻ của bạn sẽ bị “nuốt” luôn tại điểmgiao dịch đó Đây cũng là một biện pháp bảo vệ để tránh tìm trạng các hacker mũ đen

dò tìm mật khẩu Dù thực tế cho thấy cách “bảo vệ” này không hiệu quả mà chỉ có tínhchất “hạn chế” tối đa các nguy cơ gây ra tình trạng bị đánh cắp thông tin rồi làm giảthẻ

Kết luận: Khi một chủ thẻ muốn thực hiện một giao dịch ATM, anh ta nhập vào

những thông tin cần thiết thông qua bộ phận đọc thẻ và bàn phím Máy ATM gửi thôngtin này cho máy chủ, máy chủ sẽ truyền yêu cầu giao dịch đến ngân hàng hoặc địnhchế phát hành thẻ của chủ thẻ Nếu chủ thẻ yêu cầu tiền mặt, máy chủ tạo ra một giaodịch chuyển tiền điện tử từ tài khoản séc của khách hàng sang tài khoản của bên sở hữumáy chủ Khi tiền đã được chuyển đến tài khoản tại ngân hàng của bên sở hữu máychủ, máy chủ gửi một mã số chấp thuận cho máy ATM ra lệnh cho máy trả tiền Sau đóqua trung tâm thanh toán bù trừ, máy chủ thực hiện chuyển tiền của chủ thẻ sang tàikhoản của đơn vị chấp nhận thẻ thông thường là vào ngày làm việc hôm sau Bằngcách này, đơn vị chấp nhận thẻ được hoàn lại tất cả số tiền mà máy ATM đã trả

6 Lợi ích của việc sử dụng giao dịch thanh toán ngân hàng qua thẻ ATM

Việc giao dịch thanh toán ngân hàng qua thẻ ATM có những lợi ích gì? Tại saocác ngân hàng lại phải tốn kém chi phí để đầu tư cho hệ thống máy rút tiền tự động? Tất cả những gì các ngân hàng đã và đang làm đều hướng đến một mục tiêu là đem đếncho khách hàng của họ những dịch vụ tốt nhất Chính vì vậy việc ứng dụng công nghệthông tin vào lĩnh vực tài chính là một xu hướng tất yếu Điển hình như việc giao dịchgiữa khách hàng với ngân hàng bằng thẻ ATM sẽ mang lại những lợi ích sau:

- An toàn: Giúp các bạn cất giữ tiền, tránh mất mát Thuận tiện trong lưuthông: các bạn không cần phải cất giữ nhiều tiền mà khi cần các bạn có thể rúttiền tại các điểm đặt máy ATM của Ngân hàng nếu bạn có tài khoản tại ngânhàng

- Do công đoạn giao dịch (bao gồm: thanh toán tiền, gửi tiền, rút tiền,chuyển khoản, ) được thực hiện qua máy móc đã được lập trình sẵn nên độchính xác sẽ cao hơn

- Giúp giảm bớt tình trạng quá tải khi bạn giao dịch trực tiếp tại các ngânhàng Nếu chưa có các điểm giao dịch ATM thì hàng ngày các ngân hàng sẽphải tiếp nhận hàng nhìn lượt giao dịch, các nhân viên ngân hàng phải thực hiệnnhiều giao dịch sẽ dẫn đến mệt mỏi và làm việc sẽ không hiệu quả và chính xác.Khách hàng sẽ khó chịu vì phải xếp hàng chờ đợi lâu để đến lượt giao dịch

- Hầu hết hiện nay các ngân hàng đều cho phép khách hàng có thể thanhtoán hóa đơn điện nước, điện thoại, hóa đơn mua sắm, bằng thẻ ATM

- Nếu bằng phải đi đâu xa bằng tàu xe, thay vì phải bảo quan rất nhiều tiềnmặt thì bạn chỉ cần phải “bảo quản” duy nhất tấm thẻ ATM Bởi hầu hết cácngân hàng hiện nay đều liên kết với nhau và các điểm đặt máy rút tiền tự động

có mặt ở khắp mọi nơi Chính vì vậy nếu phải đi đâu xa và dài ngày, bạn cũng

sẽ không lo phải mang nhiều tiền cho đủ chi tiêu Chỉ cần có một tấm thẻ ATM

đã nạp sẵn tiền, bạn có thẻ giúp tiền ở bất cứ đâu, có thể thanh toán các dịch vụbằng thẻ ATM mà ngân hàng cung cấp

- Bạn có thể gửi tiền cho bất kỳ ai ở đâu bằng hình thức chuyển khoản màkhông phải đến ngân hàng “xếp hàng” cho đến lượt Chỉ cần bạn ra các điểmgiao dịch ATM, hầu hết các ngân hàng đều có dịch vụ chuyển khoản bằng thẻATM

- Thuận tiện trong việc gởi, rút: Các bạn có thể gởi và rút tiền một cáchnhanh chóng tại ngân hàng nơi bạn mở tài khoản

- Để thuận tiện cho gia đình và người thân khi gởi tiền vào tài khoản chobạn, chỉ cần cung cấp thông tin:

+ Tên ngân hàng nơi bạn mở tài khoản

+ Tên chủ tài khoản

+ Số ký hiệu tài khoản

Chỉ cần 3 thông tin đó thì gia đình hoặc bất kỳ ai cũng có thể gởi tiền vào tàikhoản cho bạn ở tại bất kỳ ngân hàng nào Nhưng nếu gởi tiền vào ngân hàng khôngtrực thuộc chi nhánh nơi bạn mở tài khoản thì mất phí chuyển tiền, còn nếu gởi tiền

vào ngân hàng nơi bạn mở tài khoản hoặc các chi nhánh trực thuộc ngân hàng đó thìkhông mất phí.

Khi bạn chuyển tiền qua hệ thống ngân hàng thì phí chuyển tiền thấp hơn, vàthời gian chuyển tiền nhanh hơn so với bưu điện Phí chuyển tiền tùy thuộc vào từngngân hàng Thời gian chuyển có thể trong vòng từ 30 phút, hoặc chậm nhất là 2 ngày

ii CƠ BẢN VỀ MẠNG RIÊNG ẢO VPN

Hệ thống máy ATM thường dùng mạng riêng ảo VPN để thực hiện các kết nối.

Do vậy việc hiểu rõ về mạng VPN sẽ giúp ta xây dựng một hệ thống thanh toán được tốt hơn.

1 Khái niệm

VPN được viết tắt từ cụm từ Virtual Private Network, được thiết kế cho những

tổ chức có xu hướng tăng cường thông tin từ xa vì địa bàn hoạt động rộng (trên toànquốc hay toàn cầu) Tài nguyên ở trung tâm có thể kết nối đến từ nhiều nguồn nên tiếtkiệm được được chi phí và thời gian

Về cơ bản, VPN là một mạng riêng sử dụng hệ thống mạng công cộng (thường là Internet) để kết nối các địa điểm hoặc người sử dụng từ xa với một mạng LAN ở trụ sở trung tâm Thay vì dùng kết nối thật khá phức tạp như đường dây thuê bao số, VPN tạo

ra các liên kết ảo được truyền qua Internet giữa mạng riêng của một tổ chức với địa điểm hoặc người sử dụng ở xa

2 Phân loại VPN

Có hai loại phổ biến hiện nay là VPN truy cập từ xa (Remote-Access ) và VPNđiểm-nối-điểm (site-to-site)

• VPN truy cập từ xa còn được gọi là mạng Dial-up riêng ảo (VPDN), là một kết

nối người dùng-đến-LAN, thường là nhu cầu của một tổ chức có nhiều nhân viên cầnliên hệ với mạng riêng của mình từ rất nhiều địa điểm ở xa Ví dụ như công ty muốnthiết lập một VPN lớn phải cần đến một nhà cung cấp dịch vụ doanh nghiệp (ESP).ESP này tạo ra một máy chủ truy cập mạng (NAS) và cung cấp cho những người sửdụng từ xa một phần mềm máy khách cho máy tính của họ Sau đó, người sử dụng cóthể gọi một số miễn phí để liên hệ với NAS và dùng phần mềm VPN máy khách đểtruy cập vào mạng riêng của công ty Loại VPN này cho phép các kết nối an toàn, cómật mã

Hình 2 Một mô hình mảng riêng ảo VPNHình minh họa cho thấy kết nối giữa Văn phòng chính và "Văn phòng" tại giahoặc nhân viên di động là loại VPN truy cập từ xa).

• VPN điểm-nối-điểm là việc sử dụng mật mã dành cho nhiều người để kết nối

nhiều điểm cố định với nhau thông qua một mạng công cộng như Internet Loại này cóthể dựa trên Intranet hoặc Extranet Loại dựa trên Intranet: Nếu một công ty có vài địađiểm từ xa muốn tham gia vào một mạng riêng duy nhất, họ có thể tạo ra một VPNintranet (VPN nội bộ) để nối LAN với LAN Loại dựa trên Extranet: Khi một công ty

có mối quan hệ mật thiết với một công ty khác (ví dụ như đối tác cung cấp, kháchhàng ), họ có thể xây dựng một VPN extranet (VPN mở rộng) kết nối LAN với LAN

để nhiều tổ chức khác nhau có thể làm việc trên một môi trường chung

Trong hình minh họa trên, kết nối giữa Văn phòng chính và Văn phòng từ xa làloại VPN Intranet, kết nối giữa Văn phòng chính với Đối tác kinh doanh là VPNExtranet

3 Bảo mật trong VPN

Tường lửa (firewall) là rào chắn vững chắc giữa mạng riêng và Internet Bạn có

thể thiết lập các tường lửa để hạn chế số lượng cổng mở, loại gói tin và giao thức đượcchuyển qua Một số sản phẩm dùng cho VPN như router 1700 của Cisco có thể nângcấp để gộp những tính năng của tường lửa bằng cách chạy hệ điều hành Internet Cisco

Mật mã truy cập là khi một máy tính mã hóa dữ liệu và gửi nó tới một máy tính

khác thì chỉ có máy đó mới giải mã được Có hai loại là mật mã riêng và mật mãchung

Mật mã riêng (Symmetric-Key Encryption): Mỗi máy tính đều có một mã bí mật

để mã hóa gói tin trước khi gửi tới máy tính khác trong mạng Mã riêng yêu cầu bạnphải biết mình đang liên hệ với những máy tính nào để có thể cài mã lên đó, để máytính của người nhận có thể giải mã được

Mật mã chung (Public-Key Encryption) kết hợp mã riêng và một mã công cộng

Mã riêng này chỉ có máy của bạn nhận biết, còn mã chung thì do máy của bạn cấp chobất kỳ máy nào muốn liên hệ (một cách an toàn) với nó Để giải mã một message, máytính phải dùng mã chung được máy tính nguồn cung cấp, đồng thời cần đến mã riêngcủa nó nữa Có một ứng dụng loại này được dùng rất phổ biến là Pretty Good Privacy(PGP), cho phép bạn mã hóa hầu như bất cứ thứ gì

Giao thức bảo mật giao thức Internet (IPSec) cung cấp những tính năng an ninh

cao cấp như các thuật toán mã hóa tốt hơn, quá trình thẩm định quyền đăng nhập toàndiện hơn

IPSec có hai cơ chế mã hóa là Tunnel và Transport Tunnel mã hóa tiêu đề(header) và kích thước của mỗi gói tin còn Transport chỉ mã hóa kích thước Chỉ những

hệ thống nào hỗ trợ IPSec mới có thể tận dụng được giao thức này Ngoài ra, tất cả cácthiết bị phải sử dụng một mã khóa chung và các tường lửa trên mỗi hệ thống phải cócác thiết lập bảo mật giống nhau IPSec có thể mã hóa dữ liệu giữa nhiều thiết bị khácnhau như router với router, firewall với router, PC với router, PC với máy chủ

4 Máy chủ AAA

AAA là viết tắt của ba chữ Authentication (thẩm định quyền truy cập),Authorization (cho phép) và Accounting (kiểm soát) Các server này được dùng đểđảm bảo truy cập an toàn hơn Khi yêu cầu thiết lập một kết nối được gửi tới từ máykhách, nó sẽ phải qua máy chủ AAA để kiểm tra Các thông tin về những hoạt độngcủa người sử dụng là hết sức cần thiết để theo dõi vì mục đích an toàn

5 Sản phẩm công nghệ dành cho VPN

Tùy vào loại VPN (truy cập từ xa hay điểm-nối-điểm), bạn sẽ cần phải cài đặt những bộ phận hợp thành nào đó để thiết lập mạng riêng ảo Đó có thể là:

- Phần mềm cho desktop của máy khách dành cho người sử dụng từ xa

- Phần cứng cao cấp như bộ xử lý trung tâm VPN hoặc firewall bảo mật PIX

- Server VPN cao cấp dành cho dịch vụ Dial-up

- NAS (máy chủ truy cập mạng) do nhà cung cấp sử dụng để phục vụ người

sử dụng từ xa

- Mạng VPN và trung tâm quản lý

6 Hoạt động của VPN

Bộ xử lý trung tâm VPN

Có nhiều loại máy xử lý VPN của các hãng khác nhau, nhưng sản phẩm củaCisco tỏ ra vượt trội ở một số tính năng Tích hợp các kỹ thuật mã hóa và thẩm địnhquyền truy cập cao cấp nhất hiện nay, máy xử lý VPN được thiết kế chuyên biệt choloại mạng này Chúng chứa các module xử lý mã hóa SEP, cho phép người sử dụng dễdàng tăng dung lượng và số lượng gói tin truyền tải Dòng sản phẩm có các modelthích hợp cho các mô hình doanh nghiệp từ nhỏ đến lớn (từ100 cho đến 10.000 điểmkết nối từ xa truy cập cùng lúc).

Router dùng cho VPN

Thiết bị này cung cấp các tính năng truyền dẫn, bảo mật Dựa trên hệ điều hànhInternet IOS của mình, hãng Cisco phát triển loại router thích hợp cho mọi trường hợp,

từ truy cập nhà-tới-văn phòng cho đến nhu cầu của các doanh nghiệp quy mô lớn

Tường lửa PIX của Cisco

Firewall trao đổi Internet riêng (Private Internet Exchange) bao gồm một cơ chếdịch địa chỉ mạng rất mạnh, máy chủ proxy, bộ lọc gói tin, các tính năng VPN và chặntruy cập bất hợp pháp

Thay vì dùng IOS, thiết bị này có hệ điều hành với khả năng tổ chức cao, xoay

sở được với nhiều giao thức, hoạt động rất mạnh bằng cách tập trung vào IP

Hầu hết các VPN đều dựa vào kỹ thuật gọi là Tunneling để tạo ra một mạng riêng trênnền Internet Về bản chất, đây là quá trình đặt toàn bộ gói tin vào trong một lớp header(tiêu đề) chứa thông tin định tuyến có thể truyền qua hệ thống mạng trung gian theonhững "đường ống" riêng (tunnel)

Khi gói tin được truyền đến đích, chúng được tách lớp header và chuyển đến cácmáy trạm cuối cùng cần nhận dữ liệu Để thiết lập kết nối Tunnel, máy khách và máychủ phải sử dụng chung một giao thức (tunnel protocol)

Giao thức của gói tin bọc ngoài được cả mạng và hai điểm đầu cuối nhận biết.Hai điểm đầu cuối này được gọi là giao diện Tunnel (tunnel interface), nơi gói tin đivào và đi ra trong mạng

Kỹ thuật Tunneling yêu cầu 3 giao thức khác nhau:

- Giao thức truyền tải (Carrier Protocol) là giao thức được sử dụng bởi mạng có

- Giao thức mã hóa dữ liệu (Encapsulating Protocol) là giao thức (như GRE,IPSec, L2F, PPTP, L2TP) được bọc quanh gói dữ liệu gốc

- Giao thức gói tin (Passenger Protocol) là giao thức của dữ liệu gốc đượctruyền đi (như IPX, NetBeui, IP)

Người dùng có thể đặt một gói tin sử dụng giao thức không được hỗ trợ trênInternet (như NetBeui) bên trong một gói IP và gửi nó an toàn qua Internet Hoặc, họ

có thể đặt một gói tin dùng địa chỉ IP riêng (không định tuyến) bên trong một gói khácdùng địa chỉ IP chung (định tuyến) để mở rộng một mạng riêng trên Internet

Kỹ thuật Tunneling trong mạng VPN điểm-nối điểm

Trong VPN loại này, giao thức mã hóa định tuyến GRE (Generic RoutingEncapsulation) cung cấp cơ cấu "đóng gói" giao thức gói tin (Passenger Protocol) đểtruyền đi trên giao thức truyền tải (Carier Protocol) Nó bao gồm thông tin về loại góitin mà bạn đnag mã hóa và thông tin về kết nối giữa máy chủ với máy khách Nhưng

IPSec trong cơ chế Tunnel, thay vì dùng GRE, đôi khi lại đóng vai trò là giao thức mãhóa IPSec hoạt động tốt trên cả hai loại mạng VPN truy cập từ xa và điểm- nối-điểm.Tất nhiên, nó phải được hỗ trợ ở cả hai giao diện Tunnel

Hình 3 Sơ đồ Site to Site VPN

Kỹ thuật Tunneling trong mạng VPN truy cập từ xa

Với loại VPN này, Tunneling thường dùng giao thức điểm-nối-điểm PPP(Point-to-Point Protocol) Là một phần của TCP/IP, PPP đóng vai trò truyền tải cho cácgiao thức IP khác khi liên hệ trên mạng giữa máy chủ và máy truy cập từ xa Nói tómlại, kỹ thuật Tunneling cho mạng VPN truy cập từ xa phụ thuộc vào PPP

Các giao thức dưới đây được thiết lập dựa trên cấu trúc cơ bản của PPP và dùngtrong mạng VPN truy cập từ xa

L2F (Layer 2 Forwarding) được Cisco phát triển L2 F dùng bất kỳ cơ chế thẩm

định quyền truy cập nào được PPP hỗ trợ

PPTP (Point-to-Point Tunneling Protocol) được tập đoàn PPTP Forum phát

triển Giao thức này hỗ trợ mã hóa 40 bit và 128 bit, dùng bất kỳ cơ chế thẩm địnhquyền truy cập nào được PPP hỗ trợ

L2TP (Layer 2 Tunneling Protocol) là sản phẩm của sự hợp tác giữa các thành

viên PPTP Forum, Cisco và IETF Kết hợp các tính năng của cả PPTP và L2F, L2TP

cũng hỗ trợ đầy đủ IPSec L2TP có thể được sử dụng làm giao thức Tunneling chomạng VPN điểm-nối-điểm và VPN truy cập từ xa Trên thực tế, L2TP có thể tạo ra mộttunnel giữa máy khách và router, NAS và router, router và router So với PPTP thìL2TP có nhiều đặc tính mạnh và an toàn hơn.

Ví dụ: Cài đặt mạng VPN loại truy cập từ xa theo giao thức Tunneling

điểm-nối-điểm (PPTP)

Hình 4 Mô hình VPN truy cập từ xa đơn giản hóa với 5 máy tính

VPN ở đây được đơn giản hóa với 5 máy tính cần thiết đóng các vai trò khácnhau trong một mạng riêng ảo

- Máy tính chạy Windows Server 2003, phiên bản Enterprise Edition, đặt tên làDC1, hoạt động như một trung tâm điều khiển domain (domain controller), một máychủ DNS (Domain Name System), một máy chủ DHCP (Dynamic Host ConfigurationProtocol) và một trung tâm chứng thực CA (certification authority)

- Máy tính chạy Windows Server 2003, bản Standard Edition, mang tên VPN1,hoạt động như một máy chủ VPN VPN1 được lắp đặt 2 adapter mạng

- Máy tính chạy Windows Server 2003, bản Standard Edition, mang tên IAS1,hoạt động như một máy chủ quản lý người sử dụng truy cập từ xa RADIUS (RemoteAuthentication Dial-in User Service)

- Máy tính chạy Windows Server 2003, bản Standard Edition, mang tên IIS1,hoạt động như một máy chủ về web và file

- Một máy tính chạy Windows XP Professional, mang tên CLIENT1, hoạt độngnhư một máy khách truy cập từ xa

Ở đây có các phân đoạn mạng Intranet dành cho mạng LAN của công ty vàphân đoạn mạng Internet Tất cả các máy tính ở Intranet được kết nối với một HUB(máy chủ truy cập) hoặc switch Layer 2 Tất cả các máy tính trên mạng Internet đượckết nối với một HUB hoặc switch Layer 2 Ta sử dụng các địa chỉ 172.16.0.0/24 choIntranet; địa chỉ 10.0.0.0/24 cho Internet IIS1 chứa cấu hình địa chỉ IP, sử dụng giaothức DHCP CLIENT1 cũng dùng giao thức DHCP cho cấu hình địa chỉ IP nhưng cũngđược xác định bằng một cấu hình IP khác để có thể đặt trên mạng Intranet hoặcInternet

(a) Một thẻ ATM (ATM card)

(b) Một mã số cá nhân hay còn được gọi là PIN (Personal IdentificationNumber)

Ở đây, nếu một ai đó muốn rút được tiền của người khác thì bắt buộc phải có đủ

cả hai yếu tố này là thẻ ATM và số PIN Nếu chủ sở hữu có bị mất thẻ thì người cầmthẻ cũng không thể rút được tiền ra hay nếu có đánh cắp được số PIN thì cũng phải cóthẻ ATM mới có thể tiến hành rút tiền được Đây cũng là một giải pháp xác thực ngườidùng hai yếu tố Hai yếu tố ở đây là: thẻ ATM (cái mà bạn có) và số PIN (cái mà chỉ cóbạn biết)

Vậy ta có thể hiểu nôm na việc “bảo mật” giao dịch của các ngân hàng qua thẻATM là giải pháp xác thực người dùng hai yếu tố: Thẻ ATM (cái mà bạn có) và số PIN(cái mà chỉ có bạn biết) Do đó một kẻ xấu muốn ăn cắp tài khoản từ thẻ của một ai đóthì bắt buộc phải có tối thiểu hai điều kiện trên

II LỖ HỔNG AN NINH TRONG BẢO MẬT GIAO DỊCH THANH TOÁN QUA THẺ ATM CỦA CÁC NGÂN HÀNG HIỆN NAY

Ngoài những lợi ích mà ngân hàng đưa ra thì, một câu hỏi đặt ra đối với khách hàng sử dụng giao dịch thanh toán ngân hàng qua thẻ ATM là: Liệu với cách giao dịch như thế thì có đảm bảo an toàn tuyệt đối không? Tại sao vẫn có những vụ bị mất thẻ mà chính chủ thể “không hiểu” nguyên nhân? Rồi thì tại sao có những khách hàng lại có thể rút quá số dư tài khoản tới hàng tỷ đồng?

2.1 Thẻ ATM bị làm giả như thế nào?

Cách đơn giản lại hiệu quả mà các harker mũ đen hiện nay thường dùng để làmgiả thẻ ATM được mô tả theo sơ đồ sau:

Hình 5 Mô tả quá trình làm giả thẻ ATM

b) Ăn cắp thông tin:

Cách phổ biến nhất và có vẻ “chuyên nghiệp” để ăn cắp thông tin của chủ thẻ làlập ra các trang web ngân hàng giả, hoặc trang web bán hàng giả ở nước ngoài (thường

ở Mỹ, Anh, úc, Canada, ), hoặc cũng có thể họ gửi cho bạn những spam mail thôngbáo bạn là vị khách thứ bao nhiêu ghé vào trang web của họ Bạn sẽ nhận được một sốtiền khá lớn (có hả cả triệu USD), bọn chúng yêu cầu bạn gửi các thông tin về bạn cũngthông tin về tài khoản của bạn để bọn chúng chuyển tiền vào tài khoản Nếu không tỉnhtáo bạn sẽ bị mắc mưu của bọn chúng, đồng nghĩa với việc bạn sẽ bị lộ thông tin cánhân, cũng như thông tin về tài khoản ATM

Sau khi lập các trang web ngân hàng giả, họ gửi email nặc danh đến hàng loạtđịa chỉ email với nội dung: Để đảm bảo an ninh, yêu cầu khách hàng đổi password haykhai lại những thông tin liên quan đến tài khoản ngay trên trang web Khi khách hàngthực hiện yêu cầu này, hacker sẽ ung dung sở hữu toàn bộ thông tin bảo mật của mộtngười chưa từng quen biết

Ngoài ra các loại đối tượng này còn trực tiếp hoặc thuê những người khác (biếtmột chút về kỹ thuật) cài những chương trình ăn cắp tài khoản bank trực tuyến tại một

số nơi người nước ngoài hay lui đến truy cập internet tại Việt Nam (Phố cổ Hà Nội,Khu Tây ba lô - Phạm Ngũ Lão T.P HCM )

Ở đây, thông tin mà các harker quan tâm nhất là thông tin về mã PIN của thẻATM, bởi vì nó là thông tin vô hình được “lưu trữ” trong trí nhớ của bạn Nhữngthông tin theo như: tên chủ tài khoản, mã số tài khoản, ngày tháng năm sinh, địa chỉ,nghề nghiệp, CMT, giới tính, là những thông tin nhìn thấy được và rất dễ dàng để cóđược các thông tin đó

Ăn cắp thông tin

Bao gồm thông tin về tài

Thông tin chi tiết về cá

nhân (Ngày sinh, giới

Các hacker có thể lập các trang web bán hàng qua mạng, nếu bạn mua đượcmón hàng ưng ý thì khi thanh toán các hacker sẽ bắt bạn điền các thông tin về thẻ ATM

mà trong đó có cả mã PIN

Cũng có thể hacker gửi email cho bạn thông báo bạn đã nhận được một giảithưởng có giá trị, bạn phải gửi các thông tin về tài khoản ATM cho bọn chúng thìchúng sẽ chuyển tiền vào tài khoản đó

Hoặc rất đơn giản hơn (đôi khi lại hiệu quả), là kẻ xấu có thể đứng tại các điểmgiao dịch có đặt máy ATM và quan sát các thao tác của bạn Chúng dễ dàng có thểnhìn trộm được mật khẩu (vì mật khẩu thông thường chỉ là ký tự gồm 4-8 số)

Hình 6 Thiết bị làm giả thẻ MSR106-206

Thiết bị này được bán khá phổ biến ở nước ngoài Do vậy công việc làm giả thẻcực kỳ đơn giản, hacker chỉ cần mua thêm thẻ phôi trắng (thẻ màu trắng chưa in ấn),sau đó, thông tin thẻ tín dụng đi đánh cắp được bắn lên thẻ phôi qua băng từ màu đenkhi đưa qua máy MSR106-206 Như vậy hacker nghiễm nhiên trở thành chủ thẻ vàviệc rút tiền tại các điểm giao dịch ATM là hết sức đơn giản vì nó hợp lý với cơ chếquản lý: có thẻ ATM và số PIN

2.2 Lỗ hổng bảo mật

a) Nhận định chung

Chúng ta vẫn thường đặt câu hỏi là: Tại sao tiền trong tài khoản của mình mà lại

bị rút bởi kẻ xấu trong khi thẻ ATM mình không hề đưa cho bất cứ một ai? Rồi thì tạisao người ta lại có thể rút với qua số dư tài khoản hàng tỷ đồng? Rồi thì hàng loạtcác câu hỏi tại sao liên quan đến tính bảo mật của việc thực hiện giao dịch ngân hàngqua thẻ ATM Vậy phải chăng ngoài những tiện ích mà giao dịch bằng thẻ ATM manglại thì chúng ta vẫn còn những khuyết điểm cần phải khắc phục về tính bảo mật củagiao dịch thanh toán qua thẻ ATM Đâu là những lỗ hổng an ninh mà kẻ xấu có thể lợidụng để xâm hại quyền lợi của khách hàng và làm thiệt hại tài sản ngân hàng Có haiyếu tố mà kẻ xấu có thể lợi dụng và chúng ta có thể coi đó là những lỗ hổng bảo mậttrong giao dịch thanh toán ngân hàng qua thẻ ATM:

+ Yếu tố con người: bao gồm cả khách hàng và các nhân viên làm nghiệp vụ

trong ngân hàng

+ Yếu tố về máy móc: đó là những công cụ được con người tạo ra nhằm phục vụ

cho đời sống ứng dụng của con người được nâng cao nhưng lại bị kẻ xấu lợi dụng đểthực hiện hành vi gian lận

b) Đánh giá các lỗ hổng bảo mật

Các hacker thường dùng hai cách để ăn cắp tiền từ khách hàng và ngân hàng:

- Làm giả thẻ của một tài khoản nào đó và rút hết tiền trong tài khoản đó

- Đăng ký làm một chiếc thẻ ATM với ngân hàng và tìm ra lỗ hổng bảo mật để rútvượt quá số dư tài khoản lên tới hàng tỷ đồng

-+ Lỗ hổng bảo mật do con người tạo ra

Khi một khách hàng bị mất thẻ hoặc quên mật khẩu có thể yêu cầu ngân hàngcấp lại thẻ hoặc khôi phục mật khẩu Để làm được điều này, tất nhiên người bị mất thẻphải chứng minh với ngân hàng mình chính là chủ đích thực của thẻ đó Để kiểmchứng tính xác thực, bạn sẽ phải cung cấp cho ngân hàng các thông tin sau:

• Thông tin về thẻ:

- Mã thẻ

- Tên chủ tài khoản

• Thông tin cá nhân:

- Họ tên trong giấy khai sinh

- Email và điện thoại (nếu có)

Tiếp đó bạn phải viết đơn xin cấp lại thẻ và cam kết về tính xác thực của thôngtin mình vừa cung cấp là chính xác

Sau khi đã kiểm chứng được tính xác thực của thông tin do khách hàng cungcấp, ngân hàng sẽ dùng thiết bị làm lại thẻ (giống như máy MSR106-206 mà cáchacker dùng để làm giả thẻ) để cấp lại thẻ cho khách hàng

Giả thiết đặt ra là chỉ với những thông tin như thế thì có thể coi là bảo mật trongviệc cấp lại một thẻ khác được không? Bởi thực ra đó là những thông tin hữu hình mà

kẻ xấu có thể “nhìn thấy” được Điều đó cho thấy sẽ thật tai hại nếu như những thôngtin đó bị lộ ra cho kẻ xấu Kẻ xấu không thể chứng minh được với ngân hàng mình làchủ thẻ với từng đó thông tin nhưng cũng có thể làm giả một chiếc thẻ với đầy đủ cácthông tin như trên

Những thông tin về khách hàng lưu trữ trong cơ sở dữ liệu của ngân hàng sẽđược bảo mật tuyệt đối Kẻ xấu khó có thể ăn cắp những thông tin như thế từ phía ngânhàng Thông thường kẻ xấu thường có được những thông tin này từ chính khách hàng,vậy lỗ hổng bảo mật ở đây thuộc về phía khách hàng khi vô tình cung cấp các thông tin

đó cho kẻ xấu mà họ không nghĩ ra các hậu quả Đại đa số cách khách hàng sử dụngthẻ ATM đều có chung một nhận định hết sức đơn giản: Phải có thẻ ATM và có mãPIN thì mới sử dụng giao dịch thanh toán ngân hàng qua thẻ ATM được Họ nghĩ rằngnếu bị mất thẻ nhưng không có mã PIN thì người khác không thể thực hiện giao dịchđược, và người lại dù người khác có biết mã PIN mà không có thẻ cũng không thể giaodịch được Nhiều người còn nghĩ là chỉ các ngân hàng mới có thể làm được thẻ ATM.Lợi dụng những khe hở đó, kẻ xấu dễ dàng có được lỗ hổng an ninh từ phía con người(thường là các khách hàng) Tuy nhiên, chúng ta cần lưu ý rằng kẻ xấu có thể làm giảthẻ ATM một cách hết sức đơn giản theo cách phân tích ở trên

Sau khi đã có được một chiếc thẻ ATM làm giả mà như thật, các harker chỉ việc

“cập nhật” nốt mã PIN cho chiếc thẻ ATM giả đó là có thể thực hiện các giao dịch mộtcách “hợp pháp” Có lẽ tới đây chúng ta mới thấy rõ việc để lộ thông tin vô hình (mãPIN) sẽ nguy hiểm như thế nào Và thông thường cái mà kẻ xấu tìm kiếm khó nhất là

mã PIN, còn những thông tin hữu hình (mã thẻ, chủ thẻ, ngày tháng năm sinh, giớitính, số CMT, ) thì chỉ bằng một vài “mẹo nhỏ” là có thễ dễ dàng có được các thôngtin đó từ chính người dùng

Ngoài ra với việc các tài khoản rỗng những có thể rút tới hàng tỷ đồng, rồi thìtài khoản rút mãi mà không bị trừ xảy ra trong thời gian qua Hầu hết các ngân hàngđều không thừa nhận lỗi hệ thống mà chỉ nêu ra nguyên nhân chung chung là do nhânviên kỹ thuật của ngân hàng đó nhập sai số liệu, sai mã thẻ khi cấp,

Ví dụ: Từ ngày 17/11/2007 đến 7/1, một khách hàng đã rút được tổng cộng 2,6

tỷ đồng qua thẻ ATM Eximbank, dù trong tài khoản không có tiền Eximbank giảithích, sở dĩ có việc tài khoản "rỗng" mà vẫn rút được tiền là vì một lỗi tác nghiệp củanhân viên ngân hàng tại thời điểm cấp thẻ cho khách Nhân viên Eximbank vô tìnhnhập sai số code, từ 01 (khách hàng bình thường) thành 11 (dành cho khách hàng VIP).Thẻ VIP là thẻ cho phép khách hàng có thể rút tiền mà không bị truy vấn số dư cũngnhư số lần tiền rút trong ngày Khi thẻ được đặt trạng thái này, khách hàng được phép

sử dụng vượt quá số tiền trong tài khoản, không hạn mức

Mặt khác, do qui trình quản lý không tốt thì chính những nhân viên của cácngân hàng lại là thủ phạm ăn cắp tiền của khách hàng Nguy hiểm hơn là họ có thể lấycác thông tin của khách hàng bán cho những kẻ xấu làm giả thẻ rồi rút sạch tiền và ănchia 50/50

Vì vậy các hacker mũ đen đã dựa vào đó để tạo ra những chiếc thẻ giả, tuy nhiên đốivới hệ thống ATM thì nó vẫn coi đây là thẻ thật sau khi kiểm tra đúng mã PIN và cácthông tin lưu trên thẻ là hợp lệ Liệu ta có thể xây dựng cớ chế kiểm tra tính “thật –giả” của thẻ ATM được không?

Theo chuyên gia Joseph Fong (Công ty TSSI Thụy Điển) cho biết, công nghệlàm thẻ phổ biến trên thế giới hiện nay là thẻ từ, tức là thẻ có một băng từ được gắntrên thẻ lưu trữ các số liệu khách hàng và có mã số riêng Nguyên tắc thanh toán là cácmáy chấp nhận thẻ (ATM hoặc FOS) sẽ đọc các dữ liệu này để nhận dạng khách hàng,

từ đó chấp nhận thanh toán Song nguyên tắc này cũng lại được các loại tội phạm sửdụng để làm thẻ giả

Với một thiết bị đơn giảm gồm một bảng mạch điện tử hai đầu đọc băng từ(tương tự như hai đầu đọc băng cassette) là có thể thực hiện việc sao chép thẻ Theoông Fong, thiết bị này có thể tự chế rất dễ hoặc ngay trên mạng internet quốc tế cũngrao bán với giá 25 USD Chính vì vậy, tình trạng làm giả thẻ đã ngày càng phổ biến.Việc làm giả xảy ra trên bình diện quốc tế, chứ không chỉ riêng ở nước nào

Hiện tại ông Joseph Fong đã giới thiệu công nghệ chống làm giả thẻ WaterMark

mà TSSI đã phát triển rất thành công ở Thụy Điển và nhiều nước khác

Bên cạnh đó, một hệ thống thực hiện các giao dịch thanh toán ngân hàng qua thẻnếu không được xây dựng hoàn hảo có thể là nguyên nhân cho kẻ xấu lợi dụng Đócũng là lý do tại sao các tài khoản có thể rút âm rất nhiều so với so dư tài khoản hoặc

có thẻ rút quá số lần qui định rút tiền trong ngày (thường là 10 lần / ngày), hay cótrường hợp rút tiền mãi mà tài khoản vẫn giữ nguyên không bị trừ,

Ví dụ: Nếu ta cung cấp cho hai khách hàng (kiểu vợ chồng có nhu cầu chia sẻtài khoản) hai thẻ ATM nhưng chung một tài khoản thì bài toán đặt ra, liệu hai ngườicùng thực hiện lệnh rút tiền tại hai điểm đặt ATM khác nhau trong cùng một thời điểm

Cả hai đều rút hết sạch số tiền trong tài khoản, khi đó hệ thống sẽ “xử lý” ra sao? Hoặc

là không cho ai rút tiền, hoặc là cho cả hai rút Bởi cả hai cùng thực hiện lệnh tại mộtthời điểm, nên hệ thống sẽ không biết phải “ưu tiên” cho ai rút trước Giả sử hệ thốngcho cả hai rút cùng rút tiền, với những khác hàng có đầy đủ thông tin chính xác thìngân hàng có thể yêu cầu họ hoàn trả lại số tiền đã rút vượt quá số dư tài khoản Tuynhiên, nếu khách hàng là những kẻ xấu, lập tài khoản với mục đích như trên thì ngânhàng rất khó có thông tin để đòi lại số tiền rút vượt quá số dư tài khhoản

Hoặc nếu khách hàng đang thực hiện giao dịch đặt lênh rút tiền, thì máy ATM

đó bị mất điện Như vậy rất có thể, lệnh rút đã thực hiện thành công và đã được hệthống ghi nhận rồi trừ số tiền mà khách hàng vừa rút Tuy nhiên máy ATM chưa kịpnhả tiền vì bị mất điện Như vậy khách hàng không nhận được tiền nhưng tài khoản

vẫn có thể bị trừ đúng bằng số tiền trong quá trình khách hàng đặt lệnh rút.Để giảiquyết vấn đề về hệ thống, các ngân hàng thường bỏ rất nhiều tiền để trang bị hệ thốngquản lý giao dịch thanh toán qua thẻ ATM như: hệ thống core banking,smartbanking, Hệ thống quản lý thẻ phải được thiết kế nhiều tầng, tầng sau có thểphục hồi các lỗi đã xảy ra ở tầng trước Trong đó máy ATM là tầng đầu tiên và hệthống dữ liệu là tầng cuối cùng được áp dụng các biện pháp bảo vệ nghiêm ngặt Vànhìn chung, hầu hết ít có sự kiện khách hàng bị mất tiền do lỗi hệ thống

Khi khách hàng thực hiện giao dịch tại các điểm đặt máy ATM thì máy ATM sẽtruyền dữ liệu về máy chủ đặt tại hội sở chính của ngân hàng Trong qua trình truyền

dữ liệu các thông tin phải được mã hóa được và bảo mật Các hacker có thể lợi dụngđiều này để ăn cắp thông tin nếu quá trình bảo mật không tốt

2.3 Những trò ăn cắp thông tin thẻ ATM kinh điển

Các tổ chức thẻ và ngân hàng khuyến cáo chủ thẻ cảnh giác cao độ để phòngtránh nguy cơ mất thông tin tài chính cá nhân.Bọn tội phạm luôn phát minh ra nhữngcách thức mới để ăn cắp Cách đây vài năm, các công ty thẻ in thêm mã số gồm 3 ký tự

ở mặt sau thẻ (CVV2), nhằm tăng cường bảo vệ cho chủ thẻ Nhưng giờ đây công nghệ

đó lại trở thành lợi thế của bọn tội phạm

Để lấy được mật mã đó, bọn tội phạm thường sử dụng thiết bị ăn cắp dữ liệu,lấy số thẻ rồi gọi điện cho chủ thẻ giả vờ là cán bộ ngân hàng muốn kiểm tra giao dịchbất thường và thuyết phục chủ thẻ cung cấp mã số ở mặt sau thẻ Đấy là những thôngtin cần thiết để chúng thanh toán qua mạng hay qua điện thoại

Các cơ quan chức năng khuyến cáo người tiêu dùng nếu tin rằng mình bị lừa,nên nhanh trí Ngay lập tức phải gọi cho ngân hàng nếu nghi ngờ thẻ đã bị mất cắp,thất lạc hay dữ liệu trên thẻ bị rò rỉ Nếu thẻ bị kẹt trong ATM, đừng nhập lại số PIN,kẻo mắc bẫy bọn tội phạm Bởi khi bạn nhập lại số PIN, bọn tội phạm sẽ biết được chìakhoá để đột nhập vào tài khoản của bạn Đây là trò gian lận khá kinh điển

Cần lưu ý rằng, bọn tội phạm không cần phải có chiếc thẻ của bạn trong tay mớilấy được dữ liệu và đột nhập vào tài khoản của bạn Việc nắm rõ từng loại thủ đoạnphạm tội không quan trọng bằng việc phải chuẩn bị sẵn sàng xử lý để tránh mắc mưu

Khi chủ thẻ thất vọng bỏ đi, kẻ gian sẽ ở lại lấy thẻ ra, rồi dùng PIN vừa nhìntrộm được để truy cập vào tài khoản và rút tiền.

 Trộm dữ liệu

Đây là cách ăn cắp thông tin tài khoản và PIN mà không cần tiếp cận trực tiếpvới chủ thẻ Thông thường, bọn tội phạm cài thêm một thiết bị đọc dữ liệu vào khe đọcthẻ của ATM

Khi ra máy ATM rút tiền, khách hàng vẫn đưa thẻ vào khe đọc thẻ như thường

lệ và thực hiện giao dịch Họ không mảy may nghi ngờ rằng trong khe đọc đó đang cómột thiết bị trộm dữ liệu Toàn bộ thông tin trên thẻ thẻ giả hoặc mua hàng qua mạng,qua điện thoại

 Trộm dữ liệu bằng camera

Theo cách mới, bọn tội phạm vẫn lắp đặt thiết bị đọc thẻ vào máy như trước,nhưng chúng có thể lấy dữ liệu về tài khoản và số PIN từ xa nhờ một chiếc camera màchúng lắp kín đạo tại ATM

Camera thường được đặt trong một khay để tờ rơi giả nằm cạnh bàn phím củaATM, một vị trí có thể ghi hình toàn bộ các thao tác của chủ thẻ cũng như lưu giữ sốliệu Với công nghệ không dây, toàn bộ dữ liệu được truyền đến cho kẻ tội phạm đangnấp đâu đó gần ATM

 Nhìn trộm qua vai

Bọn tội phạm có thể đứng gần ATM, hay máy cà thẻ và theo dõi quá trình bạnthao tác trên máy Để tránh loại tội phạm này, phần lớn người tiêu dùng đều cảnh giácche bàn phím khi nhập mã số Việc ăn cắp dữ liệu này rất thô sơ song đang có xuhướng nở rộ trở lại vì không phải chủ thẻ nào cũng thận trọng mỗi khi giao dịch trênmáy

Cũng với mưu chước “nhìn trộm qua vai” này, bọn tội phạm sẽ đứng nấp gầnATM và theo dõi chủ thẻ khi họ nhập PIN Sau đó, chúng sẽ tìm cách làm chủ thẻ mấttập trung, chẳng hạn hét lên, đánh đổ nước uống hoặc nước sốt vào chủ thẻ hoặc đánhrơi tiền và hỏi đó là tiền của ai Trong lúc chủ thẻ sao nhãng, kẻ gian liền cuỗm toàn bộthẻ, tiền và cả số PIN của chủ thẻ

 Tội phạm ở các quầy thanh toán

Các thiết bị ghi lại hoạt động giao dịch đã được lưu giữ lại trong thiết bị đọc thẻ

mà bọn tội phạm cài vào Khi nạn nhân ra đi, bọn tội phạm sẽ lấy thiết bị ra, sử dụngcác thông tin vừa chôm được để làm giả thẻ Người tiêu dùng nên cảnh giác vì có thểngay tại quầy thanh toán ở các cửa hàng cũng cài đặt các thiết bị ăn cắp dữ liệu thẻ.Loại thủ đoạn này ngày càng phổ biến Thường thì chính những nhân viên thiếu trungthực của cửa hàng lắp đặt chiếc máy đó và họ sẽ lấy chiếc thẻ của bạn cà vào máy, lấycắp thông tin

Những nhân viên không trung thực này sẽ thực hiện các giao dịch bất hợp pháphoặc bán dữ liệu vừa trộm được cho bọn tội phạm thẻ chuyên nghiệp Thậm chí, cónhững trường hợp chính các nhân viên đó là người của nhóm tội phạm cài cắm vào

 Ăn cắp bằng điện thoại có camera

Ngày nay, để hỗ trợ cho hành vi phạm pháp của mình, kẻ gian thường dùng điệnthoại có camera Tại các cửa hàng bán lẻ và ATM, lợi dụng lúc chủ thẻ không để ý,

bọn tội phạm sẽ dùng điện thoại để ghi hình, chụp ảnh chiếc thẻ và sử dụng toàn bộthông tin đó vào mục đích phạm pháp.

 Kết luận

Trên đây chỉ là một vài cách mà kẻ xấu (người ta vẫn gọi chúng là hacker mũđen) đã dùng để ăn cắp thẻ ATM và rút sạch tiền trong tài khoản Các cách này đượcđánh giá là “thông minh” bởi sự tinh vi của nó, chính vì vậy đã trở thành kinh điển khicác harker thường sử dụng để đánh cắp thông tin và làm giả thẻ Các cách này đượctổng hợp theo thông tin từ internet, ngoài ra các rất nhiều cách mà hacker mũ đen đãlàm để ăn cắp thẻ ATM mà chúng ta vẫn chưa biết được

“thói quen” cho người tiêu dùng trong tương lai không xa Việc chính phủ Việt Namvừa qua đã khuyến khích các doanh nghiệp trả lương qua thẻ ATM chính là một biệnpháp nhằm tạo thói quen dùng thẻ cho người dân Việt Nam Nhằm đảm bảo yên tâmcho các ngân hàng tập trung phát triển các dịch vụ liên quan đến thẻ ATM, Thủ tướngChính phủ cũng vừa phê duyệt đề án thanh toán không dùng tiền mặt giai đoạn 2006-

2010, định hướng đến năm 2020 Theo đó, tài khoản sẽ là công cụ giao dịch chủ yếu.Mặt khác, Thủ tướng cũng yêu cầu tập trung phát triển các dịch vụ thanh toán điện tử,tạo điều kiện để các DN phát triển thương mại điện tử Phấn đấu đến cuối năm 2010,tại khu vực DN, có khoảng 80% các khoản thanh toán giữa DN với nhau được thựchiện qua tài khoản tại NH và đến năm 2020 đạt 95% Theo ông Tạ Quang Tiến, Cụctrưởng Cục Công nghệ Tin học Ngân hàng, tính đến hết năm 2007, Tổng số lượng máyrút tiền tự động ATM đã lắp đặt trên toàn Việt Nam là 3.820 máy, với 15 ngân hàng đãtrang bị máy ATM, số ngân hàng đã phát hành thẻ thanh toán là 25 là số lượng thẻ đãphát hành là 6,2 triệu thẻ, đã có 73 đơn vị và 305 chi nhánh ngân hàng tham gia thanhtoán điện tử liên ngân hàng…

Tuy nhiên, bên cạnh những con số ấn tượng, thì trình độ ứng dụng CNTT giữacác ngân hàng không đồng đều Việc triển khai những ứng dụng ngân hàng hiện đại làrất khó khăn vì phụ thuộc vào vốn và kinh nghiệm Có ngân hàng có vốn thì không cókinh nghiệm và đội ngũ nhân lực CNTT, còn ngân hàng có nhân lực CNTT thì lại thiếuvốn… Đây cũng chính là nguyên nhân dẫn đến các sự cố trong giao dịch thanh toánngân hàng bằng thẻ ATM Chính từ những sự cố trên, đã gây tâm lý hoang mang bất ancho người dùng thẻ ATM Và việc các khách hàng chưa sử dụng hết các tiện ích củathẻ ATM cũng là một bài toán cần phải giải quyết, trong khi trên thế giới việc thanhtoán và sử dụng thẻ rất phổ biến nhưng ở Việt Nam mới chỉ dừng lại ở việc rút tiền mặt

ở thẻ ATM

Dù hiện tại ở Việt Nam, đôi khi cũng xảy ra sự cố đáng tiếc trong việc giao dịchthanh toán ngân hàng qua thẻ ATM, nhưng chúng ta không thể phủ nhận những lợi ích

từ thẻ ATM mang lại Mục tiêu của các ngân hàng là ngày càng hoàn thiện hệ thống,

cơ sở hạ tầng cho việc giao dịch thanh toán ngân hàng qua thẻ ATM Hàng loạt cácgiải pháp được đưa ra nhằm bảo mật tốt nhất cho thẻ ATM, các ngân hàng cũng khôngngừng phát triển về yếu tố con người cũng như cơ sở hạ tầng cho việc tiến tới giảmthiểu thanh toán bằng tiền mặt Với nỗ lực của các NH, các mạng thanh toán cũng nhưnhững chủ trương từ Chính phủ, chúng ta có quyền hy vọng việc rút thẻ để thanh toánthay cho tiền mặt sẽ trở thành thói quen của người Việt một ngày không xa

II CÁC GIẢI PHÁP BẬO MẬT

1 Giải pháp Ứng dụng bảo mật máy ATM sử dụng mạch máu

cơ sở dữ liệu của ngân hàng, vì vậy, ngân hàng có thể sử dụng để xác thực danh tínhngười dùng thay cho mã số PIN Để an toàn hơn nữa, họ có thể kết hợp cả hai yếu tốxác thực này với nhau, cả PIN lẫn mẫu mạch máu

Phiên bản thiết bị cảm biến hiện hành thường được đặt trên máy ATM, bên cạnhmàn hình với kích thước 2,8 x 2,8 inch Nhưng thiết bị mới phát triển có kích thướcchưa bằng một nửa: 1,2 x 1,2 inch

Do kích thước của bộ cảm biến mới nhỏ hơn, nó có thể được "nhúng" ngay vàotrong các máy ATM tại ngân hàng, cũng như tại các cửa hàng bình thường nơi nhiềungười Nhật vẫn xài tiền mặt

Ngoài ra, người ta còn có thể tích hợp con chip cảm biến này vào nhiều loạithiết bị khác

Hệ thống mới sẽ có tỷ lệ chấp nhận "nhầm" người khoảng 0,00008% Và nếunhư hệ thống hiện tại xác thực mẫu mạch máu trong thời gian xấp xỉ một giây, phiênbản mới có thể hoàn thành nhiệm vụ chỉ trong nửa số thời gian đó

Hiện nay công nghệ nhận dạng mẫu mạch máu được đánh giá là sạch sẽ và hợp

vệ sinh hơn hẳn so với các hệ thống xác thực dấu vân tay sinh trắc học yêu cầu ngườidùng phải tiếp xúc trực tiếp ngón tay với miếng đệm

• Nhược điểm của giải pháp:

- Có lẽ nhược điểm lớn nhất của công nghệ nhận dạngmẫu mạch máu là việc tiến hành cập nhật các mẫu mạch máu vào cơ sở dữ liệu củangân hàng Khi khách hàng đăng ký làm thẻ ATM, ngoài những “thủ tục” thôngthường Họ sẽ mất thêm thời gian kiểm tra và đăng ký các mẫu mạch máu

- Chi phí cũng là một trở ngại, các ngân hàng ngoài việc trang bị thêm thiết

bị nhận dạng các mẫu mạch máu, còn cần phải trang bị thêm đội ngũ nhân viên cóchuyên môn về y tế để tiến hành lấy mẫu mạch máu của khách hàng và cập nhật vào cơ

sở dữ liệu

2 Giải pháp Mobile signature

Giải pháp này được đưa ra bởi Valimo Wireless Ltd, một công ty có trụ sở ởPhần Lan Họ đã chỉ ra rằng giải pháp chữ ký di động (mobile-signature solution) của

họ có thể chống lại việc làm giả hoặc sao chép thẻ cũng như là những gian lận khácnhư phishing (giả mạo) và đánh cắp mã nhận dạng Mobile-signature bảo mật choATM và các giao dịch thanh toán bằng mã hoá không đối xứng và chữ ký kỹ thuật sốthông qua việc sử dụng Điện thoại di động như một kênh độc lập

Với mobile-signature, mỗi giao dịch dựa trên dải từ của một chiếc thẻ sẽ gửi lờinhắc cung cấp chữ ký tới Điện thoại di động của chủ thẻ Chữ ký ở đây bao gồm dữliệu về giao dịch và vị trí của ATM Chữ ký di động sau đó sẽ được trả lại cho người sửdụng thông qua mạng Điện thoại di động Valimo cho biết mobile-signature có thể hoạtđộng tại tất cả quốc gia có thoả thuận chuyển sóng (roaming) cho phép gửi tin nhắnvăn bản quốc tế

• Nhược điểm của giải pháp:

- Đó sự khó khăn tại những Quốc gia chưa có thỏa thuận về chuyển sóng(roaming) cho phép gửi tin nhắn văn bản quốc tế

- Không phải lúc nào khách hàng sử dụng thẻ ATM cũng có Điện thoại diđộng, nếu khách hàng không có Điện thoại di động thì giải pháp này coi như thấtbại

- Do mỗi giao dịch dựa trên dải từ của một chiếc thẻ sẽ gửi lời nhắc cung cấpchữ ký tới Điện thoại di động của chủ thẻ Nếu chủ thẻ lơ đang quên xóa tin nhắntrong điện thoại di động và chẳng may làm mất điện thoại di động vào kẻ xấu thìthật tai hại Chúng ta đang tìm các giải pháp bảo mật thẻ ATM, nhưng trongtrường hợp này thì chúng ta lại vô tình tiếp tay cho kẻ xấu

3 Giải pháp nhận dạng vân tay

Tính năng bảo mật sinh trắc học ngày càng được áp dụng khá rộng rãi trongmáy tính xách tay, xe hơi, di động, thanh toán tiền mặt… nhờ một máy quét dấu vân

tay thao tác rất nhanh chóng, dễ dàng

Có thể nhiều người không để ý, nhưng dấu vân tay trên các đầu ngón tay liênquan đến lịch sử lâu đời của loài người Từ thời xa xưa, con người còn là phải trực tiếpdùng tay để săn bắn và hái lượm cũng như leo trèo Các vân tay sẽ giúp ta cầm hoặcnắm chắc các vật trong tay Các vân tay, chỉ tay, gồ nổi và đường rãnh trên da của mỗingười sẽ do các nhân tố di truyền và môi trường quyết định, vì vậy vân tay của mỗingười có thể coi là duy nhất, không ai giống ai Thậm chí ở các cặp song sinh vân taycũng không giống nhau Lợi dụng yếu tố này, ý tưởng về giải pháp nhận dạng vân tay

ra đời

Có hai phương pháp cơ bản để quét dấu vân tay: quét quang học và điện học.Quét quang học sử dụng một thiết bị nhập liệu CCD (charged coupled device) để chụpmột bức ảnh về mẫu vân tay của bạn Theo cách này, hình ảnh vân tay hiện lên vớivòng xoáy nổi màu sáng trong khi các rãnh xoáy có màu tối.

Trong cách quét điện học, một dòng điện được đem sử dụng thay vì dùng ánhsáng để lấy mẫu vân tay Ngón tay mỗi người cũng cấu tạo từ các tế bào nhỏ bé Lợithế của cách quét điện học là khó giả mạo hơn so với các quét quang học

Dù là kiểu quét quang hay điện học, thì vân tay của bạn khi đăng nhập đều sẽđược đem so sánh với hình ảnh gốc Để so sánh các bản in này bộ xử lý cũng mất khánhiều công sức, nhận dạng dấu vân tay vừa đăng nhập bằng cách: chẻ nhỏ và so sánhvới bản gốc thông qua các thuật toán phức tạp Thật không may là không có bất cứ mộttiêu chuẩn nào hỗ trợ việc phân tích vân tay, dù các sản phẩm trang bị loại hình bảomật này được thương mại hoá không phải là hiếm

Với những điểm ưu việc trong công nghệ nhận dạng bằng vân tay, người ta đãnghĩ ngay tới việc ứng dụng công nghệ này vào quá trình giao dịch thanh toán ngânhàng bằng thẻ ATM Ý tưởng này xuất phát từ việc phải đơn giản hoá việc thanh toànbằng thẻ ATM truyền thống là vừa tra thẻ ATM vừa nhập mã PIN, vốn khá rắc rối vàmất thời gian Với bảo mật sinh trắc học, thủ tục đăng nhập xem ra đơn giản hơn nhiều:bạn chỉ cần giơ ngón tay mình trước máy quét, giao diện truy cập vào tài khoản củabạn lập tức hiện ra và mọi người tiến hành giao dịch nhanh chóng hơn nhiều so vớicách thông thường

Câu hỏi đặt ra là an ninh của hệ thống thanh toán “một chạm” (one-touch) liệu

có được đảm bảo Với một tấm thẻ ATM thông thường bạn có hai nhân tố trợ giúp choviệc nhận dạng: Đó chính là cấu tạo của tấm thẻ và mã PIN Với hệ thống thanh toánone-touch, khoảng cách an toàn là mỗi vân tay của chính bạn và vân tay của kẻ gianlận.

• Nhược điểm của giải pháp:

- Theo chuyên gia Simson Garfinkel phát biểu về công nghệ nhận dạng vântay tại một diễn đàn của tạp chí CSO, và chỉ ra nhiều ví dụ về những bất cập mà hệthống quét vân tay thường gặp phải: Đó là hiện tại có nhiều trẻ em và kể cả người lớn

có đường rãnh vân tay rất mờ nhạt, có nhiều nhóm người đường vân tay giống đến mức

khó phân biệt Và làm sao áp dụng được hình thức này với những người không có tay?Như thế cũng đồng nghĩa với việc chúng ta tạo cảm giác phân biệt đối xử với người tàntật Trong khi tạo ra những dịch vụ cho nhân loại, chúng ta luôn có những dịch vụ trợgiúp người tàn tật

- Mặt khác, chắc bạn cũng nghe và đọc thấy nhiều chuyện “chôm” dấu vân taykhá đơn giản chỉ bằng bột, băng từ, hoặc chất liệu gần giống kẹo gôm Tháng 4 nămnay, chuyên gia phân tích bảo mật Bruce Schneier cũng viết về một vụ cướp xe hơirùng rợn ở Malaysia, trong đó kẻ tấn công đã cưa đứt ngón tay của nạn nhân chỉ cốt để

mở được con Mercedes S-class đã được trang bị tính năng bảo mật sinh trắc học Điềunày cho thấy chúng ta sẽ phải đối phó với nạn tội phạm dã man sẽ ngày càng gia tăng

- Chưa kể chúng ta rồi sẽ già đi, và dấu vân tay cũng vậy Như đã phân tích ởtrên, việc bảo mật dữ liệu bằng dấu vân tay quả thực không hoàn hảo và mẫu vân taygốc lại giữ nguyên không thay đổi theo thời gian Nhiều khi dấu vân tay lúc nhỏ saikhác đáng kể so với khi có tuổi khoảng 50 Tuy nhiên, có thể chúng ta chưa được tiếpcận với hệ thống nhận biết điện tử này một cách thấu đáo và toàn diện Nhưng các lý

do trên là những bước cản chúng ta không thể coi đăng nhập dấu vân tay là lựa chọnthay thế đầu tiên và duy nhất cho cách dùng thẻ và password (ID) thông thường

- Nhưng vấn đề lớn hơn là khi dùng bảo mật bằng dấu vân tay, chúng ta cònđộng chạm đến "thói quen" lưu hồ sơ của mỗi công dân của ngành cảnh sát tương tựnhư dấu hiệu nhận biết trên các giấy chứng minh thư Và các tổ chức, công ty cũng cóquy định bắt buộc phải lấy dấu vân tay của nhân viên, khách hàng để đưa vào thẻ bảohiểm xã hội (ở ngành bảo hiểm) hoặc để đảm bảo vấn đề an ninh của cơ quan đó Nhưvậy tính bảo mật liệu có được đảm bảo? Nhất là khi chứng minh thư, thẻ bảo hiểm đócũng có thể phải thay đổi nhiều lần hoặc bị thất lạc.

Hình 8 LifeBook P7120, laptop Fujitsu hỗ trợ bảo mật bằng vân tay

- Việc dùng dấu vân tay để bảo mật các thiết bị điện tử cá nhân thực sự là một

ý tưởng tốt Nhưng để được phổ biến rộng rãi, liệu có nên vẫn phải đưa vào một lớpbảo mật bổ sung kiểu như mã PIN Nhưng nếu phải dùng thêm cả mã PIN thì nó lạilàm tiêu tan thiện ý tốt đẹp của bảo mật bằng vân tay đã nêu ngay từ đầu bài, đó là tính

tiện lợi đơn giản Giải pháp triệt để vẫn còn để ngỏ, nhưng một điều không thể phủnhận, các mẫu laptop, xe hơi, dịch vụ mới… hỗ trợ tính năng bảo mật sinh trắc họcngày càng nhiều lên Còn việc lựa chọn sử dụng hay không vẫn là quyền của người tiêudùng.

• Một số phần mềm sử dụng công nghệ nhận dạng vân tay:

+ NDVT - Hệ thống Nhận dạng vân tay Tự động:

Giới thiệu chung:

Công nghệ nhận dạng vân tay tự động AFIS là công nghệ sinh trắc học chínmuồi nhất đã được áp dụng trong lĩnh vực hình sự chống tội phạm từ mấy chục nămnay và hiện đang được sử dụng trong các ứng dụng dân sự Áp dụng công nghệ AFIS

và tích hợp những giải pháp phù hợp với hoàn cảnh Việt Nam, hệ thống nhận dạng vântay tự động của Công ty Hệ thống Thông tin FPT là tổng thể các tính năng ưu việt, đadạng, và phù hợp với mọi đối tượng khách hàng Hệ thống bao gồm:

- Phần mềm nhận dạng vân tay cho các ứng dụng hình sự

- Phần mềm nhận dạng vân tay cho các ứng dụng dân sự

Các chức năng chung:

- Phân hệ thu nhận dữ liệu

- Phân hệ xử lý ảnh

- Phân hệ đối chiếu - so sánh

- Phân hệ lưu trữ và khai thác dữ liệu

- Phân hệ quản trị hệ thống

Lợi ích:

- Hỗ trợ hiệu quả công tác điều tra các vụ án hình sự

- Tăng cường hiệu suất làm việc cho cảnh sát hình sự,giúp rút ngắn thời gian điều tra

- Bắt nhịp nhanh với sự bùng nổ nhu cầu nhận dạngvân tay trong lĩnh vực nhân sự với một loạt những ứng dụng như:

Công ty này đang phát triển một hệ thống là sự kết hợp giữa card tiếp xúc vàkhông tiếp xúc, cho phép người quản lý cập nhật thông tin vào bộ nhớ gắn trên thẻ từ

xa thông qua Internet Việc cập nhật được thực hiện bằng cách kết nối đầu đọc thẻ tớimột server quản lý trung tâm Loại thẻ thông minh này chứa cả 2 loại khóa, công khai

và bí mật, dựa trên thuật toán mã hóa chuẩn DES (Data Encryption Standard)

Chip điện tử trong thẻ sử dụng bộ nhớ flash dung lượng 1 MB, đủ để chứa cácứng dụng như xác thực thông tin cá nhân, thực hiện thanh toán… NTT còn đưa chipnày vào trong một thẻ nhớ SD mini để có thể cắm vào điện thoại di động hay PDA.Thẻ thông minh mới của NTT tương thích với tiêu chuẩn ISO 14443-2 B về tần số tínhiệu radio

Hiện tại, điện thoại có thể thanh toán và lưu trữ vé máy bay đã được sử dụng tạiNhật Bản nhờ công nghệ bảo mật do Sony sáng chế Tuy nhiên, điểm khác biệt lớnnhất giữa hệ thống của NTT và Sony là khả năng cập nhật thông tin cũng như nhữngtiêu chuẩn bảo mật mới từ xa thông qua Internet Công ty này đang làm việc với cáctập đoàn cung cấp dịch vụ công cộng để có thể triển khai hệ thống thẻ thông minh nàytại châu Âu và Mỹ

Loại cảm ứng tích hợp mà NTT vừa giới thiệu có khả năng nhận dạng dấu vântay với mức tiêu thụ năng lượng chỉ bằng 1/10 so với các loại đang có mặt trên thịtrường Thay vì sử dụng 3 chip gồm 1 cảm biến, 1 bộ vi xử lý và một bộ nhớ, thiết bịcủa NTT được tích hợp 3 trong 1, hoạt động với công suất chỉ có 20 milliwatt Với 1pin lithium chuẩn 3 volt, cảm ứng này có thể hoạt động trong vòng 1 năm Cũng nhờ

sử dụng 1 bộ cảm ứng duy nhất, giá của thiết bị này giảm xuống chỉ còn 50 USD, bằng

1 nửa so với loại thông thường Kích thước của cảm biến này là 11 x 15 x 1,4 mm, độphân giải trên bề mặt tiếp xúc với vân tay là 128 x 128 pixel

+ Ứng dụng khác:

Bên cạnh những thiết bị nêu trên, công nghệ nhận dạng vân tay còn được ứngdụng vào việc bảo mật các thiết bị máy tính xác tay, nó còn được ứng dụng khá nhiềuvào hệ thống chấm công tự động bằng vân tay,

4 Giải pháp nhận dạng khuôn mật

Hiện nay, cũng như một số công nghệ cùng với một số công nghệ dựa trên cácđặc điểm sinh trắc học của cơ thể mà chỉ mình bạn mới có: vân tay, mắt, tai, thì côngnghệ nhận dạng khuân mặt cũng được ứng dụng khá nhiều vào trong lĩnh vực bảo mật

So với bảo mật dựa trên tất cả những gì bạn biết như là password, PIN, và bảo mậtdựa trên những gì bạn có như là thẻ từ, chìa khóa, ticket, thì công nghệ bảo mật dựatrên các đặc điểm sinh học được đánh giá là an toàn hơn cả

Cơ chế hoạt động của các phần mềm nhận dạng khuôn mặt: ban đầu ác phầnmềm nhận dạng khuôn mặt sẽ chụp hình bạn, xác định khuôn mặt bạn trong tấm hình

đó Tiếp đến phần mềm nhận dạng khuôn mặt sẽ dùng các thuật pháp phức tạp để xácđịnh các đặc tính trên khuôn mặt bạn như khoảng cách giữa hai mắt, độ dài của mũi, độrộng của trán… Sau đó, phần mềm nhận dạng khuôn mặt sẽ tạo ra mẫu (template) vớicác đặc điểm của bạn và lưu vào máy để sử dụng cho việc nhận dạng sau này Khi làmviệc bạn chỉ cần ngồi trước máy, phần mềm nhận dạng khuôn mặt sẽ xác định khuôn

mặt của bạn có trùng khớp với các template đã có sẵn trong máy hay không Thôngthường, giữa các lần chụp không thể có hai tấm hình giống nhau 100%,vì vậy trongquá trình này, Phân mềm nhận dạng khuôn mặt phải sử dụng một số thuật toán lý luận

mờ (Fuzzy logic) để xác định khuôn mặt nào giống với khuôn mặt đã đăng kí Nếu xácđịnh được khuôn mặt bạn “có quyền”, phần mềm nhận dạng khuôn mặt sẽ “mở khóa”

để cho bạn thực hiện các thao tác “sâu hơn” trong hệ thống

Dựa vào cơ chế hoạt động trên, ta có thể ứng dụng phần mềm nhận dạng khuônmặt vào việc bảo vệ thẻ ATM Sau khi thao đăng ký mở tài khoản ATM với ngân hàng,khuôn mặt của bạn sẽ được tạo mẫu sẵn lưu vào hệ thống của ngân hàng Khi muốngiao dịch với ngân hàng qua thẻ ATM, ngoài việc nhập số PIN thông thường, hệ thống

sẽ xác định xem người đang giao dịch liệu có đúng là chủ thẻ thực của tài khoản đókhông Nếu đúng sẽ cho giao dịch bình thường, nếu sai hệ thống sẽ nuốt thẻ và thốngbáo cho ngân hàng

• Một số ứng dụng sử dụng công nghệ nhận dạng khuôn mặt:

+ Sử dụng công nghệ nhận dạng khuân mặt trong máy tính xách tay:

Hãng máy tính Lenovo đã sử dụng công nghệ nhận dạng khuôn mặt Veriface

vào các dòng máy Lenovo Y Series của mình (Y400, Y410, ).

Lúc đăng kí (enroll user), Veriface sẽ chụp hình bạn, xác định khuôn mặt bạntrong tấm hình đó Tiếp đến Veriface sẽ dùng các thuật pháp phức tạp để xác định cácđặc tính trên khuôn mặt bạn như khoảng cách giữa hai mắt, độ dài của mũi, độ rộngcủa trán… Sau đó, Veriface sẽ tạo ra mẫu (template) với các đặc điểm của bạn và lưuvào máy để sử dụng cho việc nhận dạng sau này Khi làm việc bạn chỉ cần ngồi trướcmáy, Veriface sẽ xác định khuôn mặt của bạn có trùng khớp với các template đã có sẵntrong máy hay không Thông thường, giữa các lần chụp không thể có hai tấm hìnhgiống nhau 100%,vì vậy trong quá trình này, Veriface phải sử dụng một số thuật toán

lý luận mờ (Fuzzy logic) để xác định khuôn mặt nào giống với khuôn mặt đã đăng kí.Nếu xác định được khuôn mặt bạn “có quyền”, Veriface sẽ tự động đăng nhậpWindows theo đúng tên (username) của bạn

Ngoài ra, Veriface còn hỗ trợ nhận dạng nhiều người dùng trên cùng một máy.Khi người sử dụng của account nào ngồi vào trước máy, Veriface sẽ tự động nhận diệnđúng account của người đó và đăng nhập Windows với username tương ứng

Khi có người lạ muốn đăng nhập bất hợp pháp, Veriface cũng tự động chụphình người đó và lưu vào tập tin nhật ký(log) nên chủ nhân của máy có thể dễ dàng biếtđược những vị khách “không mời mà đến”

+ Công cụ tìm ảnh với phần mềm nhận dạng khuôn mặt

Trong khi Google Image của hãng dịch vụ tìm kiếm hàng đầu thế giới chỉ có thểtập hợp và hiển thị kết quả dựa vào tên file thì công nghệ của Riya có khả năng lấythông tin ngay trong bức ảnh đó

Munjah Shah, Giám đốc điều hành riya, cho biết dịch vụ đang thử nghiệm giớihạn này được trang bị công nghệ nhận dạng nét mặt và ký tự nhằm đưa ra kết quảchính xác và phong phú hơn

Tuy nhiên, mọi người sẽ phải tải công cụ tại trang của Riya và chạy trên máytính Windows Sau đó, phần mềm sẽ lập chỉ mục tất cả các bức ảnh lưu trong ổ cứng

và tải lên máy chủ Riya "Bạn càng cung cấp nhiều hình ảnh của một cá nhân, chươngtrình càng hoạt động hiệu quả", Azhar Khan, đồng sáng lập Riya, nói

Người sử dụng dịch vụ miễn phí của Riya có thể lựa chọn đăng ảnh ở các chế độ

Cá nhân (Private), Công khai (Public) hoặc chỉ cho phép một số người vào xem nhấtđịnh (Selectively public)

Shah hy vọng doanh thu của công ty sẽ tăng lên nhờ lợi nhuận quảng cáo trênsite Công nghệ nhận dạng có vẻ như sẽ thu hút sự quan tâm của nhiều dịch vụ khácnhư trang kết bạn Năm ngoái, giới công nghệ đã dự đoán Google chuẩn bị mua lạiRiya nhưng Shah từ chối đề cập đến chủ đề này

Trong thời gian tới, công nghệ sẽ cho phép tìm kiếm ảnh trên web, nhưng Shahkhuyến cáo rằng ảnh web thường có chất lượng và độ phân giải thấp nên mức chínhxác sẽ không thực sự cao

+ Visionics giới thiệu hệ thống nhận dạng khuôn mặt

Thật khó chịu khi bạn đi dạo trong hội chợ triển lãm và nhìn thấy khuôn mặtmình hiện trên một màn hình khổng lồ Nhưng càng khó chịu hơn khi khuôn mặt đó lại

bị khoanh tròn và chỉ trong tích tắc những dữ liệu phân tích thông tin về các kẻ chuyêngây rối hiện ra bên cạnh

Hình ảnh của bạn đã bị hệ thống nhận dạng khuôn mặt của hãng Visionics chụpđược Hệ thống này là một trong những sản phẩm an ninh đang được trưng bày tại cuộctriển lãm CeBIT 2002 ở Đức

Hãng Visionics cho biết hệ thống có thể nhận diện các khuôn mặt đang cử động

từ khoảng cách xa và lẫn trong những khuôn mặt khác nhau

Nhân viên an ninh cung cấp cho hệ thống một cơ sở dữ liệu gồm những bứchình của người mà họ cho là nguy hiểm Mỗi khi nhìn thấy một khuôn mặt, hệ thốngphân tích cấu trúc xương mặt và tung ra danh sách 10 hình ảnh khớp nhất cho khuônmặt đó Nếu hệ thống xác định đây là một trong những nhân vật nguy hiểm, nó sẽ báođộng cho các nhân viên an ninh để họ xác minh kẻ tình nghi

Hệ thống này trị giá từ 35.000 đến 50.000 USD (Đây là giá bán vào thời điểm năm2002-2003)

Tại CeBIT, công ty điện tử Siemens của Đức cũng đã giới thiệu một con chuộtnhận dạng vân tay còn gọi là ID mouse

Thay vì phải đánh mật khẩu, người sử dụng máy tính có thể đặt ngón tay của mình lênkhe ở giữa con chuột để kết nối vào hệ thống hoặc xem thông tin của các file bảo mật.Con chuột này còn đủ thông minh để phân biệt tay người sống và tay người chết hoặcngón tay đã bị ngâm nước quá lâu

ID mouse và phần mềm tương ứng trị giá khoảng 75 bảng

• Nhược điểm của giải pháp:

Cũng giống như các giải pháp bảo mật sử dụng công nghệ dựa trên các đặc điểmsinh trắc học của cơ thể thì giải pháp về ứng dụng nhận dạng khuôn mặt cũng gặpkhông ít những trở ngại Khuân mặt của khách hàng có thể bị biến dạng nếu như gặp