Những rủi ro này thường xảy ra trong quá trình tiến hành giao dịch điện tử mà website là điểm dễ bị tấn công Vì vậy, trong sơ đồ thanh toán trực tuyến trên, điểm yếu nhất và dễ bị các t
Trang 1NGOẠI MÔN: THƯƠNG MẠI ĐIỆN TỬ
LỚP: TMDT_16-01 GIÁO VIÊN: TRƯƠNG MINH HÕA
NHÓM 12: ĐỀ TÀI: BẢO MẬT
DANH SÁCH NHÓM
1-Bùi Thanh Vân
2-Nguyễn Hoài An
3-Từ Thanh Tài
4-Kiên Hữu Sáng
5-Nguyễn Trần Hải Đăng
6-Nguyễn Trung Hiếu
Trang 2I/ QUY TRÌNH THANH TOÁN ĐIỆN TỬ: 3
II/ AN TOÀN THƯƠNG MẠI ĐIỆN TỬ: 4
1/ Khái niệm: 4
2/ Những vấn đề căn bản trong TMDT: 4
3/Các loại tội phạm mạng: 6
III/CÁC HÌNH THỨC TẤN CÔNG CỦA TỘI PHẠM MẠNG: 6
1/MALWARE : 6
a/Khái niệm: 6
b/Phương pháp Hacker lây lan malware: 7
2/Phishing: 7
3/ pharming 7
4/Tấn công từ chối phục vụ: 8
a/DoS: 8
b/DdoS: 8
IV/CÁC PHƯƠNG PHÁP BẢO MẬT: 9
1/Các giao thức bảo mật: 9
a.Giao thức SSL : 10
b/ Giao thức SET 10
c/Khái quát về cơ chế mã hóa và chữ ký điện tử : 11
d/Chữ ký điện tử: 13
V/CÁC KHUYẾN CÁO KHI THAM GIA THƯƠNG MẠI ĐIỆN TỬ: 13
Trang 3I/ QUY TRÌNH THANH TOÁN ĐIỆN TỬ:
Quy trình thanh toán trực tuyến được thực hiện theo các bước sau:
B1: Người mua đặt lệnh mua trên web site của người bán sau khi đã chọn hàng hóa Sau đó người mua khai báo thông tin thẻ tín dụng của mình
B2: Thông tin thẻ tín dụng cua người mua sẽ được chuyển đến ngân hàng của người bán
B3: Ngân hàng của người bán sẽ kiểm tra tính hợp lệ của thẻ với ngân hàng phát hành thẻ ( việc này được thực hiện chỉ trong vài giây)
B4: Ngân hàng phất hành thẻ sẽ phản hồi cho ngân hàng của người bán về tính hợp
lệ của thẻ
B6: Sau đó, thông tin này sẽ được gửi về cho người bán
B7: Người bán sẽ dựa trên thông tin này để quyết định là bán hay không bán Nếu bán thì sẽ gửi email xác nhận cũng như hóa đơn cho người mua Nếu không bán thì giao dịch coi như kết thúc
Trang 4-Như chúng ta đã biết TMDT là hoạt động kinh doanh mang lại hiệu quả cao nhưng những rủi ro mà nó đem lại cũng không hề nhỏ.Chẳng hạn như thiết bị công nghệ hoạt động kém hay chế độ bảo không tốt sẽ dễ bị các đối tượng xấu phá hoại như đánh cắp dữ liệu, làm tê liệt hoạt động kinh doanh gây mất uy tính đến khách hàng cũng như cơ hội kinh doanh của doanh nhiệp Những rủi ro này thường xảy ra trong quá trình tiến hành giao dịch điện tử mà website là điểm dễ bị tấn công
Vì vậy, trong sơ đồ thanh toán trực tuyến trên, điểm yếu nhất và dễ bị các tội phạm mạng tấn công nhất là giai đoạn trao đổi thông tin và xác nhận thông tin giữa người mua và người bán trong quá trình giao dịch trực tuyến thông qua các
website.Vì các website này thường có hệ thống bảo mật kém nên rất dễ bị tấn công qua các hình thức như DoS,DdoS… Bên cạnh đó, hackers có thể lợi sự sơ hở và thiếu hiểu biết về công nghệ thông tin của khách hàng để đánh cắp thông tin cá nhân (số thẻ tín dụng, mã PIN, CVV…) thông qua các phần mềm gián điệp như TROJAN, MALWARE…
Vì vậy, trong giao dịch TMĐT thì vấn đề an toàn bảo mật được đặt lên hàng đầu Vậy an toàn trong thương mại điên tử là gì? Chúng ta sẽ làm rõ vấn đề này trong phần tiếp theo
II/ AN TOÀN THƯƠNG MẠI ĐIỆN TỬ:
1/ Khái niệm:
An toàn trong thương mại điện tử được hiểu là an toàn thông tin trao đổi giữa các chủ thể giao dịch, an toàn cho các hệ thống ( hệ thống máy chủ thương mại và các thiết bị đầu cuối…) không bị xâm hại từ bên ngoài hoặc có khả năng chống lại những tai họa, lỗi và sự tấn công từ bên ngoài
2/ Những vấn đề căn bản trong TMDT:
Về phía người dùng:
hành hay không?
nguy hiểm hay không?
cho bên thứ ba hay không?
Yêu cầu về phía doanh nghiệp :
thay đổi các trang web và nội dung trong website của công ty hay không?
người khác không truy cập được và website của doang nghiẹp hay không?
Yêu cầu từ cả người dùng và doanh nghiệp:
Trang 5 Liệu thông tin giữa người dung và doanh nghiệp truyền trên mạng có bị bên thứ ba “ nghe trộm” hay không?
dụng có bị biến đổi hay không?
Bản chất của an toàn TMDT là một vấn đề phức tạp Đối với an toàn TMDT phải đảm bảo sáu khía cạnh sau: Tính toàn vẹn , tính chống phủ định, tính xác thực, tính tin cậy , tính riêng tư
-Tính toàn vẹn: Tính toàn vẹn dữ liệu dùng để trả lời câu hỏi "Thông tin có thể bị
thay đổi hay mất đi hay không?" Điều này dẫn đến việc phải bảo đảm thông nhận được giống hệt thông tinđã gửi Một doanh nghiệp cần phải tự tin rằng dữ liệu không thay đổi trong quá trình chuyển đi, cho dù cố ý hoặc do tai nạn Để giúp tính toàn vẹn dữ liệu đảm bảo, tường lửabảo vệ dữ liệu được lưu trữ nhằm ngăn cản sự truy cập trái phép, trong khi chỉ đơn giản là sao lưu dữ liệu và cho phép phục hồi
dữ liệu khi cần thiết hoặc khi các thiết bị hư hỏng
-Tính chống phủ định: điều này liên quan đến sự tồn tại bằng chứng trong
một giao dịch Một doanh nghiệp phải nhận được bảo đảm là người nhận hay
người mua không thể chối hoặc phủ nhận là một giao dịch đã được thực hiện, điều này có nghĩa là phải có các bằng chứng đầy đủ để chứng minh giao dịch đã hoàn chỉnh Một cách để giải quyết vấn đề không thể phủ nhận (chối) này là chữ ký điện
tử Một giao dịch với chữ ký điện tử của người nhận, có thể coi như một món hàng gửi bảo đảm, chắc chắn tin nhắn hoặc văn bản, tài liệu đã đến tay và được ký nhận bởi một ai đó, và từ khi một chữ ký điện tử chỉ được tạo ra bởi một cá nhân nhất định, cho nên người đó sẽ không thể phủ nhận rằng họ đã ký và nhận hàng
-Tính xác thực: là liên quan đến khả năng nhận biết các đối tác tham gia giao dịch
trực tuyến trên internet, như làm thế nào để khách hàng chắc chắn rằng các doanh nghiệp bán hàng trực tuyến là những người có thể khiếu nại được hay những gì khách hàng nói là sự thật
-Tính tin cậy: liên quan đến khả năng đảm bảo rằng ngoài những người có quyền,
không ai có thể xem các thông điệp và truy cập những dữ liệu có giá trị
-Tính riêng tư: liên quan đến khả năng kiểm soát việc sử dụng các thông tin cá
nhân mà khách hàng cung cấp về chính bản thân họ Có hai vấn đề mà người bán hàng cần phải chú ý đến tính riêng tư là :
+ Người bán hàng cần thiết lập chính sách nội bộ để có thể quản lý việc sử dụng các thông tin về khách hàng
+ Cần bảo vệ các thông tin đó tránh sử dụng vào những mục đích không chính đáng, tránh sử dụng trái phép các thông tin này
-Tính lợi ích: liên quan đến khả năng đảm bảo các chức năng của một website
thương mại điện tử được thực hiện đúng như mong đợi Đây cũng là vấn đề mà các website hay gặp phải và là trở ngại không nhỏ đối với việc thực hiện các giao dịch trực tuyến trên internet
Trang 6Vậy có thể nói rằng, vấn đề an toàn trong thương mại điện tử được xây dựng trên cơ sở bảo vệ 6 tính chất trên, khi nào một trong số các khía cạnh này chưa được bảo đảm, sự an toàn trong thương mại điện tử vẫn chưa được thực hiện triệt
để
3/Các loại tội phạm mạng:
- Tin tặc (hacker) là những người lập trình tìm cách xâm nhập trái phép vào websites hay hệ thống máy tính
- Các crackers có thể xâm nhập vào hệ thống websites TMDT hay sử dụng các chương trình phá hoại (cybervandalism) để làm hỏng dữ liệu, chương trình, và phần cứng của các website hoặc máy trạm
III/CÁC HÌNH THỨC TẤN CÔNG CỦA TỘI PHẠM MẠNG:
1/MALWARE :
a/Khái niệm:
Là một loại phần mềm hệ thống do các tay tin tặc hay các kẻ nghịch ngợm tạo ra nhằm gây hại cho các máy tính Tùy theo cách thức mà tin tặc dùng, sự nguy hại của các loại phần mềm ác ý có khác nhau từ chỗ chỉ hiển thị các cửa sổ hù dọa cho đến việc tấn công chiếm máy và lây lan sang các máy khác như là virus trong
cơ thể của các sinh vật
Do định nghĩa, từ phần mềm ác ý sẽ bao gồm các lọai phần mềm sau:
-Virus (máy tính) : Virus máy tính là một chương trình phần mềm có khả năng tự sao chép chính nó từ đối tượng lây nhiễm này sang đối tượng khác (đối tượng có thể là các file chương trình, văn bản, máy tính ) Virus có nhiều cách lây lan và tất nhiên cũng có nhiều cách phá hoại, nhưng bạn chỉ cần nhớ rằng đó là một đoạn chương trình và đoạn chương trình đó thường dùng để phục vụ những mục đích không tốt
-Worm - Sâu máy tính: Sâu máy tính (worm) là một chương trình máy tính có khả năng tự nhân bản giống như virus máy tính Trong khi virus máy tính bám vào và trở thành một phần của mã máy tính để có thể thi hành thì sâu máy tính là một chương trình độc lập không nhất thiết phải là một phần của một chương trình máy tính khác để có thể lây nhiễm Sâu máy tính thường được thiết kế để khai thác khả năng truyền thông tin có trên những máy tính có các đặc điểm chung - cùng hệ điều hành hoặc cùng chạy một phần mềm mạng - và được nối mạng với nhau.Lây nhiễm qua internet, USB, mạng LAN
-Trojan: là phần mềm gián điệp được dụng để thâm nhập vào máy tính mà người dùng không hề hay biết Nó chứa các chứa các chương trình độc hại sau:
Trang 7 Spyware: Tự động ghi lại các thông tin của máy tính bị xâm nhập
b/Phương pháp Hacker lây lan malware:
-Phương pháp thông dụng để cài malware là gửi email tới những người dùng với những khuyến cáo nên click vào một đường link được cung cấp trong email để đến một website nào đó (vd: xác nhận thông tin tài khoản email or tài khoản thẻ tín dụng ) nếu click vào đó thì máy tính của họ sẽ tự cài đặt malware
-Sau đó khi người dùng truy cập vào những trang website của ngân hàng nó bắt đầu ghi lại các thao tác nhấn phím và chụp màn hình để thu thập những thông tin nhạy cảm, sau đó chuyển dữ liệu đến cho tin tặc
-Nó cũng có thể được cài vào những trang website giả mạo nhằm lừa những người dùng thiếu cảnh giác tự tiết lộ những thông tin cá nhân vào các bảng khai báo trên trang web
2/Phishing:
Là hình thức giả dạng các tổ chức hợp pháp như ngân hàng, dịch vụ thanh toán qua mạng… để gửi email hàng loạt, yêu cầu người nhận cung cấp dịch vụ, thông tin cá nhân và thông tin tín dụng
Một cách khác là gửi email hàng loạt đến người nhận, tuyên bố người nhận
đã may mắn trúng một giải thưởng lớn và yêu cầu người nhận gửi một số tiền nhỏ vào một tài khoản nào đó để làm thủ tục nhận thưởng
Một nguy cơ khác xuất hiện gần đây nhất là tạo ra những website bán hàng, bán dịch vụ “y như thật” trên mạng và tối ưu hóa chúng trên google để nạn nhân tự tìm thấy và mua hàng hóa và dịch vụ trên những web này Thực tế khi nạn nhân đã chọn hàng, dịch vụ và cung cấp đầy đủ thông tin thẻ tín dụng Nạn nhân sẽ không nhận được hàng nhưng đánh cắp thông tin thẻ tín dụng
Mục đích của nhừng thủ đoạn trên là đánh cắp thông tin thẻ tín dụng, từ đó gây ra những rủi ro về gian lận thẻ tín dụng ( sử dụng những thông tin thẻ tín dụng đã đánh cắp được để thực hiện những giao dịch bất chính trực tuyên hoặc phát tán chúng trên mạng)
3/ pharming
Hình thưc lừa đảo này rất nguy hiểm Hacker thay đổi địa chỉ IP mà người dùng muốn truy cập Khi họ đăng nhập vào , dù họ đã gõ đúng trang mà họ muốn vào nhưng vẫn bị dẫn đến một trang web giả mạo
Đối với hệ điều hành windows có một filehosts ( có thể coi filehosts la một mini DNS trong máy tính của người dùng) lưu trữ những trang mà họ đã vào , bên cạnh
đó là địa chỉ IP của trang đó Trong lần truy cập tiếp theo , người dùng sẽ truy cập
Trang 8trực tiếp vào trang đã có địa chỉ IP trong danh sách mà không cần thông qua máy chủ DNS ( là máy chủ có nhiệm vụ biên dịch tên miền thành dịa chỉ IP ) Nếu hacker tấn công vào máy của người dùng và thay đổi địa chỉ IP của trang đó, thì người dùng sẽ bị dẫn đến một trang web giả
Mức độ nguy hiểm sẽ tăng lên nếu hacker tấn công được vào máy chủ DNS và thay đổi IP của trang, số lượng người truy cập vào website giả sẽ tăng lên rất nhiều
4/Tấn công từ chối phục vụ:
a/DoS:
Sự khước từ phục vụ (DOS-Denial of Service) của một website là hậu quả của việc tin tặc sử dụng những giao thông vô ích làm tràn ngập dẫn đến tắc nghẽn mạng truyền thông, hoặc sử dụng số lượng lớn các máy tính tấn công vào một mạng (dưới dạng yêu cầu phân bố dịch vụ) từ nhiều điểm khác nhau gây nên sự quá tải về khả năng cung cấp dịch vụ.Những cuộc tấn công DOS có thể là nguyên nhân khiến cho mạng máy tính ngừng hoạt động và trong thời gian đó, người sử dụng sẽ không thể truy cập vào các website thương mại điện tử náo nhiệt như eBay.com hay Buy.com, những tấn công này cũng đồng nghĩa với những khoản chi phí vô cùng lớn vì trong thời gian website ngừng hoạt động, khách hàng không thể thực hiện các giao dịch mua bán.b/ DdoS : Sử dụng số lượng lớn các máy tính
tấn công vào một mạng từ nhiều điểm khác nhau gây nên sự quá tải về khả năng
cung cấp dịch vụ
b/DdoS:
Tấn công từ chối dịch vụ phân tán (DDoS - Distributed Denial Of Service)
là kiểu tấn công làm cho hệ thống máy tính hay hệ thống mạng quá tải, không thể cung cấp dịch vụ hoặc phải dừng hoạt động Trong các cuộc tấn công DDoS, máy chủ dịch vụ sẽ bị "ngập" bởi hàng loạt các lệnh truy cập từ lượng kết nối khổng lồ Khi số lệnh truy cập quá lớn, máy chủ sẽ quá tải và không còn khả năng xử lý các yêu cầu Hậu quả là người dùng không thể truy cập vào các dịch vụ trên các trang web bị tấn công DDoS
VD: Năm 2000, các cuộc tấn công DDoS vào Yahoo, eBay, eTrade,
Amazon.com và CNN xuất phát từ các máy tính chạy Unix của các doanh nghiệp
và các trường đại học, nhưng sau đó vài tuần, malware chỉ đạo cuộc tấn công, có tên gọi là Trinoo, chuyển sang các máy tính chạy Windows để khởi phát các cuộc tấn công
Trang 9IV/CÁC PHƯƠNG PHÁP BẢO MẬT:
1/Các giao thức bảo mật:
Để giải quyết vấn đề an toàn giao dịch giữa các công ty, ngân hàng, chính phủ, cá nhân ở cá quốc gia khác nhau trên mạng internet từ cơ sở hạn tầng khóa công cộng là khó khăn Cần có các chuẩn giao thức chung được chấp nhận rộng rãi , vận hành một cách tự động , minh bạch, được cài đặt và vận hành một cách tự động trong các máy chủ và máy trạm, đó là giao thức SSL, SET…
Trang 10a.Giao thức SSL :
viết tắt của Secure Socket Layer là một giao thức (protocol) cho phép bạn truyền đạt thông tin một cách bảo mật và an toàn qua mạng
Việc kết nối giữa một Web browser tới bất kỳ điểm nào trên mạng Internet đi qua rất nhiều các hệ thống độc lập mà không có bất kỳ sự bảo vệ nào với các thông tin trên đường truyền Không một ai kể cả người sử dụng lẫn Web server có bất kỳ sự kiểm soát nào đối với đường đi của dữ liệu hay có thể kiểm soát được liệu có ai đó thâm nhập vào thông tin trên đường truyền Để bảo vệ những thông tin mật trên mạng Internet hay bất kỳ mạng TCP/IP nào, SSL đã kết hợp những yếu tố sau để thiết lập được một giao dịch an toàn: Xác thực, mã hóa, toàn vẹn dữ liệu
Ưu điểm:
- Đơn giản , thuận tiện
-Người mua có thể xác định được người bán
-Thông tin được đảm bảo tính riêng tư , toàn vẹn
Nhược điểm:
-Không đảm bảo người bán có thể xác định chính xác người mua
-Thông tin thẻ tín dụng được tiết lộ với người bán -> có nguy cơ lộ tài khoản
b/ Giao thức SET
SET hay còn gọi là giao thức giao dịch an toàn( Secure Electronic
Transaction), là một nghi thức tập hợp những kĩ thuật mã hóa và bảo mật nhằm mục đích đảm bảo an toàn cho các giao dịch mua bán trên mạng Đây là một kĩ thuật bảo mật, mã hóa được phát triển bởi VISA, MASTER CARD và các tổ chức khác trên thế giới
-Mục đích của SET là bảo vệ hệ thống thẻ tín dụng, tạo cho khách hàng, doanh nghiệp, ngân hàng, các tổ chức tài chính … sự tin cậy trong khi giao dịch mua bán trên Internet
-Giao thức SET đáp ứng được 4 yêu cầu về bảo mật cho TMĐT giống như SSL:
sự xác thực, mã hóa, tính chân thực, không thoái thác
-Ngoài ra SET xác định hình thức thông điệp, hình thức chứng thực và hình thức trao đổi thông điệp
-Trong giao thức SET, có 4 thực thể: chủ sở hữu thẻ, người kinh doanh, cơ quan chứng thực và cổng nối thanh toán
-Giao thức SET phức tạp và các chứng thực không được phân phối rộng rãi với một cách thức ổn định Giao thức SET, giấu các thông tin về thẻ tín dụng của khách hàng đối với người kinh doanh và cũng giấu cả thông tin về đơn hàng đối với các ngân hàng bảo vệ sự riêng tư Thiết kế này được gọi là chữ ký kép
-SET đặt các mật mã riêng vào tay của cả người mua lẫn người bán trong một