website của doanh nghiệp bằng cách xác nhận danh tính cho website này. Hàng ngày, website của doanh nghiệp đều được quét các phần mềm độc hại thông qua Symantec. Gói dịch vụ này còn cung cấp thêm cho khách hàng dấu đảm bảo “Norton Secured Seal” trên website để tăng lòng tin của người dùng khi truy cập vào website khách. Bằng cách đó, website của doanh Thời hạn 3 năm n/a
$2,480 n/a Tiết kiệm $500 $995 Tiết kiệm $200 Thời hạn 4 năm $3,199
n/a n/a Tiết
kiệm $800
$1,299
Tiết kiệm $300
SAN 1 năm cho mỗi tên miền mới
(Cộng thêm tối đa 24 tên miền vào 1 chứng chỉ số, giá áp dụng cho mỗi tên miền) $995 $699 $699 $299 Phí tư vấn, triển khai - Bắt buộc - Chỉ áp dụng cho lần mua đầu tiên
$50 $50 $50
FREE FREE FREE
$50
FREE
Secure
Secure Site Secure Site Site Pro Secure Site
with EV Pro with EV
nghiệp sẽ có thể tăng lưu lượng truy cập qua công cụ tìm kiếm, giúp tăng doanh số bán, và thúc đẩy niềm tin của người sử dụng.
2.3 Code Signing
Code Signing Certificate s ử dụng chữ ký số giúp nhà s ản xu ất đảm b ảo đượ c tính nguyên v ẹn c ủ a phần m ềm đượ c phân ph ối b ở i h ọ , và xác nh ận tính nguyên vẹn đó khi ngườ i dùng nh ận đượ c ph ần m ềm (thông qua thi ết b ị lưu trữ hoặc tải về Internet).
Các nhà s ản xu ất s ẽ "ký tên" vào n ộ i dung c ủa ph ần m ềm b ằ ng m ột private- key và chuy ển thành m ột hash. H ệ th ống phân ph ối ph ầ n m ề m s ẽ dùng m ột public-key để gi ải mã "ch ữ ký" trong ph ần m ềm nh ận đượ c thành m ột hash khác. Sau đó các hash này sẽ đượ c so sánh vớ i nhau. N ếu trùng kh ớ p, h ệ thống s ẽ tự động ch ấp nh ận ph ần m ềm. N ếu không đúng, hệ thống s ẽ cảnh báo người dùng.
Do đó, một khi không nh ận đượ c c ảnh báo, ngườ i dùng s ẽ luôn được đảm bảo r ằng h ọ đã nhận đượ c m ột s ản ph ẩm đáng tin cậ y, và nguyên v ẹn t ừ nhà sản xuất.
2.4 User Authentication
Dịch vụ User Authentica tion Chứng thực người dùng truy cập vào website của tổ chức nhằm ngăn ngừa những hoạt động lừa đảo. Symantec cung cấp hai loại dịch vụ chứng thực người dùng chính:
- Validation & ID Protection (VIP) - Dịch vụ chứng thực và bảo vệ ID
Dịch vụ cung cấp các mã an toàn để xác thực ID và Password của người dùng, dịch vụ này sử dụng One – time – password (OTP) đảm bảo tính an toàn và sử dụng dữ liệu đám mây để tiết kiệm chi phí cho khách hàng sử dụng.
- Managed Public Key Infrustructure Service (PKI) – Dịch vụ hạ tầng khóa công khai
Symantec cung cấp và xác thực định danh các bên tham gia vào quá trình trao đổi thông tin. Cơ chế này cho phép gán cho mỗi người sử dụng một cặp khóa công khai/ bí mật để mã hóa thông tin. Symantec sử dụng dữ liệu đám mây cho Server.
3. Mô tả đặc điểm và lợi ích của Verisign Secured Seal
Sau khi dịch vụ chứng thực của Verisign Int được bán lại cho Semantec, dấu Verisign secured seal được đổi thành Norton secured seal như hình bên dưới. Với phương trâm “Cùng mức độ bảo mật, tất cả các sản phẩm và dịch vụ mà khách hàng đã tin tưởng sử dụng tại Verisign bây giờ sẽ được cung cấp bởi Semantec” các đặc điểm và lợi ích cơ bản của dấu này không có nhiều thay đổi.
Dấu này thể hiện rằng website mang dấu đã mua một trong cac dịch vụ của Semantec như Semantec Secure Site, Secure Site Pro, Symantec Safe Site….
Khi người dùng click lên dấu này sẽ mở ra một trang chứng thực chứa các thông tin về tổ chức, tình trạng quét các phần mềm độc hại, và các thông tin chi tiết về chứng chỉ số SSL.
3.1. Các đặc điểm của dấu này:
-
- - -
Đây là dấu được tin tưởng nhất trên Internet (theo nghiên cứu Online tại Mỹ tháng 1 năm 2011): VeriSign là thương hiệu được tin cậy nhất trên Internet. VeriSign hiện đang bảo mật cho hơn 1,000,000 máy chủ Web trên toàn thế giới, nhiều hơn bất cứ nhà cung cấp chứng chỉ số nào khác. Hơn 40 ngân hàng lớn nhất thế giới và hơn 95% trong số các công ty hàng đầu thế giới theo danh sách của Fortune 500 lựa chọn chứng chỉ số SSL cung cấp bởi Verisign. Hơn 75% websites dùng cơ chế xác thực Extended Validation (EV) chọn VeriSign, bao gồm cả những tên tuổi lớn nhất trong lĩnh vực thương mại điện tử, chứng khoán và ngân hàng. Hơn 90,000 tên miền tại 145 quốc gia hiển thị logo Symantec Secured® Seal, dấu hiệu được tin cậy nhất trên Internet.
Chứng thực tổ chức và website của tổ chức.
Dấu xuất hiện cả trên website sử dụng dịch vụ và các máy tìm kiếm. Đi kèm tính năng scan website hàng ngày phát hiện các phần mềm độc hại và Scan các lỗ hổng an ninh hàng tuần.
3.2. Các lợi ích cơ bản:
-
-
-
-
Làm tăng lòng tin của người dùng đối với website và tổ chức sử dụng website đó
Xác định rằng tổ chức đã được chứng thực bởi một cơ quan chứng thực uy tín. Một nghiên cứu thực hiện bởi Baymard Institute kết luận rằng người dùng có niềm tin vào dấu Norton Secured Seal hơn bất cứ dấu nào của các hãng khác.
Làm tăng lòng tin nơi khách hàng để hoàn tất giao dịch: Theo một nghiên cứu online quốc tế, 85% ứng viên trả lời sẽ tiếp tục hoàn thất thủ tục mua hàng trực tuyến khi họ nhìn thấy dấu NortonTM Secured Seal trong quá trình thực hiện thanh toán.
Chuyển các khách ghé thăm website thành các khách mua hàng: Thật vậy: Dấu này được nhìn thấy hơn nửa tỷ lần mỗi ngày trên các website của 170 quốc gia trên toàn thế giới cũng như trong các kết quả tìm kiếm.
Và khi nhìn thấy dấu này khách hàng sẽ cảm thấy tin tưởng hơn và an toàn hơn để thực hiện các giao dịch.
4. Trường hợp sử dụng và phương pháp vận hành của SSL (secure
socket layer):
4.1 Trường hợp sử dụng: Ngày nay SLL được sử dụng rộng rãi như
nền tảng bảo mật cho: - - - - - - - - - -
Các truy cập vào những ứng dụng có yêu cầu bảo mật cao như Oracle, PeopleSoft, hay Siebel từ bất kỳ một web browser nào. Các website bán hàng qua mạng được thanh toán bằng thẻ tín dụng.
Các trang học tập trực tuyến, tài chính ngân hàng, giao dịch chứng khoáng và dịch vụ thanh toán hóa đơn.
Các nhà cung cấp dịch vụ y tế muốn chia sẻ các thông tin nghiên cứu riêng tư của mình.
Các công ty bảo hiểm cung cấp các dịch vụ trực tuyến cho các đại lý và khách hàng.
Các trang cung cấp dịch vụ thương mại điện tử trực tuyến.
Các dịch vụ của chính phủ đòi hỏi sự bảo mật thông tin như thuế, an ninh xã hội, quân đội và các thông tin về sức khỏe.
Các trang du lịch mà có thể đặt phòng và vé trực tuyến.
Các mạng nội bộ (intranet) có yêu cầu bảo mật thông tin quan trọng. Các mạng mở rộng (extranet) phục vụ cho các truy cập an toàn vào các nguồn thông tin của công ty phía đối tác, các đại lý cung cấp và các khách hành chính.
Nói tóm lại, chứng chỉ số SSL nên được sử dụng trong các trường hợp thông tin trao đổi cần được xác thực, bảo mật và giữ nguyên vẹn.
Điểm cơ bản của SSL là được thiết kế độc lập với tầng ứng dụng để đảm bảo tính bí mật, an toàn và chống giả mạo luồng thông tin qua Internet giữa hai ứng dụng bất kỳ, thí dụ như webserver và các trình duyệt (browser), do đó được sử dụng rộng rãi trong nhiều ứng dụng khác nhau trên môi trường Internet. Toàn bộ cơ chế hoạt động và hệ thống thuật toán mã hoá sử dụng trong SSL được phổ biến công khai, trừ khoá chia sẻ tạm thời được sinh ra tại thời điểm trao đổi giữa hai ứng dụng là tạo ngẫu nhiên và bí mật đối với người quan sát trên mạng máy tính. Ngoài ra, giao thức SSL còn đòi hỏi ứng dụng chủ phải được chứng thực bởi một đối tượng lớp thứ ba (CA) thông qua chứng chỉ điện tử (digital
certificate) dựa trên mật mã công khai (thí dụ RSA).
Sau đây ta xem xét một cách khái quát cơ chế hoạt động của SSL để phân tích cấp độ an toàn của nó và các khả nǎng áp dụng trong các ứng dụng nhạy cảm, đặc biệt là các ứng dụng về thương mại và thanh toán điện tử.
-
-
-
Giao thức SSL dựa trên hai nhóm con giao thức là “Giao thức bắt tay” -
handshake protocol - và “Giao thức bản ghi” - record protocol. Giao thức
bắt tay xác định các tham số giao dịch giữa hai đối tượng có nhu cầu trao đổi thông tin hoặc dữ liệu, còn giao thức bản ghi xác định khuôn dạng cho tiến hành mã hoá và truyền tin hai chiều giữa hai đối tượng đó. Khi hai ứng dụng máy tính, thí dụ giữa một trình duyệt web và máy chủ web, làm việc với nhau, máy chủ và máy khách sẽ trao đổi "lời chào" (hello) dưới dạng các thông điệp cho nhau với xuất phát đầu tiên chủ động từ máy chủ, đồng thời xác định các chuẩn về thuật toán mã hoá và nén số liệu có thể được áp dụng giữa hai ứng dụng.
Ngoài ra, các ứng dụng còn trao đổi "số nhận dạng/khoá theo phiên" (session ID, session key) duy nhất cho lần làm việc đó.
Sau đó ứng dụng khách (trình duyệt) yêu cầu có chứng chỉ điện tử (digital certificate) xác thực của ứng dụng chủ (web server). Chứng chỉ điện tử thường được xác nhận rộng rãi bởi một cơ quan trung gian (Thẩm quyền xác nhận CA - Certificate Authority) như RSA Data Sercurity hay VeriSign Inc., một dạng tổ chức độc lập, trung lập và có uy tín. Các tổ chức này cung cấp dịch vụ "xác nhận" số nhận dạng của một công ty và phát hành chứng chỉ duy nhất cho công ty đó như là bằng chứng nhận dạng (identity) cho các giao dịch trên mạng, ở đây là các máy chủ webserver.
-
-
Sau khi kiểm tra chứng chỉ điện tử của máy chủ (sử dụng thuật toán mật mã công khai, như RSA tại trình máy trạm), ứng dụng máy trạm sử dụng các thông tin trong chứng chỉ điện tử để mã hoá thông điệp gửi lại máy chủ mà chỉ có máy chủ đó có thể giải mã.
Trên cơ sở đó, hai ứng dụng trao đổi khoá chính (master key) - khoá bí mật hay khoá đối xứng - để làm cơ sở cho việc mã hoá luồng thông tin/dữ liệu qua lại giữa hai ứng dụng chủ khách. Toàn bộ cấp độ bảo mật và an toàn của thông tin/dữ liệu phụ thuộc vào một số tham số: (i) Số nhận dạng theo phiên làm việc ngẫu nhiên; (ii) Cấp độ bảo mật của các thuật toán bảo mật áp dụng cho SSL; (iii) Độ dài của khoá chính (key length) sử dụng cho lược đồ mã hoá thông tin
Mức độ bảo mật của giao thức SSL
Mức độ bảo mật của SSL như trên mô tả phụ thuộc chính vào độ dài khoá hay phụ thuộc vào việc sử dụng phiên bản mã hoá 40bit và 128bit. Phương pháp mã hoá 40bit được sử dụng rộng rãi không hạn chế ngoài nước Mỹ và phiên bản mã hoá 128bit chỉ được sử dụng trong nước Mỹ và Canada.
Theo luật pháp Mỹ, các mật mã "mạnh" được phân loại vào nhóm "vũ khí"
(weapon) và do đó khi sử dụng ngoài Mỹ (coi như là xuất khẩu vũ khí) phải được phép của chính phủ Mỹ hay phải được cấp giấy phép của Bộ Quốc phòng Mỹ (DoD). Đây là một lợi điểm cho quá trình thực hiện các dịch vụ thương mại và thanh toán điện tử trong Mỹ và các nước đồng minh phương Tây và là điểm bất lợi cho việc sử dụng các sản phẩm cần có cơ chế bảo mật và an toàn trong giao dịch điện tử nói chung và thương mại điện tử nói riêng trong các nước khác. Các phương thức tấn công (hay bẻ khoá) của các thuật toán bảo mật thường dùng dựa trên phương pháp "tấn công vét cạn" (brute-force attack) bằng cách thử-sai miền không gian các giá trị có thể của khoá. Số phép thử-sai tǎng lên khi độ dài khoá tǎng và dẫn đến vượt quá khả nǎng và công suất tính toán, kể cả các siêu máy tính hiện đại nhất. Thí dụ, với độ dài khoá là 40bit, thì số phép thử sẽ là 240 tổ hợp. Tuy nhiên độ dài khoá lớn kéo theo tốc độ tính toán giảm (theo luỹ thừa nghịch đảo) và dẫn đến khó có khả nǎng áp dụng trong thực tiễn. Một khi khoá bị phá, toàn bộ thông tin giao dịch trên mạng sẽ bị kiểm soát toàn bộ. Tuy nhiên do độ dài khoá lớn (thí dụ 128, 256 bít), số phép thử-sai trở nên "không thể thực hiện" vì phải mất hàng nǎm hoặc thậm chí hàng nghìn nǎm với
công suất và nǎng lực tính toán của máy tính mạnh nhất hiện nay. Ngay từ nǎm 1995, bản mã hoá 40bit đã bị phá bởi sử dụng thuật toán vét cạn.
Ngoài ra, một số thuật toán bảo mật (như DES 56bit, RC4, MD4,...) hiện nay cũng bị coi là không an toàn khi áp dụng một số phương pháp và thuật toán tấn công đặc biệt. Đã có một số đề nghị thay đổi trong luật pháp Mỹ nhằm cho phép sử dụng rộng rãi các phần mềm mã hoá sử dụng mã hoá 56bit song hiện nay vẫn chưa được chấp thuận.
Câu 4: Hãy dò tìm trên mạng Internet để tổng hợp và trình bày những thông tin về các trò lừa đảo phổ biến hiện nay trong giao dịch điện tử. Đứng ở góc độ người bán và người mua bạn nên làm gì để bảo vệ chính mình khỏi các trò lừa đảo.
1. Các trò lừa đảo phổ biến hiện nay trong giao dịch điện tử
1.1. Giả mạo thông tin của thương nhân, tổ chức, cá nhân khác để tham gia hoạt động TMĐT
Hiện nay trên mạng có 1 số trang giả mạo 1 cách rất tinh vi trang web bán báu vật của VTC như: muachungcf.net hay muabauvat.net giao diện rất giống với trang muachungcf của VTC nhưng thực chất là lừa đảo. Đặc điểm của những trang này là bán báu vật rất nhiều và giá cực rẻ, chỉ khoảng 50 vcoin cho một món. Khi tiến hành đăng nhập sẽ có 1 đường link hướng bạn thẳng đến trang
https://id.vtc.vn/home/trang-chu.html, đặc biệt là web lừa đảo này chỉ cho thanh toán bằng thẻ cào chứ không mua trực tiếp bằng số Vcoin đang có trong tài khoản. Giao diện giống hệt trang muachungcf của VTC
1.2 Các hành vi lừa đảo khách hàng trên website TMĐT,
Tổ chức mạng lưới kinh doanh, tiếp thị cho dịch vụ TMĐT buộc người tham gia phải đóng một khoản tiền ban đầu để mua dịch vụ và được nhận tiền hoa hồng, tiền thưởng hoặc lợi ích khác từ việc vận động người tham gia mạng lưới; lợi dụng TMĐT để kinh doanh hàng giả, hàng hóa, dịch vụ vi phạm quyền sở hữu trí tuệ; hàng hóa, dịch vụ thuộc danh mục cấm kinh doanh.
Các DN thường lừa đảo lập website cung cấp dịch vụ sàn GDĐT để các thành viên mở một gian hàng ảo giới thiệu sản phẩm hàng hóa, dịch vụ. Ngoài ra, còn được thêm quyền lợi giới thiệu những người khác tham gia mua gian hàng trên sàn GDĐT và hưởng hoa hồng ở mức cao dần tùy vào mức độ "phát triển mạng lưới gian hàng" theo những hợp đồng mà họ giới thiệu.
Tuy nhiên, các điều khoản về cơ chế đóng phí, trả hoa hồng thường không được quy định rõ, các giao dịch chuyển tiền cũng không có chứng từ. Do mức phân chia hoa hồng đa cấp khá lớn, nên đa phần các thành viên tham gia website đều không kinh doanh thực sự mà chủ yếu đặt mục tiêu thu lợi nhuận từ việc giới thiệu người khác tham gia. Điều đó dẫn đến đa số gian hàng trên các website dạng này đều là gian hàng trống không có sản phẩm cần bán và thông tin gì về chủ gian hàng.
VD: MB24 tổ chức bán gian hàng trên website muaban24.vn. Theo đó, người muốn trở thành hội viên phải mua một gian hàng với giá 5,2 triệu đồng, sau đó lôi kéo người khác tham gia để hưởng hoa hồng trực tiếp 1,5 triệu đồng, khi