Những hình thức gian lận trong TMĐT và cách phòng chống 1 Phishing

Một phần của tài liệu Thực trạng và giải pháp cho vấn đề an toàn và bảo mật trong thương mại điện tử.doc.DOC (Trang 38 - 42)

1. Phishing

Phishing là một dạng lừa đảo trực tuyến ngày càng phổ biến. Kỹ thuật lừa đảo Phishing bắt đầu bằng một email giả danh một công ty hợp pháp, chẳng hạn như Ebay hay CityBank. Thông thường, nội dung của email giả danh thông báo cho nạn nhân là tài khoản của họ đã hết hạn hoặc đại loại như vậy. Nạn nhân sẽ được hướng dẫn để nhấp chuột vào một liên kết dẫn đến một website giả mạo. Nếu nạn nhân vào website này, nó sẽ bảo bạn khai báo các thông tin cá nhân quan trọng như số thẻ tín dụng hay số tài khoản cá nhân. Hậu quả là nạn nhân bị bọn chúng vét sạch tiền trong tài khoản mà không hiểu vì sao.

Hiện nay có nhiều phần mềm cho phép tạo lập website giả mạo của các công ty hợp pháp một cách dễ dàng mà không đòi hỏi kẻ lừa đảo phải có nhiều kiến thức về lập trình, chỉ đơn giản là cắt và dán nên vấn nạn Phishing sẽ còn gia tăng trong thời gian tới. Trong khi nhiều người dùng cho rằng Web Caller – ID không phải là phương thức toàn năng chữa trị triệt để vấn nạn phishing.

Để phòng chống Phishing bạn có thể sử dụng sản phẩm Web Caller – ID của công ty WholeSecurity. Phần mềm này hiện đang được Ebay tích hợp vào thanh công cụ Internet dưới dạng tính năng bảo vệ tài khoản. Tính năng này phát hiện những Website lừa đảo, giả mạo Ebay hoặc PayPal với độ chính xác đến 98%. Người truy cập sẽ được cảnh báo khi truy cập vào những website giả mạo không phải của Ebay.

Web Caller – ID hoạt động theo nguyên lý phân tích các địa chỉ Web để dò tìm những đầu mối cho biết một website có giả mạo hay không. Chẳng hạn nếu địa chỉ URL của website mà dài và luẩn quẩn, hoặc nếu nó chứa một dãy số dài và được ngăn cách bởi các dấu chấm trong địa chỉ IP thì nhiều khả năng nó là website mạo danh. Chương trình cũng có khả năng kiểm tra xem có phải tên miền mới được đăng ký hay không, cũng như xem có phải nhà quản trị website đó đang sử dụng một dịch vụ host miễn phí.

Ngoài Ebay, hãng WholeSecuriry còn có kế hoạch cấp giấy phép cho các doanh nghiệp kinh doanh trực tuyến sử dụng phần mềm Web Caller – ID. Các doanh nghiệp này có thể là ngân hàng, hãng tín dụng hay các cửa hàng bán lẻ qua mạng.

Với phần mềm này, bạn có thể tích hợp nó vào thanh công cụ trình duyệt Web, tạo thành một tính năng gián tiếp làm nhiệm vụ bảo mật. Ngoài ra, bạn có thể lựa chọn đăng ký dịch vụ xử lý email từ hãng WholeSecurity để nhận được những thông tin mới nhất về nạn phishing scam.

2. Spear Phishing

Đây là hình thức lừa đảo mang ý tưởng của Phishing nhưng với thủ đoạn mới, đối tượng mới. Mục tiêu của hình thức lừa đảo này nhằm vào các thông tin nhạy cảm của cả một tổ chức thuộc cá nhân hay chính phủ. Thay vì giả mạo email của một trang web nổi tiếng hay một trang ngân hàng nào đó, kẻ lừa đảo gửi email cho một số ít nhân viên của tổ chức mục tiêu và làm như email đó được gửi đến từ một quan chức cao cấp trong tổ chức đó.

Không giống như email của các hình thức lừa đảo Phishing thông thường được gửi với số lượng lớn, tới mọi đối tượng, kẻ lừa đảo theo hình thức Spear Phishing mỗi lần chỉ nhắm vào một tổ chức. Spear Phishing là hình thức lừa đảo có mục tiêu cụ thể. Khi chúng lừa được nhân viên của tổ chức lộ ra mật khẩu, chúng có thể cài các phần mềm gián điệp khai thác các bí mật của tổ chức đó.

Spear Phishing hiệu quả rất lớn đối với cả những nhân viên có hiểu biết về các mối đe dọa trên mạng. Tại học viện quân sự Mỹ tại West Point, New York, một thử nghiệm nội bộ đã cho thấy tất cả các học viên sẵn sàng cung cấp thông tin cho một kẻ lừa đảo tự xưng là sỹ quan cao cấp. “Đó là hiệu ứng đại tá, bất cứ ai ở cấp tá trở lên cũng có thể ra lệnh trước rồi đưa ra các câu hỏi sau”, tiến sĩ Aeron Ferguson phát biểu. Gần đây các học viên đã có phần nghi ngờ các bức thư trên khi nhận thức của họ được nâng lên.

Để ngăn chặn hình thức lừa đảo Spear Phishing, biện pháp tốt nhất hiện nay là giáo dục nâng cao ý thức của các nhân viên trong tổ chức. Muốn ngăn chặn triệt để vấn nạn Phishing cần có một cơ chế chứng thực email được dùng rộng rãi. Điều này đòi hỏi sự phối hợp của toàn xã hội.

3. Pharming

Hình thức lừa đảo này rất nguy hiểm. Kẻ cắp thay đổi địa chỉ IP của trang web mà bạn muốn truy cập. Khi bạn login vào, mặc dù đã gõ đúng tên của trang bạn muốn nhưng bạn được dẫn tới một trang web giả mạo.

Đối với hệ điều hành Windows có một file lưu những trang mà bạn đã vào, bên cạnh đó là địa chỉ IP của trang đó. Trong lần truy cập tiếp theo, bạn sẽ truy cập trực tiếp vào trang đã có địa chỉ IP trong danh sách mà không cần thông qua máy chủ DNS. Nếu hacker tấn công máy của bạn và thay đổi địa chỉ IP của trang đó, bạn sẽ được dẫn vào một trang web giả.

Mức độ nguy hiểm sẽ tăng, nếu hacker tấn công được vào máy chủ DNS của và thay đổi địa chỉ IP của trang web. Lúc này không chỉ mình bạn, mà bất cứ ai truy cập vào trang web đó đều truy cập vào trang web giả mạo.

Máy chủ DNS (Domain Name Server) có nhiệm vụ biên dịch tên miền thành địa chỉ IP. Khi bạn đánh tên trang web bạn muốn vào, máy chủ DNS sẽ biên dịch tên trang web thành địa chỉ IP và kết nối tới trang có địa chỉ IP đó.

4. Các phòng chống gian lậna.Nếu bạn là khách hàng a.Nếu bạn là khách hàng

Để tránh để mình trở thành nạn nhân của các hình thức gian lận trên bạn cần:

- Bảo vệ máy tính của mình bằng firewall và các phần mềm diệt trừ spyware, trojan.

- Thực hiện các quy tắc an toàn về tài khoản như tạo tên tài khoản hợp lệ, password đủ dài và bao gồm cả ký tự chữ và số, không sử dụng thông tin cá nhân làm password.

- Khi truy cập vào một trang web, để ý biểu tượng cái khóa đóng, nếu có bạn có thể yên tâm phần nào bởi bạn đang được bảo vệ bởi giao thức tầng cắm an toàn (SSL).

- Kiểm tra tên trang web để chắc chắn bạn đang truy cập vào trang bạn cần. VD: http://www.1uadao.com và http://www.luadao.com. Hai tên trang web giống nhau đến kinh ngạc. Một trang sử dụng ký tự chữ “l” và một trang sử dụng ký tự số “1”.

- Nếu thấy sự thay đổi của trang web, bạn cần có sự nghi ngờ và liên hệ với người sở hữu trang web để xác thực.

b.Nếu bạn là người kinh doanh

Bạn có thể bảo vệ mình trước các hình thức gian lận bằng cách sử dụng dịch vụ chống gian lận của Verisign

VeriSign là nhà cung cấp hoạt động trong lĩnh vực an toàn Internet. Họ cung cấp cho bạn các dịch vụ bảo vệ chất lượng cao với giá cả hợp lý. Công nghệ bảo mật của VeriSign được thiết kể dựa trên các thông tin phản hồi từ các thương nhân và nhu cầu của cộng đồng kinh doanh trực tuyến cộng với việc lường trước các hành vi gian lận mới.

VeriSign có nhiều gói dịch vụ bảo vệ gian lận tương ứng với tình hình kinh doanh của từng doanh nghiệp, nhưng cũng rất đơn giản để nâng cấp. Vì vậy bạn chỉ phải mua cái bạn cần, khi bạn cần.

Các dịch vụ bảo vệ gian lận

Dịch vụ Loại hình thương nhân Những lợi ích quan trọng

Các lựa chọn dịch vụ:

Gói dịch vụ cơ bản

Được thiết kể cho các thương nhân có lượng giao dịch nhỏ

Dễ dàng và thuận tiện tối đa

Gói dịch vụ cao cấp

Các thương nhân có lượng giao dịch vừa và lớn

Tối đa hóa sự bảo vệ và mức độ tùy chọn Các lựa chọn nâng cấp: Dịch vụ quản lý account Dành cho tất cả các thương nhân Quản lý hoạt động account 7 ngày trong tuần

Dịch vụ xác minh người mua

Tất cả các thương nhân Xác minh bảo vệ trách nhiệm pháp lý của Hiệp hội thẻ đối với người mua hàng

Các dịch vụ an toàn quản lý

Các thương nhân ở các doanh nghiệp

An toàn vành đai tùy chọn

So sánh tính năng của 2 gói dịch vụ Các gói dịch vụ Gói dịch vụ bảo vệ chống gian lận cơ bản Gói dịch vụ bảo vệ chống gian lận cao cấp

VeriSign Fraud Manager (giao diện web riêng cho phép quản lý các tính năng bảo vệ chống gian lận một cách dễ dàng)

Mô đun kiểm tra giao dịch X X

Kiểm tra tất cả các giao dịch được kiểm

tra X X

Các bộ lọc gian lận

Các bộ lọc đơn đặt hàng có dấu hiệu bất thường

Bộ lọc theo giá trị đơn hàng X X

Bộ lọc theo số lượng hàng hóa X X

Bộ lọc các mâu thuẫn giữa thanh toán và

lợi nhuận X X

Các bộ lọc thanh toán có rủi ro cao

Bộ lọc AVS failure X X

Bộ lọc CSC failure X X

Bộ lọc BIN có rủi ro cao X

Các bộ lọc địa chỉ có rủi ro cao

Bộ lọc mã bưu điện có rủi ro cao X X

Bộ lọc theo người gửi hàng hóa X X

Bộ lọc theo tính hợp lệ của địa chỉ US

Postal Service X

So sánh danh sách rủi ro của địa chỉ IP X So sánh danh sách rủi ro của nhà cung cấp

dịch vụ email X

Bộ lọc theo vị trí địa lý X

Bộ lọc các khách hàng có rủi ro cao

Bộ lọc danh sách email giả X

Bộ lọc danh sách thẻ tín dụng giả X

Các bộ lọc đơn đặt hàng quốc tế

Bộ lọc quốc gia có rủi ro cao X

Bộ lọc địa chỉ thanh toán/ gửi hàng/ quốc

tế X Bộ lọc địa chỉ IP quốc tế X Bộ lọc AVS quốc tế X Các bộ lọc chấp nhận thanh toán Bộ lọc danh sách email thật X Bộ lọc danh sách thẻ tín dụng thật X

Kiểm toán an toàn từ Qualys X X Các IP được cho phép (hạn chế truy cập

account) X X

Thiết lập giao dịch (kiểm tra tín dụng) X X

Quản lý password X X

Các tính năng dịch vụ đặc biệt

Xác nhận người mua X X

Kiểm tra tài khoản X X

Các lựa chọn nâng cấp:

- Dịch vụ kiểm tra tài khoản: bổ xung thêm dịch vụ này vào cả hai gói

dịch vụ cơ bản và cao cấp để chống lại các hành vi tiếp quản và xâm nhập tài khoản thanh toán. Cung cấp tính năng quản lý giao dịch với

đường dây liên lạc gian lận cho phép bạn hỏi cac chuyên gia về các hoạt

động của các tài khoản có nghi ngờ gian lận.

- Dịch vụ xác minh người mua: bảo vệ trách nhiệm pháp lý với dịch vụ

xác nhận người mua (được xác nhận bởi Visa và MasterCard SecureCode). Nâng cấp dịch vụ này để tích hợp liên tục quá trình xác nhận người mua vì nó có giá trị về mặt thương mại đối với người mua và trung tâm thanh toán của bạn.

- Dịch vụ an toàn quản lý: bổ xung dịch vụ này để bảo vệ tốt nhất toàn bộ

cơ sở hạ tầng của bạn. Cung cấp một đội ngũ bảo mật riêng 24x7 không tốn kém thời gian và chi phí quản lý.

Một phần của tài liệu Thực trạng và giải pháp cho vấn đề an toàn và bảo mật trong thương mại điện tử.doc.DOC (Trang 38 - 42)

Tải bản đầy đủ (DOC)

(60 trang)
w