2.3.1.1. Tình hình an ninh mạng trên thế giới
Tiềm năng phát triển Internet banking trên thế giới là rất lớn, tuy nhiên một trong những trở ngại lớn nhất cho các ngân hàng khi ứng dụng dịch vụ này là sự tồn tại rủi ro giao dịch. Với trình độ phát triển công nghệ thông tin vượt bậc, với sự phổ biến của mạng Internet trên toàn cầu, các ngân hàng trên thế giới hiện nay có thể cung cấp cho khách hàng các dịch vụ qua Internet banking chất lượng cao với tốc độ, sự liên tục, sẵn sàng và tiện lợi. Tuy nhiên cùng với sự phát triển mạnh mẽ của công nghệ thông tin, số lượng và các loại tội phạm sử dụng công nghệ cao cũng tăng nhanh, lan rộng, thủ đoạn tinh vi và đa dạng, đem lại ngày càng nhiều rủi ro giao dịch cho hoạt động Internet banking, với những tổn thất lớn và khó khắc phục hơn.
Thật vậy, rủi ro giao dịch vẫn là vấn đề nan giải cho các ngân hàng cũng như các nhà cung cấp dịch vụ trực tuyến trên thế giới trong thời gian qua. An ninh mạng Internet luôn trong tình trạng bất ổn và đáng báo động. Hình thức tấn công trên Internet thay đổi và đã có rất nhiều cuộc tấn công thành công. Tội phạm mạng hiện chủ yếu tấn công thông qua các trang web vì các tổ chức thường quản lý chặt hệ thống email của mình. Mỹ luôn là quốc gia dẫn đầu về hoạt động của thế giới mạng
ngầm, về các cuộc tấn công mạng và tổng số máy tính bị nhiễm virus, tiếp sau đó là Trung Quốc. Các trang web và mạng cung cấp dịch vụ Internet banking của các ngân hàng là những nạn nhân lớn nhất của tình trạng này.
Đồ thị 2.3: 10 nước có nhiều trang web bị tấn công nhất
Nguồn: Sophos Security threat report 2009,
Các cuộc tấn công trên Internet ngày càng gia tăng. Theo báo cáo về nguy cơ an ninh mạng của Sophos thì trong năm 2007 cứ 14 giây lại có một trang web bị tấn công, con số này giảm xuống còn 5 giây trong 6 tháng đầu năm 2008 và đến cuối năm 2008 chỉ còn 4,5 giây. Thiệt hại do các cuộc tấn công này gây ra là rất lớn. Năm 2007, tại Mỹ có 2.4 triệu người sử dụng dịch vụ trực tuyến bị mất tiền cho những mưu đồ bất lương trên Internet với tổng số thiệt hại lên đến 929 triệu USD (theo thông tin từ Information Today Inc USA). Có hai hình thức gian lận chủ yếu là ID-theft (ăn cắp mật khẩu, tài khoản: thư giả mạo, ghi bàn phím, giả mạo tên miền, phần mềm gián điệp v.v…) và Man in Middle –MIM (kẻ gian lận nằm ở giữa ngân hàng và người sử dụng, tấn công trực truyến dưới nhiều hình thức nhằm
37.0% 27.7% 9.1% 2.3% 2.1% 1.8% 1.7% 1.5% 1.3% 1.2% 14.3% Mỹ Trung Quốc Nga Đức Hàn Quốc Ucraina Anh Thổ Nhĩ Kỡ CH Sộc Thỏi Lan Cỏc nước khỏc
thay đổi nội dung giao dịch, MIM có thể lập các trang web giả mạo để lấy thông tin của người sử dụng và dùng thông tin này để chuyển đến ngân hàng).
Số lượng website lừa đảo trực tuyến (phishing) tăng mạnh. Theo một bản báo cáo của Symantec thì có khoảng 1134 thông điệp phishing trên thế giới mỗi ngày trong 6 tháng cuối năm 2007 và có đến 80% trường hợp phishing nhằm vào lĩnh vực tài chính ngân hàng. Thống kê của hiệp hội chống các hoạt động lừa đảo trực tuyến APWG (Anti-phishing working group) cho biết chỉ trong tháng 10/2008 có 6142 site phishing mới được kích hoạt. ở Anh, năm 2008 có 23% số người sử dụng Internet là nạn nhân của hoạt động phishing, con số này là 8% trong năm 2007. Nhiều trường hợp dữ liệu cá nhân bị đánh cắp. Bên cạnh đó, đã xuất hiện nhiều phần mềm độc hại lấy cắp thông tin cá nhân để tống tiền. Theo thống kê của trung tâm tài nguyên và mất cắp danh tính (ITRC) thì trong năm 2008 chỉ riêng tại Mỹ đã có 512 vụ trộm cắp danh tính làmảnh hưởng tới hơn 30 triệu khách hàng.
Theo một khảo sát do hãng phần mềm ReadiMinds có trụ sở tại Singapore, trong năm 2007, khoảng 30% các ngân hàng hàng đầu ấn độ là nạn nhân của trò ăn cắp thông tin nhận dạng. Cuộc khảo sát trực tuyến cũng khẳng định an ninh trực tuyến là một trong 3 mối lo ngại lớn nhất đối với các ngân hàng ấn độ trong năm nay. Khảo sát này được thực hiện trong tháng 4/2008 và đã phỏng vấn 40 ngân hàng hàng đầu ấn độ. Phishing cũng là một mối lo ngại đang ngày càng lớn với các ngân hàng ấn. Ngoài ra, khảo sát còn cho thấy 10% các ngân hàng ấn là nạn nhân của trò tấn công man-in-the-middle (MIM), trong đó hacker chặn giao dịch giữa người dùng với máy chủ trang web ngân hàng và sau đó làm tổn hại và chỉnh sửa đường dây liên lạc điện tử giữa người dùng và máy chủ ngân hàng trong các giao dịch tài chính. Khảo sát cho thấy trên 70% các ngân hàng tại ấn đã có các biện pháp bảo mật mạnh mẽ. Tuy nhiên, có hơn 57% vẫn chưa dành ngân sách thỏa đáng cho an ninh trực tuyến. Chỉ 57% ngân hàng có kế hoạch tạo ra những cảnh báo cho khách hàng nhằm chống lại gian lận tài chính và ăn cắp nhận dạng.
Nếu như trước đây các hacker thường có xu hướng quan tâm đến những tổn hại mà họ có thể gây ra cho nạn nhân hơn là việc kiếm tiền từ chính những cuộc tấn công này thì ngày nay điều đó có vẻ đã thay đổi. Một bản báo cáo của Symantec đã
cho thấy những cuộc tấn công ngày nay đã trở thành một phần của cả một ngành công nghiệp tội phạm trị giá hàng tỷ USD. Trên trang web bán đấu giá của bọn tội phạm có tới hàng trăm triệu địa chỉ e-mail và thông tin đăng nhập tài khoản tín dụng và ngân hàng. Các bộ phishing cũng được bày bán, cho phép người mua có thể tự thiết lập các trang web giả mạo ngân hàng để lừa những người dùng cả tin và không đề phòng. Theo báo cáo tổng kết tình hình an ninh mạng từ tháng 7 đến tháng 12 năm 2007 của Symantec, tài khoản ngân hàng là mặt hàng được rao bán phổ biến nhất trong thế giới mạng ngầm, chiếm 22% trong tổng số các mặt hàng so với con số 21% trong giai đoạn 6 tháng trước đó, kế đến là thẻ tín dụng (13%) và thông tin cá nhân (9%).
Trong khi đó, bảo mật của ngân hàng trực tuyến đang trở nên tồi hơn do các ngân hàng vội vã đưa ra các dịch vụ này. Nhiều lỗ hổng an ninh nghiêm trọng được phát hiện. Báo cáo bảo mật hàng năm ASR 2007 của công ty kiểm tra bảo mật NTA Monitor phát hiện ra rằng, so với năm 2006, có thêm 20% lỗ hổng bảo mật xảy ra trong hạ tầng (gồm mạng, các ứng dụng và hệ thống) của các ngân hàng, tổ chức tín dụng và nhiều thể chế tài chính khác. Một loại lỗi thường thấy là tràn bộ đệm (buffer overflow) khi chạy ở chế độ Bind trên các DNS server, có thể cho phép kẻ tấn công truy cập vào server. Một vấn đề thường gặp khác là các chứng nhận SSL hết hiệu lực (expired SSL certificate) khiến người dùng không biết chứng nhận là không hợp lệ trước khi họ có thể truy cập website.
Hầu hết các chuyên gia trong lĩnh vực an ninh bảo mật đều đồng nhất với quan điểm đánh giá các hệ thống công nghệ thông tin trong lĩnh vực tài chính ngân hàng là “yếu cả phòng cả chống”. Vì thế rủi ro giao dịch đối với Internet banking là vô cùng lớn và rất khó lường.
Dự báo trong thời gian tới sẽ tiếp tục xuất hiện nhiều biến thể virus mới, tội phạm an ninh mạng sẽ chuyên nghiệp, tinh vi hơn. Virus, spyware, adware, rootkit sẽ vẫn xuất hiện hàng ngày và tập trung tấn công vào từng nhóm đối tượng có chủ đích thay vì tấn công chung chung trên diện rộng. Khi ngày càng có nhiều người sử dụng, các trang web Internet banking sẽ càng trở thành đích ngắm của các hacker để
phát tán virus hay lừa đảo trực tuyến, tấn công và đánh cắp thông tin cá nhân tại các ngân hàng.
2.3.1.2. Một số trường hợp tấn công mạng điển hình
Trường hợp tấn công vào Internet banking có thiệt hại lớn nhất được ghi nhận là vụ hacker Nga đã tấn công và lấy đi hơn 1,1 triệu USD từ các tài khoản của ngân hàng Thụy Điển Nordea trong năm 2008. Theo hãng bảo mật McAfee, đây là vụ trộm cắp ngân hàng trực tuyến lớn nhất từ trước đến nay.
Một trường hợp tấn công gây thiệt hại lớn khác là vụ trojan Sinowal đã khống chế 500.000 tài khoản ngân hàng của một loạt tổ chức tài chính tại các nước châu Âu, châu á và Bắc Mỹ suốt 3 năm từ 2006 đến 2008. Phần mềm ăn cắp thông tin thẻ tín dụng (credit) và thẻ ghi nợ (debit) này đã hoạt động trong khoảng thời gian dài bất thường và được đánh giá là một trong những phi vụ lớn nhất mà bọn tội phạm mạng từng thực hiện. Mỗi tháng trojan Sinowal "biến hình" thành hơn 70 phiên bản khác nhau, nhờ đó tránh được sự theo dõi của các công cụ diệt virus. Sinowal không chỉ lừa người dùng bấm vào đường link hay mở file đính kèm như nhiều Trojan khác mà còn khai thác lỗ hổng Windows hoặc phần mềm bên thứ ba như Adobe Flash và Apple QuickTime. Nó cũng ẩn kỹ trong máy tính khiến người dùng không thể phát hiện ra và giải pháp khắc phục duy nhất là định dạng (format) lại ổ cứng và cài lại hệ điều hành. Tổng cộng, Sinowal đã thâm nhập ít nhất 300.000 máy tính Windows, thu thập khoảng 270.000 số tài khoản trực tuyến và 240.000 thông tin về thẻ tín dụng.
Gần đây nhất là vụ một nhóm tội phạm đã cài đặt các phần mềm độc hại và sau đó bán các thông tin khai thác được cho các nhóm tội phạm khác ở Mỹ và Đông Âu. Sau đó bọn tội phạm đã sử dụng các thông tin này để làm các thẻ tín dụng giả và rút được 10000 USD qua ATM.
2.3.1.3. Các công nghệ bảo mật đã được áp dụng trên thế giới
Mạng máy tính là không có biên giới, tạo thành một “thế giới phẳng” nên bảo đảm an ninh an toàn thông tin luôn là vấn đề mang tính toàn cầu. Các quốc gia, đặc biệt là các nước phát triển đang nỗ lực hoàn thiện hành lang pháp lý của mình, đồng thời đưa ra các chiến lược, các chương trình hành động để giảm thiểu các nguy cơ và
lỗi bảo mật, hạn chế các vi phạm an ninh mạng. Các chuyên gia trong lĩnh vực công nghệ thông tin trên thế giới cũng đang từng ngày nghiên cứu và đưa ra những giải pháp bảo mật tối ưu nhất. Phần này xin giới thiêụ một số công nghệ bảo mật hiện đang được sử dụng trên thế giới.
SET (Secure electronic transaction): là một giao thức bảo mật do Microsoft phát triển, là tiêu chuẩn bảo mật mới nhất trong thương mại điện tử. Bằng việc sử dụng công nghệ chữký điện tử, SET cho phép công ty bán hàng xác thực người mua một cách an toàn. SET cũng bảo vệ người mua bằng một cơ chế cho phép chuyển số thẻ tín dụng của khách hàng cho ngân hàng phát hành thể để xác thực và thanh toán, không qua sự can thiệp của công ty bán hàng nhằm làm tăng khả năng an toàn cho các giao dịch trên Internet đặc biệt là các giao dịch bán hàng. SET có tính riêng tư, được chứng thực và rất khó thâm nhập nên tạo được độ an toàn cao. Tuy nhiên, SET ít được sử dụng do tính phức tạp và sự đòi hỏi phải có các bộ đọc thẻ(card) đặc biệt cho người sử dụng.
SSL (Secure socket layer): là giao thức bảo mật do hãng Nescape phát triển, tích hợp sẵn trong bộ trình duyệt của khách hàng. đó là một cơ chế mã hóa và thiết lập một đường truyền bảo mật từ máy của ngân hàng đến khách hàng (https). SSL đơn giản và được ứng dụng rộng rãi. Giao thức này được dùng phổ biến trong các giao dịch điện tử như truyền số liệu thẻ tín dụng, mật khẩu, số bí mật cá nhân trên Internet. Phiên bản SSL hiện nay là 3.0 và vẫn đang tiếp tục được bổ sung và hoàn thiện.
Ngoài ra còn nhiều giao thức bảo mật khác cũng đạt được những thành công nhất định như: PCT - Private Communication Technology được đề xướng bởi Microsoft, TLS (Transport Layer Security) dựa trên SSL của IETF (Internet Engineering Task Force)…
Chữ ký điện tử (Digital signature): chữ ký điện tử là đoạn dữ liệu ngắn đính kèm với văn bản gốc để chứng thực tác giả của văn bản và giúp người nhận kiểm tra tính toàn vẹn của nội dung văn bản gốc. Chữ ký điện tử được tạo ra bằng cách áp dụng thuật toán băm một chiều trên văn bản gốc để tạo ra bản phân tích văn bản (message digest) hay cũng gọi là fingerprint, sau đó mã hóa bằng private key tạo ra
chữ ký số đính kèm với văn bản gốc để gởi đi. Khi nhận, văn bản được tách làm 2 phần, phần văn bản gốc được tính lại fingerprint để so sánh với fingerprint cũ cũng được phục hồi từ việc giải mã chữ ký số.
2.3.2. Tình hình rủi ro giao dịch tại Việt Nam (adsbygoogle = window.adsbygoogle || []).push({});
Trong tình hình an ninh mạng bất ổn trên toàn thế giới, an ninh mạng trong nước, đặc biệt là an ninh mạng tài chính ngân hàng cũng bị ảnh hưởng nghiêm trọng, tiềm ẩn rủi ro lớn cho Internet banking. Theo một số báo cáo tại hội thảo quốc tế về an toàn an ninh và hệ thống (VNSecon’07)cho biết, trong các diễn đàn hacker lớn trên thế giới, Việt Nam là miền đất lý tưởng cho các hacker trổ tài bởi có quá nhiều website lỏng lẻo về việc bảo mật. Bảng thống kê dưới đây cho thấy tình hình an ninh mạng bất ổn ở Việt Nam thời gian qua.
Bảng 2.3: Tình hình an ninh mạng tại Việt Nam
Năm 2007 2008
Số máy tính bị nhiễm virus (lượt) 33.646.000 59.450.000 Số virus mới xuất hiện trong năm 6.752 33.137 Số virus mới xuất hiện trung bình trong 1 ngày 18,49 90,78
Số website Việt Nam bị hacker trong nước tấn công 118 52 Số website Việt Nam bị hacker nước ngoài tấn công 224 109 Số website Bkis phát hiện có lỗ hổng nghiêm trọng 140
Nguồn: Tổng kết an ninh mạng 2007, 2008
Chỉ riêng trong năm gần đây nhất là năm 2008, số Website Việt Nam bị tấn công là 161. Số máy tính bị nhiễm virus là 59.450.000 lượt với 33.137 virus mới. Ước tính thiệt hại do các cuộc tấn công trong năm 2007 lên tới 2300 tỷ đồng và năm 2008 là hơn 3000 tỷ VND. Các hacker tấn công các website này thường lợi dụng những điểm yếu an ninh chưa được quản trị cập nhật vá lỗi. Một trường hợp cụ thể là, ngày 25/07/2008, website của Techcombank bị hacker xâm nhập và để lại thông điệp cảnh báo lỗi bảo mật. Một số website ngân hàng và các hệ thống thanh toán trực tuyến khác cũng đều trong tình trạng mất an ninh an toàn thông tin.
Theo tổng kết của trung tâm ứng cứu khẩn cấp máy tính Việt Nam (VNCERT) thuộc Bộ Thông tin và truyền thông, năm 2008 là năm mà tội phạm
mạng chuyển hướng tấn công vào hệ thống thông tin của các ngân hàng và công ty chứng khoán. Những cuộc tấn công này mang tính chuyên nghiệp cao và gây tổn thất về nhiều mặt. Trong bối cảnh các ngân hàng đang dần triển khai Internet banking thì dịch vụ thanh toán trực tuyến này chính là đích ngắm mới cho các loại tội phạm mạng.
Lừa đảo trực tuyến gia tăng. Nếu như vào năm 2005, chỉ mới một vài trường hợp phishing xảy ra ở Việt Nam (như trường hợp thông tin khuyến mãi "giả mạo"
mời đăng ký tài khoản nhắm vào khách hàng của
ngân hàng Sài Gòn Thương Tín) thì đến năm 2008, các hình thức lừa đảo trực tuyến trên thế giới đều đã có mặt ở Việt Nam, gồm: lừa đảo qua diễn đàn trên mạng, lừa đảo qua email mà điển hình nhất là lừa đảo trúng thưởng xổ số, lừa đảo qua tin nhắn từ các tổng đài tự động, ăn cắp và làm giả thẻ tín dụng. Chuyện mua bán trên mạng bằng thẻ tín dụng đánh cắp, thẻ tín dụng giả đã không còn là chuyện hiếm từ vài