2. Yêu cầu bảo mật, xác thực trong giao dịch thanh toán
2.1.Các nguy cơ bị tấn công, đe dọa
Có rất nhiều nguy cơ bị tấn công, đe dọa từ bên trong và bên ngoài hệ thống như:
• Tấn công bằng Virus: Virus là những chương trình máy tính được viết với chủ đích gắn chính nó (khối mã lệnh) vào các file trong máy tính hoặc vào boot sector và có khả năng tự nhân bản bất cứ khi nào các file này hoặc ổ đĩa được đọc. Virus sẽ không làm hại gì cho hệ thống nếu như nó không có những đoạn mã được viết với chủ đích nhằm phá hoại hệ thống.
• Tấn công bằng sâu (worms): Worm là biến tướng của virus đồng hành (companion virus), nhưng không giống như loại virus này, worm không gắn mỡnh lờn bất cứ một file thực thi nào. Để thực hiện việc lây lan, chúng chỉ copy mã của mình sang đĩa hoặc thư mục khác với hy vọng một ngày nào đó những đoạn mã này sẽ được người sử dụng gọi thi hành. Chúng có thể đặt những tên rất “kờu” cho những bản copy này để hấp dẫn người sử dụng, ví dụ như: install.exe, winstart.exe…
• Tấn công bằng “Con ngựa Trojan”: “Con ngựa Trojan” là những đoạn mã nhỏ, thường được viết theo ngôn ngữ script (VB Script hay Java Script) có thể nhúng vào một hệ thống hoặc một trang Web. “Con ngựa Trojan” có thể thâm nhập vào client và gửi các thông tin ngược trở lại cho một Web Server nào đó, ngoài ra nó cũn có thể sửa đổi và xoá thông tin trờn mỏy bị thâm nhập.
• Tấn công các máy chủ (Server):
Web Server cũng là mục tiêu tấn công phổ biến thứ hai sau Virus theo nghiên cứu của FBI trong năm 2001 (48% số người được hỏi đã gặp vấn đề này). Hầu hết các Web Server đều hỗ trợ cho lập trình CGI (Common Gateway Interface). Kẻ tấn công có thể khai thác những điểm yếu trong lập trình CGI, dễ dàng định vị và hoạt
động với những đặc quyền trên Web Server để phá hoại các trang Web và đánh cắp thông tin.
- Trong kiểu tấn công làm tràn bộ đệm, kẻ tấn công ghi các lệnh vào các vị trí thiết yếu của bộ nhớ, do đó đoạn mã chương trình của kẻ tấn công có thể được ghi đè lên bộ nhớ đệm. Web Server hoạt động và thực hiện đoạn chương trình này. Kiểu tấn công này gây thiệt hại khá nghiêm trọng vì kẻ tấn công có thể chiếm được quyền kiểm soát cao nhất nên dữ liệu trên máy chủ có thể bị phá hủy.
- Tấn công từ chối dịch vụ (Denial of Service – DoS) là hiện tượng đưa rất nhiều yêu cầu kết nối trong cùng một thời điểm đến máy chủ, làm máy chủ bị quá tải, có thể dẫn đến treo máy chủ, nghẽn mạng, do đó tê liệt dịch vụ của hệ thống. Rất khó khăn phân biệt được đâu là yêu cầu hợp lệ, đâu là yêu cầu do kẻ tấn công gửi đến để phát hiện chính xác hệ thống có bị tấn công hay không và những máy tính nào bị tấn công. Cách tấn công này có thể được thực hiện từ xa hoặc ngay từ bên trong mạng nội bộ của Ngân hàng.
• Tấn công dựa trên tớnh kộm bảo mật của mật khẩu: Nhiều hệ thống hiện nay vẫn sử dụng mật khẩu như một phương án phòng vệ trưc tiếp đầu tiên và duy nhất. Hiện vẫn còn nhiều kiểu đặt mật khẩu khá đơn giản, dễ đoán và không được thay đổi thường xuyên. Những kẻ tấn công có thể đoán được mật khẩu hoặc sử dụng một số phần mềm để kiểm tra các tổ hợp có thể có của mật khẩu, từ đó có thể truy nhập mạng hoặc hệ thống ứng dụng một cách dễ dàng.
• Đe doạ đối với kênh truyền thông, xâm phạm tính bí mật, tính riêng tư, tính toàn vẹn và tính không thể chối bỏ của thông tin trao đổi.
- Sniffer: được biết đến như là chương trình giám sát truyền thụng trên mạng máy tính. Phần mềm này có thể được cài đặt trên các thiết bị mạng như Router hoặc một PC để đánh cắp thông tin trên mạng.
- Masquerading hay spoofing lại là cách xâm phạm tính toàn vẹn của các trang Web bằng cách lợi dụng kẽ hở của DNS (Domain Name Server) để thay thế địa chỉ một trang Web bằng một trang Web giả mạo, do đó mọi truy cập đến trang Web thật đều bị đổi hướng sang trang Web giả, thông tin bị đánh cắp và được sử dụng lại trên trang Web thật cho các mục đích trục lợi hoặc phá hoại.
Brute Force cũng là một kỹ thuật lấy cắp các thông điệp đó mó hoỏ, sau đó sử dụng phần mềm để phỏ khoỏ và có thể đọc được thông điệp, lấy được tên định danh và mật khẩu truy cập.
- Chiếm quyền điều khiển cũng là mối đe dọa đối với kênh truyền thông. Cách tấn công này chặn cỏc gúi tin được truyền trên mạng, sau đó cố gắng suy diễn nội dung thông tin của gói tin.
- Quay số ngẫu nhiên: Kỹ thuật này được dùng để quay số (dial) đến tất cả các số điện thoại của một Ngân hàng cho trước. Mục đích là để tìm ra modem kết nối với mạng, từ đó có thể dùng như một điểm để tấn công.