Ngày nay với sự phát triển mạnh mẽ của công nghệ thông tin việc ứng dụng công nghệ mạng máy tính trở nên vô cùng phổ cập và cần thiết. Sự xuất hiện của mạng Internet đem lại nhiều lợi ích giá trị như cung cấp những ứng dụng cho cuộc sống hàng ngày, cung cấp thông tin, trao đổi công việc. Tuy nhiên điều này lại nảy sinh nhiều vấn đề về an toàn thông tin do Internet có những kỹ thuật cho phép mọi người truy cập, khai thác, chia sẻ thông tin.
Xét trên góc độ công nghệ thì có ba bộ phận dễ bị tấn công và tổn thương nhất khi thực hiện giao dịch điện tử là:
-Hệ thống của khách hàng: có thể là doanh nghiệp hay cá nhân
-Máy chủ của doanh nghiệp: ISP-nhà cung cấp dịch vụ( Internet Service Provider), người bán, ngân hàng
- Đường dẫn thông tin (communication pipelines)
Các dạng tấn công sử dụng công nghệ ảnh hưởng đến các website thương mại điện tử :
Các chương trình máy tính nguy hiểm( malicious code)
Các đoạn mã nguy hiểm bao gồm: các loại virus, worm, những “con ngựa thành Tơroa”,…
Virus là chương trình máy tính có khả năng tự nhân bản hoặc tự tạo các bản sao của mình và lây lan sang các chương trình, tệp dữ liệu khác trên máy tính. Bên cạnh khả năng nhân bản(tự tái tạo) virus máy tính đều nhằm mục đích nào đó. Trước đây vius thường được viết bởi một số người am hiểu lập trình muốn chứng tỏ khả năng của mình nên virus thường co các hành động như cho một chương trình không hoạt động đúng, xóa dữ liệu, làm hỏng ổ cứng… hoặc gây ra những trò đùa khó chịu.
Những virus mới được viết trong thời gian gần đây không còn thực hiện các trò đùa hay sự phá hoại đối với máy tính của nạn nhân bị lây nhiễm nữa, mà đa phần hướng đến việc lấy cắp các thông tin cá nhân nhạy cảm ( các mã số thẻ tín dụng) mở cửa cho tin tặc chiếm quyền điều khiển hệ thống hoặc các hành động khác nhằm có lợi cho người phát tán virus.
Virus tấn công vào thương mại điện tử thường gồm 3 loại chính: virus ảnh hưởng tới các tệp (file) chương trình (gắn liền với những file chương trình, thường là.COM hoặc.EXE), virus ảnh hưởng tới hệ thống (đĩa cứng hoặc đĩa khởi động), và virus macro. Virus macro là loại virus phổ biến nhất, chiếm từ 75% đến 80% trong tổng số các virus được phát hiện.
Đây là loại virus đặc biệt chỉ nhiễm vào các tệp ứng dụng soạn thảo, chẳng hạn như các tệp ứng dụng của MS Word, Excel và Power Point. Khi người sử dụng mở các tài liệu bị nhiễm virus trong các chương trình ứng dụng, virus này sẽ tự tạo ra các bản sao và nhiễm vào các tệp chứa đựng các khuôn mẫu của ứng dụng, để từ đó lây sang các tài liệu khác.
Các loại virus có thể gây ra những tác hại nghiêm trọng, đe doạ tính toàn vẹn và khả năng hoạt động liên tục, thay đổi các chức năng, thay đổi các nội dung dữ liệu hoặc đôi khi làm ngưng trệ toàn bộ hoạt động của nhiều hệ thống trong đó có các website thương mại điện tử. Nó được đánh giá là mối đe doạ lớn nhất đối với an toàn của các giao dịch thương mại điện tử hiện nay.
Tin tặc và các chương trình phá hoại( Cybervandalism)
Tin tặc ( Hacker) là người hiểu rõ hoạt động của hệ thống máy tính, mạng máy tính, có thể viết hay chỉnh sửa phần mềm, phần cứng máy tính để làm thay đổi, chỉnh sửa nó. Thực chất mục tiêu của các hacker rất đa dạng, có thể là hệ thống dữ liệu của các Website thương mại điện tử, hoặc với ý đồ nguy hiểm hơn chúng có thể sử dụng các chương trình phá hoại( Cybervandalism) nhằm gây ra các sự cố, làm mất uy tín hoặc phá hoại website. 23/9/2006 website : www.chodientu.com bị chiếm quyền kiểm soát và trỏ sang một trang web với nội dung bôi nhọ giám đốc công ty.
Rủi ro về gian lận thẻ tín dụng
Trong thương mại điện tử, các hành vi gian lận thẻ tín dụng xảy ra đa dạng và phức tạp hơn nhiều so với thương mại truyền thống. Nếu như trong thương mại truyền thống, việc mất thẻ hoặc thẻ bị đánh cắp là mối đe doạ lớn nhất đối với khách hàng thì trong thương mại điện tử mối đe doạ lớn nhất là bị “mất” (hay bị lộ) các thông tin liên quan đến thẻ tín dụng hoặc các thông tin giao dịch sử dụng thẻ tín dụng trong quá trình thực hiện các giao dịch mua sắm qua mạng và các thiết bị điện tử. Các tệp chứa dữ liệu thẻ tín dụng của khách hàng thường là những mục tiêu hấp dẫn đối với tin tặc khi tấn công vào website thương mại điện tử. Hơn thế, những tên tội phạm có thể đột nhập vào các cơ sở dữ liệu của website thương mại điện tử để lấy cắp các thông tin của khách hàng như tên, địa chỉ, điện thoại… với những thông tin này chúng có thể mạo danh khách hàng thiết lập các khoản tín dụng mới nhằm phục vụ những mục đích phi pháp.
Sự khước từ dịch vụ (DOS,DDOS)
DOS tên đầy đủ là Denial OF Service là một hình thức tấn công từ chối dịch vụ. Đây là hình thức tấn công mạng phổ biến hiện nay. Các cuộc tấn công DOS này thường nhắm vào các máy chủ ảo (VPS) hay Web Server của các doanh nghiệp lớn như ngân hàng, chính phủ hay là các trang thương mại điện tử nhằm mục đích phá hoại , hạ uy tín của tổ chức kinh doanh sử dụng trang web.
Tấn công DOS có một vài phương thức khác nhau, nhưng đều giống ở đặc điểm là “dội bom” một lượng truy cập đồng thời và liên tục để khiến máy chủ website bị quá tải..
Hình thức DOS cổ điển là dùng một hệ thống máy chủ công suất lớn nhồi truy vấn liên tục vào mục tiêu gây tắc nghẽn, nhưng dễ bị ngăn chặn vì chỉ xuất phát từ một số địa chỉ IP cố định. Hình thức DOS ở cấp cao hơn là lợi dụng một website có lượng truy cập lớn, hacker chèn lén vào website một file flash (có thể ẩn trong một hình ảnh quảng cáo) để tất cả những người truy cập website đều vô tình tham gia vào việc tấn công DOS vào một website mục tiêu nào đó. Tuy nhiên, hình thức này cũng có thể hóa giải được nếu xác định được website đang bị cài lén để yêu cầu các ISP chặn truy cập vào website đó.
Hình thức DOS tinh vi nhất là sử dụng botnet, là một mạng lưới gồm rất nhiều các máy tính đã bị nhiễm virus ngầm chiếm quyền điều khiển (còn gọi là zombie hay máy tính thây ma). Virus ẩn trong máy sẽ nhận lệnh tấn công qua mạng và hacker có thể ấn định thời điểm, mục tiêu tấn công và “ra lệnh” cho đội quân botnet này tấn công theo ý mình. Hình thức tấn công DOS bằng botnet rất khó ngăn chặn vì các máy tính ở phân tán nhiều nơi, với vô số địa chỉ IP khác nhau nên nếu không truy tìm được máy chủ ra lệnh tấn công và điều khiển botnet thì không thể ngăn chặn hết được.
Các cuộc tấn công từ chối dịch vụ gây thiệt hại lớn về kinh tế cho cơ quan doanh nghiệp khi khách hàng không thể thực hiện các giao dịch mua bán cùng với đó ảnh hưởng đến uy tín trong kinh doanh.
Các trang thương mại điện tử lớn trên thế giới cũng từng bị tê liệt do các cuộc tấn công DOS như Ebay: 5 giờ, E- Trade : 3giờ. Đặc biệt Amazon ước tính mỗi ngày có tới hàng nghìn đơn hàng với doanh thu khoảng 500.000 USD/ngày thì việc hệ thống bị tê liệt trong 16 giờ khiến hãng mất rất nhiều đơn hàng. Tại Việt Nam một số trang thương mại điện tử cũng từng bị tấn công DOS như Vietco.com, Én bạc, Rồng bay gây thiệt hại lớn cho doanh nghiệp.
sniffer ( kẻ trộm mạng)
Kẻ trộm trên mạng (sniffer) là một dạng của chương trình theo dõi, nghe trộm, giám sát sự di chuyển của thông tin trên mạng. Khi sử dụng vào những mục đích hợp pháp, nó có thể giúp phát hiện ra những yếu điểm của mạng, nhưng ngược lại, nếu sử dụng vào các mục đích phi pháp, các phần mềm ứng dụng này sẽ trở thành các mối hiểm hoạ lớn và rất khó có thể phát hiện. Kẻ trộm sử dụng các phần mềm này nhằm lấy cắp các thông tin có giá trị như thư điện tử, dữ liệu kinh doanh của các doanh nghiệp, các báo cáo mật…từ bất cử nơi nào trên mạng.
Xem lén thư điện tử là một dạng mới của hành vi trộm cắp trên mạng. Kỹ thuật xem lén thư điện tử sử dụng một đoạn mã (ẩn) bí mật gắn vào thông điệp thư điện tử, cho phép người nào đó có thể giám sát toàn bộ các thông điệp chuyển tiếp được gửi đi cùng với thông điệp ban đầu. Chẳng hạn một nhân viên phát hiện thấy lỗi kỹ thuật trong khâu sản xuất, anh ta lập tức gửi một báo cáo thông báo cho cấp trên thông báo phát hiện của mình.
Người này sau đó sẽ tiếp tục gửi thông báo đến tất cả các bộ phận có liên quan trong doanh nghiệp. Một kẻ nào đó sử dụng kỹ thuật xem lén thư điện tử có thể theo dõi và biết được toàn bộ thông tin trong bức thư điện tử gửi tiếp sau đó bàn về vấn đề này.
Phishing( tấn công lừa đảo)
Phishing là một phương thức lừa đảo nhằm giả mạo các tổ chức có uy tín như ngân hàng, trang web giao dịch trực tuyến và các công ty thẻ tín dụng để lừa người dùng chia sẻ thông tin tài chính như: tên đăng nhập, mật khẩu giao dịch, những thông tin nhạy cảm khác của họ . Phương thức tấn công này còn có thể cài phần mềm độc hại vào thiết bị của người dùng. Chúng thực sự là mối quan ngại lớn nếu người dùng chưa có kiến thức về kiểu tấn công này hoặc thiếu cảnh giác về nó.
Có nhiều kỹ thuật tấn công tuy nhiên hai kỹ thuật chủ yếu được hacker sử dụng để thực hiện tấn công dạng này:
- Spam email: bạn có thể gặp PopUp tin nhắn (các tab tin nhắn đột nhiên hiện ra trên màn hình) hoặc email đáng ngờ từ những kẻ gian lận. Trong hầu hết các trường hợp lừa đảo này xảy ra thông qua email. Những thư này có thể yêu cầu bạn cập nhật thông tin về các tài khoản cá nhân của bạn. Khi yêu cầu xác nhận thông tin bí mật, những thư rác này sẽ hướng dẫn bạn truy cập các trang web có vẻ như thuộc về tổ chức hợp pháp và được ủy quyền trong nháy mắt. Nhưng các trang web này thực sự là các trang web giả mạo, được tạo ra bởi những kẻ gian lận để tiếp nhận thông tin nhạy cảm từ bạn.
- Web-based Delivery: Một chiêu trò khác của Phishing là dựa vào việc phát tán các website lừa đảo. Có nhiều việc làm kiếm tiền qua mạng, người dùng phải cung cấp tài khoản ngân nhàng cho những trang web nay để được trả tiền công qua đó.
Tuy nhiên, hacker thường lợi dụng kẽ hở trong giao dịch này, đưa người dùng đến một trang web giả mạo. Và vô tình họ khai báo thông tin cá nhân của mình cho những trang web giả đó. Và tiền họ kiếm qua online thì không được trả.