Thương mại điện tử - Chương 4: Rủi ro và phòng tránh rủi ro trong thương mại điện tử

1
11
RỦI RO VÀ PHÒNG TRÁNH
RỦI RO TRONG TMĐT
Trần Đức Trí - ĐH Kinh tế - ĐH Huế

Rủi ro và phòng tránh rủi ro TMĐT 2
2
Nội dung trình bày
Tổng quan4.1
Rủi ro chính4.2
Xây dựng kế hoạch an ninh4.3

333
4.1 Tổng quan về an toàn và
phòng tránh rủi ro trong TMĐT

Khái niệm rủi ro trong TMĐT
Rủi ro trong thương mại điện tử là những tai nạn, sự
cố, tai họa xảy ra một cách ngẫu nhiên, khách quan
ngoài ý muốn của con người
4

Vì sao phải phòng tránh rủi ro?
• Liên tục bị tấn công
• Hình thức đa dạng
• Thiệt hại tài chính lớn
• Phải dùng nhiều biện pháp đồng thời để
phòng chống

Rủi ro trong TMĐT tại Việt Nam
6
Nguồn: Báo cáo TMĐT Việt Nam năm 2011

Rủi ro trong TMĐT tại Việt Nam (tt)

Rủi ro trong TMĐT tại Việt Nam (tt)
• Số lượng sự cố máy tính được thông báo và xử lý tăng gần gấp 3
lần so với năm ngoái, tần xuất tấn công lớn hơn
• Tháng 10/2011 có hơn 150 website tại Việt Nam có tên miền .vn,
.com, .net bị đánh sập. Tính đến 7/11 đã có hơn 300 website có đuôi
.gov.vn bị tấn công. Đối tượng bị tấn công và sửa đổi thông tin
không chỉ ở các đơn vị nhà nước mà còn có cả các trang thông tin
điện tử, báo điện tử, trang tin của các tập đoàn, doanh nghiệp...
• 73% doanh nghiệp hiện không có chính sách an toàn thông tin, 45%
doanh nghiệp không có quy trình xử lý sự cố về an toàn thông tin,
23% không biết hệ thống mình có bị tấn công hay không.
• Việt Nam đứng thứ 4 thế giới về số người dùng di động bị mã độc
tấn công (Kaspersky Lab, 28/02/2014)
• Việt Nam đứng thứ 11 trên toàn cầu về nguy cơ bị tấn công mạng
(Symaltec, 2012)
8

Quy trình bảo đảm an toàn đối với TMĐT
• Quyền truy cập: xác định ai được quyền truy cập vào
hệ thống, mức độ truy cập và ai giao quyền truy cập
• Bảo trì hệ thống: ai có trách nhiệm bảo trì hệ thống như
việc sao lưu dữ liệu, kiểm tra an toàn định kỳ, kiểm tra
tính hiệu quả các biện pháp an toàn,…
• Bảo trì nội dung và nâng cấp dữ liệu: ai có trách
nhiệm với nội dung đăng tải trên mạng intranet, internet
và mức độ thường xuyên phải kiểm tra và cập nhật
những nội dung này
• Cập nhật chính sách an ninh thương mại điện tử:
mức độ thường xuyên và ai chịu trách nhiệm cập nhật
chính sách an ninh mạng và các biện pháp đảm bảo việc
thực thi chính sách đó.
9

101010
4.2 Rủi ro chính trong TMĐT

Phân loại rủi ro trong TMĐT
11

Rủi ro về dữ liệu
12
Đối với người mua
Đối với chính phủ
Đối với người bán
•Thay đổi địa chỉ nhận
đối với chuyển khoản
ngân hàng
•Nhận được những
đơn đặt hàng giả mạo
•Thông tin bí mật về tài
khoản bị đánh cắp
•Hiện tượng các trang
web giả mạo, giả mạo
địa chỉ Internet, phong
tỏa dịch vụ và thư điện
tử giả mạo của các tổ
chức tài chính ngân
hàng
•Tin tặc tấn công vào
các website thương
mại điện tử
•Các hacker có nhiều
kỹ thuật tấn công các
trang web này nhằm
làm lệch lạc thông tin,
đánh mất dữ liệu thậm
chí là đánh “sập” khiến
các trang web này
ngừng hoạt động.

Rủi ro về dữ liệu đối với chính phủ
13

Wikileaks gây ra "sự cố" như thế nào?
• Tháng 7/2010, Wikileak đã cho công bố hàng vạn bản tài liệu mật về quân
đội Mỹ, trong đó bao gồm các tài liệu liên quan đến cuộc chiến ở
Afghanistan, và chuyển các tài liệu này đến các báo New York Times,
Guardian và Der Spiegel.
– "Afghan War Diary" (Nhật kí chiến tranh Afghanistan), 91.000 tài liệu được thu
thập trong suốt thời kỳ chiến tranh ở Afghanistan từ năm 2004 đến 2010 đã
được công bố.
• Đầu tháng 10/2010, Wikileaks đã liên hệ với hơn 10 tờ báo lớn trên thế
giới như: tờ New York Times (Mỹ), Le Monde (Pháp), CNN (Mỹ), The
Guardian (Anh), BBC (Anh), Channel 4 (Anh), SVT (Thụy Điển), Al-Jazeera
(Ả rập), Der Spiegel (Đức),… và Văn phòng Báo chí điều tra (Anh), Tổ chức
Đếm xác Irag, Tổ chức Các luật sư vì lợi ích chung…
– Các cơ quan trên đã cam kết với Wikileaks sẽ đồng loạt tung ra tài liệu mật sau
ngày 22/10
• Ngày 22/10/2010, WikiLeaks đã cho công bố 400.000 gói tài liệu mật về
cuộc chiếc tranh của Mỹ tại Iraq.
• Ngày 29/11, một gói dữ liệu khoảng 250.000 điện tín ngoại giao của Mỹ,
hầu hết trong vòng ba năm trở lại, đã được Wikileaks tung ra.
– Gói dữ liệu này cung cấp một cái nhìn chưa từng có về việc tranh cãi của các đại
sứ quán Mỹ trên thế giới, quan điểm phía sau "cánh gà" của giới lãnh đạo nhiều
nước và những nhận định về nguy cơ hạt nhân và khủng bố.

Một số dạng tấn công
15
15
Rủi ro về gian lận thẻ
tín dụng
Tấn công từ chối
dịch vụ (DOS,
DDoS, DRDoS)
Phishing – “kẻ
giả mạo”
Kẻ trộm trên
mạng (sniffer)
Các chương
trình máy tính
nguy hiểm
(malicious code)
Rủi ro
Tin tặc (hacker)
và các chương
trình phá hoại
(cybervandalism)

Các dạng tấn công không về
mặt công nghệ phổ biến
• Malware (Virus, Worms,
Trojan) – Phần mềm độc hại
• Unauthorized Access – Truy
cập trái phép
• Denial-of-Service Attacks –
Tấn công từ chối dịch vụ
• Spam and Spyware - Thư
rác và phần mềm gián điệp
• Hijacking (Servers, Pages) –
Chiếm kết nối
• Botnets
Các dạng tấn công về mặt
công nghệ phổ biến (xếp
hạng từ cao đến thấp)
• Financial fraud
• Spam
• Phishing
• ….

Các chương trình máy tính nguy hiểm (malicious
code)
• Các đoạn mã nguy hiểm bao gồm: các loại virus,
worm, những “con ngựa thành Tơroa”,…
– Virus là chương trình máy tính có khả năng tự nhân
bản hoặc tự tạo các bản sao của mình và lây lan
sang các chương trình, tệp dữ liệu khác trên máy tính
• Mục đích tích cực: thị một thông điệp hay một hình ảnh
• Mục đích xấu: phá hủy các chương trình, các tệp dữ liệu,
xóa sạch các thông tin hoặc định dạng lại ổ cứng của máy
tính, tác động và làm lệch lạc khả năng thực hiện của các
chương trình, các phần mềm hệ thống.
– Ví dụ: tháng 7/2001, Virus CodeRed tấn công phần mềm mạng
của Microsoft. Con bọ này phát hiện điểm yếu trong hệ thống
máy tính và tự nhân bản trong quá trình truy nhập. Tổng thiệt
hại trong sự cố mà nó gây ra lên đến 2,6 tỷ USD.
17

Xu hướng tấn công mới của mã độc
trên mạng
• Phần mềm tống tiền (ransomware)
• Mã độc “đào kiếm” bitcoin trên Skype
– biến máy tính nạn nhân thành tài nguyên CPU để khai thác Bitcoin
– sử dụng các email lừa đảo để chuyển hướng người dùng đến một
phiên bản giả mạo của một trong những trang web Bitcoin kinh doanh
phổ biến nhất là MtGox

“Mã đòi tiền chuộc”-
Ransomeware bùng nổ

Tin tặc (hacker) và các chương trình phá hoại
(cybervandalism)
• Tin tặc hay tội phạm máy tính: những người truy
cập trái phép vào một website hay hệ thống máy
tính
– Mục tiêu: hệ thống dữ liệu của các website thương
mại điện tử; sử dụng các chương trình phá hoại
(cybervandalism) nhằm gây ra các sự cố, làm mất uy
tín hoặc phá huỷ website trên phạm vi toàn cầu
– Ví dụ: ngày 1-4-2001, tin tặc đã sử dụng chương trình
phá hoại tấn công vào các máy chủ có sử dụng phần
mềm Internet Information Server của Microsoft nhằm
làm giảm uy tín của phần mềm này và rất nhiều nạn
nhân như hãng hoạt hình Walt Disney, Nhật báo phố
Wall …đã phải gánh chịu hậu quả.
20

Vụ tấn công vào chodientu.com
• 19/09/2006: www.chodientu.com bị tấn công,
mất quyền kiểm soát và phải chuyển sang dùng
tên miền mới là www.chodientu.vn
– hacker tấn công vào máy chủ quản lý tên miền của
www.register.com và lấy quyền kiểm soát tên miền
www.chodientu.com
• 23/9/2006: www.chodientu.com tiếp tục bị chiếm
quyền kiểm soát và trỏ sang một trang web với
nội dung bôi nhọ giám đốc công ty.
21

Rủi ro về gian lận thẻ tín dụng
• Trong thương mại điện tử, mối đe dọa lớn
nhất là bị “mất” (hay bị lộ) các thông tin
liên quan đến thẻ tín dụng hoặc các thông
tin giao dịch sử dụng thẻ tín dụng trong
quá trình diễn ra giao dịch mua sắm qua
mạng và các thiết bị điện tử.
22

23
Vietcombank cảnh báo về virus lấy cắp thông
tin tài khoản ngân hàng
• Virus Eurograbber đã được các tin tặc sử dụng để lấy cắp 36 triệu euro từ nhiều tài
khoản ngân hàng tại các nước châu Âu như Ý, Đức, Tây Ban Nha và Hà Lan.
Phương thức lừa đảo sử dụng virus này cơ bản như sau:
– Tin tặc sử dụng email hay các trang web độc hại để lừa khách hàng cài đặt virus
trên máy cá nhân của mình;
– Khi khách hàng truy cập các dịch vụ trực tuyến của ngân hàng, virus sẽ giả mạo
thông báo của ngân hàng để hướng dẫn khách hàng cài đặt virus trên điện thoại
di động;
– Virus hoạt động trên điện thoại di động sẽ lấy cắp mã xác thực sử dụng 1 lần
(OTP) của khách hàng, kết hợp với virus hoạt động trên máy tính cá nhân của
khách hàng để thực hiện giao dịch giả mạo lấy trộm tiền từ tài khoản khách
hàng.
• Vietcombank lưu ý Quý Khách hàng thực hiện những nội dung sau:
– Sử dụng các phần mềm diệt virus và thường xuyên cập nhật phiên bản mới nhất;
– Không cài đặt các phần mềm độc hại, không rõ nguồn gốc xuất xứ trên máy tính
cá nhân và điện thoại di động của mình.
– Khi nhận được tin nhắn hoặc thông báo qua SMS, email hay từ trang web của
Ngân hàng, xin Quý khách lưu ý kiểm tra lại thông tin, tránh trường hợp tin tặc lợi
dụng để giả mạo thông tin.

Tấn công từ chối dịch vụ (DOS, DDoS, DRDoS)
• Tấn công từ chối dịch vụ là kiểu tấn công khiến
một hệ thống máy tính hoặc một mạng bị quá
tải, dẫn tới không thể cung cấp dịch vụ hoặc
phải dừng hoạt động
– Các hình thức tấn công:
• DoS (Denial of Service), lợi dụng sự yếu kém của giao thức
TCP
• DDoS (Distributed Denial of Service) – tấn công từ chối dịch
vụ phân tán
• DRDoS (Distributed Reflection Denial of Service) – tấn công
theo phương pháp phản xạ phân tán
– Tác hại: chi phí lớn (khách hàng không thể thực hiện
các giao dịch mua bán), ảnh hưởng đến uy tín và
tiếng tăm của DN
24

Tấn công kiểu DDoS
• Distributed Denial of Service (DDoS)
– Tạm dịch là tấn công từ chối dịch vụ phân tán
– Hacker xâm nhập vào các hệ thống máy tính
– Cài đặt các chương trình điều khiển từ xa
– Kích hoạt đồng thời các chương trình này vào cùng một thời điểm để
đồng loạt tấn công vào một mục tiêu
 Với DDoS
– Huy động tới hàng trăm, hàng ngàn máy tính cùng tham gia tấn công
cùng một thời điểm
– Có thể chiếm hết băng thông của mục tiêu trong thời gian ngắn nhất

Tấn công kiểu DDoS

Tấn công kiểu DRDoS
• Distributed Reflection Denial of Service (DRDoS)
– Tạm dịch là tấn công từ chối dịch vụ phản xạ phân tán
Với DRDoS
– Hacker sẽ gửi cùng lúc nhiều gói tin đến các hệ thống máy tính trên
mạng
– Khi các hệ thống này nhận gói tin SYN giả này sẽ chấp nhận kết nối và
gửi trả một gói tin SYN/ACK để thông báo
– Địa chỉ IP của gói tin SYN bị hacker sửa đổi thành địa chỉ IP máy đích
nên những gói tin SYN/ACK sẽ được gửi về cho máy đích
– Cùng lúc nhận được nhiều gói tin, đường truyền của máy đích không đủ
khả năng đáp ứng, hệ thống máy đích sẽ từ chối nhận bất kỳ gói tin nào
và lúc này hệ thống máy đích đã bị sụp đổ

Tấn công kiểu DRDoS

Ví dụ các cuộc tấn công từ chối dịch vụ
• 2/2000: các hoạt động tấn công liên tục khiến hàng loạt website trên
thế giới ngừng hoạt động trong nhiều giờ
– Virus của người này đã tấn công máy tính của những hãng trên bằng
cách tạo ra lệnh gửi các yêu cầu giả liên tục trong suốt 6 ngày, làm tê
liệt hệ thống trong 16 giờ liền
– Ebay: 5 giờ, Amazon: 4 giờ, CNN: 3,5 giờ, E-Trade: 3 giờ, Yahoo,
Buy.com, ZDNet: 3-4 giờ
• Ước tính mỗi ngày Amazon.com có tới hàng nghìn đơn đặt hàng lớn nhỏ với
doanh thu trung bình xấp 500.000 USD/ ngày thì việc hệ thống máy tính tê
liệt trong vòng 16 giờ đồng hồ sẽ làm hãng mất rất nhiều đơn đặt hàng, thiệt
hại về mặt uy tín của hãng đối với khách hàng
• 03/03/2006: Vietco.com bị tấn công từ chối dịch vụ với một mức độ
khủng khiếp
– Mỗi IP tạo ra khoảng 10 ngàn truy xuất vào hệ thống và có hàng ngàn
IP (chủ yếu đến từ Việt Nam) cùng hướng vào Vietco.com một lúc
– Công ty chi khoảng 50-70 triệu đồng/ngày cho tiền thuê tư vấn, chi phí
đổi server liên tục…
29

Kẻ trộm trên mạng (sniffer)
• Kẻ trộm trên mạng là một dạng của chương
trình theo dõi, nghe trộm, giám sát sự di chuyển
của thông tin trên mạng
– Mục đích hợp pháp: giúp phát hiện ra những yếu
điểm của mạng
– Mục đích bất hợp pháp: mối hiểm hoạ lớn và rất khó
có thể phát hiện.
• Lấy cắp các thông tin có giá trị: thư điện tử, dữ liệu kinh
doanh của DN, các báo cáo mật…
• Xem lén thư điện tử: sử dụng một đoạn mã ẩn bí mật gắn
vào thông điệp thư điện tử, cho phép người nào đó có thể
giám sát toàn bộ các thông điệp chuyển tiếp được gửi đi
cùng với thông điệp ban đầu.
30

Trường hợp của Five Partners
Asset Management
• Joe Oquendo là một chuyên gia bảo mật máy tính của
collegeboardwalk.com, người được phép làm việc cùng văn
phòng và chia sẻ thông tin trên mạng máy tính của hãng Five
Partners Asset Management, một nhà đầu tư của
collegeboardwalk.com.
• Lợi dụng quyền hạn của mình, Oquendo đã thay đổi các câu lệnh
khởi động mạng của Five Partners để hệ thống này tự động gửi các
tệp mật khẩu tới một tài khoản thư điện tử do anh ta kiểm soát mỗi
khi hệ thống của Five Partners khởi động lại.
• Sau khi collegeboardwalk.com phá sản, Oquendo đã bí mật cài đặt
một chương trình nghe trộm nhằm ngăn chặn và ghi lại các giao
thông điện tử trên mạng của Five Partners trong đó có cả những
mật khẩu không mã hoá. Oquendo bị bắt khi đang sử dụng chương
trình nghe trộm để bẫy mật khẩu mạng máy tính của một công ty
khác với mục đích xoá toàn bộ cơ sở dữ liệu của công ty này.

Phishing – “kẻ giả mạo”
• Phishing là một loại tội phạm công nghệ cao sử
dụng email, tin nhắn pop-up hay trang web để
lừa người dùng cung cấp các thông tin cá nhân
nhạy cảm như thẻ tín dụng, mật khẩu, số tài
khoản ngân hàng.
• Các tin tặc thường giả mạo là các công ty nổi
tiếng yêu cầu khách hàng cung cấp những
thông tin nhạy cảm này. Các website thường
xuyên bị giả mạo đó là Paypal, Ebay, MSN,
Yahoo, BestBuy, American Online….
32

Website giả mạo tại Việt Nam
• 21/01/2013: Cảnh giác Website giả mạo
FPTShop.com.vn
– website giả mạo như http://www.sieuthifpt.net,
http://sieuthivienthongfpt.com.
• Cảnh giác với các website giả mạo thương hiệu VNG
– các website giả mạo như http://qua24h.vn; http://shopvng.vn,
http://sukiengame.vn,...
33

Ví dụ “Kẻ giả mạo”
• Ebay: 17/12/2003 một số khách hàng của eBay nhận được email
với thông báo rằng hiện tại tài khoản của họ tạm ngừng hoạt động
cho tới khi họ kích vào đường link được cung cấp trong email. và
cập nhật thông tin về thẻ tín dụng, cùng với các thông tin cá nhân
khác như ngày sinh, tên thời con gái của mẹ, số Pin của thẻ ATM.
Đường link trong địa chỉ email kết nối tới trang web của ebay nhưng
đây không phải là trang web thật của ebay mà chỉ là một trang web
giả mạo có logo và hình thức giống với trang web ebay thật.
• Paypal: Kẻ giả mạo Paypal đã xây đường URL cải trang giống URL
của Paypal bằng cách sử dụng ký hiệu @
(http://paypal.com@218.36.41.188/fl/login.html). Thường thì các
server bỏ qua các ký tự trước @ và chỉ sử dụng những ký tự sau nó.
Như vậy là khách hàng chỉ có thể nhìn thấy đường link trong mail
như http://paypal.com và đã cung cấp nhưng thông tin cá nhân và
tài khoản
34

Rủi ro về thủ tục, quy trình giao dịch
của tổ chức
• Người bán: nhiều website vẫn tiến hành bán
hàng theo các yêu cầu mà không có bất kỳ sự
xác thực cần thiết và cẩn trọng nào về thông tin
của người mua
– Do không có những biện pháp đảm bảo chống phủ
định của người mua trong quy trình giao dịch trên các
website nên không thể buộc người mua phải nhận
hàng hay thanh toán khi đơn đặt hàng đã được thực
hiện và hàng đã giao.
• Người mua: những đơn đặt hàng không được
nhà cung cấp thực hiện trong khi khách hàng đã
tiến hành trả tiền mà không nhận được hàng,
nhà cung cấp từ chối đã nhận đơn đặt hàng
35

Rủi ro về pháp luật và tiêu chuẩn
công nghiệp
• Làm thế nào để đảm bảo rằng một thoả thuận đạt được
qua hệ thống điện tử sẽ có tính ràng buộc về mặt pháp
lý khi có sự khác nhau giữa các hệ thống pháp luật khác
nhau, ví dụ Việt Nam và Nhật Bản?
• Chưa có một công ước chung nào về giao dịch thương
mại điện tử.
• Thiếu các văn bản pháp lý điều chỉnh Rủi ro về tiêu
chuẩn công nghiệp.
• Thiếu một hạ tầng công nghệ thông tin đồng bộ và chưa
có một hệ thống các tiêu chuẩn công nghiệp phù hợp
với tiêu chuẩn quốc tế và khu vực.
• Sự thiếu đồng bộ về tiêu chuẩn công nghiệp sẽ gây
nhiều khó khăn trong việc trao đổi thông tin và đặc biệt
là hoạt động chào hàng, đặt hàng cũng như vận chuyển
hàng hoá, thủ tục hải quan, thuế…
36

Tiêu chuẩn bảo mật PCI DSS bị coi nhẹ
tại Việt Nam
• PCI-DSS: Tiêu chuẩn an ninh dữ liệu trong ngành công nghiệp thẻ
thanh toán
– Tiêu chuẩn PCI DSS được hình thành bởi Hội đồng Tiêu chuẩn Bảo
mật (Security Standards Council) dành cho thẻ thanh toán, bao gồm
các thành viên ban đầu như: Visa, MasterCard, American Express
(AMEX), Discover Financial Services
• Hiệp hội TMĐT Việt Nam khuyến nghị các đơn vị kinh doanh trực
tuyến lưu tâm áp dụng tiêu chuẩn bảo mật PCI DSS như là dấu hiệu
an toàn để thu hút khách hàng.
– cổng thanh toán trực tuyến Bảo Kim - cổng trung gian thanh toán các
hoạt động mua bán trên mạng đã bị chặn giao dịch thanh toán bằng thẻ
Visa. Giải đáp bức xúc của khách hàng, Bảo Kim cho biết "ngân hàng
thẻ quốc tế đang bị hack" nên để đảm bảo an toàn cho khách hàng,
Bảo Kim tạm ngừng giao dịch qua thẻ quốc tế.
– việc bị chặn có thể do đơn vị trung gian thanh toán này chưa đáp ứng
đủ tiêu chuẩn PCI DSS dẫn đến gây mất an toàn thông tin cho khách
hàng khi thanh toán nên đã bị tổ chức thẻ quốc tế Visa chặn giao dịch.

Một số rủi ro khác
• Rủi ro bị chặn giao dịch qua mạng
– www.goddady.com cung cấp hosting và tên miềm của Mỹ từ đầu năm
2004 cũng đã chặn tất cả các giao dịch có địa chỉ giao thức trên mạng
(IP) 203.162.*.* của Việt Nam. Goddady đã thông báo xếp Việt Nam
vào danh sách các nước (cùng với Trung Quốc, Bulgaria, Indonesia,
Malaysia, Pakistan, Singapore) bị chặn không được giao dịch qua mạng
với mình.
– www.onehost.ws , từ tháng 4-2004 đã chính thức không cho người sử
dụng ở Việt nam thậm chí là quyền truy cập trang web này. Chỉ cần gõ
www.onehost.ws bạn chưa hề biết mặt mũi trang web ra sao thì đã nhận
được ngay dòng chữ : “blocking all orders from Vietnam due to the
huge number of frauds by Viet nam users” (cấm tất cả mọi đơn đặt
hàng từ Việt nam do một số lượng lớn lừa đảo bởi người sử dụng
Vietnam).
38

• Rủi ro vì mất cơ hội kinh doanh
– Nhãn hiệu Cà phê Trung Nguyên của Việt Nam khó không
được giao dịch trên mạng Internet bởi vì đã có người đăng
ký bản quyền.
– Hay tên giao dịch của sàn giao dịch hàng thủ công Mỹ
nghệ của VCCI lúc đầu là www.handivn.com.vn đã phải
thay đổi lại thành vn.craft.com.vn vì tên ban đầu đã trùng
với tên giao dịch của một trang web thuộc một công ty trên
thế giới cũng đang kinh doanh trên mạng.
– Sở du lịch tỉnh Quảng Ninh không đăng ký được
www.halongbay.com vì đã bị đăng ký mất tên miền này, do
đó phải đăng ký Vịnh Hạ Long với một địa chỉ rất dài
http:halongbay.halong.net
39

• Rủi ro do sự thay đổi của công nghệ
– Năm 2002, khi Internet Explorer 6.0 của Microsoft ra đời
công việc kinh doanh trên mạng của www.VideoHome.com
ngưng trệ do phầm mềm để download phim của hãng
không tương thích với trình duyệt mới này. Ước tính từ lúc
IE 6.0 ra đời cho đến khi công ty thay thế phần mềm tải
phim mới thiệt hại lên tới 1,2 triệu USD.
– Ngược lại, FireFox ra đời với chuẩn khác với IE cũng là
nguy cơ cho các website thương mại điện tử vốn chạy tốt
trên IE nhưng chưa chắc đã chạy tốt trên FireFox và ngược
lại.
40

• Rủi ro liên quan đến thông tin cá nhân
– Một số tin tặc còn có thể thay đổi thông tin cá nhân khiến
cho người sử dụng gặp nhiều rắc rối không chỉ trong giao
dịch trên mạng mà còn trong cuộc sống bên ngoài. Năm
1999, cô Sarah Clarson ở bang California đã bị bắt giam vì
một lý do mà cô không hề làm. Số chứng minh cũng như
các dấu hiệu định dạng của cô đã bị thay đổi và gán cho
một nữ tội phạm đang bị truy nã.
41

Câu hỏi
• Ghép các rủi ro với mô tả phù hợp:
a. Virus
b. Tin tặc/hackers
c. Gian lận thẻ tín dụng
d. Tấn công từ chối dịch vụ
e. Sniffer - trộm trên mạng
f. Phishing - giả mạo trên
mạng
1. Chương trình theo dõi, nghe lén, giám sát thông tin
trên mạng, ví dụ xem lén thư điện tử
2. Tấn công làm hệ thống mạng, máy tính quá tải và
phải dừng hoạt động
3. Thường xuất hiện khi các cơ sở dữ liệu của các
công ty TMĐT bị tấn công
4. Truy cập trái phép vào các website, cơ sở dữ liệu,
hệ thống thông tin
5. Gây ảnh hưởng tới các file, chương trình, ứng
dụng, hệ thống phần mềm, phần cứng
6. Giả mạo email, website để lừa người sử dụng lấy
thông tin cá nhân hoặc thanh toán

Rủi ro và phòng tránh rủi ro TMĐT 43 43
4343
4.3 Xây dựng kế hoạch an
ninh cho TMĐT

Các giai đoạn xây dựng kế hoạch an ninh
TMĐT cho doanh nghiệp
44
44
Giai đoạn
đánh giá
Giai đoạn lên
kế hoạch
Giai đoạn
giám sát
Giai đoạn
thực thi
1 2
4 3

Câu hỏi
• Ghép các bước xây dựng kế hoạch an ninh cho
Thương mại điện tử với công việc phù hợp.
1. Giai đoạn đánh giá
2. Giai đoạn lên kế hoạch
3. Giai đoạn thực thi
4. Giai đoạn giám sát
a. Lựa chọn các giải pháp, công nghệ
phù hợp để phòng, tránh rủi ro
b. Xác định các biện pháp thành công,
hiệu quả, thay đổi cần thiết
c. Xác định nguy cơ, rủi ro và giải pháp
tương ứng cần tiến hành
d. Xác định tài sản, giá trị tài sản, mối
đe dọa, mức độ thiệt hai

Những biện pháp cơ bản đảm bảo an
toàn cho giao dịch TMĐT
46
Chữ ký số (Digital signature)
Phong bì số (Digital Envelope)
Sử dụng kỹ thuật mã hoá thông tin
Chứng thư số hóa (Digital Certificate)

Kỹ thuật mã hóa thông tin
• Mã hoá thông tin là quá trình chuyển các văn
bản hay các tài liệu gốc thành các văn bản dưới
dạng mật mã bằng cách sử dụng một thuật mã
hóa.
• Giải mã là quá trình văn bản dạng mật mã được
chuyển sang văn bản gốc dựa trên mã khóa.
• Mục đích của kỹ thuật mã hoá nhằm đảm bảo
an toàn cho các thông tin được lưu giữ và đảm
bảo an toàn cho thông tin khi truyền phát.
47

Kỹ thuật sử dụng để mã hoá thông
tin
• Kỹ thuật mã hóa đơn sử dụng một khoá khoá bí mật
• Kỹ thuật mã hóa kép sử dụng khoá công khai và khóa bí mật
48

So sánh phương pháp mã hoá khóa riêng
và mã hoá khoá công cộng
Đặc điểm Mã hoá khoá riêng Mã hoá khoá công cộng
Số khoá Một khoá đơn Một cặp khoá
Loại khoá Khoá bí mật Một khóa bí mật và một khóa
công khai
Quản lý khoá Đơn giản, nhưng khó quản lý Yêu cầu các chứng nhận điện tử
và bên tin cậy thứ ba
Tốc độ giao
dịch
Nhanh Chậm
Sử dụng Sử dụng để mã hoá những
dữ liệu lớn (hàng loạt)
Sử dụng đối với những ứng
dụng có nhu cầu mã hoá nhỏ
hơn như mã hoá các tài liệu
nhỏ hoặc để ký các thông
điệp
49

50
Tường lửa
Mạng riêng ảo (VPN)
Sử dụng mật khẩu (password) đủ mạnh
Phòng chống virus
Giải pháp an ninh nguồn nhân lực
Những biện pháp cơ bản đảm bảo
an toàn cho hệ thống TMĐT
Giải pháp về trang thiết bị an ninh mạng

Câu hỏi
• Ghép các biện pháp đảm bảo an toàn cho hệ thống TMĐT
với mô tả phù hợp.
a. Tường lửa
b. Mạng riêng ảo
c. Mật khẩu
d. Phần mềm chống
virus
e. An ninh nguồn nhân
lực
f. An toàn cơ sở hạ tầng
thông tin
1. Mạng Internet được sử dụng để truyền tải thông tin, sử
dụng với công nghệ mã hóa để bảo mật
2. Các công nghệ, thiết bị kiểm soát, giám sát người vào ra
hệ thống vật lý
3. Đào tạo nâng cao ý thức, nghiệp vụ, quy trình để đảm
bảo an toàn thông tin
4. Giúp phát hiện, tiêu diệt và sửa lỗi do virus gây ra
5. Bảo mật bằng ký tự, số, tự động khóa nếu truy cập sai
nhiều lần, không sử dụng chức năng auto complete
6. Phần mềm, phần cứng hoặc kết hợp để kiểm soát truy
cập đối với hệ thống thông tin

Tường lửa
• Tường lửa là một thành phần của mạng,
gồm phần mềm hoặc phần cứng hoặc kết
hợp cả phần mềm và phần cứng, cho
phép những người sử dụng mạng máy
tính của một tổ chức có thể truy cập tài
nguyên của các mạng khác (ví dụ, mạng
Internet), nhưng đồng thời ngăn cấm
những người sử dụng khác, không được
phép từ bên ngoài truy cập vào mạng máy
tính của tổ chức.
52

Mô hình bức tường lửa
53

Mạng riêng ảo
• Mạng riêng ảo sử dụng mạng internet để
truyền tải thông tin nhưng vẫn duy trì sự bí
mật bằng cách sử dụng thuật mã khóa (để
mã giao dịch, xác minh tính chân thực để
đảm bảo rằng thông tin không bị truy xuất
trái phép và thông tin đến từ những nguồn
tin cậy) và quản lý quyền truy cập để xác
định danh tính của bất kỳ ai sử dụng mạng
này
54

Câu hỏi
• Các mật khẩu phổ biến nhất thế giới năm
2013 là gì?
– 123456
– Password
– 12345678

Thảo luận
• Lưu ý khi đặt và dùng password
– không sử dụng cùng một mật khẩu cho nhiều website
(giải pháp: mật khẩu sẽ đi kèm với tên website đó)
– kết hợp giữa chữ cái, số và các ký tự cho phép trên
bàn phím
– đổi mật khẩu định kỳ ba tháng một lần
– tránh tiết lộ mật khẩu
– không lưu mật khẩu vào các tập tin văn bản không có
biện pháp bảo vệ phù hợp
– dùng ứng dụng bàn phím ảo
– dùng phần mềm quản lý mật khẩu như Trend Micro
DirectPass hoặc phần mềm nguồn mở Keepass

Những biện pháp khác
• Một số giao thức bảo mật thông dụng
– Cơ chế bảo mật SSL (Secure Socket Layer)
– Cơ chế bảo mật SET (Secure Electronic
Transaction)
• Tham gia bảo hiểm
57

Giải pháp phòng chống lừa đảo qua
mạng (phishing)
• Tránh trả lời các thư điện tử hay thông điệp pop-
up yêu cầu cung cấp thông tin cá nhân
• Tránh gửi các thông tin cá nhân hay tài chính
dưới bất kỳ hình thức nào
• Kiểm tra kỹ các thông tin tài khoản và chi tiết
mua sắm thẻ tín dụng hàng tháng
• Sử dụng và cập nhật các phần mềm diệt virus
thường xuyên
• Cẩn trọng khi mở bất kỳ thông điệp dữ liệu gắn
kèm theo thư điện tử
58

Tình hình áp dụng các biện pháp
bảo mật CNTT và TMĐT tại VN

Giới thiệu SafeWeb
• Hệ thống Tiêu chuẩn trong giao dịch thương mại
điện tử
• Trung tâm phát triển TMĐT, Cục TMĐT và công nghệ
thông tin, Bộ Công thương
• 5 nguyên tắc đánh giá hình thành nên 33 tiêu chí bao gồm:
- Xây dựng niềm tin;
- Bảo vệ thông tin cá nhân;
- Thực hiện giao kết hợp đồng;
- Quảng cáo trung thực;
- Giải quyết khiếu nại.
• Danh sách website uy tín: www.mangdatphong.vn;
www.shoptretho.com.vn; www.hangtot.com; www.vinabook.com;
www.sieuthitaigia.vn; www.sieumua.com
• Truste của Hòa Kỳ, TradeSafe của Nhật Bản, TrustSg
của Singapore,v.v…

Điện toán đám mây
• Điện toán đám mây giúp ngăn chặn các
cuộc tấn công DoS
– Ví dụ WikiLeaks/Amazon Web Services
• Điện toán đám mây giúp nâng cao an toàn
cho email

6565

Thương mại điện tử - Chương 4: Rủi ro và phòng tránh rủi ro trong thương mại điện tử

Empfohlen

Empfohlen

Weitere ähnliche Inhalte

Was ist angesagt?

Was ist angesagt? (20)

Ähnlich wie Thương mại điện tử - Chương 4: Rủi ro và phòng tránh rủi ro trong thương mại điện tử

Ähnlich wie Thương mại điện tử - Chương 4: Rủi ro và phòng tránh rủi ro trong thương mại điện tử (20)

Mehr von Share Tài Liệu Đại Học

Mehr von Share Tài Liệu Đại Học (20)

Kürzlich hochgeladen

Kürzlich hochgeladen (20)

Thương mại điện tử - Chương 4: Rủi ro và phòng tránh rủi ro trong thương mại điện tử