Rủi ro chính trong thương mại điện tử

2.2. Một số dạng tấn công chính vào các website thương mại điện tử

Virus tấn công vào thương mại điện tử thường gồm 3 loại chính: virus ảnh hưởng tới các tệp (file) chương trình (gắn liền với những file chương trình, thường là .COM hoặc .EXE), virus ảnh hưởng tới hệ thống (đĩa cứng hoặc đĩa khởi động), và virus macro. Virus macro là loại virus phổ biến nhất, chiếm từ 75% đến 80% trong tổng số các virus được phát hiện. Đây là loại virus đặc biệt chỉ nhiễm vào các tệp ứng dụng soạn thảo, chẳng hạn như các tệp ứng dụng của MS Word, Excel và Power Point . Khi người sử dụng mở các tài liệu bị nhiễm virus trong các chương trình ứng dụng, virus này sẽ tự tạo ra các bản sao và nhiễm vào các tệp chứa đựng các khuôn mẫu của ứng dụng, để từ đó lây sang các tài liệu khác.

Tin tặc hay tội phạm máy tính là thuật ngữ dùng để chỉ những người truy cập trái phép vào một website, một cơ sở dữ liệu hay hệ thống thông tin. Thực chất mục tiêu của các hacker rất đa dạng. Có thể là hệ thống dữ liệu của các website thương mại điện tử, hoặc với ý đồ nguy hiểm hơn chúng có thể sử dụng các chương trình phá hoại (cybervandalism) nhằm gây ra các sự cố, làm mất uy tín hoặc phá huỷ website trên phạm vi toàn cầu.

Trong thương mại điện tử, các hành vi gian lận thẻ tín dụng xảy ra đa dạng và phức tạp hơn nhiều so với thương mại truyền thống. Nếu như trong thương mại truyền thống, việc mất thẻ hoặc thẻ bị đánh cắp là mối đe doạ lớn nhất đối với khách hàng thì trong thương mại điện tử mối đe doạ lớn nhất là bị “mất” (hay bị lộ) các thông tin liên quan đến thẻ tín dụng hoặc các thông tin giao dịch sử dụng thẻ tín dụng trong quá trình thực hiện các giao dịch mua sắm qua mạng và các thiết bị điện tử. Các tệp chứa dữ liệu thẻ tín dụng của khách hàng thường là những mục tiêu hấp dẫn đối với tin tặc khi tấn công vào website thương mại điện tử. Hơn thế, những tên tội phạm có thể đột nhập vào các cơ sở dữ liệu của website thương mại điện tử để lấy cắp các thông tin của khách hàng như tên, địa chỉ, điện thoại… với những thông tin này chúng có thể mạo danh khách hàng thiết lập các khoản tín dụng mới nhằm phục vụ những mục đích phi pháp.

Tấn công từ chối dịch vụ (DOS - Denial Of Service attack, DDOS – Distributed DOS hay DR DOS) là kiểu tấn công khiến một hệ thống máy tính hoặc một mạng bị quá tải, dẫn tới không thể cung cấp dịch vụ hoặc phải dừng hoạt động. Sơ khai nhất là hình thức DoS (Denial of Service), lợi dụng sự yếu kém của giao thức TCP, tiếp đến là DDoS (Distributed Denial of Service) - tấn công từ chối dịch vụ phân tán, và gần đây là DRDoS - tấn công theo phương pháp phản xạ phân tán (Distributed Reflection Denial of Service).

Những cuộc tấn công DoS có thể là nguyên nhân khiến cho mạng máy tính ngừng hoạt động và trong thời gian đó, người sử dụng sẽ không thể truy cập vào các website thương mại điện tử. Những tấn công này cũng đồng nghĩa với những khoản chi phí rất lớn vì trong thời gian website ngừng hoạt động, khách hàng không thể thực hiện các giao dịch mua bán. Đồng thời, sự gián đoạn hoạt động này sẽ ảnh hưởng đến uy tín và tiếng tăm của doanh nghiệp, những điều không dễ dàng gì lấy lại được. Mặc dù những cuộc tấn công này không phá huỷ thông tin hay truy cập vào những vùng cấm của máy chủ nhưng tạo ra phiền toái, gây trở ngại cho hoạt động của nhiều doanh nghiệp. Vụ tấn công DOS điển hình đầu tiên xảy ra vào tháng 2-2000, các hoạt động tấn công liên tục khiến hàng loạt website trên thế giới ngừng hoạt động trong nhiều giờ, trong đó có những website hàng đầu như: eBay ngừng hoạt động trong 5 giờ, Amazon gần 4 giờ, CNN gần 3.5 giờ, E-Trade gần 3 giờ, Yahoo và Buy.com và ZDNet cũng ngừng hoạt động từ 3 đến 4 giờ. Ngay cả người khổng lồ Microsoft cũng đã từng phải gánh chịu hậu quả của những cuộc tấn công này. Ở Việt Nam,cũng đã có rất nhiều doanh nghiệp bị tấn công dưới hình thức này.

- Kẻ trộm trên mạng (sniffer)

Kẻ trộm trên mạng (sniffer) là một dạng của chương trình theo dõi, nghe trộm, giám sát sự di chuyển của thông tin trên mạng. Khi sử dụng vào những mục đích hợp pháp, nó có thể giúp phát hiện ra những yếu điểm của mạng, nhưng ngược lại, nếu sử dụng vào các mục đích phi pháp, các phần mềm ứng dụng này sẽ trở thành các mối hiểm hoạ lớn và rất khó có thể phát hiện. Kẻ trộm sử dụng các phần mềm này nhằm lấy cắp các thông tin có giá trị như thư điện tử, dữ liệu kinh doanh của các doanh nghiệp, các báo cáo mật…từ bất cứ nơi nào trên mạng.

Xem lén thư điện tử là một dạng mới của hành vi trộm cắp trên mạng. Kỹ thuật xem lén thư điện tử là sử dụng một đoạn mã (ẩn) bí mật gắn vào thông điệp thư điện tử, cho phép người nào đó có thể giám sát toàn bộ các thông điệp chuyển tiếp được gửi đi cùng với thông điệp ban đầu. Chẳng hạn một nhân viên phát hiện thấy lỗi kỹ thuật trong khâu sản xuất, anh ta lập tức gửi một báo cáo thông báo cho cấp trên về phát hiện của mình. Người này sau đó sẽ tiếp tục gửi thông báo đến tất cả các bộ phận có liên quan trong doanh nghiệp. Một kẻ nào đó sử dụng kỹ thuật xem lén thư điện tử có thể theo dõi và biết được toàn bộ thông tin trong bức thư điện tử gửi tiếp sau đó bàn về vấn đề này.

- Phishing – “ kẻ giả mạo”

Phishing là một loại tội phậm công nghệ cao sử dụng email, tin nhắn pop-up hay trang web để lừa người dùng cung cấp các thông tin cá nhân nhạy cảm như thẻ tín dụng, mật khẩu, số tài khoản ngân hàng. Thông thường các tin tặc thường giả mạo là các công ty nổi tiếng yêu cầu khách hàng cung cấp những thông tin nhạy cảm này. Các website thường xuyên bị giả mạo đó là Paypal, Ebay, MSN, Yahoo, BestBuy, American Online….Kẻ giả mạo thường hướng tới phishing những khách hàng của ngân hàng và người tiêu dùng thường mua sắm trực tuyến. Những thông tin ăn cắp đươc sẽ được kẻ giả mạo dùng để truy cập với mục đích xấu, nếu là thông tin về tài khoản thanh toán thì sẽ dùng vào mục đích mua hàng hoặc rút tiền. Bất cứ ai cũng có thể phishing được vì phần mềm phishing là có nhiều trên mạng với hướng dẫn chi tiết cùng với danh sách địa chỉ email. Công nghệ phishing là đã có từ những năm 1987, tuy nhiên nó chỉ thực sự biết đến rộng rãi vào năm 1996. AOL là công ty đầu tiên đã bị kẻ giả mạo tấn công ăn cắp thông tin của khách hàng. Hay Vào 17/12/2003 một số khách hàng của eBay nhận đuơc email với thông báo rằng hiện tại tài khoản của họ tạm ngừng hoạt động cho tới khi họ kích vào đường link được cung cấp trong email và cập nhật thông tin về thẻ tín dụng, cùng với các thông tin cá nhân khác như ngày sinh, tên thời con gái của mẹ, số Pin của thẻ ATM. Đường link trong địa chỉ email kết nối tới trang web của ebay nhưng đây không phải là trang web thật của ebay mà chỉ là một trang web giả mạo có logo và hình thức giống với trang web ebay thật. PayPal một trang web giải pháp thanh toán cũng là đối tượng thường xuyên bị giả mạo. Kẻ giả mạo Paypal đã xây đường URL cải trang giống URL của Paypal bằng cách sử dụng ký hiệu @ (http://paypal.com@218.36.41.188/fl/login.html). Thường thì các server bỏ qua các ký tự trước @ và chỉ sử dụng những ký tự sau nó. Như vậy là khách hàng chỉ có thể nhìn thấy đường link trong mail như http://paypal.com Chính vì vậy mà khách hàng đã không nhận ra được là mình đang bị tấn công từ các tin tặc và đã cung cấp nhưng thông tin cá nhân và tài khoản.

- Ngoài ra, tội phạm TMĐT được thực hiện dưới nhiều hình thức sau: phát triển các mạng máy tính ma (bots network) để tấn công DOS, gửi thư rác, gửi thư rác với quy mô lớn (dịch vu thư rác), thuê hacker phá hoại website của đối thủ cạnh tranh, thu thập thông tin người sử dụng bằng spyware.

3. Xây dựng kế hoạch an ninh cho thương mại điện tử

3.1. Những biện pháp cơ bản nào đảm bảo an toàn cho giao dịch TMĐT

Biện pháp hữu hiệu nhất hiện nay trong việc đảm bảo tính xác thực là sử dụng hạ tầng khóa công khai (PKI – Public Key Infrastructure) trong đó có sử dụng các thiết bị kỹ thuật, hạ tầng và quy trình để ứng dụng việc mã hóa, chữ kỹ số và chứng chỉ số. Các kỹ thuật sử dụng trong Hạ tầng khóa công khai có thể hiểu như sau:

- Sử dụng kỹ thuật mã hoá thông tin:

Mã hoá thông tin là quá trình chuyển các văn bản hay các tài liệu gốc thành các văn bản dưới dạng mật mã bằng cách sử dụng một thuật mã hóa. Giải mã là quá trình văn bản dạng mật mã được chuyển sang văn bản gốc dựa trên mã khóa. Mục đích của kỹ thuật mã hoá nhằm đảm bảo an toàn cho các thông tin được lưu giữ và đảm bảo an toàn cho thông tin khi truyền phát.

Mã hoá thông tin là một kỹ thuật được sử dụng rất sớm kể từ khi loài người bắt đầu giao tiếp với nhau và thuật mã hóa cũng phát triển từ những thuật toán rất sơ khai trước đây tới các công nghệ mã hóa phức tạp hiện nay. Một phần mềm mã hóa sẽ thực hiện hai công đoạn: thứ nhất là tạo ra một chìa khóa và thứ hai là sử dụng chìa khóa đó cùng thuật mã hóa để mã hóa văn bản hoặc giải mã.

Có hai kỹ thuật cơ bản thường được sử dụng để mã hoá thông tin là mã hoá “khoá đơn” sử dụng một “khoá bí mật” và mã hoá kép sử dụng hai khóa gồm “khoá công khai” và ”khóa bí mật”.

+ Kỹ thuật mã hóa đơn sử dụng một khoá khoá bí mật:

Mã hoá khoá bí mật, còn gọi là mã hoá đối xứng hay mã hoá khoá riêng, là việc sử dụng một khoá chung, giống nhau cho cả quá trình mã hoá và quá trình giải mã. Quá trình mã hoá khoá bí mật được thực hiện như minh họa trong hình 6.1.

Hình 4.1: Phương pháp mã hoá khoá riêng

Tuy nhiên, tính bảo mật trong phương pháp mã hóa bí mật phụ thuộc rất lớn vào chìa khóa bí mật. Ngoài ra, sử dụng phương pháp mã hoá khoá bí mật, một doanh nghiệp rất khó có thể thực hiện việc phân phối an toàn các mã khoá bí mật với hàng ngàn khách hàng trực tuyến của mình trên những mạng thông tin rộng lớn. Và doanh nghiệp sẽ phải bỏ ra những chi phí không nhỏ cho việc tạo một mã khoá riêng và chuyển mã khoá đó tới một khách hàng bất kỳ trên mạng Internet khi họ có nhu cầu giao dịch với doanh nghiệp. Ví dụ, một trong các hình thức đơn giản của khóa bí mật là password để khóa và mở khóa các văn bản word, excel hay power point.

+ Kỹ thuật mã hóa kép sử dụng khoá công khai và khóa bí mật

Kỹ thuật mã hoá này sử dụng hai khoá khác nhau trong quá trình mã hoá và giải mã: một khoá dùng để mã hoá thông điệp và một khoá khác dùng để giải mã. Hai mã khoá này có quan hệ với nhau về mặt thuật toán sao cho dữ liệu được mã hoá bằng khoá này sẽ được giải mã bằng khoá kia. Khoá công cộng là phần mềm có thể công khai cho nhiều người biết, còn khoá riêng được giữ bí mật và chỉ mình chủ nhân của nó được biết và có quyền sử dụng.

Hình 4.2: Phương pháp mã hoá khoá công cộng

Như vậy, kỹ thuật mã hóa này đảm bảo tính riêng tư và bảo mật, vì chỉ có người nhận thông điệp mã hóa được gửi đến mới có thể giải mã được. Ngoài ra kỹ thuật này cũng đảm bảo tính toàn vẹn, vì một khi thông điệp mã hóa bị xâm phạm, quá trình giải mã sẽ không thực hiện được.

Trong quá trình sử dụng, có một số đặc điểm cần lưu ý đối với hai kỹ thuật mã hóa trên.

Bảng 4.1: So sánh phương pháp mã hoá khóa riêng và mã hoá khoá công cộng

Đặc điểm	Mã hoá khoá riêng	Mã hoá khoá công cộng
Số khoá	Một khoá đơn	Một cặp khoá
Loại khoá	Khoá bí mật	Một khóa bí mật và một khóa công khai
Quản lý khoá	Đơn giản, nhưng khó quản lý	Yêu cầu các chứng nhận điện tử và bên tin cậy thứ ba
Tốc độ giao dịch	Nhanh	Chậm
Sử dụng	Sử dụng để mã hoá những dữ liệu lớn (hàng loạt)	Sử dụng đối với những ứng dụng có nhu cầu mã hoá nhỏ hơn như mã hoá các tài liệu nhỏ hoặc để ký các thông điệp

- Chữ ký số (Digital signature)

Về mặt công nghệ, chữ ký số là một thông điệp dữ liệu đã được mã hóa gắn kèm theo một thông điệp dữ liệu khác nhằm xác thực người gửi thông điệp đó. Quá trình ký và xác nhận chữ ký số như sau: Người gửi muốn gửi thông điệp cho bên khác thì sẽ dùng một phần mềm rút gọn thông điệp dữ liệu điện tử, xử lý chuyển thông điệp dữ liệu điện tử thành một “thông điệp tóm tắt” (Message Digest), thuật toán này được gọi là thuật toán rút gọn (hash function). Người gửi mã hoá bản tóm tắt thông điệp bằng khóa bí mật của mình (sử dụng phần mềm bí mật được cơ quan chứng thực cấp) để tạo thành một chữ ký điện tử. Sau đó, người gửi tiếp tục gắn kèm chữ ký điện tử này với thông điệp dữ liệu ban đầu. Sau đó gửi thông điệp đã kèm với chữ ký điện tử một cách an toàn qua mạng cho người nhận. Sau khi nhận được, người nhận sẽ dùng khoá công khai của người gửi để giải mã chữ ký điện tử thành bản tóm tắt thông điệp. Người nhận cũng dùng rút gọn thông điệp dữ liệu giống hệt như người gửi đã làm đối với thông điệp nhận được để biến đổi thông điệp nhận được thành một bản tóm tắt thông điệp. Người nhận so sánh hai bản tóm tắt thông điệp này. Nếu chúng giống nhau tức là chữ ký điện tử đó là xác thực và thông điệp đã không bị thay đổi trên đường truyền đi.

Ngoài ra, chữ ký số có thể được gắn thêm một “nhãn” thời gian: sau một thời gian nhất định quy định bởi nhãn đó, chữ ký số gốc sẽ không còn hiệu lực, đồng thời nhãn thời gian cũng là công cụ để xác định thời điểm ký.

- Phong bì số (Digital Envelope)

Tạo lập một phong bì số là một quá trình mã hoá sử dụng khoá công khai của người nhận (phần mềm công khai của người nhận, phần mềm này cũng do cơ quan chứng thực cấp cho người nhận, và được người nhận thông báo cho các đối tác biết để sử dụng khi họ muốn gửi thông điệp cho mình). Khóa bí mật này được dùng để mã hoá toàn bộ thông tin mà người gửi muốn gửi cho người nhận, khóa này đảm bảo chỉ có duy nhất người nhận là người mở được thông điệp để đọc. Vì duy nhất người nhận là người nắm giữ khóa tương ứng để giải mã (phần mềm bí mật hay khóa bí mật, khóa này cũng do cơ quan chứng thực cấp cho người nhận).

- Chứng thư số hóa (Digital Certificate):

Nếu một bên có mã khóa công khai của bên thứ 2 để có thể tiến hành mã hóa và gửi thông điệp cho bên đó, mã khóa công khai này sẽ được lấy ở đâu và liệu bên này có thể đảm bảo định danh chính xác của bên thứ 2 không? Chứng thư điện tử xác minh rằng người cầm giữ mã khóa công cộng hoặc mã khóa bí mật chính là người chủ của mã khóa đó. Bên thứ ba, Cơ quan chứng thực, sẽ phát hành chứng thư điện tử cho các bên tham gia. Nội dung Chứng thư điện tử bao gồm: tên, mã khoá công khai, số thứ tự của chứng thực điện tử, thời hạn hiệu lực, chữ ký của cơ quan chứng nhận (tên của cơ quan chứng nhận có thể được mã hoá bằng mã khoá riêng của cơ quan chứng nhận) và các thông tin nhận dạng khác. Các chứng thư này được sử dụng để xác minh tính chân thực của website (website certificate), của cá nhân (personal certificate) và của các công ty phần mềm (software publisher certificate).

Каталог: books -> kinh-doanh-tiep-thi
kinh-doanh-tiep-thi -> CHƯƠng tổng quan môn học quản trị logistics kinh doanh 1Logistics trong nền kinh tế hiện đại
kinh-doanh-tiep-thi -> BÀi giảng quản trị chiến lưỢC Đối tượng: hssv trình độ Đại học, Cao đẳng, tccn ngành đào tạo: Quản trị Kinh doanh
kinh-doanh-tiep-thi -> Ứng dụng mô HÌnh 5 Áp lực cạnh tranh của michael porter trong kinh doanh siêu thị trêN ĐỊa bàn thành phố ĐÀ NẴNG
kinh-doanh-tiep-thi -> Có đáp án Trong quá trình sản xuất dịch vụ các yếu tố nào là đầu vào ngoại trừ
kinh-doanh-tiep-thi -> MỤc lục hình 3 MỤc lục bảng 3
kinh-doanh-tiep-thi -> Giới thiệu công ty: Lịch sử hình thành và phát triển
kinh-doanh-tiep-thi -> ĐẠi học duy tân khoa Ngoại ngữ Bài giảng ĐẠO ĐỨc nghề nghiệP
kinh-doanh-tiep-thi -> Khoa kinh tế du lịch giáo trình quản trị HỌC
kinh-doanh-tiep-thi -> TRƯỜng đẠi học kinh tế VÀ quản trị kinh doanh
kinh-doanh-tiep-thi -> Tài liệu – Nghệ thuật lãnh đạo Th. S vương Vĩnh Hiệp nghệ thuật lãnh đẠO

tải về 6.11 Mb.

Chia sẻ với bạn bè của bạn: