Hà nội, 2009 Mục lục Chương Tổng quan về Thương mại điện tử 7


Bài tập tình huống 4.1. Đối phó với các vụ tấn công vào website thương mại điện tử



tải về 2.96 Mb.
trang39/77
Chuyển đổi dữ liệu18.08.2016
Kích2.96 Mb.
1   ...   35   36   37   38   39   40   41   42   ...   77

4. Bài tập tình huống

4.1. Đối phó với các vụ tấn công vào website thương mại điện tử


Vụ tấn công vào Chodientu.com

Ngày 19/9/2006. công ty Giải pháp phần mềm Hòa Bình chính thức (Peacesoft) chính thức thừa nhận tên miền www.chodientu.com bị tấn công, mất quyền kiểm soát và phải chuyển sang dùng tên miền mới là www.chodientu.vn. Theo giải thích của ban giám đốc, hacker tấn công vào máy chủ quản lý tên miền của www.register.com và lấy quyền kiểm soát tên miền www.chodientu.com tại đó.

Ngày 23/9/2006, www.chodientu.com tiếp tục bị chiếm quyền kiểm soát và trỏ sang một trang web với nội dung bôi nhọ giám đốc công ty.

Ngày 27/9/2006, đại diện Chợ điện tử đã chính thức làm việc với Trung tâm An ninh mạng (BKIS) và các cơ quan chức năng để nhanh chóng truy tìm thủ phạm. Tuy nhiên, với hình thức tấn công vào tên miền, thủ phạm sẽ khó có thể bị phát hiện do cơ chế tấn công không liên tục như tấn công từ chối dịch vụ (DOS).

Virus lây lan qua YM, “Tháng 9 kinh hoàng”, hơn 20.000 máy tính bị nhiễm và đã phải cầu cứu đến BKAV khi người sử dụng tò mò kích vào những đường link “mời mọc” hay “kích động” được gửi đến thông qua YM.

4.2. Phòng chống lừa đảo qua mạng (phishing)


Vấn đề

Ngày 17 tháng 11 năm 2003, một số khách hàng của eBay được thông báo bằng email rằng tài khoản của họ trên eBay đang được cập nhật và tăng cường mức độ an toàn. Thông báo cũng kèm theo một đường link đến một trang web của eBay tại đó khách hàng có thể đăng ký để chấp nhận các dịch vụ này. Tất cả các thông tin khách hàng cần cung cấp để nhận được dịch vụ này là cung cấp số thẻ tín dụng, số bảo hiểm xã hội, ngày sinh, tên bí mật, số pin thẻ ATM. Vấn đề duy nhất là thực tế eBay chưa từng bao giờ gửi đi các thông điệp như thế này cả và trang web mà khách hàng được link tới cũng không thuộc sự quản lý của eBay. Mặc dù trang web giả trông rất giống trang web thực của eBay, cũng có logo của eBay, giao diện tương tự, trang web này thực chất được tạo ra với mục đích lừa đảo. Những khách hàng “ngây thơ” điền thông tin được yêu cầu vào trang web này đã ngay lập tức trở thành nạn nhân của vụ lừa đảo trên mạng được biết đến với thuật ngữ “phishing”. Phishing là kỹ thuật lừa đảo sử dụng thư điện tử, pop-up, trang web để dụ dỗ người dùng cung cấp các thông tin nhạy cảm như thẻ tín dụng, tài khoản ngân hàng, mật khẩu…



Giải pháp

Bản chất kỹ thuật lừa đảo này không mới, tuy nhiên “công nghệ” được sử dụng lại mới và có nhiều người sử dụng bị mắc bẫy. Trước đây, công nghệ được ưa chuộng cho kiểu lừa này là điện thoại. Ngày nay, những kẻ chủ mưu sử dụng thư điện tử, thông điệp pop-up, trang web giả để người sử dụng tưởng lầm họ đang giao dịch với các doanh nghiệp chính thức. Các thông điệp này thường dẫn dắt người sử dụng đến một website khác, tại đó, người sử dụng sẽ được yêu cầu cung cấp hoặc cập nhật thông tin mới cho tài khoản của họ. Mặc dù các website này trông hoàn toàn giống như website thật, đó là website giả mạo. Tổ chức phòng chống kiểu lừa đảo này có tên gọi Anti-Phishing Working Group (APWG, antiphishing.org). Tháng 7 năm 2004, số vụ lừa đảo kiểu này được thông báo đến APWG lên đến 1.974 vụ, tăng 39% so với tháng 6 cùng năm. Ngành chịu tấn công nhiều nhất là dịch vụ tài chính (1.649 trong tổng số 1.974 vụ tấn công). Thương hiệu bị tấn công nhiều nhất là Citibank, U.S. Bank, eBay và PayPal (1.191 trong tổng số 1.974). Những website giả mạo được lưu trữ nhiều nhất tại Hoa Kỳ (35%) tiếp đến là Hàn Quốc, Trung Quốc và Nga. Để tránh bị điều tra, các website giả mạo thường hoạt động trong một thời gian ngắn, trung bình khoảng 6 ngày.

Các công ty chuyên về an ninh trên mạng như VeriSign (verisign.com) và Name Protect (nameprotect.com) đang phối hợp triển khai để ngăn chặn hình thức tấn công này. Cả hai công ty này đều chủ động nghiên cứu các website (tên miền, tên máy chủ, các trang, nhóm tin tức, chatroom…) để phát hiện các dấu hiệu phishing. Những dịch vụ này được các công ty như MasterCard, các công ty bán lẻ và tổ chức tài chính hỗ trợ. Khi phát hiện các dấu hiệu lừa đảo, những thông tin này được chuyển đến các tổ chức hỗ trợ và các cơ quan quản lý liên quan. Tuy nhiên, các dịch vụ này không được thông báo trực tiếp đến các khách hàng dù là tổ chức hay cá nhân. Do đó, khách hàng vẫn cần chủ động phòng tránh những vụ lừa đảo kiểu này. Ủy ban Thương mại Liên bang (FDC-Federal Trade Commision) khuyến cáo:

- Tránh trả lời các thư điện tử hay thông điệp pop-up yêu cầu cung cấp thông tin cá nhân

- Tránh gửi các thông tin cá nhân hay tài chính dưới bất kỳ hình thức nào

- Kiểm tra kỹ các thông tin tài khoản và chi tiết mua sắm thẻ tín dụng hàng tháng

- Sử dụng và cập nhật các phần mềm diệt virus thường xuyên

- Cẩn trọng khi mở bất kỳ thông điệp dữ liệu gắn kèm theo thư điện tử

- Gửi các thông báo đến FTC về các thông điệp bị nghi ngờ

Kết quả

Theo điều tra của Tổ chức Chống lừa đảo qua mạng (APWG), ước tính khoảng 5% người sử dụng mắc phải bẫy phishing. Tổng thiệt hại không được thống kê chi tiết, tuy nhiên đến nay vẫn chưa có quy định cụ thể xử lý các kẻ chủ mưu của những vụ lừa đảo dạng phishing.



Bài học kinh nghiệm

Các mô hình thương mại điện tử đều có điểm chung là nhiều bên tham gia, sử dụng nhiều mạng khác nhau, nhiều ứng dụng và nhiều cơ sở dữ liệu… do đó đảm bảo an toàn trong thương mại điện tử rất khó khăn. Kẻ tấn công chỉ cần phát hiện ra một điểm yếu trong toàn bộ hệ thống là có khả năng thành công. Một số vụ tấn công đòi hỏi công nghệ và kỹ năng cao. Tuy nhiên, hầu hết các vụ tấn công như phishing chỉ cần sử dụng những công nghệ rất đơn giản để đánh vào điểm yếu của con người và các tập quán an ninh mạng mới đang hình thành. Do đa số các vụ tấn công không tinh vi và phức tạp, những quy định rõ ràng về phòng tránh rủi ro trong thương mại điện tử sẽ giúp giảm thiểu đáng kể nguy cơ và thiệt hại.


4.3. Giải pháp giảm rủi ro trong thương mại điện tử của iPremier


Giới thiệu về iPremier

Do hai sinh viên từ trường UFT đã có nhiều thành công lớn trong thương mại điện tử thành lập năm 1994 với tên gọi iPremier. Đến nay công ty đã là một trong hai nhà bán lẻ hàng đầu về những mặt hàng sang trọng, quý hiếm trên mạng. Công ty có trụ sở tại Seattle, Washington. Công ty có tốc độ tăng trưởng rất nhanh khoảng 50% mỗi năm, đến năm 1999, lợi nhuận đạt 2.1 triệu USD trên doanh số 32 triệu USD.

Từ khi cổ phần hoá năm 1998, giá cổ phiếu tăng gần ba lần. Sau cuộc khủng hoảng năm 2000, iPremier là một trọng số rất ít các công ty thương mại điện tử B2C sống sót và tiếp tục phát triển. Trong con mắt các nhà phân tích, đây là một mô hình thành công điển hình trong kinh doanh thương mại điện tử.

Hầu hết các mặt hàng công ty kinh doanh có giá từ 50 đến vài trăm USD, tuy nhiên một số có giá hàng nghìn USD. Công ty áp dụng chính sách trả lại hàng rất linh hoạt theo đó cho phép khách hàng kiểm tra kỹ lưỡng hàng hoá trước khi quyết định có nên mua hay không. Khách hàng của công ty thường có thu nhập rất cao và vì thế vấn đề về giới hạn tín dụng dường như chưa bao giờ gặp phải cho dù đối với những mặt hàng có giá trị rất cao.



Cơ cấu tổ chức kỹ thuật

Công ty thuê ngoài các dịch vụ Internet từ một nhà cung cấp nhiều kinh nghiệm là Qdata. Qdata cung cấp dịch vụ về máy chủ, đường truyền internet, các dịch vụ quản lý như theo dõi website cho các khách hàng thông quan Network Operations Center (NOC) và một số dịch vụ bảo mật khác. Tuy nhiên, Qdata chậm trong việc đầu tư vào các hệ thống máy chủ mới nhất cũng như nâng cao chất lượng đội ngũ nhân viên.

iPremier đã có kế hoạch chuyển sang nhà cung cấp dịch vụ khác nhưng có một số lý do khiến việc chuyển đổi bị trễ lại. Thứ nhất, tốc độ tăng trưởng nhanh khiến công ty luôn bận rộn và việc chuyển đổi không được coi là ưu tiên số một. Thứ hai, chi phí cho một hệ thống hiện đại hơn luôn có chi phí cao gấp hai đến ba lần hệ thống hiện tại. Thứ ba, việc chuyển đổi hệ thống có thể gây gián đoạn công việc kinh doanh, đặc biệt ảnh hưởng đến các khách hàng qua mạng. Hơn nữa, kế hoạch triển khai lắp đặt mới tại nhà cung cấp khác cũng chưa bao giờ được bàn cụ thể. Lý do cuối cùng là một thành viên trong ban lãnh đạo iPremier có quan hệ cá nhân mật thiết với Qdata vì vậy Qdata sẵn sàng thương lượng lại hợp đồng trong thời gian tới.

Cuộc tấn công vào iPremier

- 4:31 sáng, ngày 12 tháng 1 năm 2001

Giám đốc của iPremier được một nhân viên trong công ty thông báo về việc website của công ty đã bị tấn công. Website công ty đã bị khoá. Nhân viên công ty đã thử ba phần mềm duyệt web nhưng không thể mở nó ra được. Khách hàng của công ty cũng không thể mở được. Dịch vụ hỗ trợ khách hàng đang ngập tràn trong điện thoại và mỗi giây công ty lại nhận được một e-mail với nội dung chỉ có từ “ Ha”. Các e-mail liên tiếp tạo thành Ha ha ha...Hầu hết các email bắt nguồn từ Châu Á và Châu Âu. Chính vì vậy để lần ra ai là người đã tiến hành tấn công vào website của công ty sẽ phải mất rất nhiều thời gian. Theo nhận định của nhân viên công ty có thể mất khoảng 18 tháng mới tìm ra người khởi tạo email. Nếu email được gửi từ một nơi công cộng thì thời gian để tìm ra sẽ còn lâu hơn nữa.

Ngay sau khi vụ tấn công diễn ra nhân viên kỹ thuật của công ty đã kết hợp với Qdata để tìm ra lý do sinh sôi các email này. Cuối cùng họ phát hiện ra rằng kẻ chủ mưu vụ tấn công đã sử dụng virus zombies có tên “ Bình minh của cái chết” để tấn công vào hệ thống cơ sở dữ liệu của công ty. Mỗi lần công ty cố shutdown một IP truy cập vào thì mấy con virus sẽ tự động khởi động tấn công từ hai IP khác. Tuy nhiên vụ tấn công bằng virus này vẫn còn non chưa thể vượt qua bức tường lửa do hệ thống kỹ thuật xây lên; chính vì vậy cuộc tấn công nhanh chóng chấm dứt vào lúc 5:46 sáng. Kẻ tấn công vẫn chưa hack được vào trong hệ thống của công ty.

Câu hỏi ôn tập

1. Hãy cho biết một số rủi ro thường gặp trong thương mại điện tử

2. Hãy cho biệt một số vấn đề về an ninh mà các doanh nghiệp gặp phải khi tiến hành hoạt động thương mại điện tử.

3. Phishing là gì? Hãy cho biết một vài ví dụ về phishing trên thế giới và tại Việt Nam

4. DDoS là gì? Hãy cho biết một vài ví dụ về DDoS trên thế giới và tại Việt Nam trong một vài năm gần đây.

5. Hãy cho biết một số biện pháp doanh nghiệp thường tiến hành để đảm bảo an toàn cho các giao dịch thương mại điện tử.



Thuật ngữ

Nội dung động (active content) : những chương trình được gắn liền vào các trang web và sẽ hoạt động tùy theo hành vi tác động từ người sử dụng.

Tiêu chuẩn mã hóa cấp cao (advanced encryption standard): Tiểu chuẩn mã hóa mới thường được sử dụng để bảo mật các thông tin của chính phủ sử dụng thuật toán mã hóa của Rijndael. Thuật toán này được Viện tiêu chuẩn và công nghệ quốc gia (NITS) giới thiệu năm 2001.

Phần mềm chống virus (antivirus software): những phần mềm giúp phát hiện virus và sâu sau đó có thể xóa hoặc tách những phần mềm nguy hại này khỏi các dữ liệu khác để chúng không thể hoạt động gây hại được.

Mã hóa không đối xứng (asymmetric encryption): đồng nghĩa với mã hóa công khai, đây là công nghệ mã hóa các thông điệp dữ liệu, sử dụng hai khóa riêng biệt nhưng có quan hệ một một với nhau.

Cửa hậu (back door): những lỗ hổng trên các phần mềm thương mại điện tử được tạo ra vô tình hay cố ý.

Thiết bị an ninh sinh học (biometric security device): một thiết bị an ninh sử dụng các đặc điểm sinh học của con người để xác thực. Các thiết bị này có thể là máy kiểm tra chữ ký, máy quét võng mạc, máy đọc vân tay, đọc chi tiết bàn tay...

Bộ đệm (buffer): một phần của bộ nhớ máy tính được dành riêng lưu trữ các dữ liệu do máy tính đọc từ các file hay cơ sở dữ liệu.

Cơ quan chứng thực (CA-certificate authority): một công ty hay tổ chức cung cấp chữ ký điện tử và chứng thực điện tử cho các tổ chức và cá nhân

Mã hóa (Cryptography): công nghệ để giấu các thông tin để chỉ những người được phép mới có thể đọc được.

Chương trình giải mã (Decrypted program): một phần mềm giúp đảo ngược quá trình mã hóa, kết quả là khôi phục lại thông điệp ban đầu từ thông điệp đã được mã hóa.

Chứng chỉ số (Digital certificate): phần gắn kèm theo một thông điệp dữ liệu hoặc tích hợp trong trang web để xác thực người gửi hay website.

Chữ ký số (Digital signature): thông điệp điện tử được tạo ra nhờ việc sử dụng phần mềm ký điện tử mã hóa phần rút gọn của các văn bản điện tử.

Máy chủ quản lý tên miền (Domain name server): một máy tính trên Internet lưu trữ các danh bạ cho phép liên kết tên miền với các địa chỉ IP.

Thuật toán mã hóa (Encryption algorithm): logic cho phép tiến hành các chương trình mã hóa.

Chương trình mã hóa (Encryption program): chương trình cho phép chuyển các văn bản sang dạng mã hóa.

Tường lửa (firewall): Một máy tính cung cấp hàng rào bảo vệ giữa mạng bên trong tường lửa với các mạng bên ngoài tường lửa để tránh các rủi ro, nguy cơ cho mạng bên trong. Tất cả các luồng thông tin đến và đi từ mạng bên trong đều phải chạy qua tường lửa. Chỉ những luồng thông tin được phép theo quy định được đặt ra cho tường lửa mới được truyền qua.

Thuật toán “băm”/thuật toán rút gọn (hash function): một thuật toán cho phép phối hợp tất cả các ký tự trong một văn bản để tạo ra một con số với độ dài cố định (thường là 128 bit) được coi là bản rút gọn đại diện cho văn bản gốc, bản rút gọn này quan hệ một một với bản gốc, tương tự như vai trò của vân tay với người có vân tay đó.

Virus macro (macro virus): virus được truyền tải hay giấu trong các file đính kèm, có thể làm hỏng các chương trình khác trên máy tính hoặc làm lộ các thông tin bí mật.

Bom thư (mail bomb): hành động tấn công bằng cách gửi hàng loạt thư điện tử đến một địa chỉ cụ thể, vượt quá khả năng tiếp nhận của địa chỉ đó làm địa chỉ đó hoặc toàn bộ hệ thống ngừng hoạt động.

Lừa đảo qua mạng (phishing): gửi hàng loạt thư điện tử giả danh từ một địa chỉ đáng tin cậy đến các khách hàng của địa chỉ đó. Thư điện tử có đường link đến một trang web có giao diện giống hệt giao diện của công ty có uy tín. Nạn nhân được đề nghị nhập vào tên, mã bí mật, thông tin thẻ tín dụng để được cập nhật và ngay lập tức những thông tin này bị đánh cắp.

Khóa bí mật (private key): là một phần mềm giúp mã hóa và giải mã các thông điệp, chủ sở hữu giữ bí mật để sử dụng xác thực vào các thông điệp dữ liệu họ gửi qua mạng.

Khóa công khai (public key): là khóa có quan hệ một một với khóa bí mật, được dùng để mã hóa và giải mã các thông điệp đã được mã hóa bằng khóa bí mật, khóa này được công bố cho mọi người liên quan biết để sử dụng nhằm xác thực thông điệp có được gửi bởi người nắm giữ khóa bí mật hay không.

Lớp khóa an toàn (Secure socket layer): một giao thức cho phép truyền tải thông tin trên mạng an toàn

Mã hóa đối xứng (Symmetric encryption): công nghệ mã hóa sử dụng một khóa trong cả hai quá trình mã hóa và giải mã.

Tiêu chuẩn mã hóa dữ liệu 3 (Triple DES, 3 DES – triple data encryption standard) : một tiêu chuẩn mã hóa do chính phủ Mỹ xây dựng và các máy tính mạnh nhất hiện nay vẫn chưa thể phá mã được.

Con ngựa thành trojan (Trojan horse) : một chương trình nấp bên trong một chương trình khác hay một trang web khác để che giấu các hành vi của nó, thường là mang tính phá hoạt.

Sâu (worm) : một dạng virus tự nhân bản.

Zombie : một dạng virus chiếm quyền kiểm soát các máy tính với mục đích tấn công một máy tính nhất định. Tấn công theo kiểu này thường rất khó truy tìm người chủ mưu.



1   ...   35   36   37   38   39   40   41   42   ...   77


Cơ sở dữ liệu được bảo vệ bởi bản quyền ©hocday.com 2019
được sử dụng cho việc quản lý

    Quê hương