TRƯỜNG ĐẠI HỌC THƯƠNG MẠI BÀI THẢO LUẬN AN TOÀN VÀ BẢO MẬT THÔNG TIN Giảng viên hướng dẫn Cô Trần Thị Nhung Lớp học phần 2241eCIT0921 Nhóm 2 Đề tài 1 Trình bày các nguy cơ, cách phòng chống và[.]
Trang 1TRƯỜNG ĐẠI HỌC THƯƠNG MẠI
- -
BÀI THẢO LUẬN
AN TOÀN VÀ BẢO MẬT THÔNG TIN Giảng viên hướng dẫn: Cô Trần Thị Nhung
Lớp học phần: 2241eCIT0921
Nhóm: 2
Đề tài 1:
Trình bày các nguy cơ, cách phòng chống và khắc phục sự cố đối với
các hệ thống thanh toán trực tuyến (Online Payment)
Đề tài 18:
Trình bày khái niệm, đặc điểm, phân loại và cách phòng chống đối với
tấn công bằng Trojan
Hà Nội, 2022
Trang 2MỤC LỤC
PHẦN 1: Trình bày các nguy cơ, cách phòng chống và khắc phục sự cố đối với các
hệ thống thanh toán trực tuyến (online payment) 6
I Cơ sở lý luận 7
1 Khái niệm thanh toán trực tuyến 7
2 Một số hình thức thanh toán trực tuyến phổ biến: 7
3 Các đặc trưng của hệ thống thanh toán trực tuyến 8
II Các nguy cơ, cách phòng chống và khắc phục sự cố đối với các hệ thống thanh toán trực tuyến 8
1 Nguy cơ 8
2 Cách phòng chống 9
3 Biện pháp khắc phục 11
III Liên hệ hệ thống thanh toán trực tuyến: Internet Banking 12
PHẦN 2: Trình bày khái niệm, đặc điểm, phân loại và cách phòng chống đối với tấn công bằng Trojan 14
I Cơ sở lý luận 15
1 Định nghĩa Trojan 15
2 Đặc điểm 15
3 Nguyên nhân xuất hiện 16
4 Một số loại Trojan 16
5 Cách Trojan gây hại lên hệ thống 17
6 Dấu hiệu nhận biết máy tính bị nhiễm Trojan 18
7 Cách phòng chống virus Trojan 19
II Liên hệ với Trojan Banking 20
1 Tổng quan về Banking Trojan 20
2 Khuyến nghị 22
Trang 3Bảng phân công nhiệm vụ thảo luận
STT trong
danh sách lớp
Thanh toán trực tuyến
Tổng hợp
Lý thuyết đề tài 18: Trojan
27 Trần Thị Huyền Liên hệ đề tài 18: Trojan
50 Đặng Thị Phương Thảo Thuyết trình
Lý thuyết đề tài 1: Thanh toán trực tuyến
Trang 4CỘNG HÒA XÃ HỘI CHỦ NGHĨA VIỆT NAM
Thời gian làm việc:
Từ: 20 giờ 00 phút đến 20 giờ 20 phút, ngày 25 tháng 10 năm 2022
Địa điểm: Google meet
Nội dung công việc chính:
• Tìm hiểu về đề tài
• Các thành viên đóng góp xây dựng sườn của bài thảo luận
• Phân công nhiệm vụ cho từng thành viên
• Nhóm trưởng giao hạn nộp bài
Trang 5CỘNG HÒA XÃ HỘI CHỦ NGHĨA VIỆT NAM
Lớp HP: 2241eCIT0921 – Học phần An toàn và bảo mật thông tin
Buổi làm việc nhóm lần thứ hai
Thời gian làm việc:
Từ: 22 giờ 00 phút đến 22 giờ 30 phút, ngày 4 tháng 11 năm 2022
Địa điểm: Google meet
Nội dung công việc chính:
Các thành viên đóng góp ý kiến để chỉnh sửa hoàn thiện bài thảo luận
Trang 6CỘNG HÒA XÃ HỘI CHỦ NGHĨA VIỆT NAM
Lớp HP: 2241eCIT0921 – Học phần An toàn và bảo mật thông tin
Buổi làm việc nhóm lần thứ ba
Thời gian làm việc:
Từ: 22 giờ 00 phút đến 22 giờ 30 phút, ngày 9 tháng 11 năm 2022
Địa điểm: Google meet
Nội dung công việc chính:
• Nhóm trưởng chốt nội dung thảo luận
Trang 7PHẦN 1: Trình bày các nguy cơ, cách phòng chống và khắc phục sự cố đối với các hệ thống thanh toán trực tuyến (online payment)
LỜI MỞ ĐẦU
Như chúng ta đã thấy, khoa học công nghệ mỗi ngày một phát triển giúp chất lượng cuộc sống của con người được nâng cao Ngày nay, công nghệ điện tử đang rất phát triển, đặc biệt là mạng Internet Chúng ta có thể thấy rằng Internet đã kết nối mọi người trên toàn cầu lại, khoảng cách giữa người với người được giảm đi đáng
kể Internet phát triển đã đem lại nhiều lợi ích tuyệt vời cho người trên nhiều lĩnh vực: truyền thông, giáo dục, điện ảnh và đặc biệt là trong thương mại Tiêu biểu nhất là việc phát triển các ứng dụng thanh toán trực tuyến
Hình thức thanh toán trực tuyến đã và đang trở nên rất phổ biến trên thế giới Ở các nước tiên tiến, phần lớn các giao dịch mua bán đều được thanh toán bằng thẻ hoặc thông qua môi trường mạng, giao dịch sử dụng tiền mặt rất ít Ở Việt Nam, mặt
dù tiền mặt vẫn là phương tiện thanh toán chủ yếu, nhưng với sự phát triển nhanh của hạ tầng Internet cộng với các hình thức mua bán trực tuyến ngày càng khẳng định thế mạnh về xu hướng kinh doanh mới nhanh gọn, nhắm đến một đối tượng khách hàng đông đảo và thông minh, giới trẻ hiện đại ngày nay
Tuy nhiên, thanh toán trực tuyến vẫn còn đem lại một số mối nguy cơ ẩn mình, một vài sự cố mà người dùng có thể gặp phải khi trong khi thanh toán Nhóm chúng
em đã thảo luận và đúc kết lại một số nguy cơ và cách phòng chống những sự cố này trong bài thảo luận dưới đây
Trang 8I Cơ sở lý luận
1 Khái niệm thanh toán trực tuyến
Thanh toán trực tuyến (online payment) là tập con của thanh toán điện tử, có quy
mô nhỏ hơn thanh toán điện tử Dịch vụ thanh toán này được xử lý và tiến hành trên các thiết bị điện tử có kết nối đường truyền internet và được lưu trữ thông tin sau khi giao dịch
Về bản chất của mô hình thanh toán trực tuyến là mô phỏng lại những mô hình thanh toán trong mua bán truyền thống, nhưng từ các thủ tục giao dịch, thao tác xử
lý dữ liệu đến thực hiện chuyển tiền, đều được thực hiện thông qua các thiết bị được kết nối mạng bằng các giao thức chuyên dụng
Mô tả hoạt động của hệ thống có nhiều bên tham gia:
• Gồm hai bên cơ bản: người mua (người trả tiền) và người bán (người được trả tiền)
• Trong thanh toán trực tuyến người mua và người bán được đại diện bởi các máy tính của mình và các máy tính này được kết nối với nhau thông qua mạng máy tính để thực hiện các giao thức thanh toán online
• Có sự tham gia của các tổ chức tài chính như là các ngân hàng đại diện cho mỗi bên: Cung cấp các hình thức của tiền, thường được gọi là đồng tiền số (Digital Coin), tiền điện tử (Electronic Cash) hoặc séc điện tử (Electronic Cheque)
2 Một số hình thức thanh toán trực tuyến phổ biến:
Đối với dịch vụ trung gian như thanh toán trực tuyến, phổ biến nhất là các hình thức sau đây:
• Thanh toán bằng ví điện tử: Là hình thức thanh toán online qua một tài khoản
điện tử được liên kết với hệ thống tài khoản ngân hàng trên các thiết bị điện
tử có kết nối mạng Hình thức thanh toán trực tuyến này tại Việt Nam những năm gần đây phát triển rất mạnh mẽ, ví điện tử ngày càng được nhiều người
ưa chuộng sử dụng
Một số ví điện tử phổ biến trong nước là: Airpay, Momo, VNPAY, Zalopay,
thức phổ biến ở nhiều nước và ở Việt Nam, với hình thức này, khách hàng có
Trang 9thể thanh toán thông qua điện thoại của mình với dịch vụ Mobile Banking, được xây dựng trên mô hình liên kết giữa ngân hàng, các nhà cung cấp viễn
thông, hệ thống tiêu dùng và người tiêu dùng
một hệ thống, hệ thống này cho phép khách hàng thực hiện giao dịch thanh toán trực tuyến tại website TMĐT Các cổng thanh toán phổ biến tại VN:
Onepay, Nganluong.vn,
3 Các đặc trưng của hệ thống thanh toán trực tuyến
Thanh toán trực tuyến là hình thức thanh toán không sử dụng tiền mặt, mà sử dụng đồng tiền số Do đó, hình thức này có những đặc trưng an toàn hơn so với hình thức thanh toán trực tiếp truyền thống
thì hệ thống ngân hàng cũng dễ dàng xác định được định danh kẻ gian lận, cùng chứng cứ chứng minh hành vi gian lận ấy
cấp bởi các ngân hàng và tung vào thị trường trong quá trình giao dịch
đa thức để từ N đồng tiền số được rút ra từ ngân hàng, tạo ra N+1 đồng tiền
số và có thể được gửi thành công trở lại ngân hàng
Trên đây là những đặc trưng an toàn yêu cầu đối với một hệ thống thanh toán điện
tử nói chung và thanh toán trực tuyến nói riêng Tuy nhiên, do đặc trưng là các giao dịch thanh toán chủ yếu sử dụng đồng tiền số nên việc đảm bảo tính an toàn cho hệ thống đồng thời lại phải đáp ứng được yêu cầu các giao dịch phải diễn ra dễ dàng và nhanh chóng là một nhiệm vụ hết sức khó khăn
II Các nguy cơ, cách phòng chống và khắc phục sự cố đối với các hệ thống thanh toán trực tuyến
1 Nguy cơ
Bên cạnh những lợi ích mà hệ thống thanh toán trực tuyến mang đến, còn xuất hiện những nguy cơ, rủi ro mà người sử dụng sẽ gặp phải:
Trang 10• Nguy cơ bị lộ thông tin: nguy cơ này xảy ra là do từ các yếu tố chủ quan như
khách hàng chia sẻ thông tin cá nhân tài khoản, hay thực hiện giao dịch thanh toán trên các trang Website không chính thống, không uy tín Ngoài ra, khi truy cập vào các đường link, website không đáng tin cậy cũng dễ dàng bị đánh cắp thông tin Từ đó, tạo cơ hội cho kẻ xấu thực hiện các hành vi thanh toán
online bất hợp pháp
• Nguy cơ từ các trang web, page giả mạo: Rủi ro khi giao dịch qua website giả
mạo là việc người dùng tiếp cận website có hình thức rất giống với giao diện đăng nhập Internet banking của ngân hàng nhưng thực chất đây là trang tin giả với sự phát triển công nghệ tiên tiến, không khó để tạo ra các trang web, page bán hàng giả mạo( thường sử dụng tên, hình ảnh, logo, màu sắc, Của ngân hàng, nhà cung cấp) gây nhầm lẫn cho người dùng khi truy cập Nếu truy cập các trang web này, người dùng sẽ bị đánh cắp dữ liệu, mấy tiền, khoá tài khoản, Bởi vậy, rủi ro tiềm ẩn đối với ngân hàng và khách hàng sử dụng
dịch vụ thanh toán trực tuyến vẫn hiện hữu
chưa có những quy định rõ ràng trong thanh toán điện tử nói chung và thanh toán trực tuyến nói riêng Chính sự mông lung này đã tạo nên rủi ro cho cả
ngân hàng và khách hàng trong quá trình xử lý khi sự cố xảy ra
• Nguy cơ bị lỗi giao dịch: nguyên nhân xảy ra lỗi thanh toán khi thực hiện giao
dịch có thể là do hệ thống ngân hàng hoặc do kết nối mạng của thiết bị bị gián đoạn, khi xảy ra lỗi sẽ khiến người sử dụng mất nhiều thời gian để được khắc
phục sự cố, nhiều trường hợp bị mất tiền oan
• Nguy cơ bị lừa chuyển tiền: rủi ro lừa chuyển tiền cho là tình trạng các đối
tượng lừa đảo giả danh nhân viên ngân hàng, công ty tài chính, nhà mạng, người thân, Để lừa người dùng chuyển tiền hoặc cung cấp thông tin bảo mật Hầu hết hành vi lừa đảo của những đối tượng này rất tinh vi, đa dạng
nhiều hình thức, khiến khách hàng gặp khó khăn trong việc phân biệt thật giả
Ngoài những nguy cơ nêu trên thì còn một số các nguy cơ nhỏ khác như bị sai thông tin khi giao dịch, giao dịch treo trên hệ thống do lỗi kỹ thuật, Thế nhưng xét một cách tổng quan thì hình thức thanh toán trực tuyến có nhiều điểm tích cực hơn là hạn chế Hơn thế nữa, hình thức này đang dần trở thành xu hướng, được đa
số mọi người ưa chuộng, trong tương lai có thể sẽ thay thế hình thức thanh toán bằng tiền mặt
2 Cách phòng chống
Trang 11a Đối với người sử dụng thanh toán trực tuyến
Nguy cơ mất an toàn thông tin đến từ các thiết bị có kết nối mạng sẽ tiếp tục gia tăng, đặc biệt trong tài chính ngân hàng và một số hệ thống điều khiển Vậy nên cần
có sự chủ động từ phía khách hàng - những người sử dụng dịch vụ thanh toán trực tuyến, phải chú ý, tìm hiểu kỹ cổng thanh toán, trang web có chính xác và uy tín không, một website được đánh giá là uy tín và an toàn thường được bắt đầu bởi cụm https:// và có một biểu tượng ổ khóa trên thanh địa chỉ (tức là website đã được bảo vệ) Bên cạnh đó, sau khi bạn truy cập vào URL sẽ có dòng chữ màu xanh hiện ra đầu tiên ở thanh địa chỉ biểu thị tên doanh nghiệp đang quản lý website đó Không bấm vào các đường link lạ, không cung cấp thông tin bảo mật cho bất kỳ ai Người dùng nên cài các chương trình diệt virus, bảo mật cho thiết bị sử dụng thanh toán của mình
Mật khẩu là giải pháp xác thực được sử dụng nhiều nhất hiện nay, nhưng ý thức
sử dụng mật khẩu của người dùng chưa cao, đặc biệt là tại VN Đa số những vụ chiếm đoạt tài sản, lừa đảo tiền trong tài khoản ngân hàng tại VN cũng xuất phát từ nguyên nhân này Thói quen nhập thông tin vào các website, đường link lạ hay sử dụng chung một mật khẩu cho nhiều tài khoản là những thói quen người dùng cần thay đổi để đảm bảo an toàn Nên thay đổi mật khẩu ít nhất 3 tháng/lần
Người sử dụng không nên sử dụng mạng công cộng để tiến hành thanh toán, trong trường hợp bắt buộc phải truy cập thông qua mạng công cộng, hãy kết nối với một mạng ảo (hay còn gọi là VPN), khi đó mọi chi tiết truy cập sẽ được mã hóa qua mạng
ảo này và hạn chế được rủi ro đánh cắp thông tin
Đây là giải pháp hữu hiệu để quản lý tài khoản, vì bất kỳ giao dịch phát sinh đều được thông báo cho chủ tài khoản, giúp dễ dàng phát hiện và ngăn chặn kịp thời khi xuất hiện sự cố
b Đối với các tổ chức, nhà cung cấp dịch vụ
Các tổ chức cung ứng dịch vụ trung gian thanh toán cần kiểm tra và đánh giá tổng thể công tác an ninh mạng, an ninh thanh toán trực tuyến thường xuyên, định kỳ
Trang 12Nhằm tìm ra lỗ hổng và nguy cơ một cách kịp thời để có biện pháp khắc phục, hạn chế tối đa rủi ro kỹ thuật
• Xây dựng quy trình quản lý rủi ro cho thanh toán trực tuyến
Xây dựng quy trình quản lý rủi ro cho hệ thống thanh toán tích hợp và hiệu quả, yêu cầu nghiêm ngặt và đầy đủ các bước, để phát hiện, phân loại, xử lý và phòng tránh rủi ro có hiệu quả ở tất cả các khâu trong quá trình giao dịch thanh toán
Việc thường xuyên cập nhật và nâng cao hệ thống công nghệ thông tin trong dịch
vụ thanh toán trực tuyến không chỉ đảm bảo an toàn mà còn giúp hoạt động giao
dịch diễn ra suôn sẻ
Nhằm phòng tránh rủi ro về lỗi kỹ thuật hay hạn chế năng lực quản lý của con người trong quá trình vận hành và thực hiện các giao dịch Đồng thời, các ngân hàng
và tổ chức cũng cần cập nhật thông tin các hình thức lừa đảo khách hàng, để đưa ra các cảnh báo đề phòng, hướng dẫn khách hàng phòng tránh, khuyến cáo người sử dụng tăng tính bảo mật thông tin trong thanh toán trực tuyến, hạn chế các rủi ro phát sinh liên quan
c Đối với Nhà nước
Các cơ quan quản lý nhà nước cần hoàn thiện khuôn khổ pháp lý, đặc biệt là các quy định liên quan đến hoạt động quản lý rủi ro thanh toán Nghiên cứu ban hành hoặc sửa đổi, bổ sung các văn bản quy phạm pháp luật liên quan đến thanh toán trực tuyến nói riêng, TTDT nói chung,
Đẩy mạnh hoạt động quản lý, giám sát đối với các loại hình, phương tiện, hệ thống thanh toán trực tuyến mới tại Việt Nam Thực hiện giám sát toàn diện các hệ thống thanh toán tại Việt Nam theo thông lệ quốc tế, phù hợp với các điều kiện của nước
ta nhằm đảm bảo sự ổn định, an toàn và hiệu quả của hệ thống thanh toán quốc gia
3 Biện pháp khắc phục
• Khi phát hiện các giao dịch phát sinh lạ, hoặc gặp phải sự cố khi thực hiện thanh toán, cần gọi đến số tổng đài hoặc đến chi nhánh gần nhất của ngân hàng, tổ chức mà người dùng đang sử dụng để kịp thời kiểm tra, xử lý giao dịch đó
Trang 13• Trong trường hợp bị lừa đảo, nên trình báo lên cơ quan chức năng để điều tra
và xử lý các đối tượng lừa đảo theo pháp luật
• Khi nhận thấy dấu hiệu tài khoản thanh toán có truy cập lạ, hoặc nhận thấy bị
lộ thông tin, phải nhanh chóng báo lên ngân hàng, tổ chức tài chính để kịp thời khoá tài khoản, tránh thiệt hại về tài sản
• Gặp sự cố mất tiền khi giao dịch do trục trặc hệ thống thì rủi ro này không thực sự đáng lo ngại nếu khách hàng chứng minh được họ đã thực hiện giao dịch chuyển tiền thành công, sau khi hệ thống tra soát và kiểm tra lại, nếu đúng như thông tin khách hàng cung cấp thì các ngân hàng, tổ chức tài chính
sẽ hoàn tiền về cho người dùng
III Liên hệ hệ thống thanh toán trực tuyến: Internet Banking
Internet Banking hay Online Banking là một loại dịch vụ ngân hàng trực tuyến
cho phép khách hàng có thể thực hiện mọi giao dịch ngân hàng một cách nhanh
chóng và dễ dàng thông qua các thiết bị điện tử có kết nối với mạng internet như
máy tính bàn, laptop, máy tính bảng, điện thoại mà không cần phải đến quầy giao dịch
So với các phương thức thanh toán truyền thống thì thanh toán trực tuyến giúp mang đến nhiều lợi ích thiết thực hơn cho khách hàng, bao gồm:
- Nhanh chóng, tiện dụng, tiết kiệm thời gian
- Dễ dàng kiểm soát tài chính
- Chuyên nghiệp hơn trong kinh doanh
- Hạn chế rủi ro hơn dùng tiền mặt
Như đã biết, việc sử dụng thanh toán bằng Internet Banking có nhiều lợi ích hơn thanh toán bằng tiền mặt Tuy nhiên trong những năm qua vẫn còn không ít rủi ro xảy ra trong hệ thống thanh toán này
Tháng 1 năm 2020, MB Bank gặp sự cố lỗi giao dịch online mất hàng trăm tỉ đồng
Cách giải quyết:
• Ngay sau khi phát hiện sự việc, MB đã thực hiện phong tỏa tài khoản thẻ của nhóm khách hàng này và yêu cầu hoàn trả các khoản đã chi tiêu vượt hạn mức