Bảo mật trong internet banking

Trong khóa luận tôi đã nghiên cứu tổng quan chung về tình hình triển khai Internet Banking tại Việt Nam, các mối đe dọa với ngân hàng và khách hàng khi sử dụng dịch vụ và trọng tâm là m

ĐẠI HỌC QUỐC GIA HÀ NỘI TRƯỜNG ĐẠI HỌC CÔNG NGHỆ

ĐẠI HỌC QUỐC GIA HÀ NỘI TRƯỜNG ĐẠI HỌC CÔNG NGHỆ

Trước thách thức đó tôi đã lựa chọn đề tài “Nghiên cứu các phương pháp bảo mật trong Internet Banking và Mobile Banking” làm khóa luận tốt nghiệp của mình

Trong khóa luận tôi đã nghiên cứu tổng quan chung về tình hình triển khai Internet Banking tại Việt Nam, các mối đe dọa với ngân hàng và khách hàng khi

sử dụng dịch vụ và trọng tâm là một số phương pháp bảo mật được áp dụng để bảo đảm an toàn của hệ thống Internet Banking và một phần tìm hiểu khái quát

về Mobile Banking Thông qua khóa luận tôi muốn mọi người hiểu thêm và thực

trạng cũng như các biện pháp bảo mật được áp dụng tại các ngân hàng, từ đó có những kiến thức để tự tin sử dụng dịch vụ Internet Banking và Mobile Banking một cách an toàn Mặc dù đã hết sức cố gắng nhưng do hoàn cảnh nghiên cứu còn hạn hẹp, chưa có điều kiện trực tiếp nghiên cứu tại các ngân hàng nên không tránh khỏi những thiếu xót, tôi rất mong những ý kiến đóng góp của người đọc quan tâm đến lĩnh vực này

Tôi xin gửi lời cảm ơn chân thành nhất Tiến sỹ Lê Phê Đô, giảng viên trường đại học Công Nghệ, đại học Quốc Gia Hà Nội, người đã tận tình hướng dẫn và cho tôi những nhận xét quý báu giúp tôi hoàn thành khóa luận này Tôi cũng xin cảm ơn toàn thể gia đình, người thân, bạn bè đã nhiệt tình giúp đỡ và động viên tôi rất nhiều trong quá trình làm khóa luận này

Mục lục

Lời mở đầu 1

Chương 1: Internet Banking và thực trạng ở Việt Nam 2

1.1 Internet Banking 2

1.1.1 Khái niệm 2

1.1.2 Các chức năng cơ bản của Internet Banking 2

1.1.3 Lịch sử 2

1.2 Thực trạng Internet Banking tại Việt Nam 4

1.2.1 Tình hình triển khai Internet Banking tại Việt Nam 4

1.2.2 Những khó khăn thuận lợi cho việc phát triển Internet Banking tại Việt Nam 8

Chương 2: Những thách thức với an toàn của Internet Banking 11

2.1 Thách thức phía ngân hàng 11

2.1.1 Nguy cơ rò rỉ thông tin khách hàng 11

2.1.2 Nguy cơ bị chiếm đoạt tiền 13

2.1.3 Nguy cơ tấn công từ chối dịch vụ 14

2.2 Thách thức phía khách hàng 15

2.2.1 Nguy cơ từ phishing 15

2.2.2 Nguy cơ từ pharming 24

2.2.3 Nguy cơ từ các phần mềm mã độc, virus, trojan 30

Chương 3 : Các giải pháp an toàn trong Internet Banking 35

3.1 Xây dựng hệ thống xác thực mạnh 35

3.1.1 Khái niệm 35

3.1.2 Hệ thống xác thực bằng mật khẩu sử dụng một lần (One time password OTP) 36

3.2 Xây dựng hệ thống tường lửa 40

3.2.1 Cơ bản về tường lửa 40

3.2.2 Lựa chọn hệ thống tường lửa cho internet banking như thế nào ? 42

3.2.3 Mô hình tường lửa cho hệ thống internet banking 46

3.3 Xây dựng hệ thống phòng chống xâm nhập (Intrusion Prevention System IPS)46

3.3.1 Thiết bị phòng chống xâm nhập IPS là gì ? 47

3.3.2 Hoạt động của IPS 47

3.3.3 Lựa chọn IPS cho hệ thống internet banking 49

3.4 Xây dựng tường lửa ứng dụng web (Web Application Firewall WAF) 52

3.4.1 Tại sao phải xây dựng tường lửa ứng dụng web ? 52

3.4.2.Khái niệm về hệ thống tường lửa ứng dụng web 52

3.4.3 Hoạt động của tường lửa ứng dụng web 53

3.4.4 Lưa chọn WAF thích hợp cho hệ thống internet banking 55

3.5 Triển khai hệ thống phòng chống mã độc 56

3.5.1 Chiến lược phòng chống mã độc EPS thế hệ thứ 3 56

3.5.2 Một số công cụ phòng chống mã độc theo chiến lược EPS của Trend Micro 58

3.6 Triển khai chữ ký số và chứng thực số 60

3.6.1 Yêu cầu an toàn trong giao dịch Internet Banking 60

3.6.2 Lợi ích của việc áp dụng chữ ký số và chứng thực số trong giao dịch Internet Banking 60

3.6.3 Áp dụng chữ kí số và chứng thực số 61

3.7 Mã hóa thông tin 62

3.7.1 Mã hóa một phần thông tin trong máy tính 62

3.7.2 Mã hóa toàn bộ thông tin trong máy tính 63

3.8 Triển khai các phương pháp bảo vệ dữ liệu ở người dùng cuối 64

3.9 Triển khai mạng riêng ảo VPN (Virtual Private Network) 66

3.9.1 Khái niệm, phân loại các hình thức mạng riêng ảo 66

3.9.2 Thiết lập VPN cho hệ thống Internet Banking 70

Chương 4: Mobile Banking 74

4.1 Tổng quan về Mobile Banking 74

4.2 Một số hình thức triển khai Mobile Banking 75

4.3 Các nguy cơ về bảo mật khi sử dụng dịch vụ Mobile Banking 77

4.4 Giải pháp an toàn cho Mobile Banking 79

Danh sách tài liệu và nguồn tham khảo 82 Phụ Lục: Chương trình demo sinh mật khẩu một lần (One Time Password) dựa trên hệ thống S/Key One Time Password System 83

Bảng ký hiệu và chữ viết tắt

STT Chữ viết tắt Chữ viết đầy đủ Nghĩa tiếng Việt

1 EPS Enterprise Protection Strategy Chiến lược bảo vệ toàn diện

2 IPS Intruction Prevention System Hệ thống phòng chống xâm

nhập

3 VPN Virtual Private Network Mạng riêng ảo

5 WAF Web Application Firewall Tường lửa ứng dụng web

Danh mục hình vẽ

STT Tên hình

1 Ảnh thiết bị videotex

2 Ảnh thẻ xác thực của DongA bank

3 Mô tả thời gian đáp ứng của trang web US bank khi bị tấn công

4 Ví dụ về một email phishing

5 Biểu tượng an toàn trên trình duyệt

6 Hình minh họa thể hiện trang web của Paypal được chứng thực bới tổ chức

12 Website của ngân hàng tạm ngừng hoạt động

13 Hai yếu tố xác thực thường được sử dụng

14 Sử dụng mật khẩu một lần để đăng nhập

15 Các thiết bị phân phối OTP

16 Các máy chủ dịch vụ web đặt ở vùng DMZ, Data center đặt ở vùng Intranet

17 Mô tả cơ chế hoạt động của một IPS

18 Chúc năng bản vá ảo

19 Thị phần IPS trên thị trường thiết bị an ninh mạng

20 Mô phỏng tường lửa ứng dụng web của SecuresPhere bảo vệ máy chủ cơ

sở dữ liệu và vùng DMZ

21 Mô tả hoạt động của môt tường lửa ứng dụng hãng Netcontinuum

22 Tập hợp các sản phầm phòng chống mã độc của Trend Micro

23 Website ngân hàng sử dụng chứng chỉ số của VerySign cấp

24 Mã hóa một phần thông tin

25 Mã hóa toàn bộ thông tin

26 Intranet VPN

27 Extranet VPN

28 Remote Access VPN

29 Tổng hợp các hình thức VPN

30 IPSec VPN

32 VPN tích hợp với Firewall

33 Biểu đồ về Mobile Banking so với Online Banking trong giai đoạn

1995-2006 và dự đoán trong tương lai đến 2016 tại Mỹ

34 Hoạt động của một software client trên mobile

35 Hình ảnh mô tả hoạt động của chương trình OTP

1

Lời mở đầu

Internet Banking và Mobile Banking đã đang và sẽ trở thành những dịch vụ thiết yếu với cuộc sống của con người trong xã hội hiện đại ngày nay, tuy nhiên cùng với sự tiện lợi mà các dịch vụ này đem lại thì các ngân hàng cũng như khách hàng sử dụng dịch vụ phải đối mặt với nhiều nguy cơ thách thức về mặt bảo mật Cuộc chiến với tội phạm công nghệ cao là cuộc chiến mang tính chất rượt đuổi không ngừng nghỉ đòi hỏi trình độ khoa học kỹ thuật ngày càng cao

Vì nguyên nhân ấy tôi quyết định nghiên cứu về đề tài “Các phương pháp bảo mật trong Internet Banking và Mobile Banking” nhằm mục tiêu tìm hiểu các biện pháp

và nguyên tắc bảo mật được áp dụng để chống lại các nguy cơ và thách thức từ phía tội phạm Các kiến thức trong đề tài cung cấp các giải pháp công nghệ cho phía ngân hàng đồng thời cũng nâng cao nhận thức của khách hàng nhằm giúp họ có thể tự bảo vệ mình trước những hình thức tấn công phổ biến

Khóa luận bao gồm 4 chương và phần phụ lục, chương 1 “Internet Banking và thực trạng ở Việt Nam”, chương 2 “Những thách thức với an toàn của Internet Banking”, chương 3 “Triển khai các giải pháp an toàn cho Internet Banking”, chương

4 “Mobile Banking”, và phần phụ lục “Chương trình sinh mật khẩu một lần” Các biện pháp kỹ thuật trong đề tài mang tính thực tiễn cao và đang được áp dụng trên thực tế tại một số ngân hàng tại Việt Nam đồng thời cũng mở ra hướng nghiên cứu phát triển trong tương lai

có kết nối mạng hay thông qua các thiết bị thông minh khác

1.1.2 Các chức năng cơ bản của Internet Banking

Tra cứu thông tin tài khoản: thay vì phải đến ngân hàng hay nơi có đặt máy atm thì bạn có thể tra cứu tài khoản của mình bất cứ đâu khi bạn có một kết nối mạng Chuyển khoản: giúp việc gửi tiền từ tài khoản này sang tài khoản khác được dễ dàng, một số ngân hàng chỉ cho phép chuyển khoản trong cùng một ngân hàng, một số ngân hàng cho phép chuyển khoản sang cả tài khoản của ngân hàng khác, việc này tùy thuộc vào từng ngân hàng và loại tài khoản của bạn

Thanh toán hóa đơn điện tử (bạn có thể dùng tài khoản để thanh toán một số loại hóa đơn như điện nước, cước phí điện thoại)

Chuyển tiền từ tài khoản tiền gửi thanh toán của mình đến người nhận bằng CMND, hộ chiếu, địa chỉ…

Chuyển đổi ngoại tệ trực tuyến

Nạp tiền vào thẻ: khách hàng có thể thực hiện việc chuyển tiền từ tài khoản tiền gửi thanh toán của khách hàng đến tài khoản thẻ

1.1.3 Lịch sử

Tiền thân cho Internet Banking là dịch vụ ngân hàng từ xa thông qua đường truyền điện tử từ đầu những năm thập niên 80 của thế kỷ 20 Thuật ngữ trực tuyến trở lên phổ biến vào cuối những năm 1980 cùng với việc sử dụng thiết bị đầu cuối, bàn phím và màn hình để truy cập vào hệ thống ngân hàng bằng đường dây điện thoại Dịch vụ trực tuyến bắt đầu xuất hiện tại NewYork vào năm 1981 khi 4 ngân hàng chính (Citibank, Chase Manhattan, Chemical và Manufactorers Hanover) cung cấp dịch vụ ngân hàng tại nhà sử dụng hệ thống videotex Tuy nhiên hệ thống videotex đã

3

thất bại nên các dịch vụ mà ngân hàng cung cấp thông qua hệ thống này đã không thể trở lên phổ biến ngoại trừ ở Pháp nơi mà hệ thống videotex đã có những thành công nhất định

và cung cấp dịch vụ này tới khách hàng tại 50 bang của nước này

Ngày nay, có rất nhiều ngân hàng chỉ tồn tại ở hình thức ngân hàng trực tuyến Các ngân hàng này không phải mở và mất phí hoạt động cho các chi nhánh, nhờ vậy

mà họ tạo được sự khác biệt với các ngân hàng thông thường khác (mức lãi suất tốt và các dịch vụ ngân hàng trực tuyến phong phú)

4

1.2 Thực trạng Internet Banking tại Việt Nam

1.2.1 Tình hình triển khai Internet Banking tại Việt Nam

a Khái quát

Internet Banking đem lại nhiều thuận lợi cho cả ngân hàng và khách hàng nên là vấn đề được nhiều ngân hàng tại Việt Nam quan tâm Hầu hết các ngân hàng tại Việt Nam đến thời điểm hiện tại đều đã triển khai Internet Banking nhưng mức độ và số lượng dịch vụ còn khác nhau Có thể kể tên một số ngân hàng đã triển khai Internet Banking tại Việt Nam như ACB, DongA, Viettinbank, Incombank, Agribank, Techcombank, BIDV và một số ngân hàng vốn nước ngoài như HSBC, ANZ Việc triển khai Internet Banking đem lại rất nhiều lợi ích cho cả khách hàng lẫn ngân hàng:

 Tiết kiệm được thời gian tiền bạc cho cả hai phía: ngân hàng không phải tốn tiền thuê nhân viên giao dịch, mở chi nhánh tại các vùng xa, tiết kiệm được chi phí vận hành bộ máy Khách hàng thì không cần mất thời gian tới ngân hàng, tiết kiệm các khoản phí khi giao dịch với nhân viên ngân hàng (vì hầu hết các dịch vụ Internet Banking là miễn phí)

 Mang lại nhiều dịch vụ thiết thực cho khách hàng: ngân hàng liên kết với các công ty cung cấp nhiều loại dịch vụ giá trị gia tăng cho khách hàng ngoài các dịch vụ cơ bản của ngân hàng, khách hàng thì được hưởng sự tiện lợi từ các dịch vụ này

 Ngân hàng triển khai các dịch vụ của mình mà không phụ thuộc vào mạng lưới đại lý cũng như khoảng cách địa lý, dịch vụ được cung cấp mọi lúc mọi nơi khi mà các mạng Internet tốc độ cao trở lên phổ biến trên toàn thế giới

b Các dịch vụ được triển khai

Về cơ bản thì Internet Banking tại Việt Nam cũng đã triển khai các dịch vụ chính như các nước trên thế giới, điểm khác biệt lớn nhất của Internet Banking tại Việt Nam

so với nước ngoài là quy mô chất lượng dịch vụ cũng như các biện pháp bảo mật ACB và DongA là hai ngân hàng đã triển khai dịch vụ Internet Banking từ sớm và có nhiều dịch vụ phục vụ khách hàng đi kèm với các giải pháp công nghệ tiên tiến Chúng

ta hãy cùng tìm hiểu về giải pháp Internet Banking của hai ngân hàng này

*Ngân hàng á châu ACB

Trang web chính thức: http://www.acb.com.vn/index.jsp ACB triển khai Internet Banking vào năm 2003 ACB cung cấp giải pháp Internet Banking với nhiều phương

5

thức bảo mật khác nhau phù hợp với điều kiện và mục đích sử dụng của từng đối tượng khách hàng, hiện ACB có 6 tùy chọn bảo mật cho dịch vụ Internet Banking với các hạn mức sử dụng dịch vụ khác nhau Các tùy chọn đó là:

 Phương thức xác thực giao dịch bằng mã số truy cập và mật khẩu tĩnh Khi khách hàng đăng ký phương thức này khách hàng chỉ được chuyển khoản giữa các tài khoản tiền gửi thanh toán của cùng chủ tài khoản trong hệ thống ACB và tạo tài khoản tiền gửi đầu tư trực tuyến

 Phương thức xác thực giao dịch bằng mã số truy cập và mật khẩu tĩnh, chứng thư điện tử

 Phương thức xác thực giao dịch bằng mã số truy cập và mật khẩu tĩnh, OTP SMS

 Phương thức xác thực giao dịch bằng mã số truy cập và mật khẩu tĩnh, OTP SMS, chứng thư diện tử

 Phương thức xác thực giao dịch bằng mã số truy cập và mật khẩu tĩnh, OTP Token

 Phương thức xác thực giao dịch bằng bằng mã số truy cập và mật khẩu tĩnh, smart card có tích hợp chứng thư diện tử

 Các hình thức xác thực theo mức độ tăng của bảo mật nên cũng có hạn mức giao dịch tăng dần từ chỉ được chuyển tiền giũa các tài khoản của cùng một chủ đến loại không có hạn mức

Đối tượng cung cấp dịch vụ của ACB là khách hàng cá nhân có tiền gửi thanh toán Việt Nam đồng tại ACB Yêu cầu sử dụng: Khách hàng đăng kí dịch vụ Internet Banking, sử dụng trình duyệt web trên máy tính truy cập Internet vào địa chỉ https://internetbanking.acb.com.vn/ là có thể sử dụng dịch vụ này mọi lúc mọi nơi Đăng kí dịch vụ: Nếu đã có tài khoản tại ACB, khách hàng chỉ cần đến điểm giao dịch đăng kí theo mẫu có sẵn là có thể sử dụng được dịch vụ Internet Banking, mọi vướng mắc về dịch vụ sẽ được các nhân viên ACB giải đáp

Các dịch vụ cụ thể trên hệ thống Internet Banking của ACB:

 Tra cứu thông tin tài khoản: Khách hàng có thể tra cứu thông tin về tài khoản, chi tiết các giao dịch đã thực hiện với tài khoản của ACB

6

 Chuyển khoản: Khách hàng có thể chuyển tiền từ tài khoản của mình qua tài khoản khác trong cùng một hệ thống hoặc ra ngoài hệ thống của ACB

 Thanh toán hoá đơn: Khách hàng có thể thanh toán hóa đơn của một số dịch

vụ mà ngân hàng có liên kết như hóa đơn điện, nước, Internet, điện thoại…

 Chuyển tiền: Thực hiện việc chuyển tiền cho người nhận ở trong hay ngoài nước một cách dễ dàng

 Chuyển đổi ngoại tệ: Giúp khách hàng thực hiện việc chuyển đổi ngoại tệ trong tài khoản dễ dàng

 Nạp tiền vào thẻ: Khách hàng có thể nạp tiền trực tiếp tại quầy hoặc sử dụng dịch vụ chuyển tiền từ tài khoản tiết kiệm sang tài khoản thẻ

 Tạo tài khoản tiền gửi đầu tư trực tuyến

*Ngân hàng DongA

Trang web chính thức : http://www.dongabank.com.vn/ Đối tượng sử dụng, yêu cầu sử dụng và cách đăng kí dịch vụ tương tự như ngân hàng ACB DongA bank cung cấp Internet Banking với hai tùy chọn hình thức bảo mật:

 Xác thực qua tin nhắn SMS gửi 1 lần (OTP): DongA gửi tin nhắn có mã xác thực đến số điện thoại đã đăng ký của khách hàng

 Thẻ Xác Thực: Là 1 thẻ nhựa do DongA tạo ra chứa thông tin ma trận các ô

số ngẫu nhiên theo dạng hàng cột (gồm 64 ô số tạo thành 8 hàng x 8 cột) Mã xác thực là 2 ô số (mỗi ô gồm 3 số) được tra theo hàng/ cột trên Thẻ Xác Thực

7

Hình2: Ảnh thẻ xác thực của DongA bank Các hình thức xác thực mà DongA cung cấp xét về độ bảo mật thì không bằng ACB nhưng phù hợp với đặc điểm của thị trường Việt Nam tại giai đoạn hiện tại, hạn mức của dịch vụ là 500 triệu đồng đối với khách hàng cá nhân và lên tới 5 tỷ đồng với khách hàng là doanh nghiệp Các dịch vụ triển khai trên hệ thống Internet Banking của DongA bank:

 Chuyển khoản: Từ tài khoản thẻ đa năng đến tài khoản thẻ đa năng, từ tài khoản thẻ đa năng đến tài khoản thẻ tín dụng, từ tài khoản thẻ đa năng đến tài khoản Tiền gửi thanh toán không kỳ hạn VNĐ cá nhân và doanh nghiệp

 Thanh toán trực tuyến: khi mua hàng qua mạng tại các website bán hàng có liên kết với DongA Bank

 Thanh toán hóa đơn thanh toán cho tất cả hóa đơn tiền điện, nước, điện thoại, Internet, học phí… của các nhà cung cấp có liên kết với DongA Bank

 Mua thẻ trả trước: Các loại thẻ điện thoại di động, thẻ Internet và điện thoại…

 Nạp tiền điện tử: Vcoin, VCard, Bạc, VCash, VnTopup, Thẻ học tiếng Anh…

 Tra cứu số dư

 Tra cứu thông tin giao dịch

 Khoá/Mở khoá tài khoản thẻ nhanh chóng

 Nhận SMS thông báo phát sinh giao dịch theo thời gian thực

c Sự quan tâm của nhà nước

Trước sự phát triển mạnh mẽ của cá dịch vụ Internet Banking, nhà nước ta cũng rất quan tâm và tạo mọi điều kiện thuận lợi để ngân hàng cũng như người dân có thể

sử dụng dịch vụ một cách an toàn và thuận lợi Vào ngày 29/11/2005, tại kì họp thứ 8

8

quốc hội khóa XI luật giao dịch điện tử số 51/2005/QH11 đã được thông qua, những năm sau đó bộ luật không ngừng được hoàn thiện và bổ sung các điều khoản mới cho phù hợp với tình hình phát triển không ngừng của Internet Banking và một số loại hình tội phạm có liên quan Để triển khai luật giao dịch điện tử và cuộc sống, chính phủ liên tục ban hành các nghị định có liên quan như:

 Nghị định 26/2007/NĐ-CP quy định các điều khoản thi hành Luật Giao dịch điện tử về chữ ký số và dịch vụ chứng thực chữ ký số

 Nghị định 27/2007/NĐ-CP quy định các điều khoản về giao dịch điện tử trong các hoạt động tài chính

*Khái quát về luật giao dịch điện tử :

Luật gồm 8 chương, với 54 điều bao gồm hầu hết các yếu tố, bên liên quan đến giao dịch điện tử như: Chữ ký điện tử, tổ chức cung cấp dịch vụ chứng thực chữ ký điện tử, giá trị pháp lý chữ ký điện tử, giá trị pháp lý của hợp đồng ký bằng chữ ký điện tử, trách nhiệm các bên liên quan đến bảo mật thông tin, giải quyết tranh chấp liên quan đến giao dịch điện tử cũng như quy định về giao dịch điện tử trong hoạt động của các cơ quan nhà nước, lĩnh vực dân sự, kinh doanh, thương mại và các lĩnh vực khác

do pháp luật quy định

Luật Giao dịch điện tử ra đời đã tạo hành lang pháp lý cơ bản cho các giao dịch điện tử Giao dịch điện tử giúp giảm các hoạt động thủ công trong ngành ngân hàng, giảm lượng tiền mặt lưu thông trên thị trường và giúp khách hàng có thể giao dịch với ngân hàng một cách an toàn tiện lợi

1.2.2 Những khó khăn thuận lợi cho việc phát triển Internet Banking tại Việt Nam

a Khó khăn

*Khó khăn từ phía ngân hàng

Việt Nam đi lên từ một nước nông nghiệp trình độ khoa học kỹ thuật còn nhiều hạn chế trong khi triển khai Internet Banking lại cần nhiều biện pháp công nghệ tiên tiến nhằm bảo đảm an toàn cho cả khách hàng lẫn ngân hàng , đây là trở ngại lớn nhất của các ngân hàng khi triển khai Internet Banking Để giải quyết bài toàn về các biện pháp công nghệ các ngân hàng có 2 lựa chọn nhưng cả 2 lựa chọn đều vấp phải những khó khăn nhất định:

Internet Banking là dịch vụ mới với đa số khách hàng, cần tốn thời gian tìm hiểu

và làm quen Nhiều khách hàng không tin tưởng vào khả năng bảo mật cũng như lo sợ rủi ro khi thực hiện các giao dịch trên Internet Banking, nhất là những người có tuổi họ

có xu hướng thích đến thực hiện giao dịch tại các chi nhánh ngân hàng Điều kiện của từng khách hàng là khác nhau, không phải ở đâu khách hàng cũng có máy tính kết nối Internet để thực hiện các giao dịch trên Internet Banking được

b Thuận lợi

*Thuận lợi phía ngân hàng

Cơ sở hạ tầng mạng của Việt Nam ngày càng phát triển, theo thống kê 6/2009 thì lượng người sử dụng Internet thường xuyên ở Việt Nam lên tới hơn 21.5 triệu chiếm khoảng 25% dân số và còn tiếp tục gia tăng, diện phủ Internet đã mở rộng trong

cả nước tới được các vùng sâu vùng xa nên lượng khách hàng sử dụng các dịch vụ Internet Banking của các ngân hàng sẽ ngày càng gia tăng

Việt Nam có cấu trúc dân số trẻ, tỉ lệ thanh niên dưới 30 tuổi chiếm số lượng lớn trong cấu trúc dân số Với cấu trúc dân số trẻ như vậy, người Việt Nam dễ thích nghi nhanh với các công nghệ tiên tiến bởi họ rất thông minh và ham học hỏi, đây là thành phần hứa hẹn sẽ trở thành khách hàng của các dịch vụ Internet Banking

Đội ngũ nhân lực trình độ cao được đào tạo đã đang và sắp ra trường sẽ đáp ứng cho yêu cầu của các ngân hàng về các lĩnh vực như mạng, bảo mật, cở sở dữ liệu… Khoa học kỹ thuật đang trên đà phát triển nhanh, các công ty trong nước cũng dần đưa

ra những giải pháp tốt phù hợp hơn với yêu cầu của các ngân hàng

Bên cạnh đó, với sự khuyến khích và hỗ trợ của Ngân hàng Nhà nước, các ngân hàng đang bày tỏ kế hoạch liên kết với nhau, chia sẻ kinh nghiệm và xây dựng tiêu chuẩn chung để việc giao dịch ngân hàng trực tuyến trở nên đơn giản hơn và gần gũi,

dễ sử dụng hơn cho khách hàng

10

*Thuận lợi phía khách hàng

Khách hàng chỉ cần có máy tính nối mạng là có thể thực hiện được các giao dịch của mình như khi đến ngân hàng, nhờ vậy mà họ có thể làm việc mọi lúc mọi nơi điều này rất phù hợp với các khách hàng bận rộn thường xuyên đi công tác mà vẫn có nhu cầu sử dụng các dịch vụ của ngân hàng

Các dịch vụ Internet Banking ngày càng phong phú, phù hợp với những yêu cầu của cuộc sống, giúp khách hàng tiết kiệm được thời gian tiền bạc và công sức nên được đông đảo khách hàng lựa chọn Nhờ áp dụng các biện pháp bảo mật tiên tiến, khách hàng có thể tin tưởng khi thực hiện các giao dịch trên hệ thống Internet Banking của các ngân hàng

Kết luận: Chương 1 cung cấp thông tin khái quát về dịch vụ Internet Banking, lịch sử ra đời của nó trên thế giới Ngoài ra chương 1 còn tìm hiểu về thực trạng dịch vụ Internet Banking tại Việt Nam cùng những khó khăn thuận lợi trong quá trình phát triển

b.Thực tế

Tuy các ngân hàng rất coi trọng việc bảo vệ thông tin khách hàng nhưng các vụ mất cắp thông tin khách hàng vẫn xảy ra, gây thiệt hại lớn đến kinh tế và uy tín của các ngân hàng Một số vụ mất cắp thông tin khách hàng gần đây như :

* Ngân hàng Techcombank làm lộ thông tin khách hàng (4/2009):

Anh Ngô Xuân Dũng, chủ một doanh nghiệp tư nhân ở Hà Nội đã có tài khoản ở ngân hàng kỹ thương Việt Nam (Techcombank) được 2 năm nay Đến tháng 2 năm

2009 anh mới đến ngân hàng để đăng kí dịch vụ Internet Banking để tiện cho việc tra cứu tài khoản, lịch sử giao dịch ngay trên mạng mà không phải đến tận ngân hàng Anh Dũng sau khi làm theo hướng dẫn của ngân hàng để kích hoạt tài khoản bằng tên truy cập và mật khẩu do hệ thống cung cấp thì anh rất ngạc nhiên khi thông tin trong tài khoản này không phải là của anh mà là của một khách hàng khác cũng là một doanh nghiệp Anh Dũng không thể thực hiện các giao dịch với tài khoản này vì không có thiết bị bảo mật đi kèm (thiết bị sinh OTP) nhưng anh có thể xem chi tiết về tài khoản cũng như các giao dịch của tài khoản này

Đại diện Techcombank đã xác nhận lỗi xảy ra trong hệ thống của ngân hàng mình so sai sót của nhân viên giao dịch trong quá trình chuyển thông tin về tên truy cập và mật khẩu lên trung tâm công nghệ thông tin của ngân hàng Sau khi được thông

12

báo về lỗi trên ngân hàng Techcombank đã thực hiện việc khóa tạm thời cả 2 tài khoản

và cấp lại tên truy cập cũng như mật khẩu mới cho khách hàng Ngân hàng Techcombank cho rằng đây chỉ là thiếu sót của một nhân viên và không ảnh hưởng đến độ an toàn của hệ thống đồng thời cũng liên lạc với khách hàng để xin lỗi Tuy nhiên anh Dũng cho rằng ngân hàng vẫn chưa đánh giá đúng mức độ của sự việc và ngân hàng cần có các biện pháp rà soát lại các thủ tục trong hệ thống

*Ngân hàng HSBC làm mất thông tin 24000 khách hàng (3/2010):

Ngân hàng HSBC vừa ra tuyên bố xác nhận việc ngân hàng làm mất thông tin cá nhân của 24000 khách hàng thuộc bộ phận quản lý tài sản tư nhân tại Thụy Sỹ Thủ phạm là một cựu nhân viên của ngân hàng và con số 24000 chỉ là con số ước tính vì nhiều khả năng con số thực tế còn cao hơn

Theo HSBC thì nhân viên ăn cắp các thông tin khách hàng là Herve Falciani vốn

là một nhân viên công nghệ thông tin từng làm việc tại chi nhánh HSBC tại Thụy Sỹ, hiện thủ phạm đã bỏ trốn và vụ việc vẫn đang được cảnh sát Thụy Sỹ điều tra

Hiện ngân hàng HSBC vẫn chưa rõ thủ đoạn của tên trộm, trong số 24000 tài khoản bị đánh cắp thông tin thì có 9000 tài khoản đã được đóng và số tài khoản bị nguy hiểm hiện là 15000 tài khoản Ngân hàng đã gửi lời xin lỗi đến toàn bộ khách hàng bị ảnh hưởng và họ cũng đang chịu cuộc điều tra của cảnh sát nhằm xác định trách nhiệm của HSBC trong vụ việc và xác định lại độ bảo mật trong việc bảo vệ thông tin khách hàng tại đây

Hiện các khách hàng bị lộ thông tin có thể bị bọn tội phạm truy cập vào tài khoản hay nguy hiểm hơn là các thông tin về tài khoản của họ có thể bị bán cho các cơ quan thuế vụ nhằm truy thu thuế của các khách hàng này Hiện Thụy Sỹ là quốc gia có các quy định rất chặt chẽ về bảo mật ngân hàng và họ cũng là quốc gia có dịch vụ ngân hàng rất phát triển và là thiên đường cho các khách hàng muốn “trốn thuế” Ngân hàng HSBC tại Thụy Sỹ đã đầu tư thêm 93 triệu USD để tăng cường hệ thống bảo mật sau

vụ mất thông tin khách hàng này

c.Nguyên nhân

Nguyên nhân của việc mất thông tin khách hàng có rất nhiều, trong đó một phần lớn là do lỗi của nhân viên ngân hàng đã không thực hiện đúng các nguyên tắc cần thiết Một số nguyên nhân thường gặp gây mất hoặc lộ thông tin khách hàng như: Người ăn cắp thông tin là nhân viên khách hàng: là người được tiếp cận với hệ thống máy tính lưu trữ thông tin, đôi khi dưới vai trò người quản lý các thông tin này

13

nên nhiều nhân viên ngân hàng đã đánh cắp các thông tin nhạy cảm này Vụ việc của ngân hàng HSBC là một ví dụ bởi rất nhiều vụ mất cắp thông tin là do nguyên nhân từ các cựu nhân viên của ngân hàng Họ là người hàng ngày làm việc với hệ thống và có thể biết được những lỗ hổng hay backdoor để thực hiện mục đích đánh cắp thông tin của mình, bởi vậy các ngân hàng phải có chế độ quản lý nghiêm ngặt với các thông tin nhạy cảm để tránh những trường hợp này

Thông tin khách hàng không được mã hóa: về nguyên tắc thông tin của khách hàng phải được mã hóa và các nhân viên ngân hàng cũng không được biết, tuy nhiên trong nhiều trường hợp các thông tin này lại không được bảo mật và dễ dàng thấy được bởi các nhân viên ngân hàng

Thông tin khách hàng không được cô lập và có thể tiếp cận được: nhiều trường hợp thông tin được lưu trữ trong đĩa cd, ổ cứng di động và có thể bị mất vào tay kẻ gian Trong thực tế nhiều trường hợp tương tự như vậy đã xảy ra và dù thông tin có được mã hóa thì nhiều tin tặc vẫn có thể giải mã sau một thời gian nhất định nếu thuật toán mã hóa là không đủ mạnh

Sai sót của nhân viên ngân hàng hay quy trình làm việc của hệ thống có vấn đề: nhân viên ngân hàng cũng là con người nên khi làm việc có thể có sai sót là điều không tránh khỏi, nhiều thông tin mật của ngân hàng bị lộ ra ngoài là do chính nhân viên nội bộ của họ Quy trình làm việc của ngân hàng cũng có thể là nguyên nhân cho việc mất mát thông tin bởi khoa học kỹ thuật phát triển không ngừng, những thủ đoạn của tội phạm cũng không ngừng tinh vi nên các quy trình ngân hàng cũ không được

cập nhật dễ trở thành đối tượng tấn công đánh cắp thông tin

2.1.2 Nguy cơ bị chiếm đoạt tiền

a.Vấn đề đặt ra

Lĩnh vực kinh doanh chính của các ngân hàng là tiền tệ và đây cũng là đích nhắm của tội phạm Internet Banking ngày càng phát triển tạo ra nhiều cơ hội cho ngân hàng nhưng cũng kèm theo nhiều thách thức, các loại hình tội phạm công nghệ cao ngày càng gia tăng Chúng lợi dụng các kẽ hở về quy trình cũng như kỹ thuật để khai thác nhằm mục đích chiếm đoạt tài sản Một số loại hình tội phạm nhằm vào các ngân hàng như: giả mạo khách hàng chiếm đoạt tiền, sử dụng thẻ giả, thẻ hết hạn …

b.Thực tế

*Hacker đánh cắp 41 triệu tài khoản tín dụng (2008):

14

Ngày 5/8/2008 các quan chức liên bang Mỹ cho biết đã bắt 12 người (bao gồm 3 người Mỹ, ba người Estonia, ba người Ukraina, hai người Trung Quốc và một người Belarus) vì tội đánh cắp, mua bán bất hợp pháp hơn 41 triệu thẻ tín dụng và thẻ ghi

nợ Đây là vụ tấn công lớn nhất của hacker mà bộ tư pháp Mỹ từng khởi tố

Các hacker đã sử dụng các chương trình do thám được thiết kế để lưu lại số thẻ tín dụng, mật khẩu và thông tin tài khoản khi chúng chạy qua mạng xử lý thẻ của các cửa hàng bán lẻ hỗ trợ thẻ thanh toán

Vụ điều tra này được tiến hành từ năm 2006, tin tặc đã giấu toàn bộ dữ liệu ăn cắp tại 2 server đặt tại Ukraina và Latvia Chúng dùng nhưng dữ liệu này để kiếm tiền bằng cách rao bán các thẻ tín dụng trên Internet, rút tiền từ các máy ATM…

Cũng theo bộ tư pháp Mỹ, tin tặc Gonzalez (chủ mưu vụ án này) đã từng bị cục tình báo bắt vào năm 2003.Vào tháng 5/2008 các nhà điều tra phát hiện hắn tham gia

kế hoạch tấn công mạng máy tính tại chuỗi nhà hàng Dave and Buster, đánh cắp số thẻ tín dụng, gây thiệt hại tới 600.000 USD cho các ngân hàng phát hành thẻ tín dụng và thẻ ghi nợ Vụ án trên là lời cảnh báo cho các ngân hàng phải tăng cường đề phòng với loại hình tội phạm công nghệ cao này

c.Giải pháp

Hoàn thiện lại các quy trình nghiệp vụ, nâng cao trình độ nhân viên Tăng cường các biện pháp khoa học kỹ thuật tiên tiến, bắt kịp thời đại để chống lại loại hình tội phạm công nghệ cao đang ngày càng phát triển Liên kết chặt chẽ với cơ quan công an, thông báo ngay để điều tra khi có các dấu hiệu nghi vấn

2.1.3 Nguy cơ tấn công từ chối dịch vụ

a.Vấn đề đặt ra

Hoạt động của ngân hàng phải luôn sẵn sàng 24/7 đối với khách hàng, chỉ một sự

cố nhỏ làm hệ thống phải ngừng hoạt động cũng gây ra những thiệt hại rất lớn Nhiệm

vụ đặt ra cho những người thiết kế và quản trị hệ thống internet banking của các ngân hàng là phải đảm bảo cho hệ thống phục vụ được cùng lúc nhiều người dùng và chạy

ổn định trong thời gian dài Tuy nhiên trong thực tế nhiều trường hợp các dịch vụ Internet Banking của ngân hàng đã phải dừng hoạt động do bị tấn công từ bên ngoài

Có nhiêu hình thức tấn công như chiếm đoạt tên miền, tấn công từ chối dịch vụ… nhưng hình thức tấn công phổ biến và khó đối phó nhất là hình thức tấn công từ chối dịc vụ DoS hoặc DDoS

15

b.Thực tế

Ở Việt Nam cũng như trên thế giới, rất nhiều ngân hàng đã trở thành mục tiêu của các cuộc tấn công từ chối dịch vụ gây thiệt hại nặng nề về tài chính cũng như uy tín của các ngân hàng Một số vụ tấn công DDoS gần đây như :

*Ngân hàng US bank bị tấn công từ chối dịch vụ (7/2009):

Ngân hàng lớn thứ 6 của Mĩ này đã bị hạ gục bởi những cuộc tấn công DDoS vào ngày mùng 5 và mùng 6 tháng 7 năm 2009 Vụ tấn công chia làm 2 đợt đã làm cho hệ thống của ngân hàng bị gián đoạn trong một thời gian

Hình 3: Mô tả thời gian đáp ứng của trang web US bank khi bị tấn công

b.Thực tế

Dù phishing đã xuất hiện từ lâu và các thủ đoạn phishing cũng trở thành quen thuộc và được phổ biến đến rộng rãi khách hàng nhưng các vụ tấn công bằng phishing

16

vẫn tỏ ra rất nguy hiểm và được tội phạm sử dụng một cách rộng rãi trong nhiều lĩnh vực không chỉ riêng Internet Banking Phishing qua thư điện tử là phương pháp được bọn tội phạm thường xuyên sử dụng rất phổ biến trên thế giới cũng như ở Việt Nam, sau đây là một số vụ việc thực tế:

*Giám đốc FBI từng suýt bị phishing khi giao dịch Internet Banking:

Vào tháng 10/2009 ông Robert Mueller nguyên giám đốc FBI trong một cuộc trò chuyện với câu lạc bộ Commonwealth đã tiết lộ về việc mình ngừng sử dụng dịch vụ Internet Banking do suýt mắc bẫy phishing

Bức thư phishing mà ông nhận được được bắt chiếc theo mẫu những bức thư hợp pháp của ngân hàng mà ông sử dụng vẫn thường gửi cho khách hàng trước đó Chỉ cần vài cú kích chuột nữa là ông đã bị lộ mất những thông tin tài khoản của mình vào tay tội phạm nhưng may mắn là ông đã nhận ra để kịp dừng lại trước khi quá muộn Sau

sự việc ông cùng vợ đã quyết định ngừng sử dụng dịch vụ Internet Banking do thấy nó quá nguy hiểm Bức thư phishing mà ông Robert Mueller nhận được là một dạng tấn công phishing cổ điển mà cách phòng chống đã được hướng dẫn cho các khách hàng nhưng trong rất nhiều trường hợp họ vẫn bị lừa

Qua trường hợp này, ta thấy rằng dù với người rất nhiều kinh nghiệm trong lĩnh vực bảo mật như ông Robert Mueller mà vẫn bị đe dọa bới phishing thì những người dùng thông thường khác mối đe dọa từ phishing còn lớn cỡ nào?

*Ngân hàng Postbank của Đức bị tấn công phishing (4/2005):

Vào tháng 4 năm 2005, ngân hàng Postbank AG của Đức đã trở thành mục tiêu của tấn công phishing Đợt tấn công này là đợt tấn công thứ ba nhằm vào ngân hàng này sau hai đợt tấn công vào tháng 8 năm 2004 Vào ngày 4/4/2005, phát ngôn viên của ngân hàng là ông Hartmut Schlegel đã thông báo trước công chúng về sự việc này Các cuộc tấn công diễn ra vào ban đêm và ngân hàng đã lường trước được sự việc nên không có ảnh hưởng nghiêm trọng đến công việc kinh doanh của ngân hàng

Nhiều khách hàng của Postbank đã nhận được một thư điện tử yêu cầu họ cung cấp các mã số giao dịch của mình vì lý do an ninh E-mail tấn công này có địa chỉ clà security@postbank.de có vẻ như xuất phát từ ngân hàng Người phát ngôn cho biết rằng trang web của ngân hàng Postbank đã bị đình trệ trong một thời gian ngắn nhưng không cho biết nguyên nhân cũng như thủ phạm cho vụ việc này Viện công nghệ bảo mật thông tin Fraunhofer vừa công bố một bản nghiên cứu về bảo mật của các ngân hàng Đức trước các cuộc tấn công phishing, kết quả có vẻ không mấy khả quan đối với

17

các ngân hàng tại quốc gia hùng mạnh này Chỉ duy nhất ngân hàng quốc gia Đức là đạt mức độ rất tốt, ngoài ra chẳng còn ngân hàng nào được đánh giá là tốt cả Postbank được xếp hàng thứ năm với mức độ an ninh vào dạng thỏa đáng, một số ngân hàng còn lại được xếp vào hạng có nguy cơ, ngân hàng đứng cuối về bảo mật là Sparda-Bank Hamburg eG

c.Tìm hiểu về phishing trong Internet Banking

*Khái niệm phishing

Trong phạm vi Internet Banking, phishing (lừa đảo) là quá trình gian lận để cố gắng có được các thông tin nhạy cảm của người dùng như tên tài khoản, mật khẩu, các chi tiết thẻ tín dụng bằng cách giả mạo một thực thể tin cậy trong quá trình giao tiếp điện tử Việc lừa đảo thường được thực hiện qua email hoặc tin nhắn, và thường hướng người dùng vào việc nhập các chi tiết về tài khoản của mình ở một trang web giả mạo mà nhìn và cảm nhận giống như một trang web hợp pháp

Hình 4: Ví dụ về một email phishing Tấn công phishing dựa vào những kỹ thuật hiện đại nhằm khai thác điểm yếu của công nghệ bảo mật hiện tại của các trang web nhằm đánh lừa người sử dụng Những

nỗ lực chống lại các vụ tấn công phishing chủ yếu dựa vào pháp luật, kỹ thuật, các biện pháp an ninh và một phần lớn vào nhận thức của người sử dụng

18

*Lịch sử của kỹ thuật phishing

Kỹ thuật phishing được miêu tả cụ thể từ năm 1987 trong một bản thuyết trình được gửi tới Interex Lần đầu tiên ghi nhận khái niêm phishing là trên các dịch vụ trực tuyến của America online vào ngày 2/1/1996, mặc dù khái niệm này có thể xuất hiện sớm hơn trên ấn phẩm tạp chí hacker 2600

Những cuộc tấn công phishing đầu tiên diễn ra trên AOL Những kẻ lừa đảo có thể đóng vai một nhân viên điều hành của AOL và gửi tới một tin nhắn cho người dùng yêu cầu xác minh lại tài khoản hay khẳng định lại thông tin cá nhân của mình, một số người dùng đã tin theo các tin nhắn này và cung cấp các thông tin về tài khoản

và mật khẩu cho kẻ lừa đảo Tới năm 1997 khi AOL thắt chặt các chính sách chống lại những kẻ lừa đảo thì nạn phishing trên AOL mới chấm dứt

Việc nắm bắt được các thông tin tài khoản của AOL, những kẻ lừa đảo có thể lạm dụng những thông tin thẻ tín dụng mà chúng biết được và dựa vào những thông tin này thì những cuộc tấn công vào hệ thống thanh toán trực tuyến là khả thi Những nỗ lực tấn công đầu tiên được ghi nhận tại hệ thống thanh toán Egold vào tháng 6/2001, cuộc tấn công thất bại nhưng đây có thể coi là những cuộc thử nghiệm đầu tiên để hướng tới những cuộc tấn công chủ đạo vào ngân hàng Đến năm 2004, phishing được công nhận là một phần trong nền kinh tế của tôi phạm và phát triển với tốc độ chóng mặt trên quy mô toàn cầu

*Các kỹ thuật tấn công phishing

Liên kết giả mạo :

Phương pháp phổ biến là sử dụng một số kỹ thuật để tạo ra liên kết trong email trở tới trang web của kẻ lừa đảo trong khi người dùng vẫn nghĩ là đang truy cập một trang web hợp lệ và an toàn

Một ví dụ đơn giản của kỹ thuật này là: đường link http://www.acbbank.ebanking.com/ làm người dùng nhầm tưởng sẽ được đưa đến trang web ebanking của ngân hàng acbbank nhưng thực ra họ được đưa đến trang acbbank của ebanking (đây là trang web có giao diện như ebanking của acbbank nhằm mục đích phishing)

Một kỹ thuật lừa đảo hiện đã cũ là dùng kí tự “@” trong đường link dẫn tới trang web lừa đảo Kí tự @ vốn được sử dụng để đính kèm tên người dùng và mật khẩu khi

http://www.acbbank.com@phishingsite.org khiến người dùng nhầm tưởng mình sẽ

19

đăng nhập vào trang www.acbbank.com nhưng thực thế họ lại được dẫn tới trang web phishingsite.org với tên người dùng là www.acbbank.com Hiện những đường link kiểu này đẫ bị Internet Explorer vô hiệu hóa nhưng một số trình duyệt như Firefox hay Opera vẫn chấp nhận và đưa ra một cảnh báo với người dùng

Vượt qua các bộ lọc :

Sử dụng email phishing dưới dạng text thông thường dễ bị các bộ lọc phát hiện, một kỹ thuật khác thường được sử dụng là thay thế văn bản dưới dạng text bằng một hình ảnh để vượt qua các bộ lọc một cách dễ dàng

Các bộ lọc thường chú ý đến những từ nhạy cảm như thẻ tín dụng, tài khoản ngân hàng, mật khẩu, paypal… những kẻ lừa đảo đã thay thế những từ nhạy cảm này ở dạng ảnh nên các bộ lọc không thể xác định được đâu là thư lừa đảo

Giả mạo trang web:

Một khi máy tính của người dùng đã truy nhập vào trang web phishing thì việc lừa đảo không chỉ dừng lại ở lúc đó Một số kể lừa đảo sử dụng một số lệnh JavaScript

để thay đổi thanh địa chỉ, điều này được thực hiện bởi việc thay thế hình ảnh của một địa chỉ tin cây lên thanh địa chỉ hay đóng thanh địa chỉ ban đầu và mở ra một thanh địa chỉ mới với đường link tin cậy Kẻ lừa đảo cũng có thể lợi dụng những lỗ hổng của trang web thật để tấn công người dùng

Một số công cụ ra đời (“Universal Man-in-the-Middle” phishing kit là một công

cụ trong số đó) giúp kẻ lừa đảo có thể dễ dàng tái tạo một trang web giả giống như trang web thật và ăn cắp các thông tin cá nhân khi người dùng truy cập trang web giả này thông qua link gửi kèm email lừa đảo

Giả mạo qua điện thoại:

Một vài trường hợp kẻ lừa đảo có thể gửi tin nhắn đến cho người dùng thông báo rằng tài khoản của họ có vấn đề và yêu cầu người dùng gọi đến một số điện thoại của ngân hàng để giải quyết sự cố trên Khi gọi điện đến số điện thoại trên (sở hữu của kẻ lừa đảo) thì họ được yêu cầu cung cấp tên, mật khẩu tài khoản để xác nhận Kẻ lừa đảo

sẽ làm cho người dùng tin là đang nói chuyện với nhân viên ngân hàng và đánh cắp các thông tin cá nhân này một cách dễ dàng

Một số kỹ thuật khác :

Một kỹ thuật khác là đưa người dùng đến trang web thật của ngân hàng sau đó bung ra một cửa sổ popup yêu cầu các thông tin nhạy cảm như thể cửa sổ này được

20

yêu cầu từ website ngân hàng, nếu người dùng nhập các thông tin nhạy cảm như số tài khoản hay mật khẩu thì kẻ lừa đảo đã thực hiện được điều mình muốn

*Tác hại của phishing

Phishing gây ảnh hưởng lớn đến việc sử dụng email trong các giao dịch tài chính

và gây thiệt hại lớn về mặt kinh tế cho các tổ chức, cá nhân trên phạm vi toàn thế giới Người ta thống kê rằng chỉ riêng tại Mỹ từ tháng 5/2004 đến tháng 5/2005, đã có hơn 1,2 triệu máy tính bị ảnh hưởng bới phishing gây ra thiệt hại lên tới 929 triệu $ Ngành thương mại của Mỹ mất mát lên tới 2 tỷ đôla mỗi năm do máy tính người dùng bị lừa đảo Riêng thống kê tại Anh, trong năm 2004 bị thiệt hại 12.2 triệu bảng do phishing, sang năm 2005 thiệt hại lên tới 23.2 triệu bảng và không ngừng ra tăng trong các năm sau

*Cách phòng chống tấn công phishing:

Biện pháp xã hội:

Để chống lại phishing một cách hiệu quả nhất, chúng ta cần nâng cao nhận thức của người sử dụng về nạn phishing, giúp người sử dụng nhận ra kẻ lừa đảo để có thể tự bảo vệ bản thân mình

Người dùng có thể thực hiện một số biện pháp đơn giản để phòng chống phishing thông qua thói quen duyệt web của họ Khi nhận được bất kỳ yêu cầu cung cấp thông tin cá nhân cần phải xác định lại tính chính xác của thông tin với các công ty tin cậy trước khi cung cấp các thông tin nhạy cảm này Để truy cập các trang web thì nên tự

gõ các địa chỉ lên thanh address thay vì click vào các link khả nghi

Một số thủ thuật để nhận ra các email phishing mà người dùng cần biết như một bức thư tin cậy của ngân hàng luôn có chứa thông tin các nhân trong thư, ví dụ như lời chào “Xin chào ông ABC” thay vì lời chào trong bức thư của kẻ lừa đảo thường mang những thông tin chung chung như “Xin chào khách hàng của ngân hàng XYZ”

Thực tế nhận thức của người dùng ngày càng tăng nên các kỹ thuật phishing cơ bản có thể trở lên lỗi thời và một số kỹ thuật cao hơn như pharming hay các phần mềm

mã độc sẽ trở lên phổ biến hơn để đánh cắp thông tin của người dùng

Biện pháp kỹ thuật :

Các biện pháp chống lừa đảo trực tuyến bao gồm tính năng nhúng trong trình duyệt như phần mở rộng hay thanh công cụ cho trình duyệt , và như một phần của thủ

Kết nối an toàn

Là hình ảnh thể hiện cho người dùng biết họ đang sử dụng các kết nối an toàn mà thông tin truyền trên đó được bảo vệ ở một mức nhất định Hình ảnh thể hiện kết nối

an toàn từ giữa những năm 1990 đến giữa nhưng năm 2000 là hỉnh ảnh ổ khóa

Hình 5: Biểu tượng an toàn trên trình duyệt

Năm 2005 Mozilla dùng một trường địa chỉ có màu vàng để thông báo cho người dùng dễ nhận biết hơn về một kết nối an toàn Cải tiến sau này đi cùng chứng thực EV, tên của tổ chức sẽ đươc hiển thì trong một khung màu xanh lá cây đi kèm một số thông tin như trong hình minh họa dưới đây

22

Hình 6: Hình minh họa thể hiện trang web của Paypal được chứng thực bới tổ

chức VerySign

Xác định tên miền của trang

Như đã nói ở trên, viêc xác định tên miền đùng là một điều quan trọng đối với người dùng nhắm tránh vào phải các trang web lừa đảo Cấu trúc tên địa chỉ URL là khá phức tạp để người dùng có thể xác định chính xác trang web mà mình đang kết nối tới.Một vài trình duyệt mới hiển thị toàn bộ url bằng màu xám trong khi tên miền được hiển thị bằng màu đen để người dùng nhận biết được trang web họ đang truy cập

có tên miền thực sự là gì Với sự ra đời của chứng chỉ số mở rộng thì tên miền của trang web cũng được hiển thị luôn trong ô màu xanh như ở hình trên, điều này giúp người dùng dễ dàng nhận biết hơn

Xác định cơ quan cấp chứng chỉ số

Chứng chỉ số là cơ sở để xác thực một trang web, nhưng độ tin tưởng của xác thực trên đến mức nào thì phụ thuộc vào cơ quan đã cấp phát chứng chỉ số đó Ngoài một số cơ quan cấp chứng chỉ số rất nổi tiếng như Verysign thì không phải cơ quan cấp chứng chỉ số nào mọi người cũng đều biết đến, chính vì vậy mà các trình duyệt luôn đi kèm nó một danh sách các cơ quan cấp chứng chỉ số được chập nhận

Trong trình duyệt IE, ngoài tên của cơ quan cấp chứng chỉ số, người dùng còn thấy được thông tin về cấp của cơ quan này Hình ảnh dưới đây thu được khi tác giả truy cập vào website ngân hàng teckcombak, ngân hàng này được cấp chứng chỉ bởi tổ chức Verysign, với class ở mức 3

23

Hình 7: Xác định cơ quan cấp chứng chỉ số

Trình duyệt cảnh báo web gian lận

Hình 8: Cảnh báo của trình duyệt web Hầu hết các trình duyệt hiện tại đều có chức năng cảnh báo người dùng nếu họ kết nối với các website mà chứng chỉ số không đúng hay đã hết hạn… Các website này rất có thể là các site phishing mà người dùng cần tránh

Tăng mức độ an ninh khi đăng nhập bằng mật khẩu

24

Một số trang web yêu cầu người dùng khi nhập mật khẩu phải nhập thêm một vài thông tin khác để tăng tính bảo mật, có tính chất như hệ thống two factor authentication

Ví dụ như ngân hàng Bank of America: khi người dùng nhập mật khẩu cho bất kì dịch vụ nào trên website ngân hàng thì cũng đồng thời phải lựa chọn một bức ảnh cá nhân của họ, điều này tăng tính an toàn trước những kẻ lừa đảo

2.2.2 Nguy cơ từ pharming

a.Vấn đề

Khi phishing mới ra đời nó hoạt động rất hiệu quả, tuy nhiên qua một thời gian khi các kỹ thuật phishing được phổ biến rộng rãi thì hiệu quả của phishing theo cách truyền thống ngày càng giảm, nhiều người dùng tỏ ra thận trọng khi không click vào các link có sẵn mà gõ trực tiếp địa chỉ trang web vào thanh address Tuy nhiên cẩn thận như vậy vẫn là chưa đủ mới thời gian gần đây đã xuất hiện một hình thức phishing rất tinh vi có tên là pharming, pharming trở lên nguy hiểm hơn các hình thức phishing cổ điển rất nhiều bởi dù người dùng có gõ đúng địa chỉ trang web nhưng họ vẫn có thể bị dẫn tới website lừa đảo

b.Thực tế

*50 ngân hàng bị lừa đảo trực tuyến kiểu pharming(2/2007)

Trong tháng 2 năm 2007, khách hàng của ít nhất 50 tổ chức tài chính ngân hàng của châu á, châu âu và Mỹ đã bị hacker lừa đảo thông tin cá nhân bằng một thủ đoạn phishing đặc biệt mới và nguy hiểm là pharming

25

Vụ tấn công này dựa vào một lỗi nghiêm trọng của windows (đã được công bố bản sửa lỗi vào năm 2006) Các hệ thống chưa được vá lỗi sẽ tự động tải một trojan có tên iexplorer.exe và 5 file thực thi từ một máy chủ đặt tại Nga Những trang web này cũng hiển thị một thông báo lỗi và yêu cầu người sử dụng tắt tường lửa cá nhân cũng như các phần mềm diệt virus trong máy Thủ thuật phishing mới và nguy hiểm này có tên là pharming, nó nguy hiểm hơn phishing ở chỗ hướng người dùng tới trang web chứa mã độc ngay cả khi họ gõ đúng địa chỉ của nhà cung cấp dịch vụ internet thông qua lỗi DNS

Các website giả trong vụ tấn công này có nguồn gốc từ Đức, Estonia và Anh đã

bị các ISP vô hiệu hóa, tuy nhiên chưa có con số thống kê số khách hàng trở thành nạn nhân của vụ tấn công này

*Pharming tấn công vào các ngân hàng trực tuyến(3/2005)

Một số chuyên giá bảo mật cảnh báo người dùng thận trọng với một loại mã độc mang tên Troj/BankAsh-A, mã độc nhằm vào mục đích pharming, có thể hướng khách hàng của các ngân hàng trực tuyến truy cập vào những website giả mạo trong các cuôc giao dịch và ăn cắp các thông tin cá nhân của khách hàng cho mục đích phi pháp

Mã độc trên thường được đính kèm trong những thư rác được gửi đến người sử dụng trong những thư rác Nếu người sử dụng tải các tập tin này xuống, nó sẽ án binh bất động chờ đến khi khách hàng truy cập vào website của một trong các ngân hàng đã được lập trình sẵn Khi đó người sử dụng sẽ được hướng vào một trang web giả mạo

có giao diện giống hệt với website ngân hàng thật, bọn tội phạm sẽ ăn trộm các thông tin cá nhân mà khách hàng nhập vào rồi dùng những thông tin cá nhân ấy để ăn trộm tiền từ tài khoản của họ

Các chuyên gia cho biết có thể ngăn chặn sự đe dọa của loại virus này nếu các ngân hàng sử dụng nhận dạng các đặc tính của người sử dụng để truy cập tài khoản thay vì dựa vào mật khẩu của khách hàng

c.Tìm hiểu về pharming

*Khái niệm

Pharming là hành động của hacker nhằm chuyển hướng người truy cập từ một trang web đúng tới một trang web giả mạo mà người dùng không hề hay biết Pharming có thể thực hiện dựa vào việc thay đổi đổi host file trong máy người bị hai (host file là tập tin ánh xạ tên host với địa chỉ IP) hoặc bằng cách lợi dụng những lỗi của máy chủ DNS

26

Thuật ngữ pharming được ra đời dựa trên 2 từ phishing và farming, cả pharming

và phishing đều được dùng để ăn cắp thông tin cá nhân của khác hàng Pharming đang trở thành điều lo ngại chính của dịch vụ hosting và ngân hàng trực tuyến Để chống lại pharming cần nhiều biện pháp phức tạp, và các phần mềm virus hay spyware thông thường thì không có khả năng bảo vệ máy tính người dùng trước pharming

*Pharming hoạt động như thế nào

DNS cache poisioning

Hình 9: DNS cache poisioning Đây là kỹ thuật cơ bản và phổ biến nhất trong pharming Giao thức DNS là giao thức phân giải địa chỉ, dùng để ánh xạ giữa tên miền sang địa chỉ IP Máy chủ DNS khi nhận được yêu cầu phân giải địa chỉ từ máy khách, nó sẽ tra cứu trong bộ đệm và trả về địa chỉ IP tương ứng với tên miền mà máy trạm yêu cầu Nếu không tìm thấy trong bộ đệm, máy chủ DNS sẽ chuyển tiếp yêu cầu phân giải tới một máy chủ DNS khác Đây là nhược điểm tồn tại trong giao thức DNS và trở thành lỗ hổng nghiêm trọng được khai thác trong phương thức tấn công DNS cache poisioning Nhiều máy chủ DNS hiện nay chấp nhận xử lý đồng thời nhiều truy vấn của một tên miền duy nhất, đặc điểm này cho phép tin tặc dễ dàng tấn công vào các máy chủ DNS có chức

 Có chức năng hỏi hộ và lưu giữ kết quả

 Có điểm yếu, chấp nhận xử lý đồng thời nhiều truy vấn của một tên miền duy nhất

 Sử dụng một port nguồn cố định duy nhất cho các truy vấn

*Kịch bản tấn công

Hình 10: Mô tả kịch bản tấn công

28

Bảng 1: Xác xuất thành công của mô hình tấn công trên

Máy chủ DNS Số lượng truy vấn gửi

đồng thời

Số lượng gói tin giả mạo tin tặc cần gửi

 Số liệu trên lấy từ tính toán của Vagner Sacramento tại địa chỉ http://www.kb.cert.org/vuls/id/457875

 Theo tính toán trên thì trong trường hợp không random port thì chỉ cần gửi

200 truy vấn đồng thời và 427 gói tin giả mạo thì tin tặc có xác xuất thành công là 50%, một xác suất khá cao

Host file attack

Host file là tập tin trong máy lưu các giá trị tên miền và địa chỉ IP được sử dụng thường xuyên để có thể truy cập nhanh mà không cần thông qua DNS, đây là một mục tiêu của tấn công pharming

Nếu như mục tiêu của phương pháp thứ nhất là các DNS server được bảo mật bởi các quản trị viên có kiến thức và kinh nghiệm thì việc tấn công vào host file trên máy của người dùng được coi là mục tiêu dễ dàng hơn nhiều Pharmer thường dùng các phần mềm mã độc để thay đổi host file trên máy nạn nhân, các trang web ngân hàng

mà người dùng truy cập sẽ được ánh xạ sang các địa chỉ giả, nếu người dùng truy cập các địa chỉ này thì sẽ bị mất thông tin cá nhân vào tay pharmer

29

Hình 11: Host file

Local router attack

Tương tự như host file attrack, tấn công router nội bộ dễ dàng hơn nhiều so với

so với tấn công DNS server tuy nhiên lại khó bị phát hiện Có 2 cách tấn công router nội bộ dùng trong pharming: thay đổi cấu hình router bằng mã độc hay thay đổi cả firmware của router Cả hai cách trên đều nhằm làm cho router trỏ sang các DNS độc hại của pharmer thay vì các DNS đúng ban đầu

Phần lớn các router nội bộ đều không được bảo mật tốt, rất nhiều nơi sử dụng router mà không hề thay đổi các cấu hình, tên truy cập cũng như mật khẩu mặc định, pharmer là những kẻ nắm rõ được điểm yếu này và lợi dụng nó cho mục đích của mình

Năm 2006 đã phát hiện được một đoạn mã javascript có thể thay đổi DNS của server mang tên Drive-By Pharming được phát hiện Sau khi DNS server của router bị thay đổi thì các máy tính trong mạng nội bộ sẽ gửi các truy vấn này qua dns server giả mạo

30

Ngoài ra với việc có thể thay đổi được firmware một cách dễ dàng nếu biết mật khẩu quản trị của router, pharmer có thể xây dựng một firmware giả có giao diện và các chức năng như firmware của nhà sản xuất ban đầu Mọi thông số và cấu hình của firmware giả giống hệt firmware thật ngoại trừ việc nó sẽ dẫn người dùng đến dns giả mạo thay vì dns thật Ngoài ra với việc sử dụng mạng không dây ngày càng phổ biến, việc tiếp cận với các router càng trở lên dễ dàng, việc chiếm quyền điều khiển router càng trở lên dễ dàng bởi các mật khẩu mặc định là dễ doán, ngoài ra pharmer cũng có thể dùng các phần mềm dò mã nếu mật khẩu đã bị thay đổi Vì vậy mọi người cần cẩn trọng khi sử dụng Internet ở nơi công cộng, việc sử dụng mạng công cộng cho những việc quan trọng là không hề an toàn

2.2.3 Nguy cơ từ các phần mềm mã độc, virus, trojan

a.Vấn đề

Người sử dụng máy tính hầu hết cũng đều quen thuộc khi nhắc tới các khái niệm như virus, trojan, phần mềm mã độc nhưng rất ít người lường hết được những mối nguy hiểm do chúng gây ra cũng như cách phòng chống thế nào cho có hiệu quả Những khách hàng sử dụng internet banking là mục tiêu ưa thích của các phần mềm này nên cần có những kiến thức nhất định để có thể phòng ngừa hiệu quả.Các phần mềm mã độc, virus, trojan ngày càng xuất hiện nhiều với mức độ phức tạp tinh vi ngày càng cao, chúng được phát tán rộng rãi trên môi trường mạng internet thông qua các trang web, thư điện tử hay đính kèm các phần mềm Không phải ngẫu nhiên mà các phần mềm mã độc có thể xâm nhập vào máy tính của khách hàng, thông thường là do khách hàng đã click chuột vào liên kết tới đoạn mã độc hay mở các file đính kèm có chứa virus

b.Thực tế

*Rootkit đánh cắp hàng trăm nghìn tài khoản ngân hàng (2009)

Trong tháng 4 năm 2009, MaOSRootkit vốn là một rootkit đã đánh cắp hàng trăm nghìn tài khoản ngân hàng đã quay trở lại với một biến thể mới Chúng lây lan với tốc độ rất nhanh trên mạng Internet và lây lan cả đến mạng máy tính ở việt nam Rookit MaOS (tên gọi khác là Mebroot) là một rookit khá đặc biệt, nó lây nhiễm vào master boot record (sector khởi động đầu tiên trên đĩa cứng) nên nó có thể tác động chỉnh sửa hệ thống ngay khi hệ điều hành được khởi động và vượt qua các phần mềm diệt virus khác một cách dễ dàng Với cách hoạt động như vậy thì nó trở lên vô hình với tất cả các phần mềm bảo mật như antivirus, tường lửa …

31

Rookit này hoạt động ổn định trên window xp và có khả năng ăn rất sâu vào hệ thống, phiên bản đầu tiên của nó xuất hiện vào tháng 12/2007 và được lập trình rất bài bàn, chuyên nghiệp

Rootkit trên trở lại với đợt tấn công trên diện rộng vào ngày 31/3 , theo thông tin

sơ bộ nó đã lây lan vào 180.000 máy tính và 1.2 triệu địa chỉ ip trên toàn thế giới trong

đó Mỹ là nước có tốc độ lây lan cao nhất Theo nghiên cứu của trường Đại Học California (Mỹ) công bố ngày 04.05, qua 10 ngày theo dõi MaOSRootkit bootnet, đã

có 8.310 tài khoản ngân hàng, 1.235.122 mật khẩu Windows, 100.472 tài khoản SMTP, 415.206 tài khoản POP, 411.039 tài khoản HTTP và 1.258.862 tài khoản mail

bị đánh cắp

Đã có hàng nghìn website được dựng lên để phát tán loại mã độc nguy hiểm này Ngoài ra, rất nhiều loại sâu máy tính khác được thiết lập để tải rootkit này về máy của người dùng

*Website ngân hàng ấn độ bị hack và phát tán trojan (2007)

Ngân hàng BankOfIndia vừa bị hãng bảo mật Subelt Software cảnh báo website của ngân hàng này bị hacker tấn công và được sử dụng làm công cụ phát tán nhiều loại trojan, rootkit và phần mềm mã độc khi người sử dụng truy cập vào Những phần mềm nguy hiểm này được dùng để thu thập các dữ liệu của nận nhân sau đó tải lên một máy chủ FTP đặt tại Nga

Công ty Sunbelt cũng cho biết lỗi bảo mật xuât phát từ framework trên trang web, máy tính nạn nhân sẽ bị lây nhiễm do một lỗi bảo mật của internet explorer nếu người dùng chưa cập nhật bản vá lỗi MS06-042

Hiện bộ phận kỹ thuật của ngân hàng đã nhanh chóng xử lý và khắc phục tạm thời tình trạng trên, tuy nhiên các chuyên gia khuyến cáo cần phải tìm và xử lý các lỗi gốc trong hệ thống nếu không website này vẫn là mục tiêu tấn công của hacker