ecommerce security (đảm bảo an ninh thương mại điện tử)

Do mạng botnet là một mạng tập hợp của rất rất nhiều máy tính, nên hacker có thể dùng bonet để thực hiện các cuộc tấn công từ chối dịch vụ DDoS vào một máy chủ web nào đó.. Một số khái n

TRƯỜNG ĐẠI HỌC QUY NHƠN

BÁO CÁO TIỂU LUẬN MÔN AN NINH MẠNG

Chủ đề ECOMMERCE SECURITY (ĐẢM BẢO AN NINH THƯƠNG MẠI ĐIỆN TỬ)

Giảng viên hướng dẫn: TS Nguyễn Hồng Quang

Nhóm báo cáo:

Lớp: Khoa học máy tính – K19 (2016 – 2018)

Bình Định, 01-2018

MỤC LỤC

DANH SÁCH PHÂN CÔNG CÁC THÀNH VIÊN TÌM HIỂU

NỘI DUNG BÀI BÁO CÁO

Stt Họ và tên thành viên Nội dung phân công tìm hiểu Ghi chú

01 Nguyễn Tấn Long Phần I, II, III

02 Nguyễn Phạm Thanh Bình Phần IV, V

Các thành viên trong nhóm luôn có sự trao đổi, thảo luận và thống nhất trong quá trình phân công tìm hiểu nội dung bài báo cáo.

Trong quá trình làm việc cộng tác nhóm, nhóm thường xuyên liên lạc, trao đổi về các vấn đề liên quan được phân công.

Cuối cùng, sau khi hoàn thành các phần được phân, công việc tổng hợp và biên tập lại để hoàn chỉnh nội dung cũng như hình thức trình bày được cả nhóm thực hiện.

Với những tìm hiểu mang tính chủ quan của từng thành viên trong nhóm dù có sự cộng tác cũng như bàn bạc thống nhất, tuy nhiên sau khi hoàn thành nội dung, bài báo cáo không tránh khỏi những thiếu sót, các nội dung có thể còn chưa thật sự sâu rộng và nổi bật nội dung chủ đề được phân công.

Các thành viên của nhóm rất mong sự hướng dẫn, chỉ bảo của thầy để nội dung bài báo cáo hoàn thiện hơn nữa cũng như để từng thành viên trong nhóm tiếp nhận được sâu hơn về các nội dung kiến thức liên quan được phân công.

Một lần nữa các thành viên trong nhóm nói riêng cũng như lớp Tin học Khóa 19 (niên khóa 2016-2018) tại Quy Nhơn, xin chân thành cảm ơn sự hướng dẫn và giảng dạy tậm tâm của thầy.

TM NHÓM Các thành viên của nhóm 3

Lời nói đầu

Cùng với sự phát triển như vũ bão của khoa học công nghệ ngày nay, lĩnh vực thương mạiđiện tử - một bước tiến dài của quy trình kinh doanh - đã mang lại lợi ích vô cùng to lớn cho các

tổ chức, doanh nghiệp, người tiêu dùng và cho cả toàn xã hội

Thương mại điện tử ngày nay liên quan đến tất cả mọi thứ từ đặt hàng nội dung "kỹ thuậtsố" cho đến tiêu dùng trực tuyến tức thời, để đặt hàng và dịch vụ thông thường, các dịch vụ

"meta" đều tạo điều kiện thuận lợi cho các dạng khác của thương mại điện tử

Trong bối cảnh người tiêu dùng mất dần hứng thú với việc mua sắm tại các cửa hàngtruyền thống, thị trường thương mại điện tử đang chớp lấy thời cơ để bước vào thời điểm pháttriển mạnh

Theo thống kê, năm 2016, có 1,61 tỷ người trên toàn cầu mua hàng trực tuyến Dự kiến,doanh thu bán lẻ trực tuyến trên toàn thế giới sẽ tăng từ 1.900 tỷ USD năm 2016, lên 4.060 tỷUSD năm 2020

Ra đời vào những năm cuối thập niên 70 dựa trên phương thức giao dịch điện tử với côngnghệ EDI (Electronic Data Interchange – trao đổi dữ liệu điện tử) và EFT (Electronic FundsTransfer - chuyển tiền điện tử)

Tuy nhiên đến những năm cuối thập niên 90, nhiều công ty kinh doanh tại Mỹ và Châu Âumới hình thành và thiết lập các dịch vụ với sự ra đời của World Wide Web và thuật ngữ

“Ecommerce” bắt đầu với quyền trao đổi các loại hàng hóa khác nhau thông qua Internet dùngcác giao thức bảo mật và dịch vụ thanh toán điện tử.

Bên cạnh những lợi ích, những đóng góp to lớn của ngành thương mại điện tử mang lạicho nền kinh tế, thương mại điện tử cũng đối mặt với không ít những khó khăn, đó là: vấn đề về

hệ thống thông tin, bảo mật an ninh, quy định nền tảng về hệ thống pháp lý,… Trong đó vấn đề

hệ thống an ninh trong thanh toán trực tuyến mang lại nhiều nguy cơ rủi ro hơn cả

Cùng với việc phát triển vượt bậc của các ngành khoa học công nghệ, lợi ích to lớn màngành thương mại điện tử mang lại, đây là một trong những mảnh đất “màu mỡ” cho tội phạm sửdụng công nghệ cao đang ngày một trở nên phổ biến và tinh vi hơn

Hàng ngày, hàng giờ tại khắp nơi trên thế giới những rủi ro bảo mật về hệ thống an ninhmạng luôn rình rập không chỉ riêng đối với người sử dụng các hình thức thanh toán trực tuyến màcòn các tổ chức, doanh nghiệp cũng như các chính phủ tại các quốc gia cũng có nguy cơ về antoàn thông tin thương mại điện tử nói chung và trong việc thanh toán trực tuyến

Tại Việt Nam, tội phạm mạng có thể đánh cắp thông tin tài khoản của một số khách hàngthông qua việc mua thông tin thẻ tín dụng được bán trên thị trường chợ đen quốc tế, sau đó tiếnhành in các thông tin này lên phôi thẻ trắng và tiến hành rút tiền

Bên cạnh đó, tại Việt Nam cũng bắt đầu xuất hiện hình thức tội phạm tiến hành cài đặt cácthiết bị đọc thông tin (Skimmer) vào các máy ATM để đánh cắp thông tin Khi khách hàng đưathẻ vào máy ATM để tiến hành giao dịch, thiết bị sẽ ghi nhớ thông tin cá nhân của khách hàng

Đồng thời, tội phạm cũng cài đặt camera theo dõi để đánh cắp mã số bảo mật (PIN) củakhách hàng bấm trên bàn phím Với các thông tin đánh cắp được này, tội phạm sẽ làm các thẻATM giả để rút tiền thật của khách hàng

Gần đây nhất, ngày 28/1/2018, 3 ngân hàng hàng đầu của Hà Lan gồm ING, Rabobank vàABN Amro thông báo đã hứng chịu nhiều vụ tấn công mạng khi tin tặc phong tỏa việc truy cậpcác website cũng như dịch vụ ngân hàng trực tuyến của các ngân hàng này

ING, ngân hàng hàng đầu Hà Lan có khoảng 8 triệu khách hàng cá nhân cho biết bị tấncông theo hình thức "tấn công từ chối dịch vụ" (DDoS) vào chiều 28/1 khi tin tặc gây nghẽnthông tin, khiến các máy chủ ngân hàng bị quá tải và gây áp lực đối với những máy còn hoạtđộng về dịch vụ ngân hàng trực tuyến Hiện dịch vụ này đã được khôi phục lại hoạt động

Trong khi đó, Rabobank, ngân hàng lớn thứ hai Hà Lan cho biết dịch vụ ngân hàng trựctuyến của mình cũng đã bị tấn công theo hình thức DDoS vào sáng 29/1 khi khách hàng không

thể truy cập hoặc truy cập rất khó khăn Người phát ngôn của Rabobank cho biết ngân hàng đang

nỗ lực sớm giải quyết vấn đề này

Tương tự, ABN Amro - ngân hàng lớn thứ ba Hà Lan - đã hứng chịu 3 đợt tấn công mạngvào cuối tuần, nâng tổng số vụ tấn công nhằm vào ngân hàng này trong tuần qua lên tới con số 7.Các ngân hàng trên cho biết thông tin về khách hàng của họ không bị rò rỉ trong các vụ việc

Theo thông báo của người đứng đầu Ngân hàng Trung ương Hà Lan Klaas Knot, đâykhông phải là lần đầu tiên, các ngân hàng nước này hứng chịu các vụ tấn công DDoS Ngân hàngtrung ương Hà Lan đã bị tấn công mạng hàng nghìn lần mỗi ngày

Các quốc gia trên thế giới đều có những hệ thống quy định pháp luật riêng về thương mạiđiện tử tại quốc gia mình Sau ba năm kể từ năm 2003, thương mại điện tử Việt Nam được phápluật thừa nhận chính thức khi Luật Giao dịch điện tử, Luật Thương mại (sửa đổi), Bộ luật Dân sự(sửa đổi) và Nghị định Thương mại điện tử có hiệu lực

Năm 2006 cũng là năm đầu tiên triển khai Kế hoạch tổng thể phát triển thương mại điện tửgiai đoạn 2006-2010 theo Quyết định số 222/2005/QĐ-TTg ngày 15 tháng 9 năm 2005 của Thủtướng Chính phủ Ngày 16 tháng 05 năm 2013, Chính phủ ký Nghị định số: 52/2013/NĐ-CP VềThương mại điện tử, có hiệu lực từ 01/07/2013

Trong khuôn khổ của bài báo cáo, theo sự phân công hướng dẫn, nhóm xin trình bày một

số nội dung về Hệ thống an ninh trong thanh toán trực tuyến trên cơ sở tìm hiểu về bộ môn Anninh mạng

Mục đích của chiến tranh thông tin là kiểm soát, điều khiển, tác động lên các quyết định

và làm suy giảm hoặc phá huỷ các hệ thống thông tin của đối phương trong khi bảo vệ các hệthống của mình và đồng minh chống lại những hành động như vậy

Mục tiêu tấn công của chiến tranh thông tin là các cơ sở hạ tầng thông tin (quân sự, tàichính, ngân hàng, mạng máy tính quốc gia, ) Phần mềm Virus có thể làm cho hệ thống vũ khícủa đối phương bị mất điều khiển, và cũng có thể phá hoại cơ sở hạ tầng kinh tế của quốc gia,làm cho nền kinh tế rối loạn, hay làm tắc nghẽn mạng thông tin Hacker là thành phần nguy hiểmnhất trong công nghệ thông tin Hacker tập trung vào việc đánh cắp các bí mật quân sự; sử dụngvirus tấn công các hệ thống máy tính làm cho hệ thống này bị tê liệt không thể đưa ra các quyếtđịnh đúng

II Các hình thức của chiến tranh thông tin

1. Chiến tranh trong chỉ huy và điều khiển (command and control warfare C2W);

2. Chiến tranh tình báo (information-based warfare - IBW);

3. Chiến tranh điện tử (electronic warfare - EW);

4. Chiến tranh tâm lý (psychological warfare - PSYW);

5. Chiến tranh tin tặc hacker (hacker warfare);

6. Chiến tranh thông tin kinh tế (economic information warfare - EIW);

7. Chiến tranh điều khiển học (cyberwarfare)

Các cường quốc như Mỹ, Nga, Trung Quốc… hiện nay luôn trong tư thế về chiến khônggian mạng, cuộc chiến được ví như chiến tranh thế giới thứ 3 diễn ra trên mặt trận Internet

Đầu tư cho lĩnh vực này đã tăng rất mạnh trong những năm qua Nếu như năm 2013, Mỹ

đổ 3,9 tỉ USD vào chiến tranh mạng thì năm 2014 tăng lên 4,7 tỉ USD và năm 2015 là 5,1 tỉ USD

Trong khi đó, dù không công bố ngân sách nhưng theo dự đoán Nga cũng chi ra hàng tỉ USD.Còn Trung Quốc, tất nhiên là theo truyền thống không công bố thông tin.

Nhiều quốc gia đã và đang thiết lập các đơn vị và lực lượng riêng biệt để chuẩn bị đối phóvới tấn công mạng ở quy mô quốc gia Trong số đó có:

Mỹ: Mỹ có Bộ chỉ huy mạng (Cybercom) trực thuộc Cơ quan An ninh Quốc gia (NSA)

nhưng hiện chính quyền Obama đang cân nhắc tách Cybercom thành đơn vị độc lập với quyền hạnlớn hơn Động thái này không nằm ngoài mục đích tăng cường khả năng đương đầu của Mỹ vớichiến tranh mạng trong tương lai

Và như vậy, NSA sẽ chủ yếu là cơ quan thu thập thông tin tình báo chiến lược cònCybercom là bộ chỉ huy chiến tranh mạng Ở mức sâu hơn, Cybercom sẽ phát triển theo hướngmột Bộ chỉ huy tác chiến thống nhất (UCC), nơi chỉ huy và kiểm soát các lực lượng quân sự chỉdựa trên địa lý và chức năng cụ thể

Ngoài Cybercom, Mỹ còn nhiều lực lượng khác phụ trách an ninh mạng, trong đó có Bộ

Tư lệnh Không gian mạng Quân đội Mỹ, Cục An ninh mạng thuộc Nhà Trắng, Lữ đoàn Tình báoQuân sự 780, và Lực lượng dự bị chiến tranh mạng (Bộ An ninh Nội địa)

Ngoài ra, Mỹ còn có "Sở chỉ huy chiến tranh mạng", "Nhóm kiểm soát dữ liệu đặc biệt",

"Đơn vị công nghệ can thiệp dữ liệu", "Văn phòng các chiến dịch đặc biệt", "Nha tình báo tínhiệu"…

Nga: Do có sự chuẩn bị kỹ lưỡng, nước này đang sở hữu đội quân tác chiến mạng vô cùng

hùng hậu Ngoài đông đảo đội ngũ tin tặc do chính phủ hậu thuẫn, Nga đã thành lập những độiquân chiến binh mạng rất thiện chiến

Điển hình trong số này là Đội quân mạng Chiều thứ 5 (Russia 5th-Dimension CyberArmy), thành lập năm 2007 với ngân sách hoạt động hàng năm ước tính lên đến 40 tỷ USD Tiếpđến là Trung tâm An ninh Thông tin, hay còn gọi là Đơn vị Quân sự 64829, có nhiệm vụ giám sát

và bảo vệ mạng lưới Internet của Nga

Tiếp đến là Trung tâm giám sát truyền thông điện tử và Trung tâm quản trị An ninh Thôngtin chịu trách nhiệm đánh chặn, giải mã và xử lý các thông tin liên lạc điện tử Ngoài ra, năm

2013, Tổng thống Putin còn ký Sắc lệnh số 31 về việc thiết lập hệ thống phát hiện, cảnh báo vàkhắc phục hậu quả của các cuộc tấn công mạng nhằm vào cơ sở hạ tầng thông tin nước Nga

Trung Quốc: Ngay từ năm 2010, sách trắng của Trung Quốc đã đề cập tới chiến tranh

mạng và đánh giá cao vai trò của hình thức chiến tranh này

Cũng như Nga, Trung Quốc sử dụng lực lượng đông đảo các tin tặc do chính phủ hậuthuẫn, chưa kể đến hàng loạt các đơn vị chuyên biệt khác.

Điển hình là "Cục Đảm bảo Thông tin" thuộc Bộ Tổng Tham mưu PLA, đóng vai trò nhưmột cơ quan chỉ huy tập trung cho chiến tranh thông tin và có trách nhiệm điều phối các hoạtđộng mạng cho Quân giải phóng Nhân dân Trung Quốc (PLA)

Tiếp theo là các đơn vị chuyên trách như Căn cứ An ninh Thông tin, Đội quân xanh PLA,Lực lượng đặc biệt Cyber Blue Team, Tổng cục 3; Đơn vị Tình báo mạng Axiom, Đội quân mạng

"Hội Honker Trung Quốc", và Ban Chỉ đạo Trung ương về Thông tin và An ninh Internet

Đơn vị 61398 và Đơn vị 61486, vốn nổi tiếng với các vụ tấn công và đột nhập vào hệthống mạng an ninh của Mỹ trực thuộc Tổng cục 3 - bộ phận chuyên phụ trách các vấn đề về giánđiệp không gian mạng và tình báo các tín hiệu

III Một số cuộc chiến tranh thông tin tiêu biểu

"Chiến tranh thông tin của Mỹ - từ Kosovo đến Nam Estonia": trong cuộc chiến ở NamEstonia xảy ra năm 2008, ngoài cuộc đọ súng trên chiến trường, thế giới được chứng kiến mộtcuộc chiến tranh khác có phần còn quyết liệt hơn, gay cấn hơn giữa các bên - đó là cuộc "chiếntranh thông tin" giữa Mỹ và các nước phương Tây với Nga

Cho tới nay, người ta vẫn chưa biết chiến tranh mạng là như thế nào vì đơn giản chúngchưa từng xảy ra Kể cả những cường quốc như Mỹ và Nga có mô phỏng thế nào đi chăng nữa thì

đó cũng chỉ là lý thuyết Giữa lý thuyết và thực tiễn không phải lúc nào cũng khớp với nhau

Nếu như các nguyên tắc tiến hành chiến tranh sử dụng vũ khí công nghệ cao, kể cả vũ khíhạt nhân, người ta có thể hiểu và tính toán được tương đối thì với chiến tranh mạng, mọi thứ vẫncòn mù tịt Trong khi đó, những hậu quả chiến sự trên không gian mạng đang hiện hữu rất rõ

Trong báo cáo phân tích mang tên Ghost Fleet (Binh chủng Ma), hai tác giả Singer vàAugust Cole đã mô tả viễn cảnh xung đột chiến tranh giữa Mỹ, Nga và Trung Quốc, trong đóchiến tranh mạng và chiến tranh điện tử đóng vai trò chính

Ghost Fleet đang là sách gối đầu giường của nhiều quan chức quân đội lớn hiện nay Trong

đó, tác giả nhấn mạnh tới việc nếu thua trên không gian mạng, đối phương sẽ dễ dàng thất bại trêncác mặt trận đường bộ, đường biển và đường không

Chỉ có 4 khả năng mà một quốc gia có thể thực hiện trên không gian mạng, đó là: thu thập,đánh cắp, cô lập và thay đổi thông tin Thực tế, việc này đang diễn ra nhưng chưa lớn ở quy mô

có thể coi là chiến tranh mạng

Các cuộc xung đột không gian mạng trong tương lai sẽ là dạng thức kết hợp như vậy.Chẳng hạn, Trung Quốc đã tìm cách thu thập và đánh cắp thông tin về các dự án quân sự tuyệtmật của Mỹ, trong đó có chiến đấu cơ F-35, để có thể phát triển phiên bản cạnh tranh tương tự.

Trong khi đó, khái niệm cô lập giống như việc ngăn chặn thông tin – hay nói cụ thể hơnchính là tấn công từ chối dịch vụ đánh sập website hoặc phá hủy các dịch vụ trên web

Còn thay đổi thông tin giống như việc phát động tấn công mạng gây ra thiệt hại nghiêmtrọng trên thực tế Ví dụ sống động nhất chính là sâu Stuxnet, được Mỹ và Israel sử dụng để tấncông hệ thống hạt nhân của Iran Stuxnet đã xóa sổ một lượng lớn máy ly tâm của Iran và theonhư lời Hillary Clinton, nó đã làm chậm chương trình phát triển hạt nhân của Iran tới vài năm

Cho tới nay, hành động chiến tranh mạng thực sự duy nhất được xác nhận là việc tung

“virus quân sự” Stuxnet có khả năng phá hủy hạ tầng vào mạng của Iran Điều thú vị là bản thânviệc phát triển và sử dụng virus này được bà Hillary Clinton, khi đó là ngoại trưởng Mỹ, tiết lộvào năm 2011

Thế rồi 5 năm sau, chính Hillary Clinton lại trở thành nạn nhân trong vụ tấn công đột nhậpvào hệ thống máy tính Đảng Dân chủ Thủ phạm không ai khác là tin tặc Nga, được phỏng đoán

là nhóm Fancy Bears thuộc Tổng cục Tình báo - Bộ Tổng tham mưu quân đội Nga (GRU), vànhóm Cozy Bears thuộc Cơ quan An ninh liên bang Nga (FSB)

Stuxnet có lẽ chỉ là quá khứ bởi chiến tranh mạng tương lai sẽ sử dụng những dạng thức

"vũ khí" khác, và phần mềm độc hại (malware) chính là một trong số đó để phá hoại và ngănchặn tất cả hệ thống mạng của đối phương

Viễn cảnh này đang trở thành thực tế với Ukraine Nhiều website chính phủ, các dịch vụngân hàng, tài chính từ nhà nước tới quân đội đang bị cô lập Thông tin không thể chuyển đi, chỉhuy không thể ra lệnh cho các đơn vị đang hoạt động bên ngoài Đơn giản là họ đã bị chặn đứngthông tin, hay nói cách khác họ đã bị bao vây

Một câu chuyện khác rất đáng chú ý đó là vụ Israel đánh bom các cơ sở hạt nhân của Iran.Israel gọi chiến dịch ném bom bí mật này là "Operation Orchard" diễn ra năm 2007 Khi đó Israel

đã hack vào hệ thống radar của Iran, chèn vào đó các thông tin sai lệnh khiến radar trông có vẻhoạt động bình thường nhưng thực tế nó đã bị đối phương kiểm soát

Trước đây, nếu muốn ném bom các mục tiêu khó ở sâu trong lãnh thổ đối phương, sẽ cầntới các tiêm kích đặc biệt để "dọn đường" cho máy bay ném bom Nhưng Israel lại không làmnhư vậy Thay vào đó, nước này sử dụng một dạng "cổng hậu" (backdoor) có tên "kill switch" đểtấn công hệ thống radar đối phương, cho phép máy bay tiến vào lãnh thổ Iran như chỗ khôngngười

IV Tấn công DDoS (Distributed Denial of Service)

(Phần này được trình bày cụ thể trong phần sau)

V Mạng Botnet

1 Botnet là gì?

Botnet là các mạng máy tính được tạo lập từ các máy tính mà hacker có thể điều khiển từ

xa Các máy tính trong mạng botnet là máy đã bị nhiễm malware và bị hacker điều khiển Mộtmạng botnet có thể có tới hàng trăm ngàn, thậm chí là hàng triệu máy tính

Nếu máy tính nào đó là 1 thành phần trong mạng botnet, có nghĩa là nó đã bị nhiễm 1trong số các loại malware (như virus, sâu máy tính ) Hacker tạo ra mạng này sẽ sử dụng, điềukhiển hàng trăm ngàn máy tính của nạn nhân để phục vụ cho mục đích riêng của chúng

Người dùng máy tính có nguy cơ bị trở thành nạn nhân của mạng botnet tương tự nhưcách họ bị lây nhiễm malware Ví dụ như khi người dùng sử dụng 1 phần mềm đã không cònđược cập nhật các bản vá lỗi bảo mật, sử dụng các plugin có nguy cơ bị tấn công cao như Java,khi download các phần mềm lậu

2 Mục đích của Botnet

Botnet có thể được dùng cho nhiều

mục đích khác nhau Do mạng botnet là một

mạng tập hợp của rất rất nhiều máy tính, nên

hacker có thể dùng bonet để thực hiện các

cuộc tấn công từ chối dịch vụ (DDoS) vào

một máy chủ web nào đó Theo đó, hàng

trăm ngàn máy tính sẽ "dội bom", truy cập

vào một website mục tiêu tại cùng 1 thời

điểm, khiến cho lưu lượng truy cập vào site

đó bị quá tải Hậu quả là nhiều người dùng

khi truy cập vào website đó thì bị nghẽn

mạng dẫn tới không truy cập được

Hình 1: Mô hình điều khiển mạng máy tính của harker thông quabotnet

Botnet cũng có thể được dùng để gửi mail spam Lợi dụng vàomạng các máy tính "ma" này, spammer có thể tiết kiệm được khá nhiềuchi phí cho hoạt động spam kiếm tiền của mình Ngoài ra, botnet cũngđược dùng để tạo các "click gian lận" - hành vi tải ngầm 1 website nào đó mà kẻ tấn công đãchuẩn bị sẵn, và click và các link quảng cáo từ đó đem lại lợi nhuận về quảng cáo cho hacker

Botnet cũng được dùng để đào Bitcoin nhằm đem lại tiền bán bitcoin cho kẻ tấn công.Thông thường một máy tính của cá nhân khó có thể được dùng để đào Bitcoin, bởi lợi nhuậnmang lại sẽ không đủ để người dùng trả tiền điện mà quá trình đào tiền ảo này tiêu tốn Tuynhiên, bằng cách lợi dụng 1 mạng máy tính quy mô lớn, hacker có thể khai thác và bắt máy tính

của nạn nhân đào bitcoin cho chúng Số bitcoin sẽ được chúng thu về, còn tiền điện thì nạn nhân

sẽ phải trả

Botnet còn được dùng để phát tán malware Khi đã điều khiển được máy tính của nạnnhân, hacker có thể dùng chúng để phát tán các phần mềm độc hại nhằm lây nhiễm cho các máytính khác Từ đó, danh sách nạn nhân sẽ được kéo dài, mạng botnet ngày càng được mở rộng, vàlợi nhuận mà hacker thu được sẽ ngày càng lớn

Hình 2: Sơ đồ hoạt động của mạng Botnet Zero do Symantic công bốMột điểm cũng cần nói tới là những kẻ tạo ra mạng botnet đôi khi không phải để chínhchúng sử dụng Mà trong nhiều trường hợp, chúng tạo ra một mạng botnet ở quy mô lớn nhất cóthể rồi rao bán cho những kẻ khác để kiếm tiền

Hãng bảo mật Symantec từng công bố một sơ đồ về cách hoạt động của mạng botnet nổitiếng có tên ZeroAccess Trong mạng botnet này, 1,9 triệu máy tính trên thế giới đã bị lây nhiễm

để làm công cụ đào bitcoin và click gian lận Hacker đã kiếm được hàng triệu USD mỗi năm từmạng ZeroAccess, còn các nạn nhân phải chịu hơn nửa triệu USD tiền điện mỗi ngày để phục vụchúng

PHẦN II

THE E-COMMERCE SECURITY ENVIRONMENT:

THE SCOPE OF THE PROBLEM (VẤN ĐỀ AN NINH TRONG THƯƠNG MẠI ĐIỆN TỬ)

Vấn đề bảo mật, an ninh trên mạng là một trong những vấn đề nóng hổi trong hoạt độngthực tiễn của Thương mại điện tử

Các cuộc tấn công tin tặc qua mạng ngày càng tăng và càng đa dạng Các nhân tố tác độngđến sự gia tăng tin tặc là sự phát triển mạnh của TMĐT và nhiều lỗ hổng công nghệ của cácwebsite

Một số thống kê:

- Theo thống kê của hãng Symantec: Tội phạm mạng (liên quan đến TMĐT) tăng nhanh

từ năm 2007

- IC3 (Digital Literacy Certification - Tổ chức Tin học thế giới Certiport (Hoa Kỳ)): Đã

xử lý 200.000 khiếu nại về tội phạm trên Internet

- Cuộc khảo sát của CSI (Computer Security Institute - Học viện an ninh máy tính tạiSan Francisco, bang California, Hoa Kỳ) năm 2007: 46% doanh nghiệp được hỏi chobiết năm 2006 các doanh nghiệp có liên quan đến vấn đề an ninh trong TMĐT

- Thị trường nền kinh tế ngầm cung cấp bán hàng thông tin bị đánh cắp đang phát triển

Hình 3: Các loại khiếu nại về tội phạm trên Internet do IC3 cung cấp (2009)

I Các vấn đề an toàn bảo mật cơ bản đặt ra trong TMĐT

Từ góc độ người sử dụng: làm sao biết được Web Server được sở hữu bởi một doanhnghiệp hợp pháp? Làm sao biết được trang web này không chứa đựng những nội dung hay mã

chương trình nguy hiểm? Làm sao biết được Web Server không lấy thông tin của mình cung cấpcho bên thứ 3.

Từ góc độ doanh nghiệp: Làm sao biết được người sử dụng không có ý định phá hoại hoặclàm thay đổi nội dung của trang web hoặc website? Làm sao biết được làm gián doạn hoạt độngcủa server Từ cả hai phía: Làm sao biết được không bị nghe trộm trên mạng? Làm sao biết đượcthông tin từ máy chủ đến user không bị thay đổi?

Hình 4: Các loại tấn công đối với hệ thống máy tính

1 Một số khái niệm về an toàn bảo mật hay dùng trong TMĐT:

- Quyền được phép (Authorization) là quá trình đảm bảo cho người có quyền này đượctruy cập vào một số tài nguyên của mạng;

- Xác thực(Authentication) là quá trình xác thưc một thực thể xem họ khai báo với cơquan xác thực họ là ai;

- Auditing: Qua trình thu thập thông tin về các ý đồ muốn truy cập vào một tài nguyên nào

đó trong mạng bằng cách sử dụng quyền ưu tiên và các hành động ATBM khác;

- Sự riêng tư: (Confidentiality/privacy) là bảo vệ thông tin mua bán của người tiêu dùng;

- Tính toàn vẹn (Integrity): Khả năng bảo vệ dữ liệu không bị thay đổi Không thoái thác

- Khả năng không thể từ chối các giao dịch đã thực hiện (Nonrepudiation)

Các vấn đề an toàn bảo mật của một website TMĐT Có rất nhiều giải pháp công nghệ vàkhông công nghệ để đảm bảo an toàn bảo mật trên mạng Một trong giải pháp quan trong ứngdụng trong TMĐT là sử dụng kỹ thuật mật mã và các giao thức bảo mật

2 Cơ chế mã hoá

Để đảm bảo an toàn bảo mật cho các giao dịch, người ta dùng hệ thống khoá mã và kỹthuật mã hoá cho các giao dịch TMĐT Mã hoá là quá trình trộn văn bản với khoá mã tạo thànhvăn bản không thể đọc được truyền trên mạng Khi nhận được bản mã, phải dùng khoá mã để giảithành bản rõ Mã hoá và giải mã gồm 4 thành phần cơ bản:  Văn bản rõ – plaintext  Văn bản

đã mã – Ciphertext  Thuật toán mã hoá - Encryption algorithm  Khoá mã – Key - là khoá bímật dùng nó để giải mã thông thường Mã hoá là tiền đề cho sự thiết lập các vấn đề liên quan đếnbảo mật và an ninh trên mạng

Có hai phương pháp mã hoá phổ biến nhất: phương pháp mã đối xứng (khoá riêng): dùng

để mã và giải mã điện rõ, cả người gửi và người nhận đều sử dụng văn bản

Mã hoá dùng khoá riêng Mã ko đối xứng (mã công cộng): sử dụng một cặp khoá: côngcộng và riêng, khoá công cộng để mã hoá và khoá riêng để giải mã Khi mã hoá người ta dùnghai khoá mã hoá riêng rẽ được sử dụng Khoá đầu tiên được sử dụng để trộn các thông điệp saocho nó không thể đọc được gọi là khoá công cộng Khi giải mã các thông điệp cần một mã khoáthứ hai, mã này chỉ có người có quyền giải mã giữ hoặc nó được sử dụng chỉ bởi người nhận bứcthông điệp này, khoá này gọi là khoá riêng

Ðể thực hiện các công việc mã hoá và giải mã, cần một cơ quan trung gian giữ các khoáriêng, đề phòng trường hợp khoá này bị mất hoặc trong trường hợp cần xác định người gửi hoặcngười nhận Các công ty đưa ra các khoá mã riêng sẽ quản lý và bảo vệ các khoá này và đóng vaitrò như một cơ quản xác định thẩm quyền cho các mã khoá bảo mật

3 Chứng thực số hoá

Chứng thực số để xác nhận rằng người giữ các Name : “Richard” khoá công cộng và khoáriêng là ai đã đăng key-Exchange Key Cần có cơ quan trung gian để xác thực Signature Key.Chứng thực có các cấp độ khác nhau

Không phải tất cả các mã khoá riêng hay các chứng chỉ số hoá đều được xây dựng nhưnhau Loại đơn giản nhất của giấy chứng chỉ hoá được gọi là chứng nhận Class 1, loại này có thể

dễ dàng nhận khi bất kỳ người mua nào truy nhập vào WEB site của VeriSign(www.verisign.com) Tất cả những cái mà doanh nghiệp phải làm là cung cấp tên, địa chỉ và địachỉ e-mail, sau khi địa chỉ e-mail được kiểm tra, sẽ nhận được một giấy chứng nhận số hoá

Các chứng nhận Class 2 yêu cầu một sự kiểm chứng về địa chỉ vật lý của doanh nghiệp.

Ðể thực hiện điều này các công ty cung cấp chứng nhận sẽ tham khảo cơ sở dữ liệu của Equifaxhoặc Experian trong trường hợp đó là một người dùng cuối và Dun&Bradstreet trong trường hợp

đó là một doanh nghiệp Quá trình này giống như là một thẻ tín dụng

Mức cao nhất của một giấy chứng nhận số hoá được gọi là chứng nhận Class 3 Có thểxem nó như là một giấy phép lái xe Ðể nhận được nó doanh nghiệp phải chứng minh chính xácmình là ai và phải là người chịu trách nhiệm Các giấy phép lái xe thật có ảnh của người sở hữu

và được in với các công nghệ đặc biệt để tránh bị làm giả

Các giấy chứng nhận Class 3 hiện chưa được chào hàng, tuy nhiên các công ty hoạt độngtrong lĩnh vực an toàn và bảo mật đã mường tượng ra việc sử dụng nó trong tương lai gần cho cácvấn đề quan trong như việc đàm phán thuê bất động sản qua WEB hoặc vay vốn trực tuyến Nócũng có thể được sử dụng như là các chứng nhận định danh hợp pháp hỗ trợ việc phân phát cácbản ghi tín dụng hoặc chuyển các tài liệu của toà án

Hiện tại các biểu mẫu thu nhận thông tin thanh toán trên WEB thường đạt chứng nhận antoàn và bảo mật Class 1, nhưng hiện tại một số cửa hàng trên WEB cũng đã đạt mức an toàn vàbảo mật Class 2 và khách hàng cũng đã bắt đầu nhận được chúng thông qua một công nghệ đượcgọi là SET

4 Một số giao thức bảo mật thông dụng

4.1 Cơ chế bảo mật SSL (Secure Socket Layer) Về mặt lý thuyết rất nhiều công ty có thể

đóng vai trò như một cơ quan chứng thực thẩm quyền VeriSign Inc (www.verisign.com), là công

ty cung cấp dịch vụ về chứng thực số dẫn đầu tại Mỹ Công ty này sử dụng bản quyền về côngnghệ từ RSA Inc (www.rsa.com) RSA giữ đăng ký sáng chế về công nghệ mã khoá riêng/côngcộng được giới thiệu vào năm 1976 củaWhitfield Diffie và Martin Hellman và nó được chuyểngiao cho VeriSign vào năm 1995 cho dù các công ty khác cũng giữ quyền sử sử dụng nó Để bảomật, doanh nghiệp phải mua một khoá riêng từ VeriSign thu phí 349 USD/năm cho một WEB sitethương mại với một khoá bảo mật như vậy và phí để bảo dưỡng hàng năm là 249 USD, doanhnghiệp có thể mua thêm khoá bảo mật với mức giá tương đương Sau khi máy chủ nhận được mộtkhoá mã bảo mật, việc tiếp nhận một đơn đặt hàng trở nên đơn giản Ðiểm nổi bật của SSL ta cóthể ngay lập tức tạo một trang HTML với các biểu mẫu để khách hàng cung cấp thông tin về họtrong lúc giao dịch, và đảm bảo rằng các thông tin này được bảo mật và mã hoá khi được gửi đitrên Internet

Sau khi các thông tin mà khách hàng nhập vào các biểu mẫu trên trang WEB hiển thị trêntrình duyệt của họ đước mã hoá với SSL nó được gửi đi trên Internet một cách an toàn Trongthực tế khi người sử dụng truy nhập vào các trang WEB được hỗ trợ bởi SSL, họ sẽ thấy một biểutượng như một chiếc khoá ở thanh công cụ bên dưới chương trình

4.2 Cơ chế bảo mật SET Tiêu chuẩn bảo mật mới nhất trong thương mại điện tử là SET

(Secure Electronic Transaction - Giao dịch điện tử an toàn), được phát triển bởi một tập đoàn cáccông ty thẻ tín dụng lớn như Visa, MasterCard và American Express, cũng như các nhà băng, cáccông ty bán hàng trên mạng và các công ty thương mại khác SET có liên quan với SSL do nócũng sử dụng các khoá công cộng và khoá riêng với khoá riêng được giữ bởi một cơ quan chứngnhận thẩm quyền

Không giống như SSL, SET đặt các khoá riêng trong tay của cả người mua và người bántrong một giao dịch Ðiều đó có nghĩa là một người sử dụng thông thường cần các khoá riêng của

họ và cần phải đăng ký các khoá này cũng giống như các máy chủ phải làm

Khi một giao dịch SET được xác nhận quyền xử dụng, mã khoá riêng của người sử dụng

sẽ thực hiện chức năng giống như một chữ ký số, để chứng minh cho người bán về tính xác thựccủa yêu cầu giao dịch từ phía người mua và các mạng thanh toán công cộng Trong thực tế nógiống như là việc ký vào tờ giấy thanh toán trong nhà hàng Chữ ký số chứng minh là ta đã dùngcác chính và chấp nhận hoá đơn Do người mua không thể thoát ra khỏi một giao dịch SET, đểkhiếu nại về việc họ không mua hàng nên các giao dịch SET theo lý thuyết sẽ chạy qua các hệthống thanh toán giống như ta mua hàng ở thiết bị đầu cuối tại các cửa hàng bách hoá thực phẩm

II Bảo mật an toàn thông tin trong thương mại điện tử

Sự gia tăng của các website thương mại điện tử trong những năm gần đây đã kéo theohàng loạt các vấn đề bảo mật trong thương mại điện tử, trong đó có 3 vấn đề về bảo mật màngành thương mại điện tử đang phải đối đầu với nhiều thách thức thật sự và từng bước khắcphục, hạn chế ở mức độ tốt nhất có thể

1 Vấn đề về bảo mật sự riêng tư

Sự riêng tư bị xâm phạm là một trong những vấn đề phức tạp nhất mà các doanh nghiệpthương mại điện tử phải đối mặt Nếu không bảo mật quyền riêng tư tốt cho khách hàng, cáchacker có thể thu thập thông tin website, dữ liệu nhân viên, khách hàng và đánh cắp Gần đâynhất vào cuối tháng 3 năm 2017, một số vụ đánh cắp tài khoản của khách hàng đã diễn ra khi cáchacker mạo danh là bên thứ 3 và mua hàng tại website thương mại điện tử Amazon

Hiện tại, bất kỳ rủi ro nào cũng có thể xảy ra dưới hình thức giao dịch thương mại điện

tử nằm trong tay nhà cung cấp Ví dụ: PayPal, Amazon, Tiki, Lazada hoặc các công ty thẻ tíndụng

Có một thực tế rằng, người tiêu dùng trực tuyến đều biết rằng nhiều trang web đang thuthập và lưu trữ thông tin cá nhân của họ Đôi khi họ sợ hãi vì nếu dữ liệu cá nhân của họ bị rơivào tay kẻ xấu, họ có thể bị mạo danh và có thể bị mất tiền trong giao dịch, mất tiền trong thẻngân hàng, thẻ tín dụng

Giải pháp để khắc phục vấn đề bảo mật website thương mại điện tử bắt buộc trong trườnghợp này là bảo mật dữ liệu cá nhân của khách hàng cũng như số thẻ tín dụng, mật khẩu an toàn100%.

2 Sự từ chối các dịch vụ (DoS)

Các cuộc tấn công DoS và DDoS là một vấn đề nghiêm trọng mà các doanh nghiệp, tổchức, ngành TMĐT đã và đang phải đối mặt hàng ngày Nạn nhân của các vụ tấn công này lànhằm vào những đối tượng trên mà SecurityBox vừa nói ngay trên Chúng chỉ nhằm vào những

tổ chức lớn có nhiều tiền

Khi bị tấn công DoS hay DDoS, hàng loạt các yêu cầu về giao dịch, dịch vụ đều bị từ chối,

Và trong thời gian ngắn, hệ thống mạng trở nên chậm đến “nghẹt thở” và người dùng khó lòng cóthể truy cập vào website đó hoặc khó tiếp tục giao dịch tiếp

3 Tấn công lừa đảo (Phishing)

Phishing là hình thức lừa đảo mà hacker thiết lập một trang web giống như một bản saocủa trang web thương mại điện tử, website gốc và sau đó ăn cắp dữ liệu bí mật từ cá nhân hoặc tổchức

Một khi các thông tin xác thực cá nhân của nạn nhân được xác thực khi người dùng gõvào, hacker có thể sử dụng thông tin này để lấy cắp danh tính của họ

Hacker có thể truy cập thông qua các lỗ hổng bảo mật trong các giao diện quản lý từ xacủa trang web Khi website đã bị tấn công, hacker sẽ thay đổi website làm cho trang web khôngthể sử dụng được sau đó

Qua nhiều năm, hình thức tấn công phishing lừa đảo này đã ảnh hưởng tiêu cực đến sự tintưởng và mối quan hệ giữa khách hàng và nhà cung cấp trực tuyến

Trong tương lai, ngành công nghiệp liên quan đến thương mại điện tử đang phải đối mặtvới thách thức khó lường về các vấn đề bảo mật thương mại điện tử, an toàn thông tin Các tộiphạm cyber đang trở nên ngày càng có tay nghề cao trong những vụ lừa đảo và bất kỳ lúc nào sựtấn công đều có thể xảy ra

4 Tại sao phải cần đến dịch vụ an ninh mạng?

Hiện tại, thế giới đang chứng kiến ngày càng nhiều vụ tấn công mạng với những hậu quảkhó lường: thậm chí, ngay cả một cậu bé mới chỉ 15 tuổi đã tấn công được website sân bay TânSơn Nhất; việc tấn công các ngân hàng lớn ở Hà Lan vào ngày 28/01/2018, … Việt Nam và thếgiới đang phải “gồng mình” để chống lại những vụ tấn công mạng trong tình thế cấp bách hơnbao giờ hết

Vậy tại sao phải cần đến dịch vụ bảo mật an ninh mạng? Trên thực tế các hacker có thể tấncông bất kỳ website, phần mềm, ứng dụng và thiết bị IoT nào Nhưng chủ yếu, các hacker sẽngắm vào những đối tượng có thể mang lại lợi lớn, số tiền cho chúng

Trong đó, số vụ tấn công mạng rơi vào nhiều nhất là các ngành: ngân hàng, ngành hàngkhông, ngành giao dịch, thương mại điện tử, ngành tài chính, cơ quan nhà nước, những websitehoặc các kênh của người nổi tiếng Và tất nhiên không phải ngành nào cũng có thể trang bị tốtcho mình kiến thức, kỹ năng về an ninh mạng chuyên sâu Do đó, không chỉ riêng một tổ chức,doanh nghiệp nào mà tất cả đều phải cần tới dịch vụ an ninh mạng chuyên nghiệp, có thể khắcphục, ứng cứu sự cố và tư vấn giải pháp mọi lúc, mọi nơi.

5 Một số giải pháp về vấn đề an ninh thương mại điện tử

Hình 5: Một số giải pháp về an ninh thương mại điện tửVấn đề được đặt ra để trả lời câu hỏi làm thế nào để đạt được mức độ bảo mật cao nhấttrong thương mại điện tử, các chuyên gia về an ninh luôn khuyến cáo thực hiện một số nộidung:

- Sử dụng các công nghệ mới nhất có thể (New technologies)

- Cần ban hành các thủ tục, chính sách về an ninh thương mại điện tử phù hợp và luôn cậpnhật theo từng thời điểm

- Mỗi quốc gia cần xây dựng hành lang pháp lý phù hợp về vấn đề thương mại điện tử nóiriêng tại quốc gia mình dựa trên cơ sở chung của thế giới đồng thời xây dựng các tiêu chuẩn, quyđịnh cụ thể về thương mại điện tử

Một số yếu tố khác:

- Giá trị tiền tệ theo thời gian

- Các chi phí cho vấn đề bảo mật an toàn an ninh thương mại và những tổn thất tiềm ẩn

- Vấn đề an ninh và bảo mật yếu kém dễ bị phá vỡ

Hình 6: Quan điểm của khách hàng và nhà cung cấp dịch vụ về khía cạnh khác nhau

trong bảo mật Thương mại Điện tử

PHẦN III

THE TENSION BETWEEN SECURITY AND OTHER VALUES (XUNG ĐỘT GIỮA AN NINH THƯƠNG MẠI ĐIỆN TỬ

VÀ CÁC GIÁ TRỊ KHÁC)

I Các vấn đề ảnh hưởng đến an toàn thông tin TMĐT

Rất nhiều yếu tố ảnh hưởng đến bảo mật thương mại điện tử, trong đó có nhiều câu hỏi đặt

Như trình bày trong Phần 2, vấn đề bảo mật và an toàn thông tin trong TMĐT là một vấn

đề hết sức quan trọng trong giao dịch TMĐT

Song song với việc làm thế nào để đảm bảo, an toàn an ninh tốt nhất trong TMĐT, các hệthống TMĐT cũng cần phải đảm bảo các giá trị khác trong TMĐT

II Các vấn xung đột:

- An toàn nhưng dễ sử dụng Các biện pháp bảo mật an ninh được thêm vào, trang web khó

sử dụng hơn và nó trở nên chậm hơn

Việc thắt chặt an ninh càng cao dẫn đến sự đối lập với các đặc tính dễ sử dụng và tính tiệnlợi của TMĐT

- Sử dụng công nghệ của tội phạm để lên kế hoạch phạm tội hoặc đe dọa an toàn an ninhtầm quốc gia

III Các điểm yếu về kỹ thuật trong vấn đề an ninh

Ba điểm yếu cơ bản trong vấn đề bảo mật an toàn thông tin:

 Từ máy tính của người dùng;

 Từ các máy chủ;

 Từ môi trường truyền thông;

Hình 7.1: Các điểm yếu dễ bị tấn công trong một giao dịch Thương mại Điện tử

Hình 7.2: Các điểm yếu dễ bị tấn công trong một giao dịch Thương mại Điện tử (Nguồn:

Boncella, 2000)

PHẦN IV

MOST COMMON SECURITY THREATS IN THE E-COMMERCE ENVIRONMENT

(NHỮNG NGUY CƠ THƯỜNG GẶP TRONG MÔI TRƯỜNG

THƯƠNG MẠI ĐIỆN TỬ HIỆN NAY)

I Hiện trạng an toàn thông tin trong thương mại điện tử

Tháng 01 năm 2017, Thủ tướng chính phủ đã phê duyệt Đề án thanh toán không dùng tiềnmặt giai đoạn 2016 đến 2020, tiền đề quan trọng cho phát triển giao dịch trực tuyến Vì vậy, vấn

đề an toàn an ninh thông tin khi giao dịch rất quan trọng Tỉ lệ giao dịch trực tuyến ngày càngtăng, ngành thương mại điện tử thể hiện rõ nhất điều đó khi doanh số trong lĩnh vực này đạt hơn

4 tỉ USD và tăng trưởng 37% trong năm 2015 (theo báo cáo TMDT của Bộ Công Thương) Giátrị thanh toán ngày càng tăng thì nhu cầu bảo vệ dữ liệu người dùng, đảm bảo giao dịch an toàncàng cấp thiết

Tại Trung Quốc, theo con số của Cục thống kê quốc gia, giá trị giao dịch thương mại điện

tử hơn 589 tỉ USD (năm 2015), gấp đôi Hoa Kỳ Trong đó, sàn giao dịch thương mại điện tửTaobao và TMall của công ty Alibaba dẫn đầu thị trường Trung Quốc với hơn 80% thị phần Đầunăm 2016, thị trường đã chứng kiến một cuộc tấn công mạng cực lớn vào nền tảng Taobao nhằmcung cấp sai lệch thông tin của các cửa hàng sử dụng nền tảng C2C này Dựa trên các chứng cứ

có được thì từ tháng 10 năm 2015 đến tháng 2 năm 2016, nhóm tấn công đã sử dụng hơn 100triệu tài khoản (gồm địa chỉ email và mật khẩu) lấy cắp từ nhiều nguồn khác nhau để thử đăngnhập vào Taobao và đã có hơn 20 triệu tài khoản đăng nhập thành công (~1/5 dân số Việt Nam).Các tài khoản này, sau đó, được chúng sử dụng tạo thành lượng dữ liệu khổng lồ giả mạo giá thầu(bidding), cung cấp sai nội dung nhận xét (review),…

Trong trường hợp này, tấn công mạng lấy trộm tài khoản và sự thiếu chặt chẽ trong cấuhình nền tảng Taobao đã gây ra hàng loạt thông tin sai lệch, dẫn đến người mua hàng đánh giá sailầm, nhận được nhiều sản phẩm chất lượng không như mong đợi

Hoa Kỳ là quốc gia có nền thương mại điện tử phát triển từ lâu so với mặt bằng chung củathế giới Thương mại điện tử tại Hoa Kỳ là mục tiêu tấn công mạng béo bở từ nhiều năm nay.Năm 2014 và 2015, liên tục trong 2 năm, hai hãng bán lẻ và trực tuyến hàng đầu của Hoa Kỳ làTarget và HomeDepot đã bị tin tặc tấn công Với trường hợp Target, tin tặc đã lợi dụng nhà cungcấp dịch vụ của Target (third-party) để lây nhiễm mã độc và tiến hành lây lan vào các hệ thốngquan trọng phía sau, trong đó có hệ thống máy quẹt thẻ POS Sự việc được phát hiện khi mộtlượng lớn dữ liệu thẻ của người dùng bị rao bán trên chợ đen Theo thống kê thiệt hại, hơn 40triệu dữ liệu thẻ của người dùng (mã thẻ, ngày hết hạn, CVV,…) đã bị đánh cắp Sự việc dẫn đến

khủng hoảng nghiêm trọng tại Target và là nguyên nhân mà CEO của chuỗi bán lẻ này buộc phải

từ chức

Gần đây nhất, tháng 12 năm 2016, Yahoo, một trong những hãng công nghệ Internet lâuđời và nổi tiếng thế giới đã đưa ra thông báo gây sốc, hơn một tỉ chủ tài khoản thư điện tử củahãng này đã bị mất dữ liệu: tên, địa chỉ email, mật khẩu (đã mã hóa),… Sự kiện này tác động dâychuyền nghiêm trọng vì rất nhiều người sử dụng cùng tài khoản để đăng nhập các trang thươngmại điện tử

Tại Việt Nam, thị trường thương mại điện tử còn non trẻ nhưng có tốc độ phát triển nhanhchóng, theo báo cáo mới nhất thì tốc độ tăng trưởng của Việt Nam gấp đôi Nhật bản (37% so với15%) Đến thời điểm hiện tại, Việt Nam chưa có con số thống kê chính thức về tình hình an toànthông tin trong lĩnh vực thương mại điện tử Các đơn vị kinh doanh dựa trên thương mại điện tửcũng không cung cấp thông tin chính thức về mất mát dữ liệu nếu có

Tuy vậy, điều đó không có nghĩa kinh doanh thương mại điện tử ở Việt Nam an toàn Hoạtđộng nhiều năm trong lĩnh vực an toàn thông tin, Công ty cổ phần An ninh mạng Việt Nam đãnhận được nhiều yêu cầu hỗ trợ từ các tổ chức kinh doanh thương mại điện tử Yêu cầu hỗ trợphổ biến nhất là hạn chế tấn công DoS/DDoS, loại hình tấn công này không làm mất dữ liệungười dùng nhưng khiến cho công việc kinh doanh bị thiệt hại do ngưng trệ hệ thống và khôngthể phục vụ khách hàng

Các công ty cung cấp dịch vụ trực tuyến 24/7 thường gặp tấn công này như: bán vé trựctuyến, đặt chỗ khách sạn,… Các tìm hiểu chuyên sâu hơn cho thấy nhiều rủi ro nghiêm trọng vềthương mại điện tử tồn tại từ lâu và rất có thể đã bị kẻ xấu lợi dụng

Ngay trong năm 2016, ví dụ nổi bật về sự nguy hiểm của tấn công mạng đó là vụ việcmạng lưới của Cảng Hàng Không và Vietnam Airlines bị tấn công Kẻ tấn công đã thực hiệnnhiều cách thức khai thác lỗ hổng, cài mã độc vào trong hệ thống thông tin từ rất lâu trước khibùng nổ (theo số liệu chính thức là từ năm 2014) thay đổi giao diện, lấy cắp dữ liệu khách hàng.Mặc dù sự cố này không liên hệ trực tiếp tới lĩnh vực thương mại điện tử nhưng cũng cho thấy sựnguy hiểm của tấn công mạng khi kẻ xấu đã âm thầm lợi dụng các lỗ hổng bảo mật để trục lợi màdoanh nghiệp không hề hay biết Sự cố khác gần gũi hơn là đầu tháng 11 năm 2016, một hệ thốngcon của VietnamWorks.com đã bị tấn công dẫn tới thông tin hàng nghìn tài khoản bị lộ Nhiều tàikhoản ở đây được người dùng sử dụng chung với các dịch vụ khác, dẫn đến một số ngân hàng đãphải gửi cảnh báo đến toàn bộ khách hàng về việc đổi mật khẩu tài khoản

II Những nguy cơ đe dọa môi trường thương mại điện tử hiện nay

1. Những mối nguy cơ đe dọa

- Các đoạn mã nguy hiểm (malicious code): gồm nhiều mối đe dọa khác nhau như các loạivirus, worm

- Tin tặc (hacker) và các chương trình phá hoại (cybervandalism).

- Nghe trộm, giám sát sự di chuyển của thông tin trên mạng Xem lén thư điện tử là sửdụng các đoạn mã ẩn bí mật gắn vào một thông điệp thư điện tử, cho phép người xem lén có thểgiám sát toàn bộ các thông điệp chuyển tiếp được gửi đi với thông điệp ban đầu

1.1. Malicious Code (Malware, Viruses, Worms, Trojans, …)

Theo Science ABC, Malware là một loại phần mềm (một đoạn mã) được viết để lây nhiễmhoặc gây tổn hại cho hệ thống mà nó xâm nhập vào (ví dụ: hệ thống máy chủ)

Đó chỉ đơn giản là một thuật ngữ chung được sử dụng để đề cập đến một loạt các loại phầnmềm thâm nhập hoặc phá hoại, có ảnh hưởng xấu đến hiệu suất hệ thống của người dùng

Malware có thể có nhiều mục đích Nó có thể được dùng để do thám hoặc đánh cắp thôngtin từ hệ thống của bạn, làm tổn hại đến máy tính, hoặc để tống tiền Malware sẽ trở nên nguyhiểm hơn khi nó thường xuyên được giấu trong các tập tin vô hại thông thường Malware có thểbao gồm Viruses, Adware, Nagware, Spyware, Worms, Trojan horses, và rất nhiều loại phần mềmđộc hại khác Điều này có nghĩa Virus và Trojan horse là hai loại hình trực thuộc Malware Dovậy, nếu bạn muốn phân biệt malware và virus, nó giống như việc chúng ta phân biệt giữa "vũkhí" và "khẩu súng"

Theo wikipedia định nghĩa thì phần mềm độc hại là một thuật ngữ dùng để chỉ các hìnhthức phần mềm độc hại hoặc xâm nhập, bao gồm virus máy tính, sâu, Trojan, Ransomware,Spyware, Adware, Scareware và các chương trình độc hại khác Nó có thể dưới dạng mã thực thi,các kịch bản, nội dung hoạt động và các phần mềm khác

Phần mềm độc hại được xác định bởi ý định độc hại của nó, hành động chống lại các yêucầu của người dùng máy tính - và do đó không bao gồm phần mềm gây ra thiệt hại không chủ ý

do thiếu một số Các chương trình cung cấp chính thức bởi các công ty có thể được coi là phầnmềm độc hại nếu họ bí mật hành động chống lại lợi ích của người dùng máy tính

Một ví dụ là Sony rootkit, một con ngựa Trojan được nhúng vào đĩa CD do Sony cung cấp,

âm thầm cài đặt và che giấu bản thân trên máy tính của người mua với ý định ngăn chặn việc saochép bất hợp pháp; nó cũng báo cáo thói quen lắng nghe của người dùng và vô tình tạo ra các lỗhổng đã bị khai thác bởi các phần mềm độc hại không liên quan

Phần mềm chống virus và tường lửa được sử dụng để bảo vệ chống lại các hoạt động độchại, và để phục hồi từ các cuộc tấn công.

Nhiều chương trình truyền nhiễm sớm, bao gồm cả Internet Worm đầu tiên, đã được viếtnhư các thí nghiệm hoặc pranks Ngày nay, phần mềm độc hại được sử dụng bởi cả tin tặc mũđen lẫn chính phủ, nhằm ăn cắp thông tin cá nhân, tài chính hoặc kinh doanh

Phần mềm độc hại đôi khi được sử dụng rộng rãi chống lại các trang web của chính phủhoặc các trang web của công ty để thu thập thông tin được bảo vệ hoặc để làm gián đoạn hoạtđộng của họ nói chung Tuy nhiên, phần mềm độc hại có thể được sử dụng chống lại cá nhân đểthu thập thông tin như số nhận dạng cá nhân hoặc chi tiết, số thẻ ngân hàng hoặc thẻ tín dụng vàmật khẩu

Kể từ khi tăng truy cập Internet băng thông rộng, phần mềm độc hại thường được thiết kếcho lợi nhuận Kể từ năm 2003, phần lớn các loại virus và sâu đã được thiết kế để kiểm soát máytính của người dùng cho các mục đích bất hợp pháp Các máy tính zombie bị lây nhiễm có thểđược sử dụng để gửi spam email, để lưu trữ dữ liệu lậu như là khiêu dâm trẻ em, hoặc tham giavào các cuộc tấn công từ chối dịch vụ phân tán như một hình thức tống tiền

Các chương trình được thiết kế để giám sát duyệt web của người dùng, hiển thị quảng cáokhông mong muốn, hoặc chuyển hướng doanh thu tiếp thị liên kết được gọi là phần mềm giánđiệp Các chương trình phần mềm gián điệp không lây lan như virus; thay vào đó chúng thườngđược cài đặt bằng cách khai thác các lỗ hổng bảo mật Chúng cũng có thể được ẩn và đóng góicùng với phần mềm do người dùng cài đặt không liên quan

Ransomware ảnh hưởng đến một hệ thống máy tính bị nhiễm một cách nào đó, và yêu cầuthanh toán để đưa nó trở lại trạng thái bình thường Ví dụ, các chương trình như CryptoLocker

mã hóa các tập tin an toàn, và chỉ giải mã chúng khi thanh toán một khoản tiền đáng kể

Một số phần mềm độc hại được sử dụng để tạo ra tiền bằng gian lận nhấp chuột, khiến chongười dùng máy tính đã nhấp vào liên kết quảng cáo trên một trang web, tạo ra khoản thanh toán

từ nhà quảng cáo Theo ước tính vào năm 2012, khoảng 60 đến 70% tất cả các phần mềm độc hạiđang hoạt động đã sử dụng một số loại gian lận nhấp chuột và 22% tất cả các nhấp chuột quảngcáo là giả mạo

Ngoài việc gây ra tiền phạm tội, phần mềm độc hại có thể được sử dụng để phá hoại,thường là vì động cơ chính trị Stuxnet, ví dụ, được thiết kế để phá vỡ các thiết bị công nghiệp rất

cụ thể Đã có các cuộc tấn công chính trị đã lan rộng và đóng các mạng máy tính lớn, bao gồmviệc xóa tập tin dữ liệu và tham nhũng của các bản ghi khởi động chủ, được miêu tả là "giết chếtmáy tính"

Các cuộc tấn công như vậy được thực hiện trên Sony Pictures Entertainment (25 tháng 11năm 2014, sử dụng phần mềm độc hại có tên Shamoon hoặc W32.Disttrack) và Saudi Aramco(tháng 8 năm 2012) Ransomware là một loại phần mềm độc hại từ cryptovirology đe doạ xuất

bản dữ liệu của nạn nhân hoặc cấm truy cập vào nó vĩnh viễn trừ khi được trả tiền chuộc Mặc dùmột số công cụ ransomware đơn giản có thể khóa hệ thống theo cách mà người có kiến thứckhông thể đảo ngược, phần mềm độc hại tiên tiến sử dụng một kỹ thuật gọi là tống số cryptoviral,trong đó mã hóa các tập tin của nạn nhân, làm cho chúng không thể tiếp cận được và yêu cầu mộtkhoản thanh toán tiền chuộc giải mã chúng Trong cuộc tấn công tống tiền của cryptoviral, việcphục hồi các tệp không có khóa giải mã là một vấn đề khó giải quyết - và rất khó để theo dõi cáctiền tệ kỹ thuật số như Ukash và Bitcoin được sử dụng để đòi tiền chuộc, truy tìm và truy tố thủphạm rất khó khăn.

Các cuộc tấn công Ransomware thường được thực hiện bằng cách sử dụng một Trojanđược ngụy trang như là một tập tin hợp pháp mà người dùng bị lừa vào tải hoặc mở khi nó đếnnhư một tập tin đính kèm email Tuy nhiên, một ví dụ điển hình, "con sâu WannaCry", đã dichuyển tự động giữa các máy tính mà không có sự tương tác của người dùng

Bắt đầu từ khoảng năm 2012, việc sử dụng các trò gian lận đã tăng lên trên phạm vi quốc

tế Vào tháng 6 năm 2013, nhà cung cấp McAfee đã phát hành dữ liệu cho thấy họ đã thu thậpđược gấp đôi số lượng các mẫu ransomware trong quý này so với cùng kỳ năm trước.CryptoLocker đã thành công đặc biệt, thu được khoảng 3 triệu đô la Mỹ trước khi nó bị các nhàchức trách đưa ra, và CryptoWall ước tính Cục Điều tra Liên bang Hoa Kỳ (FBI) đã thu được hơn

18 triệu đô la Mỹ vào tháng 6 năm 2015

Các tội phạm sử dụng virus dùng các kỹ thuật lừa đảo kỹ thuật và khai thác kiến thức chitiết về các lỗ hổng bảo mật đối với các hệ thống ban đầu và lây lan virus Phần lớn các virusnhắm mục tiêu các hệ thống đang chạy hệ điều hành Microsoft Windows, sử dụng nhiều cơ chếxâm nhập máy chủ mới và thường sử dụng các chiến thuật chống phát hiện/tàng hình phức tạp đểtránh các phần mềm chống virus Các động cơ để tạo ra virus có thể bao gồm tìm kiếm lợi nhuận(ví dụ như với ransomware), mong muốn gửi một thông điệp chính trị, giải trí cá nhân, để chứngminh rằng có một lỗ hổng trong phần mềm, để phá hoại và từ chối của dịch vụ hoặc chỉ đơn giảnbởi vì họ muốn khám phá các vấn đề an ninh mạng

Virus máy tính hiện đang gây ra thiệt hại kinh tế hàng tỷ đô la mỗi năm, do gây ra sự thấtbại của hệ thống, lãng phí tài nguyên máy tính, làm hư dữ liệu, tăng chi phí bảo trì, vv… Đáp lại,các phần mềm miễn phí, mã nguồn mở các công cụ chống virus đã được phát triển, và một ngànhcông nghiệp phần mềm chống virus đã ra đời, các phần mềm này bán hoặc phân phối phần mềm

chống virus cho người dùng của các hệ điều hành khác nhau Các nhà nghiên cứu bảo mật máytính đang tích cực tìm kiếm những cách thức mới để cho phép các giải pháp chống virus pháthiện có hiệu quả hơn các virus mới xuất hiện, trước khi chúng có đã trở nên phổ biến rộng rãi

Thuật ngữ "virus" thường (nhưng sai lầm) được sử dụng để chỉ các loại phần mềm độc hạikhác "Phần mềm độc hại" bao gồm virus máy tính cùng với nhiều dạng phần mềm độc hại máytính khác như ransomware, spyware, adware, trojan, keylogger, rootkit, bootkits, các trình duyệtđộc hại Helper Object (BHO) và các phần mềm độc hại khác Phần lớn các mối đe dọa phần mềmđộc hại đang hoạt động thực sự là các chương trình Trojan horse hoặc sâu máy tính thay vì virusmáy tính

Thuật ngữ virus máy tính, do Fred Cohen đặt ra vào năm 1985, là một sự nhầm lẫn Virusthường thực hiện một số loại hoạt động có hại trên các máy chủ lưu trữ bị nhiễm bệnh, chẳng hạnnhư chiếm giữ không gian đĩa cứng hoặc thời gian xử lý của CPU, truy cập thông tin cá nhân (ví dụnhư số thẻ tín dụng), làm hỏng dữ liệu, hiển thị chính trị hoặc hài hước các thông báo trên mànhình của người dùng, spam địa chỉ liên lạc qua email, ghi lại các bấm phím, hoặc thậm chí làm chomáy tính vô dụng Tuy nhiên, không phải tất cả các virut mang một "payload" phá hoại và cố gắnggiấu mình - đặc tính xác định của virut là chúng là các chương trình máy tính tự sao chép mà sửađổi các phần mềm khác mà không có sự đồng ý của người dùng

Theo Bkav Virus máy tính là một chương trình phần mềm có khả năng tự sao chép chính

nó từ đối tượng lây nhiễm này sang đối tượng khác (đối tượng có thể là các file chương trình, vănbản, máy tính )

Virus máy tính là do con người tạo ra Quả thực cho đến ngày nay, chúng ta có thể coivirus máy tính như mầm mống gây dịch bệnh cho những chiếc máy tính, chúng ta là những ngườibác sĩ phải luôn chiến đấu với bệnh dịch và tìm ra những phương pháp mới để hạn chế và tiêudiệt chúng Như những vấn đề phức tạp ngoài xã hội, khó tránh khỏi việc có những loại bệnh màchúng ta phải dày công nghiên cứu mới trị được hoặc cũng có những loại bệnh gây ra những hậuquả khôn lường Chính vì vậy, "phòng hơn chống" là phương châm cơ bản và luôn đúng đối vớivirus máy tính

Những virus mới được viết trong thời gian gần đây không còn thực hiện các trò đùa hay sựphá hoại đối máy tính của nạn nhân bị lây nhiễm nữa, mà đa phần hướng đến việc lấy cắp cácthông tin cá nhân nhạy cảm (các mã số thẻ tín dụng) mở cửa sau cho tin tặc đột nhập chiếmquyền điều khiển hoặc các hành động khác nhằm có lợi cho người phát tán virus

1.3. Các chương trình không mong muốn

1.3.1. Spyware

Spyware còn được dùng nguyên dạng Anh ngữ là spyware là một phần mềm máy tính đượccài đặt một cách lén lút lên một máy tính - phần mềm này sau khi được cài đặt có thể cướp mộtphần quyền điều khiển hay thậm chí là chặn đứng mọi họat động của người dùng tương tác với

máy tính, tất cả những hành động này đều không được sự cho phép từ phía người sử dụng CácSpyware được cài đặt trên hệ thống của bạn giống như những chương trình khác nhưng không đểcho người sử dụng biết gì về hoạt động, mục đích cũng như những hậu quả mà nó gây ra.Chứcnăng chính của các phần mềm gián điệp là chuyển về cho những người tạo ra chúng những yêu cầuxác định, chủ yếu phục vụ mục đích quảng cáo và thương mại.

Các điệp viên này thường được “kẹp” chung với các phần mềm miễn phí được kêu gọidownload trên mạng, từ các phần mềm trao đổi giữa máy với máy qua hệ thống peer-to-peer củaKazaa hay The Brigde,… đến những sản phẩm của các nhà sản xuất phần mềm lớn Ngoài ra,chúng ta còn có thể kể đến kỹ thuật đưa điệp viên vào máy của một vài trang web bugs - cáctrang web được cài sẵn những con bọ, sẵn sàng tấn công vào bất kỳ máy tính nào Tuy nhiên, cácđiệp viên loại này dễ thương hơn vì thường thì chúng chỉ có mục đích giúp trang web đếm được

số lượt người truy cập vào

Ngoài các vấn đề nghiêm trọng về đạo đức và tự do cá nhân bị xâm phạm, spyware cònđược sử dụng (đánh cắp) từ máy chủ các tài nguyên của bộ nhớ (memory resource) ăn chặn băngthông khi nó gửi thông tin trở về chủ của các spyware qua các liên kết Internet Vì spyware dùngtài nguyên của bộ nhớ và của hệ thống, các ứng dụng chạy trong nền (background) có thể dẫn tới

hư máy hay máy không ổn định Bởi vì là một chương trình độc lập nên spyware có khả năngđiều khiển các tổ hợp phím bấm (keystroke), đọc các tập tin trên ổ cứng, kiểm soát các ứng dụngkhác như là chương trình trò chuyện trực tuyến hay chương trình soạn thảo văn bản Cài đặt cácspyware mới, đọc các cookie, thay đổi trang chủ mặc định trên các trình duyệt web, cung cấp liêntục các thông tin trở về chủ của spyware, người mà có thể dùng các tin tức này cho quảngcáo/tiếp thị hay bán tin tức cho các chỗ khác Và tệ hại nhất là nó có khả năng ăn cắp mật khẩutruy nhập (login password) cũng như ăn cắp các tin tức riêng tư của người chủ máy (như là số tàikhoản ở ngân hàng, ngày sinh và các con số quan trọng khác) nhằm vào các mưu đồ xấu

Cách hay nhất để phòng chống phần mềm gián điệp là sử dụng một hệ điều hành khôngphải là Windows (như OS X, Linux, v.v.) vì có rất ít phần mềm gián điệp được viết cho những hệđiều hành này Hơn nữa, rất nhiều phần mềm gián điệp được cài đặt dùng ActiveX trong InternetExplorer (IE), cho nên nếu một người dùng một trình duyệt khác như Firefox, Opera, thì họ sẽ bị

ít phần mềm gián điệp hơn

Một số cách phòng chống cho hệ điều hành Windows:

- Sử dụng bản Windows gốc: Một khi xài bản gốc, người dùng không phải lo lắng vềnhững lỗ hổng được tạo ra một cách vô tình hay cố ý của những cracker

- Nên bật chức năng Auto update của hệ điều hành Windows để hệ điều hành có thể tự cậpnhật các bản sửa lỗi

- Phân quyền sử dụng khác nhau với những công việc cụ thể khác nhau Người dùng nêntạo một account windows với quyền vừa đủ để xài các ứng dụng thông thường (đặc biệt không có

quyền cài đặt các phần mềm) và account đó có thể được bảo vệ bởi mật mã hoặc để mở (chongười thân cài chung máy chẳng hạn) Một account khác có nhiều quyền hạn hơn (administrativeaccount) được tạo bởi chính người chủ của máy và chỉ dùng cho các công việc liên quan đến càiđặt phần mềm mới, bảo trì hay nâng cấp máy Account này phải được bảo vệ bằng mật mã (nênđặt mật mã dài trên 8 ký tự, gồm những chữ và số và không có những ký tự bất hợp lệ nào) Nếu

có sự cố nghiêm trọng mà các chương trình diệt virus không thể sửa được, người dùng nên khởiđộng máy trong chế độ "safe mode" (bấm F8 trước khi windows kịp load, chọn "safe mode") vàdùng chức năng "System Restore" để đưa máy bạn trở lại thời điểm trước khi xảy ra "tai nạn"

Trong các bản giao kèo về quyền sử dụng (License Agreement) của các công ty cho tảiphần mềm đôi khi có nói rõ rằng họ sẽ cài spyware chung với phần mềm nhưng các bản giao kèonày thường ít được chúng ta đọc hoàn tất kĩ lưỡng và cũng bởi vì các lưu ý về cài đặt spywarethường nằm trong những đoạn khó thấy (như chữ nhỏ) Do đó, trước khi tải về máy bất kì mộtphần mềm nào hãy đọc kỹ các giao ước này

- Tránh xa các trang web khiêu dâm, nơi luôn cung cấp các tập tin ảnh hay phim ngắn miễnphí Nếu bạn tải các hình ảnh hay đoạn phim này, spyware sẽ theo đó để xâm nhập vào máy củabạn

- Hãy dùng phần mềm chống spyware Quét thường xuyên để loại bỏ spyware Khởi độnglại máy và chạy kiểm tra lại lần nữa sau mỗi lần lại bị nhiễm spyware mới để chống sự tái nhiễm(tickler) Phần mềm chống spyware nổi tiếng trên thị trường là Spy Sweeper

Spyware phần mềm này sau khi được cài đặt có thể cướp một phần quyền điều khiển haythậm chí là chặn đứng mọi họat động của người dùng tương tác với máy tính, tất cả những hànhđộng này đều không được sự cho phép từ phía người sử dụng Ngoài các vấn đề nghiêm trọng

về đạo đức và tự do cá nhân bị xâm phạm, spyware còn sử dụng (đánh cắp) từ máy chủ các tàinguyên của bộ nhớ (memory resource) ăn chặn băng thông khi nó gửi thông tin trở về chủ củacác spyware qua các liên kết Internet Vì spyware dùng tài nguyên của bộ nhớ và của hệ thống,các ứng dụng chạy trong nền (background) có thể dẫn tới hư máy hay máy không ổn định

1.3.2 Tin tặc và các chương trình phá hoại

Tin tặc hay tội phạm máy tính là thuật ngữ dùng để chỉ những người truy cập trái phép vàomột website hay hệ thống máy tính Thực chất mục tiêu của các hacker rất đa dạng Có thể là hệthống dữ liệu của các website thương mại điện tử, hoặc với ý đồ nguy hiểm hơn chúng có thể sửdụng các chương trình phá hoại (cybervandalism) nhằm gây ra các sự cố, làm mất uy tín hoặcphá huỷ website trên phạm vi toàn cầu Ví dụ như ngày 01/04/2001, tin tặc đã sử dụng chươngtrình phá hoại tấn công vào các máy chủ có sử dụng phần mềm Internet Information Server củaMicrosoft nhằm làm giảm uy tín của phần mềm này và rất nhiều nạn nhân như hãng hoạt hìnhWalt Disney, Nhật báo phố Wall …đã phải gánh chịu hậu quả

1.4 Gian lận thẻ tín dụng(Credit Card Fraud)

Trong thương mại điện tử mối đe doạ lớn nhất là bị “mất”(hay bị lộ) các thông tin liênquan đến thẻ tín dụng hoặc các thông tin giao dịch sử dụng thẻ tín dụng trong quá trình diễn ragiao dịch.

Trong thương mại điện tử, các hành vi gian lận thẻ tín dụng xảy ra đa dạng và phức tạp hơnnhiều so với thương mại truyền thống Các công ty trực tuyến có nguy cơ cao hơn ngoại tuyến

Theo thống kê của tổ chức phát hành thẻ quốc tế Visa master, năm 2015 tổng số thiệt hại

từ các hành vi gian lận trong giao dịch thanh toán thẻ khoảng hơn 21 tỷ USD, là số thiệt hại rấtlớn, tính bình quân cứ 100 USD giao dịch thẻ bị thiệt hại 7 cent, bằng 0,07% Ở Việt Nam, theothống kê, tỷ lệ thiệt hại qua giao dịch bằng 1/3 so với mức bình quân thế giới, nhưng gần đây cóhiện tượng gia tăng

Ví dụ Virus Eurograbber đã được các tin tặc sử dụng để lấy cắp 36 triệu euro từ nhiều tàikhoản ngân hàng tại các nước châu Âu như Ý, Đức, Tây Ban Nha và Hà Lan Phương thức lừađảo sử dụng virus này cơ bản như sau: – Tin tặc sử dụng email hay các trang web độc hại để lừakhách hàng cài đặt virus trên máy cá nhân của mình; – Khi khách hàng truy cập các dịch vụ trựctuyến của ngân hàng, virus sẽ giả mạo thông báo của ngân hàng để hướng dẫn khách hàng càiđặt virus trên điện thoại di động; – Virus hoạt động trên điện thoại di động sẽ lấy cắp mã xácthực sử dụng 1 lần (OTP) của khách hàng, kết hợp với virus hoạt động trên máy tính cá nhân củakhách hàng để thực hiện giao dịch giả mạo lấy trộm tiền từ tài khoản khách hàng

- Việc lừa đảo, gian lận thẻ của tội phạm thực hiện theo nhiều dạng thức khác nhau Hacker nhắm mục tiêu các tệp tin thẻ tín dụng và các tệp thông tin khách hàng khác trên các máy chủ thương gia; sử dụng dữ liệu bị đánh cắp để thiết lập tín dụng dưới dạng nhận dạng giả

Có 3 hình thức phổ biến gồm Phishing, ATM skimming và cấu kết với đơn vị chấp nhận thẻ để thực hiện giao dịch khống.

Đối với Phishing, đối tượng mạo danh tổ chức có uy tín chủ động liên lạc với khách hàng

qua điện thoại, thư điện tử, Internet hay tin nhắn Đối tượng này thường sử dụng các thông tin có tính chất gây sốc để gây phấn kích, gây hoảng sợ, hoặc lợi dụng các tin đăng tải trên truyền thông

để hợp lý hóa việc liên lạc Nội dung "dụ dỗ" như thông báo khách hàng trúng giải thưởng lớn, tài khoản bị trừ hay nhận số tiền lớn bất thường, gửi tin chương trình khuyến mãi, sự kiện sắp diễn ra… Tất cả đều nhằm lừa khách hàng cung cấp các thông tin cá nhân, thẻ, các tài khoản mật khẩu ngân hàng

Qua điện thoại, đối tượng đề nghị khách hàng cung cấp các thông tin cá nhân, tài khoản mật khẩu ngân hàng, thông tin thẻ và các thông tin tài chính để kiểm tra, hoàn tất thủ tục nhận giải thưởng hoặc đăng ký thông tin Đối với hình thức tin nhắn hoặc thư điện tử, kẻ gian gửi email, tin nhắn đến địa chỉ thư điện tử, số điện thoại, tài khoản mạng xã hội… có chứa các đường

dẫn kèm theo Khi khách hàng nhấn vào các đường dẫn, máy tính, thiết bị sẽ bị nhiễm mã độc đánh cắp thông tin.

Còn với ATM skimming, đối tượng sẽ lắp đặt thiết bị trên máy ATM nhằm lấy cắp thông

tin thẻ và mã PIN để làm thẻ giả rồi rút tiền của khách hàng Kẻ gian dùng bảng nhựa chứa thiết

bị lấy cắp thông tin thẻ (thiết bị skimming) gắn phía ngoài khe quẹt thẻ Khi người dùng đưa thẻ vào khe cắm, thẻ sẽ đi qua thiết bị skimming trước rồi mới vào bên trong nên tội phạm sẽ lấy toàn bộ thông tin lưu trữ trên dải băng từ

Hoặc chúng lắp đặt camera nhỏ, thường ngụy trang trong một thanh nhựa hoặc bảng quảngcáo ốp ngay phía trên bàn phím của máy ATM để ghi lại toàn bộ hoạt động nhập mã PIN của khách hàng khi rút tiền Sau khi lấy thông tin thẻ ngân hàng và PIN, các đối tượng sẽ sử dụng thiết bị làm giả thẻ ngân hàng thông qua phần mềm chuyên dụng và thiết bị đọc, in dữ liệu thẻ từ,rồi rút tiền tại các máy ATM Mặc dù phương thức này đã xuất hện từ khá lâu song vẫn đang được các đối tượng lừa đảo thực hiện một cách rất tinh vi

Ngoài ra sau khi mua thông tin thẻ tín dụng thông qua các trang mạng, diễn đàn mua sắm hoặc Phishing , kẻ gian sử dụng thiết bị in và sản xuất thẻ giả, cấu kết với một số đơn vị chấp nhận thẻ được ngân hàng trang bị hệ thống POS Với hình thức trên, trong một khoảng thời gian ngắn các đối tượng có thể thực hiện hàng trăm giao dịch thẻ khống với số tiền rất lớn nhưng thực

tế không phát sinh bán hàng hóa dịch vụ tại đơn vị chấp nhận thẻ Người bị hại đa phần là chủ thẻ

ở nước ngoài bị các đối tượng đánh cắp thông tin thẻ

- Cách bảo vệ thẻ tín dụng:

+ Không bao giờ nhấp vào liên kết trong email, đặc biệt là các email yêu cầu cung cấp thông tin cá nhân, cho dù đó là email từ chính ngân hàng mà người dùng mở thẻ

+ Trước khi quyết định mua một món hàng gì đó trên mạng, người tiêu dùng nên tìm hiểu

kĩ tên, địa chỉ của bên bán hàng Đồng thời xem các nhận xét, phản hồi của các khách hàng trước

về bên bán hàng này xem liệu họ có thực sự uy tín không

+ Cuối cùng, khi người tiêu dùng quyết định thực hiện thanh toán điện tử, thanh toán trực tuyến thì hãy kiểm tra xem địa chỉ trang web đó có bắt đầu bằng https: // hay không Đây là một giao thức truyền thông để chuyển dữ liệu an toàn và xác nhận trang web đó không chứa lỗi ngữ pháp hoặc các kí tự, những từ lạ

Nếu trang web bắt đầu bằng http: // (không có chữ s) thì nhiều khả năng trang web đó không an toàn và nếu thực hiện thanh toán hoặc gửi dữ liệu cá nhân thông qua trang web này thì thông tin cá nhân của người tiêu dùng có thể sẽ bị đánh cắp

+ Hiện nay đang phát triển Cơ chế xác minh danh tính để bảo vệ cho người dùng Một cách đang sử dụng phổ biến hiện nay là xác thực hai nhân tố:

Xác thực hai nhân tố (còn gọi là xác minh 2FA hoặc xác minh hai lớp) là một phương phápbảo mật sử dụng hai cách khác nhau để xác minh danh tính người dùng Thay vì chỉ nhập mật khẩu để đăng nhập, bạn sẽ được yêu cầu nhập mã được gửi qua tin nhắn văn bản tới điện thoại hoặc được tạo thông qua một ứng dụng Xác minh này giúp đảm bảo rằng chỉ có chủ nhân thật sựmới có thể truy cập tài khoản

1.5 Các trang web giả mạo và trang web rác(Spoofing (Pharming) and Spam (Junk) Web Sites)

Theo APWG: Q2/2016 đã phát hiện ra 466,065 webstite giả mạo, tăng 65% so với 2015

Có 2 cách tấn công thường thấy trên mạng: Spoofing (Pharming) và Spam (Junk) Web sites

- Spoofing (Pharming): Redirect người sử dụng đến Website khác.

+ Ngoài các phương thức tấn công cơ bản, các hacker còn sở hữu trong tay một phương thức khác đó là chuyển hướng máy tính người dùng từ một URL hợp lệ sang một URL giả mạo -nơi các hacker lấy cắp các thông tin của người dùng khi họ đăng nhập trên trang web giả mạo

Phương thức này được gọi là “Pharming” và đây là một trong những phương thức đáng sợ.

+ Là một quá trình gồm 2 bước tấn công: DNS poisoning (nhiễm độc bộ nhớ đệm DNS)

và phishing Bằng cách sử dụng “thế mạnh” của DNS poisoning và phising, Pharming tạo ra một cái bẫy “tin cậy” để người dùng “rơi vào bẫy” Trong khi phishing hoạt động bằng cách thả mồi và hy vọng người dùng “ăn miếng mồi” đó, Pharming có thể chiếm toàn bộ máy chủ DNS

và chuyển hướng người dùng đến trang web giả mạo

* DNS poisoning:

• DNS poisoning hoạt động bằng cách “chiếm đoạt” DNS lookup Khi bạn nhập một địa chỉ web

(chẳng hạn như www.facebook.com ), máy tính phải chuyển đổi địa chỉ đó sang địa chỉ IP Điều này là bởi vì máy tính không hiểu Facebook là gì URL giúp người dùng dễ dàng nhớ địa chỉ trang web hơn, nhưng máy tính chỉ biết và hiểu địa chủ IP của trang web đó Do đó để truy cập Facebook, máy tính sẽ phải chuyển đổi URL thành một địa chỉ IP

• Để làm được điều này, máy tính truy vấn một máy chủ DNS, hoạt động như một sổ địa chỉ URL

và địa chỉ IP Máy tính sử dụng máy chủ DNS để tìm địa chỉ IP của URL (www.facebook.com

=> 157.240.1.35), và sau đó sử dụng nó để nói chuyện với các máy chủ của Facebook.

• Khi một máy tính phát hiện ra địa chỉ IP của một URL, nó có thể ghi lại địa chỉ trong bộ nhớ cache Điều này là để tiết kiệm thời gian tìm kiếm cùng một địa chỉ IP và nhiều hơn nữa Trong

ví dụ này, máy tính sẽ lưu ý rằng URL www.facebook.com đi tới địa chỉ 157.240.1.35 trong bộ

nhớ cache

• DNS poisoning hoạt động theo 2 cách: hoặc là truy cập bộ nhớ cache trên máy tính cá nhân của

người dùng và thay đổi địa chỉ IP để hướng đến các trang web độc hại, hoặc tự lây nhiễm các

máy chủ DNS để máy tính thực hiện tìm kiếm các kết quả “bị nhiễm” Trong cả 2 trường hợp, trong lần tiếp theo khi người dùng nhập "www.facebook.com" vào thanh địa chỉ trình duyệt, họ

sẽ load địa chỉ IP giả mạo độc hại

* Phishing:

DNS poisoning cho phép kẻ tấn công chuyển hướng người dùng từ một trang web hợp lệsang một trang web độc hại, mặc dù người dùng nhập đúng địa chỉ trang web Tuy nhiên đây mớichỉ là bước ban đầu, sau đó kẻ tấn công sẽ sử dụng phishing kết hợp với DNS poisoning để

“biến” các chuyển hướng đơn giản đó thành lợi nhuận

Trong ví dụ này, kẻ tấn công đang chuyển hướng người dùng ra khỏi Facebook và truy cậpmột trang web mà kẻ tấn công lựa chọn Có rất nhiều lựa chọn mà kẻ tấn công có thể lựa chọn,tuy nhiên trong cuộc tấn công Pharming, kẻ tấn công sẽ lựa chọn một trang web mà họ đã thiết kếtrước đó trông giống hệt với Facebook Khi người dùng nhập www.facebook.com vào thanh địachỉ trình duyệt của họ, DNS poisoning sẽ chuyển hướng người dùng tới Facebook giả mạo củacác hacker

Khi đang ở trên trang web giả mạo, người dùng sẽ được nhắc nhở sử dụng các thông tin đểđăng nhập Facebook Người dùng “tin rằng” đây là trang web Facebook “chính thức” và đăngnhập các thông tin của họ, các thông tin này sẽ được “gửi” đến các hacker để hoàn thành cuộc tấncông Pharming

+ Cách để ngăn chặn Pharming:

Trước tiên, bạn nên biết rằng các máy chủ DNS thường thuộc sở hữu của ISP (nhà cungcấp dịch vụ Internet) mà bạn sử dụng Như vậy, để tránh các cuộc tấn công Pharming đối với cácmáy chủ DNS, đảm bảo bạn đã lựa chọn một ISP đáng tin cậy Các ISP tin cậy sẽ biết vềPharming và họ sẽ có biện pháp đối phó để bảo vệ máy chủ của họ không bị nhiễm độc

Điểm yếu của Pharming khi nó lây nhiễm các file của máy tính là dễ bị phát hiện bởi cácchương trình, phần mềm diệt virus, anti-malware Trước tiên cần đảm bảo rằng bạn đã cài đặtmột chương trình, phần mềm diệt virus hoặc phần mềm anti-malware Các phần mềm, chươngtrình này có thể phát hiện ra một bản chỉnh sửa file địa chỉ bộ nhớ cache của máy tính và cảnhbáo trước cho bạn trước khi xảy ra bất kỳ một thiệt hại nào cho máy tính

Khi truy cập các trang web phổ biến hoặc các trang web an toàn, chẳng hạn như các trangweb mạng xã hội hoặc trang web của ngân hàng, trên thanh địa chỉ bạn sẽ nhìn thấy một biểutường ổ khóa và HTTPS ở đầu URL

- Spam (Junk) Web sites: Sử dụng các tên miền tương tự như tên miền hợp lệ, chuyển hướng lưu lượng tới các miền chuyển hướng spammer

+ SPAM thật ra nguyên gốc là một từ viết tắt từ cụm từ Stupid Pointless Annoying

Message(s) Dịch ra có nghĩa là Những thông điệp ngu ngốc, vô nghĩa và gây phiền toái Nhìn

vào cụm từ trên thì bạn thấy ba tính từ Stupid, Pointless, Annoying bổ nghĩa cho danh từMessage Như vậy có nghĩa là nếu những thông điệp hội đủ ba yếu tố ngu ngốc, vô nghĩa và gâyphiền toái thì sẽ được xem là SPAM.

+ SPAM hiện nay có những hình thức như sau:

o SPAM trên mạng xã hội: Một người cứ lặp đi lặp lại nhiều lần chỉ cùng một nội

dung và một vấn đề gây phiền toái cho người dùng Hoặc tham gia mạng xã hội chỉ một mục đích duy nhất là quăng những liên kết từ website của mình lên đó mà không nghĩ đến những tương tác khác và sự tiếp cận của người dùng

o SPAM nội dung: Hình thức SPAM nội dung là hình thức copy lại những nội dung

của chính mình lên nhiều website rồi liên kết đến nội dung gốc để tạo sức mạnh chonội dung gốc Có nhiều webmasters đã tạo ra nhiều website vệ tinh và copy nội dung lên đó để đẩy cho website chính

+ Tác hại của spam:

o Spam được xem là độc hại không kém gì virus, sâu máy tính hay trojan

o Nếu một lượng Spam vô cùng lớn gửi đi trên thế giới mỗi ngày thì điều gì xảy ra

o Đường truyền Internet và PC của bạn sẽ chậm đi rất nhiều vì mọi tài nguyên đều đãđược Spammer khai thác sử dụng

+ Cách phòng tránh:

o Công nghệ tốt nhất để chống lại Spam hiện tại là sử dụng các phần mềm lọc Spam

o Cần phải thường xuyên cài đặt các bản cập nhật bảo mật cho hệ điều hành để vá cáclỗi bảo mật tránh bị Spammer khai thác tấn công

o Còn cần thêm một phần mềm tìm diệt các phần mềm độc hại và tốt nhất bạn nên càithêm một phần mềm tường lửa cá nhân

o Nhưng cho dù công cụ nào đi chăng nữa cũng không thể bằng con người Spam đã được xem là vấn đề xã hội liên quan đến con người, vậy chỉ có con người mới có thể chống lại được nó

o Bạn nên trang bị cho mình những kiến thức cần thiết về bảo mật và sử dụng

Internet an toàn Có như thế bạn mới tránh được Spam và những hiểm họa khác trên Internet

1.6 Tấn công từ chối dịch vụ DoS và DDoS(DoS and DDoS Attacks):

1.6.1 Tấn công từ chối dịch vụ DoS:

+ Mục tiêu:

o Cố gắng chiếm băng thông mạng và làm hệ thống mạng bị ngập (flood), khi đó hệ thống mạng sẽ không có khả năng đáp ứng những dịch vụ khác cho người dùng bình thường

o Cố gắng làm ngắt kết nối giữa hai máy, và ngăn chặn quá trình truy cập vào dịch vụ

o Cố gắng ngăn chặn những người dùng cụ thể vào một dịch vụ nào đó

o Cố gắng ngăn chặn các dịch vụ không cho người khác có khả năng truy cập vào

+ Mục đích: Mục tiêu các cuộc tấn công thường vào các trang web lớn và các tổ chức

thương mại điện tử trên Internet

+ Khái niệm:

o Là kiểu tấn công từ một cá thể, hay tập hợp các cá thể

o Là một kiểu tấn công mà một người làm cho một hệ thống không thể sử dụng, hoặclàm cho hệ thống đó chậm đi một cách đáng kể với người dùng bình thường, bằng cách làm quá tải tài nguyên của hệ thống

o DoS không có khả năng truy cập vào dữ liệu thực của hệ thống nhưng nó có thể làm gián đoạn các dịch vụ mà hệ thống đó cung cấp

+ Nhận diện:

o Mạng thực thi chậm khác thường khi mở tập tin hay truy cập Website

o Không thể dùng một website cụ thể

o Không thể truy cập bất kỳ website nào

o Tăng lượng thư rác nhận được

o Kết quả đích tấn công sẽ phải chịu nhận một đợt Reply gói ICMP cực lớn và làm cho mạng bị rớt hoặc bị chậm lại không có khả năng đáp ứng các dịch vụ khác

o Quá trình này được khuyếch đại khi có luồng ping reply từ một mạng được kết nối với nhau (mạng BOT)

o Tấn công Fraggle, chúng sử dụng UDP echo và tương tự như tấn công Smurf

* Tấn công Buffer overflow:

o Buffer Overflow xảy ra tại bất kỳ thời điểm nào có chương trình ghi lượng thông tin lớn hơn dung lượng của bộ nhớ đệm trong bộ nhớ

o Kẻ tấn công có thể ghi đè lên dữ liệu và điều khiển chạy các chương trình và đánh cắp quyền điều khiển của một số chương trình nhằm thực thi các đoạn mã nguy hiểm

o Quá trình gửi một bức thư điện tử mà file đính kèm dài quá 256 ký tự có thể sẽ xảy

ra quá trình tràn bộ nhớ đệm

* Tấn công Ping of Death:

o Kẻ tấn công gửi những gói tin IP lớn hơn số lương bytes cho phép của tin IP là 65.536 bytes

o Quá trình chia nhỏ gói tin IP thành những phần nhỏ được thực hiện ở layer II

o Quá trình chia nhỏ có thể thực hiện với gói IP lớn hơn 65.536 bytes Nhưng hệ điềuhành không thể nhận biết được độ lớn của gói tin này và sẽ bị khởi động lại, hay đơn giản là sẽ bị gián đoạn giao tiếp

o Để nhận biết kẻ tấn công gửi gói tin lớn hơn gói tin cho phép thì tương đối dễ dàng

o

* Tấn công SYN

o Kẻ tấn công gửi các yêu cầu (request ảo) TCP SYN tới máy chủ bị tấn công Để xử

lý lượng gói tin SYN này hệ thống cần tốn một lượng bộ nhớ cho kết nối

o Khi có rất nhiều gói SYN ảo tới máy chủ và chiếm hết các yêu cầu xử lý của máy chủ Một người dùng bình thường kết nối tới máy chủ ban đầu thực hiện Request TCP SYN và lúc này máy chủ không còn khả năng đáp lại - kết nối không được thực hiện

o Đây là kiểu tấn công mà kẻ tấn công lợi dụng quá trình giao tiếp của TCP theo – Threeway

o Các đoạn mã nguy hiểm có khả năng sinh ra một số lượng cực lớn các gói TCP SYN tới máy chủ bị tấn công, địa chỉ IP nguồn của gói tin đã bị thay đổi và đó chính là tấn công DoS

o Quá trình TCP Three-way handshake được thực hiện: Khi máy A muốn giao tiếp với máy B (1) máy A bắn ra một gói TCP SYN tới máy B – (2) máy B khi nhận được gói SYN từ A sẽ gửi lại máy A gói ACK đồng ý kết nối – (3) máy A gửi lại máy B gói ACK và bắt đầu các giao tiếp dữ liệu

o Máy A và máy B sẽ dữ kết nối ít nhất là 75 giây, sau đó lại thực hiện một quá trìnhTCP Three-way handshake lần nữa để thực hiện phiên kết nối tiếp theo để trao đổi

dữ liệu

o Thật không may kẻ tấn công đã lợi dụng kẽ hở này để thực hiện hành vi tấn công nhằm sử dụng hết tài nguyên của hệ thống bằng cách giảm thời gian yêu cầu Three-

way handshake xuống rất nhỏ và không gửi lại gói ACK, cứ bắn gói SYN ra liên tục trong một thời gian nhất định và không bao giờ trả lời lại gói SYN&ACK từ máy bị tấn công.

* Slowloris HTTP DoS:

o Tấn công vào tầng ứng dụng của bộ giao thức TCP cụ thể là header của giao thức HTTP khi gửi request

o Do kết nối chưa hoàn thành lên không có thông tin lưu lại trong log

o Có thể phòng chống với nginx, apache mod_antiloris

* Slow read HTTP DoS:

o Tấn công vào tầng ứng dụng của bộ giao thức TCP, cụ thể là body (windows size) của giao thức HTTP trong việc nhận response

o Tốc độ tấn công chậm, yêu cầu tài nguyên không cao nhưng cực kì khó chống đỡ.16.2 Tấn công từ chối dịch vụ DDoS:

Tấn công từ chối dịch vụ gây cạn kiệt tài nguyên hệ thống hoặc ngập lụt đường truyền, làmngắt quãng quá trình cung cấp dịch vụ cho người dùng hợp pháp, hoặc thậm chí khiến cả hệ thống ngừng hoạt động Tấn công DDoS rất khó phát hiện và phòng chống hiệu quả do số lượng các host bị điều khiển tham gia tấn công thường rất lớn và nằm rải rác ở nhiều nơi

Hacker sử dụng nhiều máy tính để tấn công mạng đích từ nhiều điểm khởi động + Động cơ tấn công của Hacker: đa dạng nhưng có thể phân loại như sau:

o Nhằm giành được các lợi ích tài chính, kinh tế: Tin tặc tấn công DDoS thuộc loại

này thường có kỹ thuật tinh vi và nhiều kinh nghiệm tấn công và chúng luôn là mối

đe dọa thường trực đối với các công ty, tập đoàn lớn Các tấn công DDoS nhằm giành được các lợi ích tài chính là những tấn công nguy hiểm và khó phòng chống nhất

o Để trả thù: Tin tặc tấn công DDoS thuộc loại này thường là những cá nhân bất

mãn và họ thực hiện tấn công để trả đũa những sự việc mà họ cho là bất công

o Gây chiến tranh trên không gian mạng: Tin tặc tấn công DDoS thuộc loại này

thường thuộc về các tổ chức quân sự hoặc khủng bố của một nước thực hiện tấn công vào các hệ thống trọng yếu của một nước khác vì mục đích chính trị Các đíchtấn công thường gặp là các hệ thống mạng của các cơ quan chính phủ, các tổ chức tài chính ngân hàng, hệ thống cung cấp điện nước và các nhà cung cấp dịch vụ viễnthông Tin tặc loại này thường được đào tạo tốt và được sử dụng nguồn lực mạnh phục vụ tấn công trong thời gian dài Hậu quả của dạng tấn công này thường rất

lớn, gây ngưng trệ nhiều dịch vụ và có thể gây thiệt hại lớn về kinh tế cho một quốcgia

o Do niềm tin ý thức hệ: Tin tặc tấn công DDoS thuộc loại này chiểm tỷ trọng lớn

các cuộc tấn công DDoS và thường thực hiện tấn công do niềm tin ý thức hệ, bao gồm tấn công vì các mục đích chính trị, tôn giáo

o Để thử thách trí tuệ: Tin tặc tấn công DDoS thuộc loại này thường là những người

trẻ tuổi thích thể hiện bản thân, thực hiện tấn công để thử nghiệm và học cách thực hiện các dạng tấn công khác nhau Loại tin tặc này đang tăng nhanh chóng do ngày nay có sẵn nhiều công cụ tấn công mạng rất dễ dùng và một người nghiệp dư cũng

có thể sử dụng để thực hiện thành công một tấn công DDoS

+Phân loại tấn công DDoS:

* Dựa trên phương pháp tấn công

o Tấn công gây ngập lụt (Flooding attacks): Trong tấn công gây ngập lụt, tin tặc

tạo một lượng lớn các gói tin tấn công giống như các gói tin hợp lệ và gửi đến hệ thống nạn nhân làm cho hệ thống không thể phục vụ người dùng hợp pháp Đối tượng của tấn công dạng này là băng thông mạng, không gian đĩa, thời gian của CPU,…

o Tấn công logic (Logical attacks): Tấn công logic thường khai thác các tính năng

hoặc các lỗi cài đặt của các giao thức hoặc dịch vụ chạy trên hệ thống nạn nhân, nhằm làm cạn kiệt tài nguyên hệ thống Ví dụ tấn công TCP SYN khai thác quá trình bắt tay 3 bước trong khởi tạo kết nối TCP, trong đó mỗi yêu cầu kết nối được cấp một phần không gian trong bảng lưu yêu cầu kết nối trong khi chờ xác nhận kếtnối Tin tặc có thể gửi một lượng lớn yêu cầu kết nối giả mạo – các kết nối không thể thực hiện, chiếm đầy không gian bảng kết nối và hệ thống nạn nhân không thể tiếp nhận yêu cầu kết nối của người dùng hợp pháp

* Dựa trên mức độ tự động:

o Tấn công thủ công: Tin tặc trực tiếp quét các hệ thống tìm lỗ hổng, đột nhập vào

hệ thống, cài đặt mã tấn công và ra lệnh kích hoạt tấn công Chỉ những tấn công DDoS trong giai đoạn đầu mới được thực hiện thủ công

o Tấn công bán tự động: Trong dạng này, mạng lưới thực hiện tấn công DDoS bao

gồm các máy điều khiển (master/handler) và các máy agent (slave, deamon, zombie, bot) Các giai đoạn tuyển chọn máy agent, khai thác lỗ hổng và lây nhiễm được thực hiện tự động Trong đoạn tấn công, tin tặc gửi các thông tin bao gồm kiểu tấn công, thời điểm bắt đầu, khoảng thời gian duy trì tấn công và đích tấn công

đến các agent thông qua các handler Các agent sẽ theo lệnh gửi các gói tin tấn côngđến hệ thống nạn nhân

o Tấn công tự động: Tất cả các giai đoạn trong quá trình tấn công DDoS, từ tuyển

chọn máy agent, khai thác lỗ hổng, lây nhiễm đến thực hiện tấn công đều được thựchiện tự động Tất cả các tham số tấn công đều được lập trình sẵn và đưa vào mã tấn công Tấn công dạng này giảm đến tối thiểu giao tiếp giữa tin tặc và mạng lưới tấn công, và tin tặc chỉ cần kích hoạt giai đoạn tuyển chọn các máy agent

* Dựa trên giao thức mạng

o Tấn công vào tầng mạng hoặc giao vận: Ở dạng này, các gói tin TCP, UDP và

ICMP được sử dụng để thực hiện tấn công

o Tấn công vào tầng ứng dụng: Ở dạng này, các tấn công thường hướng đến các

dịch vụ thông dụng ứng với các giao thức tầng ứng dụng như HTTP, DNS và SMTP Tấn công DDoS tầng ứng dụng cũng có thể gây ngập lụt đường truyền và tiêu hao tài nguyên máy chủ, làm ngắt quãng khả năng cung cấp dịch vụ cho người dùng hợp pháp Dạng tấn công này rất khó phát hiện do các yêu cầu tấn công tương

tự yêu cầu từ người dùng hợp pháp

* Dựa trên phương thức giao tiếp

o DDoS dựa trên agent-handler: Tấn công DDoS dựa trên dạng này bao gồm các

thành phần: clients, handlers và agents (bots/zombies) Tin tặc chỉ giao tiếp trực tiếp với clients Clients sẽ giao tiếp với agents thông qua handlers Nhận được lệnh

và các thông tin thực hiện tấn công, agents trực tiếp thực hiện việc tấn công

o DDoS dựa trên IRC: Internet Relay Chat (IRC) là một hệ thống truyền thông điệp

trực tuyến cho phép nhiều người dùng tạo kết nối và trao đổi các thông điệp theo thời gian thực Trong dạng tấn công DDoS này tin tặc sử dụng IRC làm kênh giao tiếp với các agents, không sử dụng handlers

o DDoS dựa trên web: Trong dạng tấn công này, tin tặc sử dụng các trang web làm

phương tiện giao tiếp qua kênh HTTP thay cho kênh IRC Các trang web của tin tặcđược sử dụng làm trung tâm điều khiển và lây nhiễm các phần mềm độc hại, các công cụ khai thác các lỗ hổng an ninh, cài đặt các agents chiếm quyền điều khiển

hệ thống máy tính và biến chúng thành các bots Các bots có thể được xác lập cấu hình hoạt động từ đầu, hoặc chúng có thể gửi các thông điệp đến trang web điều khiển thông qua các giao thức web phổ biến như HTTP và HTTPS

o DDoS dựa trên P2P: Ở dạng này, tin tặc sử dụng giao thức Peer to Peer – một giao

thức ở tầng ứng dụng làm kênh giao tiếp Bản chất của các mạng P2P là phân tán nên rất khó để phát hiện các bots giao tiếp với nhau thông qua kênh này

* Dựa trên cường độ tấn công:

o Tấn công cường độ cao: Là dạng tấn công gây ngắt quãng dịch vụ bằng cách gửi

cùng một thời điểm một lượng rất lớn các yêu cầu từ các máy agents/zombies nằm phân tán trên mạng

o Tấn công cường độ thấp: Các agents/zombies được phối hợp sử dụng để gửi một

lượng lớn các yêu cầu giả mạo, nhưng với tần suất thấp, làm suy giảm dần dần hiệunăng mạng Dạng tấn công này rất khó bị phát hiện do lưu lương tấn công tương tự như lưu lượng đến từ người dùng hợp pháp

o Tấn công cường độ hỗn hợp: Là dạng kết hợp giữa tấn công cường độ cao và tấn

công cường độ thấp Đây là dạng tấn công phức hợp, trong đó tin tặc thường sử dụng các công cụ để sinh các gói tin tấn công gửi với tần suất cao và thấp

o Tấn công cường độ liên tục: Là dạng tấn công được thực hiện liên tục với cường

độ tối đa trong suốt khoảng thời gian từ khi bắt đầu đến khi kết thúc

o Tấn công cường độ thay đổi: Đây là dạng tấn công có cường độ thay đổi động

nhằm tránh bị phát hiện và đáp trả

* Dựa trên việc khai thác các lỗ hổng an ninh :

o Tấn công gây cạn kiệt băng thông: Các tấn công DDoS dạng này được thiết kế để

gây ngập lụt hệ thống mạng của nạn nhân bằng các yêu cầu truy nhập giả mạo, làm người dùng hợp pháp không thể truy nhập dịch vụ Tấn công dạng này thường gây tắc nghẽn đường truyền bằng lượng yêu cầu giả mạo rất lớn gửi bởi các máy tính

ma (zombie) của các botnets Dạng tấn công này cũng còn được gọi là tấn công gâyngập lụt hoặc tấn công khuếch đại

o Tấn công gây cạn kiệt tài nguyên: Các tấn công DDoS dạng này được thiết kế để

tiêu dùng hết các tài nguyên trên hệ thống nạn nhân, làm cho nó không thể phục vụ các yêu cầu của người dùng hợp pháp

o Tấn công khai thác tính năng hoặc lỗi cài đặt của các giao thức.

o Tấn công sử dụng các gói tin được tạo đặc biệt.

Trong dạng thứ nhất, tin tặc khai thác các lỗi hoặc các tính năng đặc biệt của các giao thứctrên hệ thống nạn nhân để gây cạn kiệt tài nguyên Trong dạng thứ hai, kẻ tấn công tạo ra các góitin đặc biệt, như các gói sai định dạng, gói có khiếm khuyết, gửi đến hệ thống nạn nhân Hệ thống nạn nhân có thể bị trục trặc khi cố gắng xử lý các gói tin dạng này Ví dụ, trong tấn công Ping of Death, tin tặc gửi các gói tin ICMP có kích thước lớn hơn 64KB gây lỗi các máy chạy hệđiều hành Windows XP 3

+ Các biện pháp phòng chống: