BÀI TẬP NHÓM AN TOÀN THÔNG TIN

BÀI TẬP NHÓM AN TOÀN THÔNG TIN GIẢNG VIÊN HƯỚNG DẪN: TỪ THỊ XUÂN HIỀN NHÓM: 6 LỚP HỌC PHẦN: DHTMDT15B – 420300365914 BÀI TẬP TUẦN 1 Danh sách các thành viên và đánh giá: Bài tập 1: • Liệt kê những thông tin cá nhân nào của bạn cần an toàn, nêu lý do tại sao (nếu mất an toàn thì hậu quả thế nào) • Hãy đưa ra những biện pháp an toan thông tin cho từng thông tin cá nhân đã liệt kê ở trên Tài khoản mạng xã hội: => kẻ lừa đảo sẽ lợi dụng tài khoản của người bị đánh cắp để giả danh và lừa bạn bè, người thân của nạn nhân chuyển tiền đến tài khoản của tội phạm. =>> sử dụng mật khẩu khó đoán (đặt mật khẩu bao gồm sự xen kẽ giữa các ký tự in hoa, in thường, ký hiêu và số) để nâng cao tinh bảo mật, đồng thời thay đổi mật khẩu định kỳ để hạn chế rủi ro. Tài khoản ngân hàng, ví điện tử: => gần đây có một hình thức lừa đảo ngân hàng mới: tội phạm sẽ gửi một đường link để nạn nhân ấn vào, ngay sau đó tất cả thông tin ngân hàng của nạn nhân đều bị đánh cắp và tiền trong tài khoản sẽ ngay lập tức bị mất. =>> không nhấp vào bất kỳ đường link lạ nào, nên kiểm tra mức độ đáng tin cậy của người gửi và của đường link đó. • Chứng minh nhân dân • Số điện thoại • Địa chỉ => kẻ lừa đảo có thể dùng các thông tin riêng như họ tên, địa chỉ nhà, và số chứng minh nhân dân, vv… để đăng ký các hình thức nợ lãi vay, hoặc lợi dụng thân phận của nạn nhân, lấy hình ảnh CMND để lừa đảo người khác.

AN TOÀN THÔNG TIN

GIẢNG VIÊN HƯỚNG DẪN: TỪ THỊ XUÂN

HIỀN NHÓM: 6

LỚP HỌC PHẦN: DHTMDT15B – 420300365914

 Hãy đưa ra những biện pháp an toan thông tin cho từng thông tin cá

nhân đã liệt kê ở trên

Tài khoản mạng xã hội:

=> kẻ lừa đảo sẽ lợi dụng tài khoản của người bị đánh cắp để giả danh và lừabạn bè, người thân của nạn nhân chuyển tiền đến tài khoản của tội phạm

=>> sử dụng mật khẩu khó đoán (đặt mật khẩu bao gồm sự xen kẽ giữa các ký

tự in hoa, in thường, ký hiêu và số) để nâng cao tinh bảo mật, đồng thời thay đổimật khẩu định kỳ để hạn chế rủi ro

Tài khoản ngân hàng, ví điện tử:

=> gần đây có một hình thức lừa đảo ngân hàng mới: tội phạm sẽ gửi một đườnglink để nạn nhân ấn vào, ngay sau đó tất cả thông tin ngân hàng của nạn nhânđều bị đánh cắp và tiền trong tài khoản sẽ ngay lập tức bị mất

=>> không nhấp vào bất kỳ đường link lạ nào, nên kiểm tra mức độ đáng tin cậycủa người gửi và của đường link đó

 Chứng minh nhân dân

 Số điện thoại

 Địa chỉ

=> kẻ lừa đảo có thể dùng các thông tin riêng như họ tên, địa chỉ nhà, và sốchứng minh nhân dân, vv… để đăng ký các hình thức nợ lãi vay, hoặc lợi dụngthân phận của nạn nhân, lấy hình ảnh CMND để lừa đảo người khác

=> hoặc dùng các thông tin trên để gửi các kiện hàng đến địa chỉ nạn nhân vớihình thức vận chuyển thanh toán khi nhận hàng.

=>> không chia sẻ thông tin cá nhân bừa bãi (đăng lên mạng xã hội, gửi chongười không thân thiết,…) hoặc trong trường hợp thực sự cần thiết thì phải làm

mờ thông tin quan trọng

Bài tập 2:

a Đưa ra một doanh nghiệp mà bạn biết (nêu tên, lĩnh vực hoạt động)

b Nêu ra một HTTT của DN và mục tiêu của HTTT đó

c Liệt kê ra những thông tin/dữ liệu của doanh nghiệp đó cần an toàn, nêu lí do tại sao (nếu mất an toàn thì hậu quả như thế nào – phân tích hậu quả)

a Doanh nghiệp Thế giới di động là một doanh nghiệp chuyên kinh

doanh với lĩnh vực điện thoại di động, thiết bị số và điện tử tiêu dùng

b Hệ thống thông tin quản lí khách hàng của Thế giới di động và mục tiêucủa hệ thống:

+ Thu hút và giữ được khách hàng bằng cách tạo ra những giá trị tối ưu phù hợpvới những nhu cầu và mong muốn của khách hàng:

 Cung cấp chính xác các dịch vụ và sản phẩm khách hàng muốn

 Cung cấp các dịch vụ khách hàng tốt hơn

 Các sản phẩm kèm theo hiệu quả hơn

 Giúp nhân viên kinh doanh bán được sản phẩm nhanh hơn

 Giữ chân khách hàng hiện có và tìm ra những khách hàng mới

+ Giảm bớt đi chi phí tìm kiếm khách hàng

+ Lợi nhuận từ khách hàng cao hơn

+ Gia tăng lòng trung thành của khách hàng đối với doanh nghiệp cao hơn

c Thông tin / Dữ liệu của doanh nghiệp Thế Giới Di Động cần an toàn:_ Thông tin cá nhân khách hàng:

Để truy cập và sử dụng một số dịch vụ tại Thegioididong.com, bạn có thể sẽđược yêu cầu đăng ký với công ty thông tin cá nhân (Email, Họ tên, Số ĐT liênlạc…) Mọi thông tin khai báo phải đảm bảo tính chính xác và hợp pháp.Thegioididong.com không chịu mọi trách nhiệm liên quan đến pháp luật củathông tin khai báo

- Công ty cũng có thể thu thập thông tin về số lần viếng thăm, bao gồm số trangbạn xem, số links (liên kết) bạn click và những thông tin khác liên quan đến việckết nối đến site thegioididong.com Công ty cũng thu thập các thông tin mà trìnhduyệt Web (Browser) bạn sử dụng mỗi khi truy cập vào thegioididong.com, baogồm: địa chỉ IP, loại Browser, ngôn ngữ sử dụng, thời gian và những địa chỉ màBrowser truy xuất đến.

Phạm vi sử dụng thông tin:

Thegioididong.com thu thập và sử dụng thông tin cá nhân bạn với mục đích phùhợp và hoàn toàn tuân thủ nội dung của “Chính sách bảo mật” này

Cụ thể:

Khi cần thiết, có thể sử dụng những thông tin này vào các mục đích:

- Xử lý đơn hàng: gọi điện/tin nhắn xác nhận việc đặt hàng, thông báo về trạngthái đơn hàng & thời gian giao hàng, xác nhận việc huỷ đơn hàng (nếu có)

- Gởi thư ngỏ/thư cảm ơn, giới thiệu sản phẩm mới, dịch vụ mới hoặc cácchương trình khuyến mãi của Thegioididong.com

- Gởi thông tin về bảo hành sản phẩm

- Giải quyết khiếu nại của khách hàng

- Thông tin trao thưởng (của Thegioididong.com hoặc của hãng)

- Gởi thông tin cho công ty tài chính để tiếp nhận, thẩm định & duyệt hồ sơ trảgóp

- Các khảo sát để chăm sóc khách hàng tốt hơn

Câu hỏi 1: Phân biệt dữ liệu (data) và thông tin (information), cho

ví dụ từng loại.

- Dữ liệu (Data) là một tập các sự việc, sự kiện, con số Dữ liệu có thể được thu thập, xử lý, lưu trữ trong máy tính

Dữ liệu chưa xử lý được gọi là dữ liệu thô (Raw data)

Dữ liệu chỉ có ý nghĩa khi nó được xử lý và tổ chức trong một mối quan hệ cụthể

Ví dụ như con số điểm thi là một dữ liệu hoặc con số về nhiệt độ trong ngày làmột dữ liệu, hình ảnh về con người hay phong cảnh cũng là những dữ liệu,…

- Thông tin (Information) là dữ liệu đã được xử lý, tổ chức, cấu trúc hoặc

trình bày trong một ngữ cảnh nhất định để làm cho chúng hữu ích

Thông tin là dữ liệu đã được xử lý theo cách có ý nghĩa đối với người nhận

nó Ví dụ Khi con người tham gia giao thông khi đến ngã tư thường có cácđèn tín hiệu giao thông Đèn xanh cho chúng ta biết được đi, đèn đỏ phải dừnglại,…

Ở ví dụ trên chúng ta đã thu nhận thông tin bằng cách quan sát đèn tín hiệugiao thông

Các bài báo, tài liệu, sách vở hay bản tin trên truyền hình cho biết tin tức về tìnhhình thời sự trong nước và trên thế giới Ở ví dụ trên chúng ta đã thu nhậnthông tin bằng cách đọc, xem và nghe các thông tin từ báo, tài liệu, tivi…

Câu hỏi 2: Hệ thống thông tin là gì? Hãy cho ví dụ một hệ thống thông tin mà bạn biết Đưa ra dữ liệu/thông tin/chức năng nào cần đảm bảo an toàn, nêu lý do.

Hệ thống thông tin là là một hệ thống bao gồm các yếu tố có quan hệ với nhau cùng làm nhiệm vụ thu thập, lưu trữ,xử lý dữ liệu thành thông tin và cung cấp cho người sử dụng Một hệ thống thông tin có thể coi là một bộ các hệ thống con

có mối quan hệ với nhau, cùng thực hiện các công việc như thu nhập,xử lý, lưu trữ, chuyển đổi và phân phối thông tin cho việc lập kế hoạch, đưa ra quyết định

và kiểm soát thông tin

Trong việc quản trị nội bộ, hệ thống thông tin sẽ giúp đạt được sự thông hiểu nội

bộ, thống nhất hành động, duy trì sức mạnh của tổ chức, đạt được lợi thế cạnh tranh Với bên ngoài, hệ thống thông tin giúp nắm bắt được nhiều thông tin về khách hàng hơn hoặc cải tiến dịch vụ, nâng cao sức cạnh tranh, tạo đà cho sự phát triển

Ví dụ: Hệ thống thông tin quản lý của tổ chức, doanh nghiệp như là hệ thốngquản lý nhân sự, hệ thống quản lý kế toán, hệ thống quản lý lịch công tác,….Trong hệ thống thông tin quản lý thì thành phần chiếm quan trọng cần đảm bảo

an toàn là cơ sở dữ liệu hợp nhất, nơi chứa các thông tin phản ánh cấu trúc nội

bộ của hệ thống và các thông tin hoạt động diễn ra trong hệ thống

Vì với cơ sở dữ liệu hợp nhất, hệ thống thông tin quản lý có thể hỗ trợ cho nhiều lĩnh vực, chức năng khác nhau và có thể cung cấp cho các nhà quản lý cung cụ, khả nắng dễ dàng truy cập thông tin

Câu hỏi 3: Tam giác CIA là gì? Nêu mối tương quan giữa C,I và A.

Vấn đề bảo mật thông tin không chỉ đơn thuần là việc chống lại các cuộc tấn công từ hacker, ngăn chặn malware để đảm bảo thông tin không bị phá hủy hoặc

bị tiết lộ ra ngoài… Hiểu rõ 3 mục tiêu của bảo mật: tính bí mật

( Confidentiality), tính toàn vẹn ( Integrity), tính sẵn dùng ( Availability) là bước căn bản đầu tiên trong quá trình xây dựng một hệ thống thông tin an toànnhất có thể Ba mục tiêu này còn được gọi là tam giác bảo mật C-I-A

Trong đó:

Tính bảo mật: : là mức độ bảo mật cần thiết nhầm đảm bảo những dữ liệu quan trọng không bị rò rỉ hay lộ thông tin Kẻ tấn công có thể thực hiện nhiều phươngthức nhầm đạt được mục đích là lấy những thông tin mong muốn Những

phương thức đó có thể là giám sát hệ thống mạng, lấy file chứa mật khẩu… Thông tin bị lộ do không sử dụng các phương thức mã hóa đủ mạnh khi truyền hay lưu trữ thông tin

Tính toàn vẹn: là mức độ bảo mật cần thiết nhầm đảm bảo độ tin tưởng của thông tin không bị thay đổi hay chi được chỉnh sửa bởi người có thẩm quyền Kẻtấn công có thể dùng nhiều phương thức nhầm thay đổi các thông tin như đột

nhập vượt qua các quá trình xác thực, hay tấn công lổ hổng bảo mật của hệthống.

Tính sẵn dùng: là sự đảm bảo liên tục và mức độ đáp ứng kịp thời của hệ thốngkhi có yêu cầu truy cập dữ liệu hay thao tác từ người dùng

Mối tương quan giữa C-I-A: ba góc của tam giác bảo mật CIA của một đối tượng cần bảo vệ Ba mục tiêu C ( Confidentiality) – I (Integrity) – A

(Availability) là mô hình được thiết kế để hướng dẫn các chính sách về bảo mậtthông tin trong một tổ chức Bộ ba CIA là những tiêu chí quan trọng trong quá trình phân tích, dự trù kinh phí, thời gian xây dựng, hệ thống đảm bảo an toàn thông tin

X$ = C + I +A

X$: là kinh phí cho việc phát triển xây dựng hệ thống

C,I và A: 3 mục tiêu của an toàn thông tin

 Với X$ không đổi, việc tăng chỉ số C sẽ làm giảm I và A và ngược lại

 Để đảm bảo 3 mục tiêu của an toàn thông tin, cần đẩm bảo cân đối giữa

3 yếu tố CIA

3 Nguyễn Huỳnh Nhi Câu 5,6 19510451 100%

4 Nguyễn Duy Phước Câu 3,4 19524631 100%

5 Trần Hoàng Quân Câu 1,8 19482051 100%

6 Lê Quốc Trung Câu 2,7 19494881 100%

Câu hỏi:

1 Tại sao nhân viên là mối đe doạ lớn nhất đối với an toàn thông tin của Doanh nghiệp?

Nhân viên là mối đe doạ lớn nhất của doanh nghiệp vì:

_ Thứ nhất là yếu tố bên trong Máy tính được vận hành bởi con người vàđiều này có nghĩa là bảo vệ thông tin cũng là một vấn đề thuộc nhân tốcon người Các nhân tố con người tác động tới cách mà các cá nhân tươngtác với công nghệ bảo mật thông tin; chính sự tương tác này thường gâybất lợi cho việc bảo mật Việc thất thoát dữ liệu hiện nay ở Việt Nam chủyếu lại là do con người, đến từ việc cố ý lấy cắp dữ liệu cho đến ýthức/kiến thức về bảo mật kém của chính nhân viên vận hành

_ Thứ hai nhân viên là con người , việc mắc sai lầm là không thể tránhkhỏi Nhân viên đôi khi gửi nhầm email cho các khách hàng , gửi thôngtin mật cho những nhân viên không có thẩm quyền hoặc là thiếu ý thứclàm lộ thông tin cho người khác.Ngoài ra còn yếu tố sức khoẻ của nhânviên, DN cần nhận thức rõ hơn tác động của stress (căng thẳng) và vănhóa làm việc đối với sai lầm của nhân viên và an ninh mạng Nhữngngười được hỏi tiết lộ họ mắc nhiều sai lầm hơn khi bị căng thẳng , mệtmỏi , mất tập trung và sức ép phải nhanh chóng hoàn thành công việc Điều đáng lo ngại là khi công ty của họ có văn hóa buộc họ làm việcnhiều giờ hơn mức bình thường, trong khi họ đã thực sự kiệt sức

_ Thứ ba , thiếu tập trung trong công việc , dẫn đến việc sơ suất truy cậpvào những trang web độc hại hay thiếu an ninh do buồn chán Hay bị lừađảo bởi các email giả mạo từ những công ty hay đối tác quan trọng dokhông kiểm chứng và đối chiếu lại đúng thông tin dữ liệu.

_ Thứ tư , đạo đức của nhân viên và yếu tố chính trị trong môi trường làmviệc.Nhân viên thiếu long trung thành với công ty, vì lòng tham và lợi íchriêng của mình mà bán rẻ công ty cho đối thủ, mà chức vụ càng cao thìnhân viên lại càng được truy cập nhiều dữ liệu của công ty Đồng thời ,trong công ty hay chia các bè phái do mục tiêu và yêu cầu của các cổđông, đầu tư khác nhau dẫn đến mâu thuẫn , tranh giành quyền lực mà sẵnsàng tiết lộ thông tin chỉ đễ phá đối thủ cạnh tranh mình

2 Tấn công mật khẩu là gì? Trình bày các kiểu tấn công mật khẩu Một người quản trị viên một hệ thống

thông tin có thể làm gì để chống lại tấn công mật

khẩu?

 Tấn công mật khẩu (hack password) là một hình thức tấn công đã cũ, tuy nhiên vẫn gây không ít phiền toái cho cả người dùng cá nhân và doanh nghiệp Trong một vài trường hợp, nó có thể gây thiệt hại lớn chomột tổ chức nếu nó nằm trong một cuộc tấn công APT quy mô lớn

 Các kiều tấn công mật khẩu:

Brute Force Attack (tấn công dò mật khẩu): kẻ tấn công sử dụng một công cụ mạnh mẽ, có khả năng thử nhiều username và password cùng lúc (từ dễ đến khó) cho tới khi đăng nhập thành công VD: đặt mật khẩu đơn giản như 123456,password123, daylamatkhau,… rất dễ bị tấn công brute force

Dictionary Attack (tấn công từ điển): là một biến thể của Brute Force Attack, tuy nhiên kẻ tấn công nhắm vào các từ có nghĩa thay vì thử tất cả mọi khả năng.Nhiều người dùng có xu hướng đặt mật khẩu là những từ đơn giản VD:

motconvit, iloveyou,… Đây là lý do khiến Dictionary Attack có tỉ lệ thành côngcao hơn

Key Logger Attack (tấn công Key Logger): đúng như cái tên của nó, tin tặc lưulại lịch sử các phím mà nạn nhân gõ, bao gồm cả ID, password hay nhiều nội dung khác Tấn công Key Logger nguy hiểm hơn 2 cách tấn công trên, do việc đặt mật khẩu phức tạp không giúp ích gì trong trường hợp này Để tấn công, tin tặc cần phải sử dụng một phần mềm độc hại (malware) đính kèm vào máy tính (hoặc điện thoại) nạn nhân, phần mềm đó sẽ ghi lại tất cả những ký tự mà nạn

nhân nhập vào máy tính và gửi về cho kẻ tấn công Phần mềm này được gọi làKey Logger.

Trên đây chỉ là các dạng tấn công mật khẩu trực tiếp Ngoài ra, tin tặc có thể tấncông gián tiếp thông qua việc lừa đảo người dùng tự cung cấp mật khẩu (Tấn công giả mạo Phishing), tiêm nhiễm Malware, tấn công vào cơ sở dữ liệu – kho lưu trữ mật khẩu người dùng của các dịch vụ…

 Cách để chống lại tấn công mật khẩu của một quản trị viên hệ thống là:

 Thực thi xác minh 2 bước: đây là một trong những cách tốt nhất để ngăn người khác truy cập vào hệ thống tài khoản, cho dù họ đánh cắp được mật khẩu Nó có thể giảm nguy cơ tấn công lừa đảo bằng cách yêu cầu cung cấp bằng chứng nhận dạng khi người dùng đăng nhập Yêu cầu có thể dưới dạng lời nhắc điện thoại, cuộc gọi thoại, thông báo ứng dụng trên thiết bị di động

 Chỉ cho phép các ứng dụng đáng tin cậy truy cập dữ liệu: Cách này giúp người dùng chỉ có thể cấp quyền truy cập dữ liệu cho các ứng dụng trongdanh sách được cấp phép Điều này ngăn các ứng dụng độc hại lừa

người dùng vô tình cấp quyền truy cập đối với các ứng dụng không đượccấp phép

 Thực thi việc sử dụng hồ sơ công việc: Hồ sơ công việc cho phép tách riêng các ứng dụng của tổ chức khỏi các ứng dụng cá nhân, tách biệt dữ liệu cá nhân và dữ liệu công ty, quản trị viên có thể đưa ra các danh sách ứng dụng truy cập vào dữ liệu của công ty và ngăn chặn cài đặt ứng dụng từ các nguồn không xác định

3 Tấn công từ chối dịch vụ (denial of service) là gì? Cho

ví dụ minh họa thực tế từ một hệ thống thông tin bị tấn công từ chối dịch vụ?

 Tấn công từ chối dịch vụ (Denial of Service) là một nỗ lực làm cho

những người dùng không thể sử dụng tài nguyên của một máy tính Mặc

dù phương tiện để tiến hành, động cơ, mục tiêu của tấn công từ chối dịch

vụ có thể khác nhau, nhưng nói chung nó gồm có sự phối hợp, sự cố gắng

ác ý của một người hay nhiều người để một trang, hay hệ thống mạng không thể sử dụng, làm gián đoạn, hoặc làm cho hệ thống đó chậm đi mộtcách đáng kể với người dùng bình thường, bằng cách làm quá tải tài nguyên của hệ thống

 Ví dụ: Khi bạn lướt Facebook và vào một URL của Website Dân trí

dantri.com dẫn đến một bài báo bạn muốn đọc, lúc đó bạn đang gửi một yêu cầu đến máy chủ của trang này để xem Vì vậy nếu kẻ tấn công gửi

ồ ạt nhiều yêu cầu đến máy chủ sẽ làm nó bị quá tải và yêu cầu của bạn

không được xử lý và làm bạn không thể truy cập vào nó thì đây là một vụtấn công từ chối dịch vụ.

4 Phân biệt giữa tấn công từ chối dịch vụ (DoS) và tấn công từ chối dịch vụ phân tán (DdoS) Loại nào nguy hiểm hơn? Tại sao?

Tấn công từ chối dịch vụ (DoS) Tấn công từ chối dịch vụ phân tán(DDoS)

- Chỉ một hệ thống nhắm mục tiêu

vào hệ thống nạn nhân

- PC bị nhắm mục tiêu được load

từ gói dữ liệu gửi từ một vị trí

- PC bị nhắm mục tiêu được load

từ gói dữ liệu gửi từ nhiều vị trí

- Nhanh hơn tấn công DoS

- Rất khó để ngăn chặn cuộc tấncông này vì nhiều thiết bị đanggửi gói tin và tấn công từ nhiều

- Tấn công từ chối dịch vụ phân tán (DDoS) nguy hiểm hơn so với tấn công từ chối dịch vụ (DoS) Vì:

+ DDoS tấn công nhanh hơn so với DoS

+ DDoS khó ngăn chặn hơn so với DoS vì nhiều thiết bị đang gửi gói tin vàtấn công từ nhiều vị trí

+ Đối với những vụ tấn công DDoS kỹ thuật cao có thể dẫn đến việc lấy trộmtiền bạc, dữ liệu khách hàng của công ty

5 Trình bày các loại mã độc (malware) Sự khác biệt

giữa worm và virus là gì? Trojan horse có chứa đựng worm hoặc virus không?

 Mã độc: là phần mềm xâm nhập được thiết kế để làm hỏng và phá

hủy máy tính và hệ thống máy tính Phần mềm độc hại là từ gọitắt của “malicious software” Gồm có các dạng như :

 Viruses: Hiện nay, vẫn còn nhiều người nhầm lẫn virus và mã độc là một.Trên thực tế, virus chỉ là một dạng của mã độc nói chung Điểm khác biệtnằm ở chổ virus có khả năng lây lan cực nhanh Chính vì vậy, nếu không phát hiện kịp thời, rất khó để dọn sạch chúng là loại malware lây nhiễm vào các phần mềm khác để gây hại, có khả năng tự nhân bản để lây lan.

 Worms – sâu máy tính: Các loại sâu máy tính nguy hiểm nhất có thể lây lan, tìm lỗ hổng trên máy nạn nhân, mở cửa hậu và tiếp tục phát tán nó rộng hơn Khi nó thực thi một hành động nào đó dưới sự thao túng của tintặc, mức độ ảnh hưởng là vô cùng lớn và không đong đếm được

 Trojan: Trojan máy tính là cái tên được đặt theo sự kiện ngựa gỗ thànhTrojan, ngụ ý ám chỉ rằng một khi Trojan lây nhiễm vào máy tính nó sẽ

mở cửa hậu để mã độc tràn vào Mặc dù không tự nhân bản để lây nhiễmcho các máy khác, Trojan nguy hiểm hơn rất nhiều so với các loại trên khichúng đóng giả thành các phần mềm trông có vẻ rất giống thật Vì đặctính của Trojan là ngụy trang che dấu, do đó người dùng không nên càiđặt những phần mềm, ứng dụng lạ Cũng không được tải về các phầnmềm chính chủ trên các website lạ

 Spyware: là phần mềm dùng để đánh cắp thông tin của người dùng và thường được bí mật cài đặt trong các phần mềm miễn phí và phần mềm chia sẻ từ Internet Một khi đã xâm nhập thành công, sypware sẽ điều khiển máy chủ và âm thầm chuyển dữ liệu người dùng đến một máy khác

 Rainsomware – mã độc tống tiền : là một loại mã độc được dùng để ngănchặn người dùng truy cập dữ liệu và sử dụng máy tính Để lấy lại dữ liệu

và quyền kiểm soát máy tính, nạn nhân cần chuyển tiền cho tin tặc Đó là

lí do rainsomware được gọi là mã độc tống tiền là phần mềm dùng để đánh cắp thông tin của người dùng và thường được bí mật cài đặt trong các phần mềm miễn phí và phần mềm chia sẻ từ Internet Một khi đã xâm nhập thành công, sypware sẽ điều khiển máy ch và âm thầm chuyển

dữ liệu người dùng đến một máy khác

 Adware: là phần mềm được thiết kế để hiển thị quảng cáo lên màn hình thiết bị của người dùng và thường ngụy trang dưới dạng một chương trình hợp pháp để lừa người dùng cài đặt Khi bị nhiễm adware, thiết bị

có thể sẽ bị thay đổi trang chủ tìm kiếm, bị làm phiền bởi hàng loạt quảngcáo liên tục…

 Root kits: đây được xem là một trong những mã độc nguy hiểm nhất Rootkit là một chương trình máy tính được thiết kế để truy cập sâu vào

hệ thống máy tính mà vẫn che dấu được sự hiện diện của nó và các phần mềm độc hại khác Nhờ rootkit, các phần mềm độc hại dường như trở nên

“vô hình” trước những công cụ rà quét thông thường, thậm chí trước

cả các phần mềm diệt virus Việc phát hiện mã độc trở nên khó khăn hơnrất nhiều trước sự bảo vệ của rootkit

 Spam hình thức Spam phổ biến nhất nay là Spam trên các trang mạng xãhội Hình thức cứ lặp đi lặp lại nhiều lần chỉ cùng một nội dung và một vấn đề gây phiền toái cho gười dùng Mục đích sử dụng mạng xã hội của

họ chỉ là tham gia ném một cái liên kết website của mình hoặc quảng cáo mà không cần nghỉ đến tương tác và sự quan tâm, tiếp cận của ngườidùng

 Sự khác biệt giữa worm và virus:

 Virus là một chương trình có thể lây lan chính nó từ máy

tính này sang máy tính khác Đặc tính này cũng có ở worm,nhưng sự khác biệt là virus thường phải cấy chính nó vào một tập tin thực thi để được kích hoạt Khi người dùng chạytập tin thực thi này, virus có thể lây lan sang các tập tin thực thi khác

 Worm nguy hiểm hơn virus, vì chúng có khả năng lây lan nhanh, không phụ thuộc vào hệ thống và tự phát tán qua môitrường Internet, trong khi virus chỉ hoạt động khi vật chủ chạy còn worm có thể tự tìm lỗ hỏng rồi tự lây lan

 Virus : xâm nhập vào các tệp chương trình và các tệp cá nhân, còn worm thì làm hư hại các file tài liệu và tự nhân bản trên internet

 Trung bình cứ 10 máy thì 8 máy bị nhiễm virus, tuy nhiên sựphổ biến của chúng trái ngược với mức độ nguy hiểm của chúng, vì chúng dễ bị phát hiện ra và tiêu diệt sớm Trong khi đó worm gây thiệt hại nghiêm trọng hơn và khó phát hiệnra

 Trojan horse có chứa đựng virus hay worm không:

Trojan horse không chứa đựng viruss hoặc worm vì nó là một dạngchương trình mã độc lập bên ngoài vỏ bọc là 1 phần mềm hữu ích (giống như phần mềm diệt virus) để lừa người dùng tự nguyện tải

nó về ( không tự lây lan) Vì thế con ngựa thành Troy không có khảnăng tự virus hay worm Nó là một dạng đoạn mã ẩn đánh cắp thông tin cá nhân và các thông tin quan trọng của người dùng Tức

là, Trojan cấp quyền cho kẻ xấu truy cập và theo dõi từ xa hệ thốngmáy tính Nó cũng có thể mở cửa hậu cho virus và worm xâm nhập

và phá hoại dữ liệu

6 Tại sao tính đa hình của các mã độc lại gây ra mối

quan tâm lớn hơn mã độc hại truyền thống? Nó ảnh hưởng đến việc phát hiện/nhận dạng mã độc như thế nào?

 Tính đa hình của các mã độc gây ra mối quan tâm lớn hơn mã độc hại truyền thống vì: tính đa hình của mã độc làm cho các mã độc trở nên hiệu quả là sự phức tạp và tốc độ của nó, và sử dụng

mã đa hình để thay đổi nhanh chóng và thường xuyên Bởi vì nhiều nhà cung cấp phần mềm chống mã độc sử dụng các phươngpháp phát hiện dựa trên “ chữ ký truyền thống” để phát hiện và chặn mã độc, khi họ vào thời điểm xác định chữ kí mới, tính đa hình của các mã độc lại phát triển thành cái mới hơn hay che dấu được dưới sự dò tìm Nên hầu hết các giải pháp bảo mật không thể theo kịp hoặc không thể phát hiện ra bởi tính đa hình của mã độc.Tính đa hình của mã độc lợi dụng sự thiếu hiểu biết của nhânviên và lổ hổng zero day không được công nhận để tàn phá Và khi mối đe dọa liên tục phát triển việc xác định ra nó ngày càng khó khăn, chưa kể đến việc phải loại bỏ

 Tính đa hình của mã độc ảnh hưởng đến việc phát hiện/nhận dạng

mã độc: mã độc đa hình được ví như con tắc kè hoa với khả năng biến hóa bản thân liên tục và gần như vô hình, đây là cách chúng che mắt kẻ thù Trong ngữ cảnh này, tính đa hình của mã độc đề cập đến khả năng liên tục thay đổi và điều chỉnh các tính năng của phần mềm độc hại để tránh bị phát hiện, chúng ghép nối với một công cụ đột biến với mã tự lan truyền để liên tục thay đổi “ diện mạo” của nó và sử dụng mã hóa để ản mã của nó, làm cho chúng ta khó phát hiện ra và tiêu diệt

7 Để một cuộc tấn công sniffer thành công, kẻ tấn công phải làm gì? Làm thế nào kẻ tấn công có thể truy cập được vào một hệ thống thông tin để thám thính?

 Tùy thuộc vào loại mạng bạn đang sử dụng, attacker sẽ sử dụng

các phương pháp sniffer khác nhau

Nếu mạng của bạn được cấu trúc bằng cách sử dụng các hub – kết nối nhiều thiết bị với nhau trên một mạng – thì tất cả lưu lượng truy cập đều di chuyển tự

do Điều đó có nghĩa là máy tính của bạn hiện đang nhận được tất cả lưu lượng truy cập trên mạng, nhưng nó bỏ qua mọi thứ không liên quan đến nó Attacker

sẽ chèn một sniffer thụ động và thay vì bỏ qua những lưu lượng truy cập không liên quan, nó sẽ hấp thụ tất cả Kiểu sniffer thụ động này khá khó để phát hiện Nếu bạn đang sử dụng một hệ thống mạng lớn hơn, với nhiều máy tính được kếtnối hơn, thì không phải tất cả lưu lượng truy cập đều có thể đến được tất cả các thiết bị Trong trường hợp này, bộ chuyển mạch mạng (switch) được sử dụng đểchỉ lưu lượng truy cập đến thiết bị cụ thể mà nó được sử dụng Để một attacker

có thể thu thập dữ liệu thành công trong loại môi trường này, chúng phải bỏ quacác ràng buộc được thực thi bởi các thiết bị chuyển mạch, bắt đầu cấu hình cho sniffer một cách chủ động Điều này thường được thực hiện bằng cách thêm lưulượng bổ sung vào mạng, tuy nhiên điều này cũng làm cho nó dễ dàng phát hiệnhơn là sniffer thụ động

 Để attacker truy cập vào hệ thống thám thính thì nó rất khó thực hiện

và dễ bị phát hiện Attacker thực hiện loại tấn công này như sau:

o Attacker kết nối đến Switch bằng cách gởi địa chỉ MAC nặc danh

o Switch xem địa chỉ kết hợp với mỗi khung (frame)

o Máy tính trong LAN gởi dữ liệu đến cổng kết nối

8 Phương pháp nào để kẻ tấn công social engineering thực hiên thu thập thông tin tài khoản và mặt khẩu của người dùng ? Phương pháp này sẽ khác biệt như thế nào nếu như mục tiêu nhắm đến là một quản trị viên và một nhân viên thu thập dữ liệu?

Phương pháp của social engineering:

_Phishing: là một hình thức lừa đảo nhằm giả mạo các tổ chức có uy tín như

ngân hàng, trang web giao dịch trực tuyến, các công ty thẻ tín dụng để lừangười dùng chia sẻ thông tin tài chính bí mật như: tên đăng nhập, mật khẩugiao dịch và những thông tin nhạy cảm khác Hình thức tấn công này còn có

thể cài đặt các phần mềm độc hại vào thiết bị của người dùng Đây thực sự làmối nguy hại lớn nếu người dùng chưa có kiến thức hoặc thiếu cảnh giác vềhình thức tấn công này.

_Website lừa đảo: là một kỹ thuật tấn công khác của tấn công Phishing Ví

dụ, hiện nay có nhiều hình thức kiếm tiền qua mạng và người dùng phải cungcấp tài khoản ngân hàng cho những trang web này để nhận tiền công Tuynhiên, tin tặc thường lợi dụng kẽ hở trong giao dịch này, chuyển hướngngười dùng đến một trang web giả mạo để đánh cắp thông tin của ngườidùng Một hình thức khác là khiêu khích sự tò mò của người dùng bằng cáchchèn vào trang web những quảng cáo có nội dung hấp dẫn để lây nhiễm mãđộc

_ Spear phishing: Hacker thu thập và đối chiếu các thông tin của nạn nhân

(tên, chức danh, email, tên đồng nghiệp, mối quan hệ,…) để tạo ra một emaillừa đảo đáng tin cậy, yêu cầu nạn nhân cung cấp thông tin của mình

_ Watering Hole: là phương thức tấn công có chủ đích vào các tổ

chức/doanh nghiệp (TC/DN) thông qua việc lừa các thành viên truy cập vàocác trang web chứa mã độc Tin tặc thường nhắm đến các trang web có nhiềungười truy cập, web “đen” hoặc tạo ra các trang web riêng để lừa ngườidùng, trong đó cố ý chèn vào website các mã khai thác liên quan đến các lỗhổng trình duyệt Nếu truy cập vào website, các mã độc này sẽ được thực thi

và lây nhiễm vào máy tính của người dùng

_ Pretexting: là một kỹ thuật khác của tấn công Social Engineering, theo đó

tin tặc tập trung vào việc tạo ra một lý do hợp lý, hoặc một kịch bản đã đượctính toán từ trước để ăn cắp thông tin cá nhân của nạn nhân Những loại tấncông này thường được biểu hiện dưới dạng lừa đảo rằng người dùng cầncung cấp một số thông tin nhất định để xác nhận danh tính

_ Kỹ thuật tấn công Baiting lợi dụng sự tò mò của con người Đặc điểm

chính của loại tấn công này là lời hứa về một mặt hàng hay một sản phẩm cụthể nào đó mà tin tặc sử dụng để đánh lừa nạn nhân

_ Tấn công Quid Pro Quo (còn được gọi là tấn công Something For

Something) là một biến thể của Baiting Tuy nhiên, thay vì dụ đưa ra lời hứa

về một sản phẩm, tin tặc hứa hẹn một dịch vụ hoặc một lợi ích dựa trên việcthực hiện một hành động cụ thể nào đó qua một một dịch vụ hoặc lợi íchđược tin tặc xây dựng để trao đổi thông tin hoặc quyền truy cập

_ Lừa đảo qua mạng xã hội: Đây là hình thức lừa đảo mà tin tặc thực hiện

bằng cách gửi đường dẫn qua tin nhắn, trạng thái Facebook hoặc các mạng

xã hội khác Ngoài việc lừa nạn nhân nộp lệ phí nhận thưởng, tin tặc có thểchiếm quyền điều khiển tài khoản, khai thác thông tin danh sách bạn bè sửdụng cho các mục đích xấu như lừa mượn tiền, mua thẻ cào điện thoại,… Khi mục tiêu nhắm đến quản trị viên và nhân viên thu thập dữ liệu:

_Nhân viên thu thập dữ liệu quản lý các thông tin của bộ phận, cung cấp dữliệu cho công ty sử dụng, có quyền truy cập vào hệ thống công ty Tin tặc sẽchú tâm đưa mã độc vào trong các dữ liệu nhân viên thu thập, từ đó tạo cửasau vào công ty Hoặc đánh cắp dữ liệu để dự đoán công ty đang làm về vấn

đề gì Không cần đánh cắp thông tin vì chức vụ còn thấp, quyền hành trongcông ty còn hạn chế, thường không biết kế hoạch của công ty.

_ Nhà quản trị:

+ Nhà quản trị là người lập kế hoạch, tổ chức, lãnh đạo và kiểm soát conngười, tài chính, vật chất, và thông tin một cách có hiệu quả để đạt được mụctiêu dài hạn của doanh nghiệp Đội ngũ các nhà lãnh đạo, nhà quản trị kinhdoanh có vai trò quyết định đến sự tồn tại và phát triển của doanhnghiệp.Nhà quản trị giao việc và ủy quyền cho cấp dưới thực hiện công việc,đào tạo, giám sát và chỉ huy nhân viên để tạo ra năng suất cho doanh nghiệp,tối ưu hóa hiệu quả hoạt động của nhân viên quản lý và kiểm soát mọi vấn

đề trong doanh nghiệp, nắm bắt thông tin trong các bộ phận và kịp thời đưa

ra những quyết định xử lý phù hợp

+ Nhà quản trị là một nhân viên có vị trí cao trong công ty, xử lý nhiều dữliệu thông tin Kẻ tấn công sẽ uư tiên dùng phương pháp phising, giả mạoemail của các công ty đối tác hoặc trà trộn một file chứa mã độc trong cáckhối dữ liệu mà nhà quản trị cần xử lý, lợi dụng áp lực từ khối lượng côngviệc mà nhà quản trị chịu trách nhiệm có thể sẽ không chú ý kỹ mà bị tấncông mạng

BÀI TẬP TÌNH HUỐNG

Tình huống 1:

1 Chỉ ra 2 mối đe dọa mà bạn có thể gặp phải trong tình huống trên:

- Hành động vô ý (Inadvertent Acts): lỗi và thiếu sót của người dùng

- Hành động cố ý (Deliberate Acts): đánh cắp thông tin

2 Lý do tại sao có những mối đe dọa đó:

Nhân viên chính là mối đe dọa nội bộ Hành động dùng máy tính công việc để truy cập các trang web không an toàn bắt nguồn từ nhận thức bảo mật thông tin của nhân viên còn chưa đủ Tuy đó là hành động không xuấtphát từ mục đích xấu, nhưng điều đó có thể vô tình làm rò rĩ thông tin nội

bộ công ty lẫn những thông tin cá nhân của khách hàng

Bên cạnh đó, có thể những mã độc trên các web không an toàn trên được cài đặt một cách cố ý để xâm nhập và đánh cắp dữ liệu người truy cập.Thông tin bị đánh cắp trong mục đích ban đầu là các thông tin cá nhân người dùng với các mục đích khác nhau, vô tình nhân viên dùng máy tínhnội bộ truy cập khiến lượng thông tin càng nhiều và quan trọng bị đánh cắp, điều đó có thể dẫn đến những nguy hại trong mạng lưới nội bộ công

ty lẫn các khách hàng

3 Phân tích các hậu quả nếu các mối đe doạ thật sự xảy ra:

Nếu các mối đe doạ trên thật sự xảy ra, trước tiên là các thông tin cá nhâncủa khách hàng và các thông tin nội bộ công ty được nhân viên thu ngân quản lý sẽ bị đánh cắp, điều này có thể gây hậu quả liên luỵ đến:

Thiệt hại nặng nề về kinh tế;

Doanh nghiệp có thể bị xử lý kỷ luật, phạt hành chính, bồi thường Hoặcnặng hơn là truy cứu trách nhiệm hình sự theo quy định pháp luật hiện hành

Tình huống 2:

Vấn đề đe dọa an ninh, bảo mật là công việc mà doanh nghiệp cần quan tâmnghiêm túc hơn trong thời gian tới Trong tình huống trên, hai mối đe doạ có thểgặp phải là người dùng hệ thống (trưởng phòng kinh doanh) và các hành độngnhư gián điệp, hacking… Hai đối tượng này là mối đe dọa lớn nhất đối với việcbảo mật dữ liệu của doanh nghiệp

Những mối đe doạ này xuất phát từ những hành động vô ý và cố ý của conngười.

+ Đầu tiên, Hành động vô ý là người dùng hệ thống (trưởng phòng kinh doanh)

đã sử dụng máy tính công cộng để làm việc trong trường hợp cần sử dụng máytính gấp là không cố ý, mà không biết rằng làm như vậy có thể bị lộ hay mấtthông tin, dữ liệu Trưởng phòng này sử dụng máy tính khác mà chưa nghĩ đếnhậu quả của nó gây ra cho doanh nghiệp công ty của mình như thế nào? Đó cóthể là do người này coi nhẹ vấn đề chính sách an ninh an toàn Các công việc màngười trưởng phòng này thường làm như phân công công việc, theo dõi côngviệc cho nhân viên cấp dưới, giao dịch hợp đồng qua email, báo cáo kết quảcông việc với sếp cần đảm bảo tính chính xác và bảo mật cao

+ Thứ hai, Mối đe doạ cố ý có thể xảy ra là các hành động của những gián điệp,hacking,… Việc người dùng hệ thống dùng máy tính công cộng mà không làmcác công tác bảo mật thì các gián điệp, hacker có thể dễ dàng truy cập vào trang

hệ thống của người dùng Nếu bản thân máy tính không được an toàn về mặt vật

lý thì các cơ chế an toàn phần mềm không thể bỏ qua Các ổ đĩa vật lý có thể bịđánh tráo, hoặc thông tin bị mất Các hacker xâm nhập vào hệ thống có sẵn trênmáy tính nhằm ăn cắp, phá huỷ tài sản thông tin của doanh nghiệp Các giánđiệp, hacker truy nhập trái phép vào hệ thống công nghệ thông tin, ứng dụng và

dữ liệu

- Hậu quả của các mối đe doạ này khi nó thật sự xảy ra là

+Hậu quả rõ ràng nhất của việc để mất thông tin là tổn thất về mặt tài chính,doanh nghiệp phải trả tiền chuộc, bị phạt tiền hoặc bị tổn thất doanh thu và chiphí cơ hội

+ Rò rỉ dữ liệu: Rò rỉ dữ liệu được xem là một trong những hậu quả đáng lo ngạinhất đối với an ninh doanh nghiệp Và khi nói đến vi phạm dữ liệu, khả năngtìm lại hoặc phục hồi gần như không có

+ Mất thông tin của khách hàng đối tác Khách hàng đối tác rất quan trọng đốivới một công ty Hình ảnh của doanh nghiệp bị giảm sút rất nhiều Khách hàng

và đối tác sẽ hoàn toàn mất lòng tin và không muốn hợp tác cùng doanh nghiệpnữa

+ Thông tin bí mật có thể bị đánh cắp Các tài liệu quan trọng, thông tin củanhân viên trong công ty có thể dễ dàng bị đánh cắp bán cho các đối thủ hoặc bịchiếm đoạt

+ Kẻ tấn công có thể tự do, dễ dàng gửi email có đính kèm virus, sâu và cácphần mềm độc hại

+ Các hacker có thể kiếm tiền: Đào tiền điện tử là một cách mới tội phạm

sử dụng để kiếm tiền bằng phần cứng thiết bị của bạn Khi mở một trang web trong trình duyệt của mình, phần mềm độc hại cryptojacking có thể

sử dụng CPU ở mức tối đa để đào tiền điện tử (cryptocurrency) và nó đang ngày càng trở nên phổ biến Đây là hình thức tấn công rất mới mà nạn nhân thường không hay biết Quá trình đào tiền, kẻ tấn công sử dụng các thiết bị của công ty bạn để kiếm lợi

3 Nguyễn Huỳnh Nhi Điều 12 19510451 100%

4 Nguyễn Duy Phước VD điều 8,9 19524631 100%

5 Trần Hoàng Quân VD điều

12,16

19482051 100%

6 Lê Quốc Trung Điều 16 19494881 100%

Câu hỏi:

Điều 8: Quyền của tổ chức, cá nhân tham gia hoạt động ứng dụng

và phát triển công nghệ thông tin

- Khoản 1: Tổ chức, cá nhân tham gia hoạt động ứng dụng công

nghệ thông tin có các quyền sau đây:

Mục đ) Từ chối cung cấp hoặc nhận trên môi trường mạng sản phẩm, dịch

vụ trái với quy định của pháp luật và phải chịu trách nhiệm về việc đó.

- Giải thích: Trên môi trường mạng (nơi mà thông tin được cung cấp,

truyền đưa, thu thập, xử lý, lưu trữ và trao đổi,…) thì các tổ chức, cá nhân

có quyền từ chối cung cấp (bán), từ chối nhận (mua) các sản phẩm, dịch

vụ không đủ đáp ứng các yêu cầu của Pháp luật hoặc trái với quy định của Pháp luật, và nếu các tổ chức, cá nhân có hành vi mua, bán những sảnphẩm, dịch vụ đó thì phải chịu trách nhiệm tương ứng trước Pháp luật

do khách hàng cung cấp Vì dịch vụ này trái với yêu cầu Pháp luật nên bản thân

em phải từ chối việc này và báo với chính quyền để truy tìm đối tượng khách hàng đó

Điều 8: Quyền của tổ chức, cá nhân tham gia hoạt động ứng dụng

và phát triển công nghệ thông tin

- Khoản 2: Tổ chức, cá nhân tham gia hoạt động ứng dụng công

nghệ thông tin có các quyền sau đây:

Mục d) Phân phát các địa chỉ liên lạc có trên môi trường mạng khi có sự đồng ý của chủ sở hữu địa chỉ liên lạc đó.

- Giải thích: Đối với các thông tin về địa chỉ liên lạc trên môi trường mạng

(nơi mà thông tin được cung cấp, truyền đưa, thu thập, xử lý, lưu trữ và trao đổi,…), khi đã có sự đồng ý cho phép của các chủ sở hữu địa chỉ liên lạc đó, các tổ chức, cá nhân có quyền phân phát các địa chỉ liên lạc

đã có sự đồng ý đó vào các mục đích sử dụng mà chủ sở hữu cho phép

- Mức sử phạt: Phạt tiền từ 2.000.000 đồng đến 5.000.000 đồng

- Hình thức xử phạt bổ sung: Tịch thu tang vật, phương tiện được sử

dụng để vi phạm hành chính đối với hành vi

VD: Em là một content writer làm online và đang tìm việc trong mùa dịch thì

được một khách hàng yêu cầu viết một bài content marketing về quán cà phê mới mở của khách tên là “Chồi” tọa tại địa chỉ tại số 96 Trần Văn Bảo, phường

4, quận Gò Vấp thì em có thể sử dụng địa chỉ của quán cũng như sđt của chủ màkhách cung cấp để PR cho quán café “Chồi” này

TÀI LIỆU:

Nghị định số 63/2007/NĐ-CP: Quy định xử phạt vi phạm hành chính trong lĩnh vực công nghệ thông tin

Chương II: HÀNH VI VI PHẠM HÀNH CHÍNH VỀ CÔNG NGHỆ THÔNG TIN, HÌNH THỨC VÀ MỨC XỬ PHẠT

Mục 3: HÀNH VI VI PHẠM CÁC QUY ĐỊNH VỀ CÁC BIỆN PHÁP ĐẢMBẢO ỨNG DỤNG VÀ PHÁT TRIỂN CÔNG NGHỆ THÔNG TIN

Điều 18 Hành vi vi phạm các quy định về bảo vệ quyền, lợi ích hợp pháp và

hỗ trợ người sử dụng sản phẩm, dịch vụ công nghệ thông tin

1 Phạt tiền từ 2.000.000 đồng đến 5.000.000 đồng đối với một trong

d) Khi cung cấp dịch vụ không thực hiện hoặc không có biện pháp ngăn ngừa trẻ

em truy nhập trên môi trường mạng thông tin không có lợi đối với trẻ em theo quy định của pháp luật;

đ) Sản xuất hoặc cung cấp sản phẩm, dịch vụ công nghệ thông tin mang nội dung không có lợi cho trẻ em nhưng không có dấu hiệu cảnh báo;

e) Sản xuất hoặc cung cấp sản phẩm, dịch vụ công nghệ thông tin trái đạo

đức, thuần phong mỹ tục của dân tộc;

a) Tên, địa chỉ địa lý, số điện thoại, địa chỉ thư điện tử;

VD: Hiện nay ngoài các sàn TMĐT như Tiki, Lazada, Shopee thì em còn kinh

doanh thông qua các nền tảng xã hội như facebook, zalo hay instagram,… để giới thiệu sản phẩm ăn vặt của em Vì phải kinh doanh thông qua một bên trung gian nên em phải có một trang cá nhân ghi rõ về mặt hàng kinh doanh, địa chỉ bán và số điện thoại của bản thân để tạo sự uy tín cho khách hàng và khi gặp vấn