Xem mẫu
- II. Giải pháp an toàn trong thanh toán điện tử
Như đã giới thiệu ở trên, cách tốt nhất bảo đảm an toàn trong thanh
toán điện tử là mã hóa các thông tin cần được truyền đi trên mạng. Hiện
nay có nhiều giao thức được sử dụng cho phép thực hiện giao dịch trong
không gian ảo. Bản chất của giao dịch cũng chỉ là sự chuyển tiền từ tay
người này qua người khác. Trong phần này chúng ta sẽ xem xét hai giao
thức mở cho phép thực hiện giao dịch an toàn, đó là SSL và SET.
1. Giao thức tầng cắm an toàn (Secure Sockets Layer – SSL)
Giao thức SSL được thiết kế bởi Nestcape như là một phương pháp bảo
đảm sự an toàn của kết nối khách (client) – chủ (server) trên môi trường Internet.
SSL là công nghệ để mã hóa việc truyền dữ liệu gi ữa trình duy ệt web và
máy chủ web. Công nghệ này được sử dụng thường xuyên bởi các trang web ngân
hàng trực tuyến và trang web thương mại điện tử. Trang web khác cũng có th ể tri ển
khai SSL dưới hình thức hạn chế hơn -- ví dụ: để giúp bảo vệ m ật khẩu của bạn khi
nhập thông tin đăng nhập của bạn.
Địa chỉ web được bảo mật bằng SSL bắt đầu với https: thay vì http: nên các
điều khoản thường được sử dụng thay thế cho nhau.
Cơ Chế Hoạt Động Của SSL
Về cơ bản, giao thức SSL hoạt động ngay d ưới các giao thức
ứng dụng (như HTTP, SMTP,Telnet, FTP, Gopher và NNTP) và n ằm
trên giao thức mạng TCP/IP.
Điều đó cho phép SSL vận hành độc lập đối với các giao thức ứng dụng
mạng. SSL sử dụng phương pháp mã hóa khóa công khai đã giới thiệu ở
trên, với thuật toán RAS dùng để mã hóa. SSL cho phép:
- Client và server nhận dạng lẫn nhau.
- Sử dụng chứng thực số để chứng thực tính toàn vẹn.
- Mã hóa toàn bộ thông tin để đảm bảo tính bí mật.
- Để làm được điều này cần có một máy chủ bảo mật, đó là lý do t ại
sao bạn thường nhận được thông báo kiểu này:
Các máy chủ bảo mật thường có chuỗi HTTPS và hình chiếc khóa
trong URL thay vì HTTP như bình thường.
Quá trình bạn bắt đầu một phiên làm việc với một máy ch ủ web
dưới sự bảo mật của SSL được gọi là “ quá trình bắt tay”. Một quá trình
bắt tay bao gồm:
- Trình duyệt và server quyết định cấp độ và cách th ức mã hóa
dùng cho phiên làm việc.
- Trình duyệt và server tạo và chia sẻ chìa khóa dùng đ ể mã
hóa.
- Trình duyệt yêu cầu và nhận chứng thực số từ server (không
bắt buộc).
- Server yêu cầu và nhận chứng thực số từ trình duyệt (không
bắt buộc).
Sau khi quá trình bắt tay kết thúc, bạn hoàn thành giao d ịch. Ch ỉ c ần
phiên làm việc chưa kết thúc thì mọi dữ liệu truyền đi giữa trình duy ệt và
server đều được mã hóa. Khi phiên làm việc hoàn thành, trình ch ủ b ảo
mật sẽ chuyển bạn về trình chủ không bảo mật.
SSL an toàn đến đâu?
Hầu hết chúng ta không quan tâm tới việc SSL hoạt động nh ư th ế
nào, chúng ta chỉ muốn biết nó có thực sự hoạt động hay không. Nếu nó
giữ thông tin thẻ tín dụng của bạn an toàn thì không có gì phải phàn nàn.
Tất nhiên, mã hóa sử dụng trong SSL có th ể bị phá vỡ nh ưng rất
tốn kém. Trong hầu hết các ứng dụng, SSL vẫn được coi là giải pháp
hàng đẩu để bảo vệ thông tin thẻ tín dụng khi giao dịch trực tuyến. Hơn
nữa, SSL có thể được phát triển, đặc biệt nếu Nestcape và Microsoft
- được chính phủ Mỹ cho phép sử dụng những phương pháp mã hóa mạnh
hơn.
2. Giao thức giao dịch an toàn (Secure Electronic Transaction)
Giao thức SET được thiết kế nguyên thủy bởi Visa và MasterCard
vào năm 1997 và được phát triển dần lên từ đó. Giao thức SET đáp ứng
được 4 yêu cầu về bảo mật cho TMĐT giống như SSL
Khi bạn bắt đầu một phiên làm việc với một website thương m ại thông
qua SSL, điều đó chẳng khác gì bạn đưa th ẻ tín dụng của mình cho ng ười
bán hàng . Anh ta nói giá, bạn đồng ý, và bạn đợi cho người bán yêu c ầu
xác định giá trị thẻ với ngân hàng. Nếu thẻ được xác nh ận, một phi ếu bán
hàng được in ra. Bạn ký vào phiếu bán hàng, người bán giữ m ột b ản copy
cho hồ sơ của bạn.
Với SET, ngân hàng phát hành thẻ cũng tham gia trong quá
trình giao dịch với vai trò người trung gian. Khi bạn nhập số thẻ của
mình trong một giao dịch với SET, site thương mại sẽ không bao giờ th ấy
được số thẻ của bạn. Thay vào đó, thông tin được gửi đến c ơ quan tài
chính thông qua cổng thanh toán, người sẽ xác thực thẻ của bạn và th ực
hiện thanh toán với site thương mại điện tử. Đổi lại, công vi ệc đó đòi h ỏi
một chi phí nhất định.
Giao thức SET yêu cầu khách hàng phải tải một phần mềm
đặc biệt gọi là ví điện tử (electronic wallet) hay ví số (digital wallet)
để lưu giữ chứng thực của khách hàng tại máy tính cá nhân hay thẻ
IC (Intergrated circuit card) của họ.
Để kết nối ví điện tử với những người kinh doanh khác nhau, khả năng
liên vận hành là một đặc tính quan trọng cần được đáp ứng. Do tính liên
vận hành của ví số của người chủ sở hữu th ẻ với phần m ềm c ủa b ất c ứ
- người kinh doanh nào là điều cơ bản, một liên hiệp các công ty (Visa,
MasterCard, JCB – ngân hàng phát hành thẻ của Nhật – và American
Express) đã thành lập một công ty được gọi là SETCO (Secure Electronic
Transaction LLC 1999). Công ty này thực hiện các th ử nghi ệm liên v ận
hành và phát hành một nhãn hiệu SET như một xác nh ận v ề tính liên v ận
hành. IBM, Netscape, Microsoft, Verisign, Tandem và MetaLand cung cấp
các ví số có khả năng liên vận hành như vậy.
3. So sánh SSL và SET
Khác với giao thức SSL có 3 thực thể là người chủ sở hữu th ẻ,
người kinh doanh và cơ quan chứng thực (CA), SET có thêm m ột th ực th ể
là cổng thanh toán. Đây là cổng kết nối Internet với các mạng độc quyền
của các ngân hàng. Mỗi thực thể tham gia cần chứng thực riêng.
Trên lý thuyết, SET bảo mật hơn SSL. Với SSL, thông tin thẻ tín
dụng của bạn là công khai với người bán, cả người bán và ngân hàng c ủa
bạn đều biết bạn là ai và mua những gì. Đi ều này xâm ph ạm quy ền riêng
tư. Đối với SET thì không, người bán không bao giờ nhìn th ấy s ố th ẻ c ủa
bạn, bạn chỉ phải cung cấp thông tin về thẻ của mình cho c ơ quan đã bi ết
quá rõ về nó. Người bán không biết bạn là ai, còn ngân hàng của bạn
không biết bạn mua những gì.
Tuy nhiên trên thực tế, SET không được ứng dụng rộng rãi như
người ta mong đợi do tính phức tạp, thời gian phản hồi chậm và sự
cần thiết phải cài đặt ví số ở máy tính của khách hàng. Nhiều ngân
hàng ảo và cửa hàng điện từ duy trì giao th ức SSL, một s ố sử d ụng c ả hai
giao thức như WalMart Online. Hiện chỉ có 1% kế hoạch kinh doanh đi ện
tử di chuyển sang SET.
- III. Những hình thức gian lận trong TMĐT và cách phòng
chống
1. Phishing
Phishing là một dạng lừa đảo trực tuyến ngày càng phổ biến. Kỹ
thuật lừa đảo Phishing bắt đầu bằng một email giả danh một công ty h ợp
pháp, chẳng hạn như Ebay hay CityBank.
Thông thường, nội dung của email giả danh thông báo cho nạn nhân
là tài khoản của họ đã hết hạn hoặc đại loại như vậy. N ạn nhân s ẽ đ ược
hướng dẫn để nhấp chuột vào một liên kết dẫn đến một website giả
mạo. Nếu nạn nhân vào website này, nó sẽ bảo bạn khai báo các thông tin
cá nhân quan trọng như số thẻ tín dụng hay số tài khoản cá nhân. Hậu quả
là nạn nhân bị bọn chúng vét sạch tiền trong tài khoản mà không hiểu vì
sao.
Hiện nay có nhiều phần mềm cho phép tạo lập website gi ả mạo c ủa
các công ty hợp pháp một cách dễ dàng mà không đòi hỏi kẻ lừa đ ảo ph ải
có nhiều kiến thức về lập trình, chỉ đơn giản là cắt và dán nên vấn nạn
Phishing sẽ còn gia tăng trong thời gian tới. Trong khi nhiều người dùng
cho rằng Web Caller – ID không phải là phương thức toàn năng ch ữa trị
triệt để vấn nạn phishing.
Để phòng chống Phishing bạn có thể sử dụng sản phẩm Web Caller
– ID của công ty WholeSecurity.
Web Caller – ID hoạt động theo nguyên lý phân tích các địa ch ỉ Web
để dò tìm những đầu mối cho biết một website có giả mạo hay không.
Chẳng hạn nếu địa chỉ URL của website mà dài và luẩn quẩn, hoặc n ếu
nó chứa một dãy số dài và được ngăn cách bởi các dấu ch ấm trong đ ịa ch ỉ
IP thì nhiều khả năng nó là website mạo danh. Chương trình cũng có kh ả
- năng kiểm tra xem có phải tên miền mới được đăng ký hay không, cũng
như xem có phải nhà quản trị website đó đang sử dụng một dịch vụ host
miễn phí.
Ngoài Ebay, hãng WholeSecuriry còn có kế hoạch cấp giấy phép cho
các doanh nghiệp kinh doanh trực tuyến sử dụng phần mềm Web Caller –
ID. Các doanh nghiệp này có thể là ngân hàng, hãng tín dụng hay các cửa
hàng bán lẻ qua mạng.
Với phần mềm này, bạn có thể tích hợp nó vào thanh công cụ trình duy ệt
Web, tạo thành một tính năng gián tiếp làm nhiệm vụ bảo mật. Ngoài ra,
bạn có thể lựa chọn đăng ký dịch vụ xử lý email từ hãng WholeSecurity
để nhận được những thông tin mới nhất về nạn phishing scam.
2. Spear Phishing
Mục tiêu của hình thức lừa đảo này nhằm vào các thông tin nhạy cảm của
cả một tổ chức thuộc cá nhân hay chính phủ. Thay vì giả mạo email của
một trang web nổi tiếng hay một trang ngân hàng nào đó, kẻ lừa đảo gửi
email cho một số ít nhân viên của tổ chức mục tiêu và làm như email đó
được gửi đến từ một quan chức cao cấp trong tổ chức đó.
Không giống như email của các hình thức lừa đảo Phishing thông
thường được gửi với số lượng lớn, tới mọi đối tượng, kẻ lừa đảo theo
hình thức Spear Phishing mỗi lần chỉ nhắm vào một tổ chức. Spear
Phishing là hình thức lừa đảo có mục tiêu cụ th ể. Khi chúng l ừa đ ược
nhân viên của tổ chức lộ ra mật khẩu, chúng có thể cài các phần mềm
gián điệp khai thác các bí mật của tổ chức đó.
Spear Phishing hiệu quả rất lớn đối với cả những nhân viên có hi ểu
biết về các mối đe dọa trên mạng. Tại học viện quân sự Mỹ t ại West
Point, New York, một thử nghiệm nội bộ đã cho th ấy t ất c ả các h ọc viên
sẵn sàng cung cấp thông tin cho một kẻ lừa đảo tự xưng là sỹ quan cao
- cấp. “Đó là hiệu ứng đại tá, bất cứ ai ở cấp tá trở lên cũng có th ể ra l ệnh
trước rồi đưa ra các câu hỏi sau”, tiến sĩ Aeron Ferguson phát biểu. Gần
đây các học viên đã có phần nghi ngờ các bức thư trên khi nh ận th ức c ủa
họ được nâng lên.
Để ngăn chặn hình thức lừa đảo Spear Phishing, biện pháp tốt nh ất
hiện nay là giáo dục nâng cao ý thức của các nhân viên trong tổ ch ức.
Muốn ngăn chặn triệt để vấn nạn Phishing cần có một cơ chế chứng thực
email được dùng rộng rãi. Điều này đòi hỏi sự phối hợp của toàn xã hội.
3. Pharming
Hình thức lừa đảo này rất nguy hiểm. Kẻ cắp thay đổi địa ch ỉ IP
của trang web mà bạn muốn truy cập. Khi bạn login vào, m ặc dù đã gõ
đúng tên của trang bạn muốn nhưng bạn được dẫn tới một trang web gi ả
mạo.
Đối với hệ điều hành Windows có một file lưu những trang mà b ạn
đã vào, bên cạnh đó là địa chỉ IP của trang đó. Trong l ần truy c ập ti ếp
theo, bạn sẽ truy cập trực tiếp vào trang đã có địa chỉ IP trong danh sách
mà không cần thông qua máy chủ DNS. Nếu hacker tấn công máy của bạn
và thay đổi địa chỉ IP của trang đó, bạn sẽ được dẫn vào một trang web
giả.
Mức độ nguy hiểm sẽ tăng, nếu hacker tấn công được vào máy ch ủ
DNS của và thay đổi địa chỉ IP của trang web. Lúc này không ch ỉ mình
bạn, mà bất cứ ai truy cập vào trang web đó đều truy cập vào trang web
giả mạo.
Máy chủ DNS (Domain Name Server) có nhiệm vụ biên dịch tên
miền thành địa chỉ IP. Khi bạn đánh tên trang web bạn muốn vào, máy ch ủ
- DNS sẽ biên dịch tên trang web thành địa ch ỉ IP và k ết nối t ới trang có đ ịa
chỉ IP đó.
4. keylogger
Keylog, keylogger là chương trình ghi lại các thao tác trên bàn phím, chuột.
Keylogger được các nhà lập trình viết ra để sử dụng với mục đích hợp
pháp như theo dõi, quản lý con em họ, … Tuy nhiên vấn đề nghiêm trọng
ở đây là hiện nay, keylogger được sử dụng tràn lan với các mục đích xấu,
đó là ăn cắp thông tin cá nhân của người dùng máy tính.
Như đã nói ở trên, keylogger ghi lại các thao tác trên bàn phím, đó là các
loại keylogger lỗi thời.
Các loại keylogger hiện nay có thể hiện đại hơn rất nhiều. Đó là lưu lại
hoạt động của cả con chuột, chụp lại ảnh màn hình. Và tinh vi hơn nữa là
keylogger không chỉ lưu lại, mà còn tự động gửi các thông tin đã lưu lại
cho chủ nhân của mình theo thời gian hay chế độ đặt sẵn (…) qua email
hoặc upload file (FTP).
Máy tính của bạn rất có thể đang bị nhiễm keylogger. Có rất nhiều cách
để kẻ cắp thông tin đưa nó vào máy tính của bạn. Đơn giản là họ đã cài
đặt nó vào máy bạn khi bạn không ngồi trước máy, hay phát tán nó trên
internet bằng cách gắn nó vào các tệp thực thi (.exe) của crack, patch,
keygen, … Bạn có thể vô tình download chúng về rồi nhận luôn món quà
khuyến mãi quý báu này. Hoặc đỉnh cao hơn nữa, họ gắn vào các website,
bạn truy cập vào và cũng nhận được quà.
Ở Việt Nam hiện nay, ít có bố mẹ nào theo dõi con cái bằng keylogger cả
mà chỉ toàn là cài đặt, phát tán keylogger trên internet để ăn cắp tài khoản,
email, … của người dùng máy tính. Máy tính ở các quán internet rất có thể
bị cài đặt keylogger vì việc cài đặt trên các máy tính này rất dễ mà người
dùng và người quản lý không hề để ý. Điều này rất nguy hiểm vì người
dùng máy tính có internet thường xuyên đăng nhập các tài khoản trực
tuyến như nick chat, tài khoản email hay có khi là cả tài khoản ngân hàng.
Phát hiện keylogger không khó với một người có hiểu biết chút về máy
tính, nhưng cũng khá rắc rối với một người bình thường. Sau đây là một
số cách phát hiện keylogger:
5. Các phòng chống gian lận
- a.Nếu bạn là khách hàng
Để tránh để mình trở thành nạn nhân của các hình th ức gian l ận trên
bạn cần:
- Bảo vệ máy tính của mình bằng firewall và các phần mềm diệt
trừ spyware, trojan.
- Thực hiện các quy tắc an toàn về tài khoản như tạo tên tài kho ản
hợp lệ, password đủ dài và bao gồm cả ký tự chữ và số, không sử
dụng thông tin cá nhân làm password.
Để tránh “mất hết tài khoản”, mỗi tài khoản nên đặt mật kh ẩu
-
khác nhau, và nên thay đổi thường xuyên (xem thêm H ướng dẫn
đặt và bảo vệ mật khẩu).
Kiểm tra tên trang web để chắc chắn bạn đang truy cập vào trang
-
bạn cần. VD: http://www.1uadao.com và http://www.luadao.com.
Hai tên trang web giống nhau đến kinh ngạc. Một trang sử dụng
ký tự chữ “l” và một trang sử dụng ký tự số “1”.
Cẩn thận với những email lạ, đặc biệt là những email yêu c ầu
-
cung cấp thông tin dù vẫn biết là phải tránh nh ưng không ít
trường hợp đều chủ quan.
Xem kỹ nội dung có chính xác, có giống với những biểu mẫu
-
thường gặp không. Nếu sai chính tả như trên là… có vấn đề.
Nếu có yêu cầu xác nhận thì xem kỹ liên kết, nếu có ký tự là nh ư
-
@ hay %01 thì có khả năng giả mạo.
Nếu muốn mở một link thì nên tô khối và copy rồi dán vào trình
-
duyệt, và đồng thời phải xem kỹ trên thanh địa chỉ xem liên kết có
biến đổi thêm các ký tự lạ như @ hay không.
Khi được yêu cầu cung cấp thông tin quan trọng, tốt h ơn hết là
-
nên trực tiếp vào website của phía yêu cầu để cung cấp thông tin
chứ không đi theo đường liên kết được gửi đến. Cẩn thận hơn thì
nên email lại (không reply email đã nhận) với phía đối tác đ ể xác
nhận hoặc liên hệ với phía đối tác bằng phone h ỏi xem có kêu
mình gửi thông tin không cho an toàn.
- Với các trang xác nhận thông tin quan trọng, họ luôn dùng giao
-
thức http secure (có ‘s’ sau http) nên địa chỉ có dạng https://.... chứ
không phải là http:// thường.Ngân hàng kêu ta xác nhận lại dùng
http:// “thường” thì chắc là ngân hàng… giả.
- Nên thường xuyên cập nhật các miếng vá lỗ hổng bảo mật cho
trình duyệt (web browser). Cài thêm chương trình phòng chống
virus, diệt worm, trojan và tường lửa là không bao giờ thừa.
- Cuối cùng, và cũng là quan trọng nhất là đừng quên kiểm tra
thường xuyên thông tin thẻ ATM, Credit Card, Tài khoản ngân
hàng.
- Nếu bị “lừa” bạn phải thông báo đến tổ chức Anti Phishing
Group Phòng chống Phishing quốc tế (www.antiphising.org) để
nhờ họ giúp đỡ.
b.Nếu bạn là người kinh doanh
Bạn có thể bảo vệ mình trước các hình thức gian lận b ằng cách s ử
dụng dịch vụ chống gian lận của Verisign
VeriSign là nhà cung cấp hoạt động trong lĩnh vực an toàn Internet.
Họ cung cấp cho bạn các dịch vụ bảo vệ ch ất lượng cao v ới giá c ả h ợp
lý. Công nghệ bảo mật của VeriSign được thiết kể dựa trên các thông tin
phản hồi từ các thương nhân và nhu cầu của cộng đồng kinh doanh trực
tuyến cộng với việc lường trước các hành vi gian lận mới.
Các lựa chọn nâng cấp:
Dịch vụ kiểm tra tài khoản: bổ xung thêm dịch vụ này vào cả hai
-
gói dịch vụ cơ bản và cao cấp để chống lại các hành vi ti ếp qu ản
và xâm nhập tài khoản thanh toán. Cung cấp tính năng qu ản lý
giao dịch với đường dây liên lạc gian lận cho phép bạn hỏi cac
chuyên gia về các hoạt động của các tài khoản có nghi ngờ gian
lận.
Dịch vụ xác minh người mua: bảo vệ trách nhiệm pháp lý với dịch
-
vụ xác nhận người mua (được xác nhận bởi Visa và MasterCard)
- Dịch vụ an toàn quản lý: bổ xung dịch vụ này để bảo vệ tốt nhất
-
toàn bộ cơ sở hạ tầng của bạn. Cung cấp một đội ngũ bảo mật
riêng 24x7 không tốn kém thời gian và chi phí quản lý.
nguon tai.lieu . vn