Tiểu luận Triển khai an ninh trong thương mại điện tử

Download
LỜI MỞ ĐẦU  
Trong những năm gần đây, Thương Mại Điện Tử tại Việt Nam chứng kiến sự phát  
triển vượt bậc với các tên tuổi lớn như Tiki, Shopee, Lazada, Sendo, Vntrip,  
Hotdeal hay Luxstay. Bên cạnh tiềm năng phát triển, vẫn tồn tại những thách thức  
rủi ro kìm hãm sự bứt phá của các doanh nghiệp TMĐT như : vấn đề lòng tin  
của người tiêu dùng, vấn đề bảo mật đối với hệ thống công nghệ thông tin, khó  
khăn trong việc bảo vệ dữ liệu khách hàng trước rủi ro bị tin tặc tấn công đánh cắp.  
Tuy nhiên, TMĐT cũng tạo ra thách thức lớn liên quan đến khung khổ pháp lý hoạt  
động kinh doanh và bảo vệ người tiêu dùng. Vậy, làm sao để bảo vệ người tiêu  
dùng trong TMĐT, đó vấn đề còn nhiều bất cập.  
vậy nhóm chúng em đã thực hiện đề tài “Triển khai an ninh trong Thương Mại  
Điện Tử” đmang đến những biện pháp hoặc phương pháp bảo mật khi triển khai  
kinh doanh một lĩnh vực nào đó. Trong quá trình học tập thực hiện đtài này,  
nhóm chúng em còn nhiều hạn chế thiếu sót, mong cô hướng dẫn và giúp đỡ  
nhóm em hoàn thành tốt đề tài này.  
Xin chân thành cảm ơn Cô!  
Nhóm sinh viên :  
1. Lê Minh Huệ - 516100028  
2. Nguyễn Mạnh Kiên – 516100034  
3. Nguyễn Hải Lâm – 516100035  
Nội, tháng 04 năm 2020  
 
MỤC LỤC  
LỜI MỞ ĐẦU .............................................................................................................................................1  
Chương 1. TỔNG QUAN VỀ THƯƠNG MẠI ĐIỆN TỬ.......................................................................4  
1. KHÁI NIỆM.....................................................................................................................................5  
2. TÌNH HÌNH CHUNG.......................................................................................................................6  
3. XU HƯỚNG THƯƠNG MẠI ĐIỆN TỬ NĂM 2020......................................................................8  
4. ƯU NHƯỢC ĐIỂM CỦA THƯƠNG MẠI ĐIỆN T............................................................10  
Chương 2. VẤN ĐỀ VỀ AN NINH TRONG THƯƠNG MẠI ĐIỆN TỬ ............................................13  
1. CÁC VẤN ĐAN NINH CÓ THỂ ẢNH HƯỚNG ĐẾN THƯƠNG MẠI ĐIỆN T....................................13  
2. CÁC KHÍA CẠNH CỦA AN NINH THƯƠNG MẠI ĐIỆN TỬ ..................................................14  
3. CÁC LOẠI TỘI PHẠM TRÊN INTERNET..................................................................................14  
i. Gian Lận Thanh Toán.................................................................................................................14  
ii. Spam...........................................................................................................................................15  
iii.  
iv.  
Phishing ..................................................................................................................................17  
Bots.........................................................................................................................................18  
v. DdoS...........................................................................................................................................18  
vi.  
Brute-force Attack ..................................................................................................................18  
SQL injections ........................................................................................................................19  
vii.  
viii. Tấn công chéo trang XSS .......................................................................................................20  
ix. Trojan Horse...........................................................................................................................21  
KẾT LUẬN CHƯƠNG..........................................................................................................................23  
Chương 3. BIỆN PHÁP ĐỂ BẢO MẬT AN NINH TRONG THƯƠNG MẠI ĐIỆN T..................24  
1. Chống xâm nhập tấn công từ chối dịch vụ DDOS.....................................................................24  
2. Tường lửa thế hệ mới......................................................................................................................24  
3. Bảo mật bằng tường lửa cho ứng dụng web ...................................................................................25  
4. Bảo vệ máy trạm người dùng cuối.............................................................................................25  
5. Sử dụng HTTPS..............................................................................................................................26  
6. Bảo mật server và Admin panel......................................................................................................27  
7. Bảo mật hệ thống thanh toán.........................................................................................................28  
8. Sao lưu dữ liệu (Backup data) ........................................................................................................30  
9. Công bố chương trình Bug Bounty.................................................................................................32  
KẾT LUẬN CHƯƠNG..............................................................................................................................33  
KẾT LUẬN ................................................................................................................................................34  
TÀI LIỆU THAM KHẢO ..........................................................................................................................35  
 
Hình 1 Thương Mại Điện Tử .........................................................................................................................5  
Hình 2 Thống số liệu ................................................................................................................................7  
Hình 3 Bảng xếp hạng...................................................................................................................................8  
Hình 4 Xu hướng mới....................................................................................................................................9  
Hình 5 Spam - tin rác ..................................................................................................................................16  
Hình 6 Phishing...........................................................................................................................................17  
Hình 7 Brute-force Attack...........................................................................................................................19  
Hình 8 SQL injection ...................................................................................................................................20  
Hình 9 Cross site scripting ..........................................................................................................................21  
Hình 10 Trojan horse ..................................................................................................................................22  
Hình 11 Giao thức HTTPs............................................................................................................................26  
Hình 12 Phân biệt thật giả giao thức HTTPs...........................................................................................27  
Hình 13 Server – Panel................................................................................................................................28  
Hình 14 Hệ thống thanh toán .....................................................................................................................29  
Hình 15 Backup dữ liệu...............................................................................................................................30  
Hình 16 Local backup..................................................................................................................................31  
Hình 17 Backup online................................................................................................................................32  
Hình 18 WhiteHub Bug Bounty...................................................................................................................33  
Chương 1. TỔNG QUAN VỀ THƯƠNG MẠI ĐIỆN TỬ  
Hình 1 Thương Mại Điện Tử  
1. KHÁI NIỆM  
Thương mại điện tử là hình thức mua bán hàng hóa và dịch vụ thông qua mạng máy  
tính toàn cầu. Thương mại điện tử đang trở thành phương thức kinh doanh mang lại  
nhiều lợi ích cho nhân loại trên cơ sở phát triển nhanh chóng của các ngành công  
nghệ, trước hết là công nghệ thông tin. Thương mại điện tử, vậy, trở thành phương  
thức kinh doanh đại diện cho nền kinh tế trí thức.  
Toàn cầu hóa đã tạo điều kiện để thương mại điện tử phát huy những điểm mạnh  
như đẩy nhanh tốc độ kinh doanh, giảm thiểu chi phí, vượt qua các trở ngại về không  
gian và thời gian,v.v… Hiện tại, không có một quốc gia nào không tham gia vào  
thương mại điện tử mức độ tập trung các nguồn lực để phát triển thương mại điện  
tử ngày càng cao.  
   
2. TÌNH HÌNH CHUNG  
Theo sách trắng Thương mại điện tử Việt Nam 2019, trong những năm gần đây,  
TMĐT trên thế giới phát triển một cách bùng nổ, năm 2019 đã vượt doanh thu hơn  
2.000 tỷ USD. Xu hướng này sẽ tiếp tục phát triển mạnh ở nhiều quốc gia trên thế  
giới, trong đó khu vực châu Á Thái Bình Dương là khu vực TMĐT đang phát  
triển sôi động.  
Tuy nhiên, thói quen sử dụng tiền mặt trong giao dịch điện tử vẫn phổ biến đang là  
“điểm trừ” lớn nhất hiện nay của hoạt động thương mại điện tử. Để xóa bỏ thói quen  
này, Ngân hàng Nhà nước và các đối tác trong hệ sinh thái thanh toán không dùng  
tiền mặt đang nỗ lực triển khai nhiều giải pháp, dịch vụ, tăng trải nghiệm của khách  
hàng…  
Số liệu cũng cho thấy, ước tính hiện khoảng 39,9 triệu người Việt Nam đã tham  
gia mua sắm trực tuyến năm 2018, gần gấp đôi năm 2016, bình quân giá trị mua sắm  
trực tuyến của một người đạt khoảng 202 USD. Tuy nhiên tỷ trọng doanh thu TMĐT  
B2C so với tổng mức bán lẻ hàng hoá và doanh thu dịch vụ tiêu dùng cả nước chỉ  
đạt 4,2%, con số này các năm trước chỉ ở mức trên dưới 3%.  
Với sự phát triển mạnh mẽ của hạ tầng Internet, hạ tầng thanh toán điện tử cũng như  
các hạ tầng logistics, Việt Nam hiện đang được đánh giá là một trong những thị  
trường TMĐT phát triển nhanh nhất ở khu vực Đông Nam Á, với tốc độ tăng  
trưởng trung bình hàng năm trên 25%. Việc TMĐT xuyên biên giới đang phát triển  
mạnh mẽ trở thành xu hướng tất yếu trong thương mại toàn cầu, nhưng cũng đặt  
ra rất nhiều thách thức cho các quốc gia trong việc hợp tác phát triển cũng như kiểm  
soát hoạt động này.  
TMĐT lĩnh vực kinh doanh mới xuất hiện tại Việt Nam trong thời gian gần đây,  
nhưng đang sự phát triển đột phá, mạnh mẽ với tốc độ tăng trưởng trung bình  
những năm qua là từ 25% -30%/năm. Hiện nay, có khoảng 1/3 dân số Việt Nam  
tham gia mua sắm trực tuyến. Không thể phủ nhận vai trò của TMĐT trong việc giúp  
người tiêu dùng dễ dàng tìm kiếm, tiếp cận sản phẩm, rút ngắn thời gian mua sắm,  
tiết kiệm chi phí đi lại, thuận tiện trong giao dịch cũng như được hưởng nhiều tiện  
ích khác.  
 
Về chính sách và quy định, những hạn chế lớn của Việt Nam về luồng dữ liệu xuyên  
biên giới thể hạn chế các hoạt động thương mại điện tử, trong khi các quy định  
về bảo mật dữ liệu và quy định bảo vệ người tiêu dùng được coi là có tác động tích  
cực đến sphát triển của thương mại điện tử.  
Số liệu thống kê tình hình thương mại điện tử ở một số quốc gia trên thế giới 2019  
Hình 2 Thống số liệu  
Việt Nam là thị trường thương mại điện tử lớn thứ ba khu vực, sau Indonesia (12,2  
tỷ USD năm 2018) và Thái Lan (3 tỷ USD năm 2018) và sẽ còn phát triển hơn nữa.  
Quy mô của thị trường thương mại điện tử Việt Nam đã tăng từ 0,4 tỷ USD năm  
2015 lên 2,8 tỷ USD năm 2018.  
Phát hiện từ năm 2014 này đã được nhiều cơ quan quản lý nhà nước về thương mại  
điện tử và doanh nghiệp biết tới. Từ năm 2015 Hiệp hội Thương mại điện tử đã chủ  
động đề xuất một số giải pháp và hành động cụ thể nhằm từng bước thu hẹp sự chênh  
lệch này. Các đề xuất này đã nhận được sự ủng hộ từ một số địa phương hội viên.  
Hiệp hội Thương mại điện tử sẽ tiếp tục tư vấn, kết nối các quan quản lý nhà  
nước, các tổ chức nghề nghiệp và doanh nghiệp phối hợp hành động để thương mại  
điện tử nước ta tiếp tục phát triển nhanh và bền vững trong giai đoạn 2019 – 2025.  
Dưới đây bảng xếp hạng các doanh nghiệp thương mại điện tử  
 
Hình 3 Bảng xếp hạng  
Bên cạnh đó, nhiều trường hợp khi bán hàng lên mạng, người bán sử dụng hình ảnh  
thật, nhưng khi sản phẩm khách hàng nhận được lại là hàng giả, hàng nhái. Trong  
khi đó, nhiều người tiêu dùng khi mua phải hàng giả, hàng nhái nhưng vì tâm lý e  
ngại đã không lên tiếng, không phản ánh đến cơ quan chức năng.  
Dự đoán rằng năm 2020 thương mại điện tử sẽ tăng lên 10 tỉ USD.  
3. XU HƯỚNG THƯƠNG MẠI ĐIỆN TỬ NĂM 2020  
Tại Việt Nam, xu hướng này cũng bắt đầu diễn ra ngay trong năm 2019 với việc hai  
công ty thương mại điện tử lớn công bố đóng cửa sàn thương mại trực tuyến của họ  
để tập trung nhiều hơn vào các lĩnh vực kinh doanh có lợi nhuận. Trong đó, Lotte.vn  
đóng cửa ngay giữa lúc họ kế hoạch thay đổi chiến lược bán lẻ. Một trang web  
thương mại điện tử khác đã bị ảnh hưởng là Adayroi của tập đoàn Vingroup - nó bị  
   
đóng cửa khá đột ngột vào cuối năm 2019 và được cho là đang chuyển sang mô hình  
bán lẻ mới.  
Nhìn vào những trang thương mại điện tử lớn còn lại trong nước, dễ dàng nhận thấy  
hầu hết trong số đó đều phụ thuộc vào túi tiền của các nhà đầu tư. Shopee Vietnam,  
Lazada Vietnam, Tiki.vn và Sendo - bốn trang thương mại điện tử trực tuyến được  
truy cập nhiều nhất tại Việt Nam - đều báo cáo các khoản lỗ lớn trong năm 2018 và  
sau đó tiếp tục huy động thêm nguồn tiền từ các nhà đầu tư nước ngoài trong năm  
2019.  
Hình 4 Xu hướng mới  
Đáng chú ý nhất trong số đó là Tiki Now - một chính sách vận chuyển hỏa tốc của  
Tiki hứa hẹn sgiao sản phẩm tận tay người mua trong vòng hai tiếng đồng hồ. Để  
thực hiện chiến lược này, startup thương mại điện tử của Việt Nam đã yêu cầu người  
bán giữ tất ccác mặt hàng của họ tại kho của mình (dưới dạng gửi). Để đảm bảo  
hơn, họ cũng đang đầu tư tiền vào kho bãi bằng việc hợp đồng với Unidepot ,  
một nhà cung cấp dịch vụ hậu cần đang sở hữu có 35.000 mét vuông không gian lưu  
kho trong nước.  
 
4. ƯU NHƯỢC ĐIỂM CỦA THƯƠNG MẠI ĐIỆN TỬ  
a. Ưu điểm  
Chi phí tài chính thấp : Một trong những ưu điểm lớn nhất của TMĐT chính  
là chi phí đầu tư ban đầu thấp. Các cửa hàng bán lẻ truyền thống phải chi trả  
hàng nghìn đô la cho chi phí thuê mặt bằng. Ngoài ra, họ còn phải trả trước  
các chi phí như bảng hiệu, thiết kế, hàng tồn kho, thiết bị phục vụ bán hàng  
hơn thế nữa. Ngoài ra, các cửa hàng này còn phải trả chi phí nhân viên để  
làm việc điều hành cho từng địa điểm. Thuê nhân viên bảo vệ nếu như hàng  
hóa trong cửa hàng có giá trị cao.  
Thu nhập tiềm năng 24/7 : Một trong những lợi thế khác của TMĐT chính là  
việc các cửa hàng luôn hoạt động 24/24. Với quảng cáo Facebook, bạn thể  
thu hút khách hàng lúc 11 giờ đêm hoặc 4 giờ sáng. Trong khi đa phần các  
cửa hàng truyền thống chỉ mở cửa từ 9 giờ sáng đến 9 giờ tối. Với việc hoạt  
động mọi lúc này, bạn thể thu hút khách hàng chọn mua sản phẩm vào bất  
kỳ lúc nào trong ngày. Bạn cũng thể thu hút những đối tượng lịch làm  
việc khác thường hoặc những người không có thời gian mua sắm bên ngoài.  
Khi có khách mua hàng lúc nửa đêm, bạn không cần phải có nhân viêc trực  
ca đêm giải quyết các đơn hàng này. Và bạn cũng không bao giờ phải thuê  
nhân viên bảo vệ.  
Bán hàng trên toàn thế giới : Tiếp theo trong danh sách những ưu thế của kinh  
doanh TMĐT chính là việc một thương hiệu mới cũng thể thể bán hàng trên  
toàn thế giới một cách dễ dàng. Bạn khả năng tiếp cận khách hàng cho dù  
họ ở Anh, Nam Mỹ hay các quốc gia láng giềng khác. Nếu bạn chọn kinh  
doanh Dropshipping từ AliExpress, có rất nhiều sản phẩm được hỗ trợ gói  
dịch vụ vận chuyển ePacket hoặc thậm chí là miễn phí vận chuyển hoàn toàn.  
Điều này cho phép bạn định giá và chi phí vận chuyển hàng hóa ở mức giá  
cạnh tranh cho khách hàng trên toàn thế giới.  
Dễ dàng giới thiệu các sản phẩm bán chạy : Việc trưng bày giới thiệu các sản  
phẩm bán chạy trên cửa hàng TMĐT giúp việc hiển thị sản phẩm tới khách  
hàng một cách dễ dàng. Mặc bạn thể xây dựng một cửa hàng thực sự để  
thu hút khách mua hàng, nhưng khách hàng có thể tìm thấy sản phẩm bán chạy  
nhất dễ dàng hơn trên cửa hàng trực tuyến. Lý do bạn muốn khách chọn mua  
các sản phẩm best-seller này là vì chúng đã được chứng minh rằng những  
 
người khác đã mua và thật sự hài lòng, yêu thích món hàng đó. Nếu bạn muốn  
giới thiệu sản phẩm mới, bạn thể đưa chúng vào mục Upsell, email  
marketing hoặc chạy quảng cáo đối tượng mục tiêu.  
Cá nhân hóa trải nghiệm mua hàng trực tuyến : Website ctrọng trải nghiệm  
cá nhân – một trong những ưu thế của kinh doanh trực tuyến, giúp nâng cao  
trải nghiệm mua sắm online cho khách hàng. Bằng cách phân loại danh sách  
email từ đơn hàng đã mua, địa điểm sinh sống hoặc số tiền họ đã chi tiêu. Bạn  
cũng thể chạy quảng cáo nhắm vào những khách hàng đã thêm sản phẩm  
vào giỏ hàng, nhưng lại không tiếp tục thanh toán. Nếu trang web của bạn có  
tính năng người dùng đăng nhập, bạn thể cho hiện lên thông báo chào mừng  
họ như “Welcome back (name)”. Sản phẩm bán chung một gói giúp khách  
hàng mua được cùng lúc nhiều món với giá tốt hơn. Bạn cũng thể cá nhân  
hóa việc gia tăng bán hàng (upsell) dựa trên những món mà khách đã xem  
hoặc những món bạn nghĩ khách sẽ thích dựa trên hành vi mua hàng của họ.  
b. Nhược điểm  
Khách không thể mua hàng nếu web bị lỗi : Bất tiện lớn nhất của TMĐT  
chính là việc website đột nhiên gặp vấn đề, dẫn đến khách không thể tiếp  
tục mua hàng. Đây là lý do tại sao bạn cần đảm bảo website của bạn được  
lưu trữ dữ liệu trên nền tảng phù hợp. dụ, nếu bạn sử dụng một hosting  
chất lượng thấp, khi bạn một lượng truy cập lớn nhờ vào quảng cáo hoặc  
từ một chương trình tivi như Shark Tank, web của bạn thể bị sập. May  
mắn thay, shopify | Platfox hỗ trợ hosting miễn phí đã bao gồm trong phí  
hàng tháng của họ, cho phép website của bạn được chạy trên một trong  
những máy chủ lớn nhất trên thị trường. Trong những năm gần đây chỉ ghi  
lại một lần duy nhất hệ thống này gặp vấn đề. Tuy nhiên, không chỉ riêng  
các cửa hàng TMĐT bị ảnh hưởng. Kể cả Twitter, Spotify, Soundclod và  
nhiều site khác cũng chịu ảnh hưởng trong lần đó. Vấn đề ngay sau đó đã  
được giải quyết trong ngày. Việc này rất hiếm khi xảy ra nên sẽ không ảnh  
hưởng đến công việc kinh doanh của bạn đâu.  
Khách hàng không thể thử sản phẩm trước khi mua : Tuy đây vấn đề rất  
nhiều nhà bán lẻ gặp phải, nhưng sẽ không phải vấn đề lâu dài. Trên  
thực tế, nhiều cửa hàng đã bắt đầu ứng dụng công nghệ thực tế ảo AR  
(augmented reality) cho phép khách hàng thử trải nghiệm sản phẩm  
trước khi mua. Các công ty phát triển công nghệ AR cho TMĐT như  
Holition and Augment, cung cấp các giải phải kinh doanh để tạo ra các trải  
nghiệm tương tác cho khách hàng. Nếu bạn sở hữu một cửa hàng mỹ phẩm,  
bạn thể xem qua ứng dụng Virtual Artist của Sephora, đây một dụ  
về trải nghiệm công nghệ thực tế ảo trong làm đẹp.  
Mức độ cạnh tranh cao : Tìm ra được niche sản phẩm phù hợp cũng một  
trong những bất lợi của TMĐT. Trên thực tế, những ngành hàng hóa tốt  
nhất cũng chính là những ngành có mức độ cạnh tranh cao nhất. Mức độ  
cạnh tranh càng cao, chi phí quảng cáo cho niche đó càng tăng. một số  
cách để khắc phục điều này. Đầu tiên, bạn thể chọn đối tượng khách  
hàng khác với các đối thủ cạnh tranh. Nếu các đối thủ đang marketing  
thông qua Facebook ads, bạn thể tăng thứ hạng tìm kiếm từ khóa bằng  
cách tối ưu hóa SEO. Nếu họ sử dụng Pinterest, bạn thể tiếp cận khách  
hàng qua Instagram. Thứ hai, nếu chi phí chạy quảng cáo của bạn cao, bạn  
thể tăng lưu lượng truy cập vào các trang blog, sau đó retargeting các  
đối tượng này để giảm chi phí quảng cáo.  
Khách hàng thường thiếu kiên nhẫn : các cửa hàng truyền thống, nếu  
khách hàng có bất kỳ thắc mắc nào, nhân viên bán hàng sẽ sẵn sàng trả lời  
họ. Tuy nhiên, đối với cửa hàng trực tuyến, các câu hỏi của khách hàng  
thường được trả lời chậm hơn. Thực tế hầu hết khách hàng mong sẽ nhận  
được phản hồi từ cửa hàng trong vòng 1 tiếng. Nếu bạn trì hoãn việc trả  
lời tin nhắn, họ sẽ cảm thấy khó chịu, tức giận quyết định mua sắm ở  
một cửa hàng khác. Vì vậy bạn cần phải trực tuyến 24/7. Bạn thể thuê  
nhân viên chăm sóc khách hàng được đào tạo để làm hài lòng khách hàng  
thông qua trang tuyển dụng Upwork.  
Chương 2. VẤN ĐỀ VỀ AN NINH TRONG THƯƠNG MẠI ĐIỆN TỬ  
1. CÁC VẤN ĐỀ AN NINH CÓ THỂ ẢNH HƯỚNG ĐẾN THƯƠNG MẠI ĐIỆN TỬ  
Quyền được phép : quá trình đảm bảo cho người quyền này được truy cập  
vào một số tài nguyên của mạng  
Xác thực : quá trình xác thực một thực thể xem họ khai báo với cơ quan xác  
thực họ là ai  
Thu thập thông tin : quá trình thu thập thông tin về các ý đồ muốn truy cập  
vào tài nguyên nào đó trong mạng bằng cách sử dụng quyền ưu tiên và các  
hành động khác.  
Sự riêng : là bảo vệ thông tin mua bán của người tiêu dùng  
Tính toàn vẹn : Khả năng bảo vệ dữ liệu không bị thay đổi  
Không thoái thác : khả năng không thể từ chối các giao dịch đã thực hiện  
Từ góc độ người sử dụng :  
Làm sao biết được Web server được sở hữu bởi một doanh nghiệp hợp pháp  
?
Làm sao biết được trang web này không chứa đựng những nội dung hay mã  
chương trình không an toàn ?  
Làm sao biết được web server không lấy thông tin của mình cung cấp cho  
bên thứ ba ?  
Từ góc độ doanh nghiệp :  
Làm sao biết được người dùng không có ý định phá hoại hoặc làm thay đổi  
nội dung của trang web hay website ?  
Làm sao biết được hcó làm gián đoạn hoạt động của server hay không ?  
Từ cả hai phía :  
Bằng cách nào họ thể biết đường truyền sẽ không bị theo dõi ?  
Bằng cách nào họ thể chắc chắn rằng các thông tin được lưu chuyển giữa  
2 bên sẽ không bị thay đổi ?  
   
2. CÁC KHÍA CẠNH CỦA AN NINH THƯƠNG MẠI ĐIỆN TỬ  
a. Tính toàn vẹn  
- Đề cập đến khả năng đảm bảo cho an ninh thông tin được hiển thị trên một  
website hoặc chuyển nhận thông tin từ internet.  
- Các thông tin này không bị thay đổi nội dung bằng bất cứ cách nào bởi  
người không được phép  
b. Chống phủ định  
- Liên quan đến khả năng đảm bảo các bên tham gia trong thương mại điện tử  
không phủ định các hành động trực tuyến họ đã thực hiện.  
c. Tính xác thực  
- Liên quan đến các khả năng nhận biết các đối tác tham gia giao dịch trực  
tuyến trên internet  
- Làm thế nào để nhận biết được người bán hàng trực tuyến người thể  
khiếu nại được hay những gì khách hàng nói là đúng sự thật  
d. Tính tin cậy  
- Liên quan đến khả năng đảm bảo ngoài những người quyền, không ai có  
thể xẻm các thông điệp và truy cập những dữ liệu có giá trị  
e. Tính riêng tư  
- Liên quan đến việc kiểm soát các thông tin cá nhân mà khách hàng cung cấp  
về chính bản thân họ  
- Cần thiết lập chính sách nội bộ để quản việc sử dụng các thông tin về  
khách hàng  
- Cần bảo vệ thông tin , tránh sử dụng vào những việc không chính đáng  
f. Tính ích lợi  
- Liên quan đến khả năng đảm bảo các chức năng của website được thực hiện  
đúng như mong đợi  
 
3. CÁC LOẠI TỘI PHẠM TRÊN INTERNET  
i. Gian Lận Thanh Toán  
Gian lận thanh toán là vấn đề nan giải, đã xuất hiện ngay từ khi TMĐT ra đời. Đây  
là hình thức kẻ gian hoặc hacker lợi dụng lỗi của hệ thống thanh toán để thực  
hiện những giao dịch ảo dẫn tới thất thoát lớn cho doanh nghiệp TMĐT.  
dụ: điện tử X ra mắt chương trình tặng tiền vào tài khoản cho người dùng mới  
đăng ký. Nếu ứng dụng X còn tồn tại lỗ hổng trong việc kiểm duyệt và xác minh tài  
khoản đăng mới, rất thể kẻ gian sẽ tạo được nhiều tài khoản để nhận được  
nhiều tiền.  
Gian lận thanh toán còn là hành vi dối trá, mánh khóe, lừa lọc trong lĩnh vực thương  
mại thông qua hoạt động mua, bán, kinh doanh, xuất nhập khẩu hàng hoá, dịch vụ  
nhằm mục đích thu lợi bất chính. Mục đích của hành vi gian lận thương mại nhằm  
thu lợi bất chính do thực hiện trót lọt hành vi lừa đảo, dối trá. Chủ thể tham gia hành  
vi gian lận thương mại bao gồm: người mua, người bán, hoặc cả người mua và người  
bán thông qua đối tượng là hàng hóa.  
Với ưu thế thuận tiện và nhanh chóng, thanh toán trực tuyến ngày càng phổ biến và  
trở thành một trong những phương thức được ưa chuộng nhất hiện nay. Tuy nhiên,  
các trường hợp gian lận liên quan tới loại hình thanh toán này được ghi nhận gần  
đây diễn biến ngày càng phức tạp đã được ghi nhận. Gần đây, tội phạm trong giao  
dịch thanh toán thẻ trực tuyến hoạt động ngày càng tinh vi, có thể kể đến như: Giả  
danh cán bộ ngân hàng thông báo với khách hàng về các khoản tiền chuyển đến tài  
khoản khách hàng và yêu cầu khách hàng cung cấp thông tin số thẻ, cùng mã mật  
khẩu xác thực một lần (One Time Password – OTP) để tác nghiệp ghi có vào tài  
khoản khách hàng. Sau đó, đối tượng sẽ lợi dụng các thông tin được cung cấp, để  
mua sắm hàng hóa, dịch vụ qua mạng Internet, dễ dàng chuyển đổi thành tiền mặt  
như thẻ games trực tuyến, thẻ trả trước Internet, thẻ điện thoại (tại Việt Nam) hoặc  
dịch vụ du lịch, vật phẩm cao cấp (tại nước ngoài).  
ii. Spam  
     
Khi mà email marketing đang là kênh thúc đẩy doanh số hiệu quả, thì đó cũng là  
kênh để những kẻ phá phách thực hiện hành vi SPAM. Không chỉ vậy, chúng có thể  
spam bình luận, form liên hệ bằng những đường link có gắn độc, hoặc spam với  
tần suất lớn khiến cho tốc độ tải trang giảm đáng kể.  
Người dùng hộp thư thể cảm giác bị "tra tấn" bằng các thư điện tử quảng cáo.  
Các spam thì vô hại nhưng mỗi ngày nhiều người thể vì các spam mail này mà bị  
đầy cả hộp thư. Trong năm 2003, khi các phần mềm chống spam chưa phổ biến và  
cỡ của các hộp thư điện tử còn giới hạn thì đã rất nhiều người dùng email phải  
nhận cả trăm spam trong một ngày mà chỉ đúng vài nội dung khác nhau. Tại sao  
các spam lại lặp đi lặp lại một cái thư quảng cáo cả chục lần cho một hộp thư? Một  
lý do là các hãng quảng cáo muốn dùng hiệu ứng tâm lý. Khi hình ảnh sản phẩm nào  
đó cứ đập vào mắt người đọc mãi thì đến lúc cần mua một thứ chức năng tương  
tự (hay cùng loại) thì chính hình ảnh thương hiệu của cái spam mail sẽ hiện đến trong  
óc người đó trước tiên. Lý do khác là kích thích sự tò mò của người dùng email  
muốn đọc thử một spam xem có nội dung gì bên trong.  
Những người gửi spam thường ngụy tạo những thông tin giả như là tên, địa chỉ, số  
điện thoại... để đánh lừa các ISP. Họ cũng thường dùng số giả hay số ăn cắp của các  
thẻ tín dụng để chi trả cho các tài khoản. Việc này cho phép họ di chuyển thật nhanh  
từ một tài khoản này sang tài khoản khác mỗi lần bị phát hiện bị đóng tài khoản  
bởi các chủ ISP.  
Phổ biến việc dùng các địa chỉ được đăng bởi những người chủ để dùng trong các  
mục tiêu khác nhau. Thí dụ như địa chỉ của các nhóm Google thường mục tiêu  
của những người làm spam. Hoặc người làm spam có tên đăng ký trong các danh  
sách bàn thảo qua thư điện tử (discussion mailing lists). Nhiều chương trình tiện ích  
thể dùng để tìm ra các địa chỉ trên các trang web.  
Hình 5 Spam - tin rác  
iii. Phishing  
Hình 6 Phishing  
Tấn công mạng theo hình thức lừa đảo Phishing luôn nằm top những rủi ro bảo mật  
phổ biến của TMĐT. Với hình thức này, Hacker thường giả mạo thành doanh  
     
nghiệp hoặc đơn vị có uy tín để lừa người tiêu dùng cung cấp thông tin nhạy cảm  
như số thtín dụng, tài khoản mật khẩu trang TMĐT. Để đạt được mục đích này,  
chúng tạo ra một website giả trông gần giống như bản gốc khiến người dùng nhầm  
lẫn nhập thông tin quan trọng. Cũng có khi chúng gửi một email, tin nhắn SMS  
mạo danh nhân viên công ty hoặc thực hiện một cuộc gọi mạo danh quan chức  
năng để chiếm được lòng tin của nạn nhân.  
Thông thường, tin tặc sẽ giả mạo thành ngân hàng, trang web giao dịch trực tuyến,  
điện tử, các công ty thẻ tín dụng để lừa người dùng chia sẻ các thông tin nhạy  
cảm như: tài khoản & mật khẩu đăng nhập, mật khẩu giao dịch, thẻ tín dụng và các  
thông tin quý giá khác.  
Phương thức tấn công này thường được tin tặc thực hiện thông qua email và tin  
nhắn. Người dùng khi mở email và click vào đường link giả mạo sẽ được yêu cầu  
đăng nhập. Nếu “mắc câu”, tin tặc sẽ được thông tin ngay tức khắc.  
iv. Bots  
Kẻ gian có thể viết ra một chương trình (bot) có khả năng thu thập dữ liệu quan trọng  
trong website Thương mại điện tử của bạn, từ đó tạo ra lợi thế cạnh tranh riêng cho  
họ. Những thông tin dễ bị thu thập là các mặt hàng đang “hot”, số lượng hàng tồn  
kho, hay số lượng hàng đã bán. Những thông tin này tuy không ảnh hưởng trực tiếp,  
nhưng ảnh hưởng gián tiếp tới doanh thu của sàn TMĐT nếu như kẻ xấu biết tận  
dụng đúng cách.  
v. DdoS  
DDoS (tấn công từ chối dịch vụ) luôn là nỗi ác mộng của các website thương mại  
điện tử. Để đảm bảo trải nghiệm khách hàng, các trang web TMĐT được kỳ vọng sẽ  
liên tục online và có thể chịu được một lượng traffic đủ lớn phục vụ nhu cầu mua  
sắm của khách hàng (tùy từng giai đoạn phát triển). Tuy nhiên, chỉ cần một cuộc tấn  
công DDoS khiến website bị sập, doanh nghiệp sẽ phải chịu thiệt hại cả về doanh  
thu trực tiếp lẫn gián tiếp (mất uy tín).  
Một phương thức tấn công phổ biến kéo theo sự bão hoà máy mục tiêu với các yêu  
cầu liên lạc bên ngoài, đến mức nó không thể đáp ứng giao thông hợp pháp, hoặc  
đáp ứng quá chậm. Trong điều kiện chung, các cuộc tấn công DoS được bổ sung bởi  
ép máy mục tiêu khởi động lại hoặc tiêu thụ hết tài nguyên của đến mức nó không  
cung cấp dịch vụ, hoặc làm tắc nghẽn liên lạc giữa người sử dụng nạn nhân.  
   
Không phải tất các dịch vụ đều ngừng chạy, thậm chí đó kết quả của một hoạt  
động nguy hại, tất yếu của tấn công DoS. Tấn công từ chối dịch cũng thể dẫn tới  
vấn đề vnhánh mạng của máy đang bị tấn công. Ví dụ băng thông của router giữa  
Internet và LAN có thể bị tiêu thụ bởi tấn công, làm tổn hại không chỉ máy tính ý  
định tấn công mà còn là toàn thể mạng.  
vi. Brute-force Attack  
Tấn công brute-force là kiểu tấn công nhắm vào tài khoản admin của quản trị viên  
trang web TMĐT. Bằng cách sử dụng công cụ chuyên dụng và test thử tất cả các  
cụm từ phổ biến, kẻ tấn công có thể dò ra mật khẩu chiếm quyền quản trị website.  
Chính vì vậy, bạn thể tự bảo vmình khỏi brute-force attacks bằng cách đặt mật  
khẩu phức tạp, đừng quên thay đổi mật khẩu định kỳ.  
Hình 7 Brute-force Attack  
vii. SQL injections  
Tấn công tiêm SQL (hay SQL injection) nhắm vào cơ sở dữ liệu của website thương  
mại điện tử. Hacker tiêm một đoạn độc hại vào database, thường thông qua  
submit form (tìm kiếm, đăng ký email…). Khi đó, chúng có thể truy cập vào cơ sở  
     
dữ liệu của website, thu thập những thông tin như data khách hàng, inventory, và  
nhiều dữ liệu khác.  
Các cuộc tấn công SQL Injection được thực hiện bằng cách gửi lệnh SQL độc hại  
đến các máy chủ cơ sở dữ liệu thông qua các yêu cầu của người dùng mà website  
cho phép. Bất kỳ kênh input nào cũng thể được sử dụng để gửi các lệnh độc hại,  
bao gồm các thẻ <input>, chuỗi truy vấn (query strings), cookie và tệp tin.  
Hình 8 SQL injection  
viii. Tấn công chéo trang XSS  
XSS (cross-site scripting) là kiểu tấn công nhắm vào người dùng website – chính là  
những khách hàng của TMĐT. Lợi dụng lỗ hổng XSS của website TMĐT, hacker  
thể chèn mã độc thông qua các đoạn script thực thi phía client. Kiểu tấn công  
này có thể gây ra tổn thất cho cả 2 đối tượng là user và website. Chính vì thế được  
xếp vào loại nguy hiểm, các website TMĐT cần hết sức cảnh giác và kiểm tra lỗ  
hổng XSS thường xuyên.  
Mục đích chính của cuộc tấn công này là ăn cắp dữ liệu nhận dạng của người dùng  
như: cookies, session tokens và các thông tin khác. Trong hầu hết các trường hợp,  
cuộc tấn công này đang được sử dụng để ăn cắp cookie của người khác. Như chúng  
   
Tải về để xem bản đầy đủ
docx 35 trang yennguyen 30/03/2022 8040
Download
Bạn đang xem 20 trang mẫu của tài liệu "Tiểu luận Triển khai an ninh trong thương mại điện tử", để tải tài liệu gốc về máy hãy click vào nút Download ở trên

File đính kèm:

  • docxtieu_luan_trien_khai_an_ninh_trong_thuong_mai_dien_tu.docx