Đăng ký Đăng nhập
Trang chủ An toàn bảo mật nguy cơ mất an toàn trong giao dịch tmđt...

Tài liệu An toàn bảo mật nguy cơ mất an toàn trong giao dịch tmđt

.PDF
33
164
90

Mô tả:

ĐỀ TÀI: TRÌNH BÀY VÀ PHÂN TÍCH CÁC NGUY CƠ MẤT AN TOÀN TRONG GIAO DỊCH THƯƠNG MẠI ĐIỆN TỬ MỤC LỤC: Lời mở đầu. Phần I : Lý thuyết. 1.1 1.2 1.3 1.4 1.5 . Khái niệm cơ bản về thương mại điện tử. .Lợi ích của thương mại điện tử . Các đặc trưng cơ bản của thương mại điện tử. Các khía cạnh cơ bản trong giao dịch thương mại điện tử. Một số điểm nổi bật trong Nghị định về TMĐT. Phần II: PHÂN TÍCH CÁC NGUY CƠ MẤT AN TOÀN TRONG GIAO DỊCH THƯƠNG MẠI ĐIỆN TỬ. 2.1. Nguy cơ mất an toàn dữ liệu trong giao dịch Thương Mại Điện Tử - Mất an toàn dữ liệu đối với người bán. - Mất an toàn dữ liệu đối với người mua. - Mất an toàn dữ liệu đối với chính phủ. 2.2. Nguy cơ mất an toàn liên quan đến công nghệ. -Virus, WORRM, con ngựa thành tơ roa, Bad Applet. - Tin tặc và các chương trình phá hoại. -Gian lận thẻ tín dụng. - Tấn công từ chối dịch vụ. -Kẻ trộm trên mạng. - Kẻ giả mạo. 2.3.Nguy cơ về thủ tục, quy trình giao dịch . 2.4. Tác động của những nguy cơ mất an toàn trong giao dịch thương mại điện tử. 2.4.1.Đối với người tiêu dùng. 2.4.2. Đối với thương mại. 2.4.3. Đối với thương mại và nền kinh tế. 2.5. Ứng dụng an toàn dữ liệu và bảo mật thông tin trong giao dịch TMĐT. 2.6. Giải pháp ở góc độ của những chủ thể tham gia giao dich TMĐT. 2.6.1. Giải pháp ở góc độ quản lý nhà nước. 2.6.2. Giải pháp cho doanh nghiệp. 2.6.2. Giải pháp cho khách hàng. KẾT LUẬN. LỜI MỞ ĐẦU Ngày nay, vấn đề an ninh cho thương mại điện tử đã không còn là vấn đề mới mẻ .Các bằng chứng thu thập được từ hàng loạt các cuộc điều tra cho thấy những vụ tấn công qua mạng hoặc tội phạm mạng trong thế giới thương mại điện tử đang gia tăng nhanh từng ngày . Các chuyên gia đánh giá nguy cơ tiềm tàng nguy hiểm nhất đối với mạng máy tính mở là đạo tặc tin học, xuất hiện từ phía bọn tội phạm và giới tình báo. Nguy hiểm bởi: nó xuất phát từ phía những kẻ có chuyên môn cao và sử dụng kỹ thuật tinh vi (như đoán mật khẩu, khai thác các điểm yếu của hệ thống và các chương trình hệ thống, giả mạo địa chỉ IP, khai thác nguồn trên gói IP, đón lõng các trạm đầu cuối hoặc truy cập đang hoạt động, cài rệp điện tử, bơm virus máy tính phá hoại CSDL, sửa nội dung thông tin theo ý đồ đen tối của chúng, thậm chí nếu cần còn có thể làm tắc nghẽn kênh truyền, v.v); hoạt động của chúng là có chủ đích và trên phạm vi rộng (như không những đối với từng cơ quan, doanh nghiệp mà còn đối với cả Chính phủ). Những tác hại mà chúng gây ra ảnh hưởng tới không chỉ riêng trong lĩnh vực kinh tế mà cả đối với lĩnh vực chính trị, an ninh-quốc phòng. Bởi vậy, Chúng ta cần phải sử dụng nhiều biện pháp đồng thời để nâng cao khả năng phòng chống các vụ tấn công qua mạng như bảo vệ an ninh, tường lửa, quản lý việc truy cập hệ thống .Đồng thời TMĐT ngày càng được sử dụng rộng rãi ,vấn đề bảo mật/an toàn trong giao dịch TMĐT phải là cả một kế hoạch tổng thể của Chính phủ, không đơn thuần chỉ có một phần nhỏ trong cộng đồng. I. I.1. LÝ THUYẾT Khái niệm cơ bản về TMĐT Thương mại điện tử là hình thức mua bán hàng hóa và dịch vụ thông qua mạng máy tính toàn cầu. Giao dịch trong TMĐT là một hệ thống bao gồm không chỉ các giao dịch liên quan đến mua bán hàng hóa và dịch vụ, tạo thu nhập, mà còn là các giao dịch có khả năng trợ giúp quá trình tạo ra thu nhập: kích thích nhu cầu đối với hàng hóa và dịch vụ, cung cấp dịch vụ trợ giúp quá trình bán hàng, trợ giúp người tiêu dùng, hoặc trợ giúp thay đổi thông tin giữa các doanh nghiệp. Giao dịch thương mại điện tử qua mạng Internet chủ yếu sử dụng giao thức TCP/IP. TCP/IP cho phép các thông tin được gửi từ 1 máy tính này đến 1 máy tính khác mà đi qua 1 loạt các máy tính trung gian và mạng riêng biệt trước khi nó có thể đi tới được đích. Chính vì điểm này giao thức TCP/IP đã tạo cơ hội cho “bên thứ ba” có thể thực hiện các hành động có thể gây mất an toàn thông tin trong giao dịch. I.2. Lợi ích từ TMĐT - Giúp khách hàng dễ dàng hơn trong việc chọn lựa khi mua hàng -Mở ra các loại hình trung gian mới về môi giới. VD: Sẽ xuất hiện trung gian môi giới về: Tìm các thị trường đặc biệt, thông báo cho khách hàng các cơ hội kinh doanh tốt, thay đổi điều kiện thị trường, các mặt hàng thực sự khó tìm, thậm trí tổ chức các điều tra nghiên cứu định kì về mặt hàng cụ thể cho các doanh nghiệp. -Cơ hội giảm chi phí: Giao dịch thương mại trên cơ sở dùng Internet cho EDI và các giao dịch ngân hàng ít tốn kém hơn dùng các mạng nội bộ chuyên dùng.Nó không chỉ tiết kiệm chi phí tiềm ẩn cho các doanh nghiệp lớn, mà còn tạo ra cơ hội doanh nghiệp nhỏ có thể dùng các tiến trình điện tử và qua đó cắt giám bớt các khoản chi phí lớn không đáng có như trong quá khứ. Mặt khác, thời gian giao dịch trên Internet chỉ bằng 7% thời gian giao dịch qua Fax, 0.05% thời gian giao dịch qua bưu điện. Chi Phí giao dịch qua Internet chỉ bằng khoảng 5% chi phí giao dịch qua Fax hay qua bưu điện hay chuyển phát nhanh, bằng 10%-20% chi phí thanh toán thông thường. TMĐT giúp giảm chi phí bán hàng và tiếp thị. Chi phí văn phòng cấu thành trong chi phí sản phẩm, việc giảm chi phí văn phòng theo nghĩa giảm thiểu các khâu internet ấn giấy tờ, giảm thiểu số nhân viên văn phòng...cũng có ý nghĩa là giảm chi phí sản phẩm. -Nắm được thông tin phong phú -Tạo điều kiện sớm tiếp cận kinh tế số: Đối với một quốc gia, TMĐT được xem là động lực kích thích phát triển công nghiệp công nghệ thông tin, một ngành mũi nhọn và được xem là đóng góp chủ yếu vào hình thành nền tảng cơ bản của nền kinh tế thế giới mới. Đây là cơ hội cho việc hội nhập kinh tế toàn cầu I.3. Các đặc trưng cơ bản trong giao dịch TMĐT So với các hoạt động Thương mại truyền thống, thương mại điện tử có một số điểm khác biệt cơ bản sau: - Các bên tiến hành giao dịch trong thương mại điện tử không tiếp xúc trực - tiếp với nhau và không đòi hỏi phải biết nhau từ trước. Các giao dịch thương mại truyền thống được thực hiện với sự tồn tại của khái niệm biên giới quốc gia, còn thương mại điện tử được thực hiện trong một thị trường không có biên giới (thị trường thống nhất toàn cầu). Thương - mại điện tử trực tiếp tác động tới môi trường cạnh tranh toàn cầu… Trong hoạt động giao dịch thương mại điện tử đều có sự tham ra của ít nhất ba chủ thể, trong đó có một bên không thể thiếu được là người cung - cấp dịch vụ mạng, các cơ quan chứng thực. Đối với thương mại truyền thống thì mạng lưới thông tin chỉ là phương tiện để trao đổi dữ liệu, còn đối với thương mại điện tử thì mạng lưới thông tin chính là thị trường: Các trang Web khá nổi tiếng như Yahoo! America Online hay Google đóng vai trò quan trọng cung cấp thông tin trên mạng .Các trang Web này đã trở thành các “khu chợ” khổng lồ trên Internet .Với mỗi lần nhấn chuột, khách hàng có khả năng truy cập vào hàng ngàn cửa hàng ảo khác nhau và tỷ lệ khách hàng vào hàng ngàn các cửa hàng ảo khác nhau và tỷ lệ khách hàng vào thăm rồi mua hàng là rất cao .Người tiêu dùng đã bắt đầu mua trên mạng một số các loại hàng trước đây được coi là khó bán trên mạng. Nhiều người sẵn sàng trả thêm một chút tiền còn hơn là phải đi tới tận cửa hàng. Một số công ty đã mời khách may đo quần áo trên mạng, tức là khách hàng chọn kiểu, gửi số đo theo hướng dẫn tới cửa hàng (qua Internet) rồi sau một thời gian nhất định nhận được bộ quần áo theo đúng yêu cầu của mìn .Điều tưởng như không thể thực hiện được này cũng có rất nhiều người hưởng ứng. Các chủ cửa hàng thông thường ngày nay cũng đang đua nhau đưa thông tin lên Web để tiến tới khai thác mảng thị trường rộng lớn trên Web bằng cách mở cửa hàng ảo. Chính từ những đặc điểm này của giao dịch TMĐT đã dẫn đến những nguy cơ mất an toàn sau: - Nguy cơ về dữ liệu. Nguy cơ liên quan đến công nghệ. Nguy cơ thủ tục quy trình giao dịch cuả doanh nghiệp. Một số nguy cơ khác. I.4. Các khía cạnh trong an toàn thương mại điện tử: Tính toàn vẹn (thông tin không bị thay đổi trong quá trình truyền và nhận tin). - Chống phủ định (các bên tham gia không phủ định hành động trực tuyến mà họ đã thực hiện). Chống phủ định liên quan đến khả năng đảm bảo rằng các bên tham gia thương mại điện tử không phủ định các hành động trực tuyến mà họ đã thực hiện. Chẳng hạn như một người có thể dễ dàng tạo lập một hộp thư điện tử qua một dịch vụ miễn phí, từ đó gửi đi những lời phê bính, chỉ trích hoặc các thông điệp và sau đó lại từ chối những việc làm này. Thậm chí, một khách hàng với tên và địa chỉ thư điện tử có thể dễ dàng đặt hàng trực tuyến và sau đó từ chối hành động mà mình đã thực hiện. Trong hầu hết các trường hợp như vậy, thông thường người phát hành thẻ tín dụng sẽ đứng về phía khách hàng vì người bán hàng không có trong tay bản sao chữ ký của khách hàng cũng như không có bất cứ bằng chứng hợp pháp nào chứng tỏ khách hàng đã đặt hàng mình. Và tất nhiên, rủi ro sẽ thuộc về người bán hàng. - Tính xác thực (có thể khiếu nại được..) Tính xác thực liên quan đến khả năng nhận biết các đối tác tham gia giao dịch trực tuyến trên Internet, như làm thế nào để khách hàng chắc chắn rằng, các doanh nghiệp bán hàng trực tuyến là những người có thể khiếu nại được; hay những gì khách hàng nói là sự thật ; làm thế nào để biết được một người khi khiếu nại có nói đúng sự thật, có mô tả đúng sự việc hay không?.. - Tính tin cậy Tính tin cậy liên quan đến khả năng đảm bảo rằng, ngoài những người có quyền, không ai có thể xem các thông điệp và truy cập những dữ liệu có giá trị. Trong một số trường hợp, người ta có thể dễ nhầm lẫn giữa tính tin cậy và tính riêng tư. Thực chất, đây là hai vấn đề hoàn toàn khác nhau. - Tính riêng tư (thông tin không bị cung cấp cho bên thứ ba sử dụng trái phép). Tính riêng tư liên quan đến khả năng kiểm soát việc sử dụng các thông tin cá nhân mà khách hàng cung cấp về chính bản thân họ. Có hai vấn đề mà người bán hàng phải chú ý đối với tính riêng tư. Người bán hàng cần thiết lập các chính sách nôi bộ để có thể quản lý việc sử dụng các thông tin về khách hàng. Họ cần bảo vệ các thông tin đó tránh sử dụng vào những mục đích không chính đáng hoặc tránh sử dụng trái phép các thông tin này. Ví dụ, khi tin tặc tấn công vào các website thương mại điện tử, truy nhập các thông tin về thẻ tín dụng và các thông tin khác của khách hàng, trong trường hợp đó, không chỉ xâm phạm đến tính tin cậy của dữ liệu mà còn vi phạm riêng tư của các cá nhân, những người đã cung cấp các thông tin đó. - Tính lợi ích Tính ích lợi liên quan đến khả năng đảm bảo các chức năng của một website thương mại điện tử được thực hiện đúng như mong đợi. Đây cũng là vấn đề mà các website hay gặp phải và là trở ngại không nhỏ đối với việc thực hiện các giao dịch trực tuyến trên Internet.  Tóm lại, vấn đề an toàn trong thương mại điện tử đựơc xây dựng trên cơ sở bảo vệ sáu khía cạnh trên, khi nào một trong số các khía cạnh này chưa được đảm bảo, sự an toàn trong tThương mại điện tử vẫn coi như chưa được thực hiện triệt để. Như vậy, an toàn trong thương mại điện tử, trong một môi trường kinh doanh chứa đựng nhiều rủi ro, luôn là một vấn đề quan trọng và xuyên suốt trong quá trình hoạt động của doanh nghiệp thương mại điện tử nhất là khi thương mại điện tử đang phát triển mạnh mẽ 1.5. Một số điểm nổi bật trong Nghị định về TMĐT - Thứ nhất: về trách nhiệm đăng ký, theo Thông tư 47, người bán trên mạng xã hội không phải đăng ký với Bộ Công Thương. - Thứ hai: về nghĩa vụ nộp thuế, cần phân biệt hai nhóm cá nhân: • Nhóm thứ nhất là các cá nhân hoạt động thương mại một cách độc lập, thường xuyên và có đăng ký kinh doanh .Theo Luật Thương mại, họ là thương nhân và phải tuân thủ Luật này cũng như pháp luật về thuế. • Nhóm thứ hai là các cá nhân hoạt động thương mại một cách độc lập, thường xuyên không phải đăng ký kinh doanh, họ cũng phải tuân thủ pháp luật về thuế. Theo khoản 3 Điều 2 của Luật Thương mại, Chính phủ quy định cụ thể việc áp dụng Luật thương mại đối với các cá nhân này. Theo quy định tại khoản 3 Điều 6 Thông tư số 47: “Người bán trên các mạng xã hội quy định tại Khoản 1 Điều 6 phải tuân thủ những quy định tại Điều 37 Nghị định số 52/2013/NĐ-CP”. Theo đó, người bán trên các mạng xã hội phải thực hiện trách nhiệm của người bán trên sàn giao dịch thương mại điện tử, bao gồm cả quy định về việc thực hiện đầy đủ nghĩa vụ thuế theo quy định của pháp luật .Các cơ quan quản lý nhà nước về thương mại và thuế cần thông báo kịp thời và đầy đủ các thủ tục liên quan. Nhằm tạo điều kiện kinh doanh thuận lợi cho các cá nhân thuộc nhóm thứ hai này, các hoạt động khai báo, nộp thuế và kiểm tra giám sát nên được thực hiện trực tuyến. - Thứ ba: về trách nhiệm của các chủ sàn TMĐT đối với việc chất lượng của sản phẩm được bán trên sàn, Khoản 4 Điều 4 Thông tư 47 có quy định về trách nhiệm của thương nhân, tổ chức cung cấp dịch vụ thương mại điện tử trong việc loại bỏ khỏi website những thông tin bán hàng giả, hàng nhái, hàng nhập lậu, hàng vi phạm quyền sở hữu trí tuệ và các hàng hóa, dịch vụ vi phạm pháp luật khác khi phát hiện hoặc nhận được phản ánh có căn cứ xác thực về những thông tin này. Như vậy, trách nhiệm trước hết thuộc về người bán, nhưng chủ sàn cũng phải chủ động phát hiện và chịu một phần trách nhiệm khi trên sàn bán các loại hàng hóa vi phạm pháp luật. Quy định này sẽ tạo ra môi trường kinh doanh trực tuyến lành mạnh hơn và bảo vệ tốt hơn quyền lợi của khách hàng. Rõ ràng là đã tới thời điểm chủ sở hữu sàn giao dịch thương mại điện tử hay cá nhân kinh doanh trên mạng xã hội phải tìm hiểu các quy định của pháp luật nhằm bảo vệ lợi ích chính đáng của mình cũng như của khách hàng trong môi trường trực tuyến. II. PHÂN TÍCH CÁC NGUY CƠ MẤT AN TOÀN TRONG GIAO DỊCH THƯƠNG MẠI ĐIỆN TỬ Với sự phát triển cuả CNTT thì giúp chúng ta nắm bắt được các thông tin nhanh chóng, trao đổi dữ liệu dễ dàng, môi trường mạng đưa tất cả mọi thứ lên bàn làm việc cuả doanh nghiệp cũng như mỗi cá nhân. Bên cạnh đó, tiềm ẩn nhiều nguy cơ mất an toàn, các vấn đề an toàn dữ liệu ngày càng nhiều và phức tạp. 2.1. Nguy cơ mất an toàn dữ liệu trong giao dịch Thương Mại Điện Tử Số vụ tấn công vào Internet ngày càng tăng, kể cả vào những mạng được bảo vệ nghiêm ngặt (cuối năm 1996, trang web của Bộ Tư pháp Mỹ và của CIA bị truy cập và thay đổi ). Mất an toàn dữ liệu đối với người bán: Thay đổi địa chỉ nhận đối với chuyển khoản ngân hàng và do vậy chuyển khoản này sẽ được chuyển tới một tài khoản khác của người xâm nhập bất chính. Nhận được những đơn đặt hàng giả mạo. Trong trường hợp một khách hàng quốc tế đặt hàng và sau đó từ chối hành động này, người bán hàng trực tuyến thường không có cách nào để xác định rằng thực chất hàng hóa đã được giao đến tay khách hàng hay chưa và chủ thẻ tín dụng có thức sự là người đã thực hiện đơn đặt hàng hay không. Mất an toàn dữ liệu đối với người mua: Thông tin bí mật về tài khoản bị đánh cắp khi tham gia giao dịch thương mại điện tử. Thông tin cá nhân của họ có thể bị chặn và đánh cắp khi họ gửi đi một đơn đặt hàng hay chấp nhận chào hàng Hiện tượng các trang web giả mạo, giả mạo địa chỉ Internet (IP Spoofing), phong tỏa dịch vụ (DOS – denial of service), và thư điện tử giả mạo của các tổ chức tài chính ngân hàng Tin tặc tấn công và các website thương mại điện tử, truy cập các thông tin về thẻ tín dụng đã không chỉ xâm phạm đến tính tin cậy của dữ liệu mà còn vi phạm quyền riêng tư đối với các thông tin cá nhân của khách hàng. Theo tạp chí bưu chính viễn thông tháng 4 năm 2000, ở Mỹ hiện có đến 60% số người chưa nối mạng Internet tỏ ý muốn nối mạng nếu như các bí mật riêng của họ được bảo vệ . Trên 50% số người nối mạng, song chưa mua hàng trên Internet là do họ lo ngại về sự xâm phạm đến các dữ liệu về họ. Mất an toàn dữ liệu đối với chính phủ Các hacker có nhiều kỹ thuật tấn công các trang web này nhằm làm lệch lạc thông tin, đánh mất dữ liệu thậm chí là đánh “sập” khiến các trang web này ngừng hoạt động. Đặc biệt một số tổ chức tội phạm đã sử dụng các tin tặc để phát động các cuộc tấn công mang tính chất chính trị hoặc tương tự như vậy .Điển hình là vụ tấn công của tin tặc Hàn Quốc vào các website của Bộ giáo dục Nhật Bản (tháng 4 – 2001) nhằm phản đối những cuốn sách giáo khoa phản ánh sai lịch sử do Nhật Bản xuất bản. => Nguy cơ này là nguy cơ đặc biệt nghiêm trọng vì nó liên quan trực tiếp đến chính trị quốc gia và an ninh của quốc gia.Nếu thông tin bảo mật của 1 quốc gia liên tục bị tấn công, lấy cắp thông tin thì sẽ gây ảnh hưởng trực tiếp đến các hoạt động của quốc gia đó, ảnh hưởng xấu đến nền kinh tế và rối loạn an ninh quốc gia .Vậy nên vấn đề an toàn dữ liệu quốc gia phải được đặt lên hàng đầu. 2.2. Nguy cơ mất an toàn liên quan đến công nghệ. Trong thương mại điện tử, ngoài những rủi ro về phần cứng do bị mất cắp hay bị phá hủy các thiết bị (máy tính, máy chủ, thiết bị mạng…), các chủ thể tham gia giao dịch thương mại điện tử có thể phải chịu những nguy cơ mất an toàn về mặt công nghệ phổ biến như sau: – Virus Là một chương trình máy tính, nó có khả năng nhân bản hoặc tự tạo các bản sao của chính mình và lây lan sang cac chương trình, các tệp dữ liệu khác nhau trên máy tính nhằm thực hiện một mưu đồ nào đó. Virus tấn công vào thương mại điện tử thường gồm 3 loại chính: virus ảnh hưởng tới các tệp (file) chương trình (gắn liền với những file chương trình, thường là .COM hoặc .EXE), virus ảnh hưởng tới hệ thống (đĩa cứng hoặc đĩa khởi động), và virus macro. +> Virus macro là loại virus phổ biến nhất, chiếm từ 75% đến 80% trong tổng số các virus được phát hiện. Đây là loại virus đặc biệt chỉ nhiễm vào các tệp ứng dụng soạn thảo, chẳng hạn như các tệp ứng dụng của MS Word, Excel và Power Point .Khi người sử dụng mở các tài liệu bị nhiễm virus trong các chương trình ứng dụng, virus này sẽ tự tạo ra các bản sao và nhiễm vào các tệp chứa đựng các khuôn mẫu của ứng dụng, để từ đó lây sang các tài liệu khác. +> Virus tệp là những virus lây nhiễm vào các tệp tin có thực thể thực thi như: *.exe, *.com, *.dll… Nó hoạt động khi cúng thực thi các tệp tin bị lây nhiễm bằng cách tự tạo các bản sao của chính mình ở trong các tệp tin khác đang được thực hiện tại thời điểm đó trên hệ thống. +> Virus Scriot là một tập các chỉ lệnh trong các ngôn gnuwx lập trình như VBScript hay JavaScpript .Nó sẽ hoạt động khi ta chạy những tệp chương trình dạng *.vbs, hay *.js .Ví dụ như : virus I LOVE YOU Các loại virus có thể gây ra những tác hại nghiêm trọng, đe doạ tính toàn vẹn và khả năng hoạt động liên tục, thay đổi các chức năng, thay đổi các nội dung dữ liệu hoặc đôi khi làm ngưng trệ toàn bộ hoạt động của nhiều hệ thống trong đó có các website thương mại điện tử. Nó được đánh giá là mối đe doạ lớn nhất đối với an toàn của các giao dịch thương mại điện tử hiện nay.Trên thực tế các loại virus này thường kết nối với các Worrm WORRM: Là một loại virus chuyên tìm kiếm mọi dữ liệu trong bộ nhớ hoặc trong đĩa làm thay đổi nội dung bất kì dữ liệu nào mà nó gặp phải. Ví dụ: chuyển ký tự  số hoặc tráo ddoooir các byte được lưu trữ trong bộ nhớ. - Con ngựa thành tơ roa: Bản thân nó không có khả năng nhân bản, nhưng nó tạo cơ hội cho các virus khác xâm nhập vào máy tính. - Bad Applet : Là một chương trình ứng dụng nhỏ được nhúng trong một phần mềm thực hiện một nhiệm vụ cụ thể làm tăng khả năng tương tác của website. Các Bad Applet là đoạn mã di động nguy hiểm .Người sử dụng tìm kiếm thông tin hoặc tải các chương trình từ website sử dụng… - – Tin tặc (hacker) và các chương trình phá hoại (cybervandalism): + Tin tặc (hacker): là người có thể viết hay chỉnh sửa phần mềm, phần cứng máy tính bao gồm lập trình, quản trị và bảo mật. Những người này hiểu rõ hoạt động của hệ thống máy tính, mạng náy tính và dung kiếm thức bản thân để làm thay đổi, chỉnh sửa nó với nhiều mục đích tốt xấu khác nhau. + Chương trình phá hại: Ngày 1-4-2001, tin tặc đã sử dụng chương trình phá hoại tấn công vào các máy chủ có sử dụng phần mềm Internet Information Server (IIS) của Microsoft nhằm làm giảm uy tín của phần mềm này và rất nhiều nạn nhân như hãng hoạt hình Walt Disney, Nhật báo phố Wall …đã phải gánh chịu hậu quả cả về tài chính và uy tín. 4/2001 vụ tấn công của tin tặc hàn quốc vào website của bộ giáo dục Nhật bản. –Gian lận thẻ tín dụng Trong thương mại điện tử, các hành vi gian lận thẻ tín dụng xảy ra đa dạng và phức tạp hơn nhiều so với thương mại truyền thống. Nếu như trong thương mại truyền thống, việc mất thẻ hoặc thẻ bị đánh cắp là mối đe doạ lớn nhất đối với khách hàng thì trong thương mại điện tử mối đe doạ lớn nhất là bị “mất” (hay bị lộ) các thông tin liên quan đến thẻ tín dụng hoặc các thông tin giao dịch sử dụng thẻ tín dụng trong quá trình thực hiện các giao dịch mua sắm qua mạng và các thiết bị điện tử .Các tệp chứa dữ liệu thẻ tín dụng của khách hàng thường là những mục tiêu hấp dẫn đối với tin tặc khi tấn công vào website thương mại điện tử. Hơn thế, những tên tội phạm có thể đột nhập vào các cơ sở dữ liệu của website thương mại điện tử để lấy cắp các thông tin của khách hàng như tên, địa chỉ, điện thoại… với những thông tin này chúng có thể mạo danh khách hàng thiết lập các khoản tín dụng mới nhằm phục vụ những mục đích phi pháp. – Tấn công từ chối dịch vụ Tấn công từ chối dịch vụ (DOS – Denial Of Service attack, DDOS – Distributed DOS hay DR DOS) là kiểu tấn công khiến một hệ thống máy tính hoặc một mạng bị quá tải, dẫn tới không thể cung cấp dịch vụ hoặc phải dừng hoạt động. Sơ khai nhất là hình thức DoS (Denial of Service), lợi dụng sự yếu kém của giao thức TCP, tiếp đến là DDoS (Distributed Denial of Service) – tấn công từ chối dịch vụ phân tán, và gần đây là DRDoS – tấn công theo phương pháp phản xạ phân tán (Distributed Reflection Denial of Service). Những cuộc tấn công DoS có thể là nguyên nhân khiến cho mạng máy tính ngừng hoạt động và trong thời gian đó, người sử dụng sẽ không thể truy cập vào các website thương mại điện tử .Những tấn công này cũng đồng nghĩa với những khoản chi phí rất lớn vì trong thời gian website ngừng hoạt động, khách hàng không thể thực hiện các giao dịch mua bán .Đồng thời, sự gián đoạn hoạt động này sẽ ảnh hưởng đến uy tín và tiếng tăm của doanh nghiệp, những điều không dễ dàng gì lấy lại được .Mặc dù những cuộc tấn công này không phá huỷ thông tin hay truy cập vào những vùng cấm của máy chủ nhưng tạo ra phiền toái, gây trở ngại cho hoạt động của nhiều doanh nghiệp .Vụ tấn công DOS điển hình đầu tiên xảy ra vào tháng 2-2000, các hoạt động tấn công liên tục khiến hàng loạt website trên thế giới ngừng hoạt động trong nhiều giờ, trong đó có những website hàng đầu như: eBay ngừng hoạt động trong 5 giờ, Amazon gần 4 giờ, CNN gần 3.5 giờ, E-Trade gần 3 giờ, Yahoo và Buy.com và ZDNet cũng ngừng hoạt động từ 3 đến 4 giờ .Ngay cả người khổng lồ Microsoft cũng đã từng phải gánh chịu hậu quả của những cuộc tấn công này .Ở Việt Nam cũng đã có rất nhiều doanh nghiệp bị tấn công dưới hình thức này. – Kẻ trộm trên mạng (sniffer) Kẻ trộm trên mạng (sniffer) là một dạng của chương trình theo dõi, nghe trộm, giám sát sự di chuyển của thông tin trên mạng. Khi sử dụng vào những mục đích hợp pháp, nó có thể giúp phát hiện ra những yếu điểm của mạng, nhưng ngược lại, nếu sử dụng vào các mục đích phi pháp, các phần mềm ứng dụng này sẽ trở thành các mối hiểm hoạ lớn và rất khó có thể phát hiện. Kẻ trộm sử dụng các phần mềm này nhằm lấy cắp các thông tin có giá trị như thư điện tử, dữ liệu kinh doanh của các doanh nghiệp, các báo cáo mật…từ bất cứ nơi nào trên mạng. Xem lén thư điện tử là một dạng mới của hành vi trộm cắp trên mạng. Kỹ thuật xem lén thư điện tử là sử dụng một đoạn mã (ẩn) bí mật gắn vào thông điệp thư điện tử, cho phép người nào đó có thể giám sát toàn bộ các thông điệp chuyển tiếp được gửi đi cùng với thông điệp ban đầu .Chẳng hạn một nhân viên phát hiện thấy lỗi kỹ thuật trong khâu sản xuất, anh ta lập tức gửi một báo cáo thông báo cho cấp trên về phát hiện của mình .Người này sau đó sẽ tiếp tục gửi thông báo đến tất cả các bộ phận có liên quan trong doanh nghiệp. Một kẻ nào đó sử dụng kỹ thuật xem lén thư điện tử có thể theo dõi và biết được toàn bộ thông tin trong bức thư điện tử gửi tiếp sau đó bàn về vấn đề này. Kẻ giả mạo ( Phishing) Phishing là một loại tội phạm công nghệ cao sử dụng email, tin nhắn pop-up hay trang web để lừa người dùng cung cấp các thông tin cá nhân nhạy cảm như thẻ tín dụng, mật khẩu, số tài khoản ngân hàng .Thông thường các tin tặc thường giả mạo là các công ty nổi tiếng yêu cầu khách hàng cung cấp những thông tin nhạy cảm này. Các website thường xuyên bị giả mạo đó là Paypal, Ebay, MSN, Yahoo, BestBuy, American Online….Kẻ giả mạo thường hướng tới phishing những khách hàng của ngân hàng và người tiêu dùng thường mua sắm trực tuyến. Những thông tin ăn cắp đươc sẽ được kẻ giả mạo dùng để truy cập với mục đích xấu, nếu là thông tin về tài khoản thanh toán thì sẽ dùng vào mục đích mua hàng hoặc rút tiền .Bất cứ ai cũng có thể phishing được vì phần mềm phishing là có nhiều trên mạng với hướng dẫn chi tiết cùng với danh sách địa chỉ email .Công nghệ phishing là đã có từ những năm 1987, tuy nhiên nó chỉ thực sự biết đến rộng rãi vào năm 1996 .AOL là công ty đầu tiên đã bị kẻ giả mạo tấn công ăn cắp thông tin của khách hàng. Hay Vào 17/12/2003 một số khách hàng của eBay nhận đuơc email với thông báo rằng hiện tại tài khoản của họ tạm ngừng hoạt động cho tới khi họ kích vào đường link được cung cấp trong email và cập nhật thông tin về thẻ tín dụng, cùng với các thông tin cá nhân khác như ngày sinh, tên thời con gái của mẹ, số Pin của thẻ ATM. Đường link trong địa chỉ email kết nối tới trang web của ebay nhưng đây không phải là trang web thật của ebay mà chỉ là một trang web giả mạo có logo và hình thức giống với trang web ebay thật .PayPal một trang web giải pháp thanh toán cũng là đối tượng thường xuyên bị giả mạo .Kẻ giả mạo Paypal đã xây đường URL cải trang giống URL của Paypal bằng cách sử dụng ký hiệu @ (http://[email protected]/fl/login.html) .Thường thì các server bỏ qua các ký tự trước @ và chỉ sử dụng những ký tự sau nó. Như vậy là khách hàng chỉ có thể nhìn thấy đường link trong mail như http://paypal.com Chính vì vậy mà khách hàng đã không nhận ra được là mình đang bị tấn công từ các tin tặc và đã cung cấp nhưng thông tin cá nhân và tài khoản. + Giả mạo người mua - Bên cạnh những người thực sự có nhu cầu muốn mua hàng, cũng có một số người lướt net lập nickname để tham gia mua bán với ý định trêu đùa .Họ làm nhiễu thông tin của những khách hàng khác và là mối lo ngại của các trang web bán hàng trực tuyến. + Giả mạo các thông tin nhận dạng của khách hàng: Thông tin thẻ tín dụng có thể bị lấy trộm bằng nhiều cách khác nhau, không phải tất cả đều được thực hiện trực tuyến .Trớ trêu thay, một nguồn thông tin phổ biến bị lấy trộm là qua những giấy biên nhận thẻ tín dụng được bỏ đi .Những giấy biên nhận này thường bao gồm số thẻ tín dụng cùng với ngày giá hạn thẻ, thông tin của hầu hết các giao dịch thẻ tín dụng qua điện thoại và trực tuyến .Các tên tội phạm còn sử dụng sự trợ giúp của các “skimmer” để quyết dưới dạng kỹ thuật số các số thẻ tín dụng trong vài giây để tách ra khỏi các thẻ tín dụng. Cuối cùng, các tên tội phạm có thể có được thông tin thẻ tín dụng ảo bằng cách xâm nhập vào trong cơ sở dữ liệu của khách hàng thông qua các web cấu hình sai hay những lỗ hỏng khác của hệ thống, shopping cart hay nhà cung cấp máy chủ .Các tên tội phạm máy tính còn biết cách sử dụng các công nghệ phụ trợ. Nhưng chương trình mã hóa tự động được gọi là “spiders” hay “port scans” cho phép các tên tội phạm nhận ra được những điểm yếu trong hệ thống của bạn.Với thông tin thẻ tín dụng đánh cắp được, tội phạm có thể dùng nó để mua hàng hóa, dịch vụ. Hành vi đó được gọi là “product thieft – ăn trộm hàng hóa”. Thông tin thẻ tín dụng còn có thể được kết nối với các thông tin về địa chỉ và số phúc lợi xã hội có giá trị để mở các thẻ tín dụng mới với tên và địa chỉ của tội phạm .Hành vi này được gọi là “consumer identity theft – ăn trộm thông tin nhận dạng người dùng” và có thể phá hỏng nghiêm trọng hồ sơ thẻ tín dụng của người tiêu dùng. + Giả mạo thông tin nhận dạng người bán Cũng giống như các tội phạm ngoại tuyến xâm nhập vào một két tiền, các tên tội phạm trực tuyến cũng xâm nhập vào két tiền ảo của bạn bằng cách ăn trộm thông tin truy cập của bạn để mạo danh bạn .Hành vi đó được gọi là “merchant indentity theft – ăn trộm thông tin nhận dạng người bán” .Tương tự với hành vi ăn trộm thông tin của người tiêu dùng, các tên tội phạm cũng có thể có được thông tin của người bằng nhiều nguồn, ngoại tuyến cũng như trực tuyến .Kẻ trộm có thể là người trong nội bộ, người làm công hay các khách truy cập rất đơn giản chỉ việc sao chép các thông tin truy cập và mật khẩu từ những tờ giấy nhắn gắn trên các bàn máy tính .Các tên tội phạm cũng có thể lẻn vảo trụ sở hay những nơi để giấy tờ để ăn trộm những thông tin này. Ăn trộm thông tin người bán trực tuyến liên quan đến việc tấn công vào cơ sỏ dữ liệu của bạn hay các hệ thống back – end để lấy trộm thông tin người sử dụng của tài khoản payment gateway .Thông tin này được sử dụng trái phép để truy cập vào tài khoàn payment gateway của bạn, còn được gọi là “merchant account takeover – sự tiếp quản merchant account” hay”hijacking – vụ cướp bóc”. Việc tiếp quản tài khoản cho phép bọn tội phạm lấy trộm tiền trực tuyến từ công ty bạn bằng cách phát hành các thẻ tín dụng hay các giấy tờ thanh toán khác cho chúng. - Ngoài ra, tội phạm TMĐT được thực hiện dưới nhiều hình thức sau: phát triển các mạng máy tính ma (bots network) để tấn công DOS, gửi thư rác, gửi thư rác với quy mô lớn (dịch vu thư rác), thuê hacker phá hoại website của đối thủ cạnh tranh, thu thập thông tin người sử dụng bằng spyware. 2.3. Phân tích nguy cơ về thủ tục, quy trình giao dịch Nhiều website vẫn tiến hành bán hàng theo các yêu cầu mà không có bất kỳ sự xác thực cần thiết và cẩn trọng nào về thông tin của người mua .Họ đưa ra các đơn chào hàng và tiến hành giao hàng nếu nhận được đơn chấp nhận chào hàng từ phía người mua. Hợp đồng thương mại qua hệ thống điện tử, hợp đồng đó sẽ có thể được thiết lập bằng cách một bên đưa ra lời chào hàng và bên kia chấp nhận lời chào hàng .Sự tồn tại của một hợp đồng có thể gây do không có những biện pháp đảm bảo chống phủ định của người mua trong quy trình giao dịch trên các website nên không thể buộc người mua phải nhận hàng hay thanh toán khi đơn đặt hàng đã được thực hiện và hàng đã giao. Hay những đơn đặt hàng không được nhà cung cấp thực hiện trong khi khách hàng đã tiến hành trả tiền mà không nhận được hàng, nhà cung cấp từ chối đã nhận đơn đặt hàng. Khi các bên thảo luận có tranh cãi nếu bạn không có bằng chứng về sự hình thành hợp đồng .Tác nhân tham gia sử dụng một phương tiện điện tử (như email) trong quá trình thiết lập một hợp đồng thì rủi ro do không lường trước được. =>Nguy cơ về thủ tục, quy trình giao dịch đối với 1 doanh nghiệp là 1 vấn đề quan trọng hàng đầu, nó ảnh hưởng trực tiếp đến tài chính cũng như uy tín của doanh nghiệp trên thị trường .Một doanh nghiệp muốn phát triển tốt thì phải có hệ thống an toàn bảo mật thông tin vững mạnh. 2.4 Tác động của những nguy cơ mất an toàn trong giao dịch thương mại điện tử: 2.4.1.Đối với người tiêu dùng - Thiệt hại vật chất: Như đã phân tích ở trên, các nguy cơ mất an toàn trong giao dịch TMĐT là khá nhiều, đặc biệt khả năng xảy ra các nguy cơ mất an toàn này càng cao hơn đối với những người tiêu dùng ít kinh nghiệm và hiểu biết .Việc mỗi ngày có hàng ngàn mã PIN thẻ tín dụng bị đánh cắp và sử dụng trái phép đã làm nhiều người ngần ngại tham gia mua bán trên mạng. Chưa có con số chính xác và cụ thể về thiệt hại đối với những thẻ tín dụng bị đánh cắp vì không thể thống kê được những mã thẻ bị xâm nhập trái phép mà chính chủ không biết .Tuy nhiên ước tính lên tới hàng triệu USD/ngày. Ngoài việc bị mất tiền trong tài khoản, người tiêu dùng còn bị thiệt hại đối với phần cứng khi bị các virus xâm nhập; tiền cước phải trả thêm đối với các dịch vụ viễn thông, Internet do bị ăn cắp tài khoản hay trả tiền khống cho các hàng hóa, dịch vụ không có thực hoặc kém chất lượng. Tệ hơn nữa có khi phải chịu những chi phí kiện tụng phát sinh khi có tranh chấp trong TMĐT dù có hay không tham gia. Điều rõ ràng nhận thấy nhất là quyền lợi của người tiêu dùng tham gia các giao dịch mua bán trên mạng chưa thực sự được bảo vệ. Chưa có một tổ chức hay một văn bản pháp lý chính thức nào bảo vệ các cá nhân khi tham gia vào TMĐT .Điều này hạn chế rất nhiều đến sự tiếp cận của đông đảo người dùng với TMĐT. - Thiệt hại phi vật chất trong giao dịchTMĐT đôi khi còn nghiêm trọng hơn thiệt hại vật chất .Những thiệt hại này gồm có bị lộ thông tin cá nhân, bị thay đổi thông tin cá nhân, bị giả danh ảnh hưởng đến uy tín và bị kiện tụng. Khi mua hàng trên một website hoặc ngay cả khi chỉ lướt web thông thường, các thông tin của người dùng đều bị lưu giữ lại nhiều bởi các trang web đó. Các thông tin bị lưu giữ có thể chỉ đơn giản là tên tuổi, địa chỉ, hòm thư điện tử cho đến thói quen, sở thích thậm chí những thông tin mang tính riêng tư hay bí mật .Mục đích của việc lấy thông tin cá nhân của người dùng cũng khác nhau .Mục đích tốt thường là để đơn giản hóa thao tác cho người sử dụng khi truy cập, để cung cấp thông tin .Còn lại thường nhằm mục đích quảng cáo .Các thông tin được tập hợp lại thành một cơ sở dữ liệu nhằm để bán cho các công ty có nhu cầu .Thông tin cũng có thể sử dụng với mục đích xấu như tống tiền, khủng bố .Một số tin tặc còn có thể thay đổi thông tin cá nhân khiến cho người sử dụng gặp nhiều rắc rối không chỉ trong giao dịch trên mạng mà còn trong cuộc sống bên ngoài .Các hacker còn có thể giả danh người dùng tham gia vào các giao dịch không chỉ gây thiệt hại vật chất mà còn làm ảnh hưởng tới uy tín của họ .Trong các trường hợp nghiêm trọng khi trị giá và mức độ vụ việc lớn, người sử dụng có thể bị kiện tụng vô cớ. Tóm lại đối với người tiêu dùng khi tham gia vào các giao dịch thì rủi ro không phải là nhỏ và gây nhiều hậu quả nghiêm trọng không chỉ về vật chất mà còn cả về tinh thần. 2.4.2.Đối với doanh nghiệp
- Xem thêm -

Tài liệu liên quan