Bài thảo luận nhóm 11.
Đề tài: Tìm hiểu về các hoạt động lừa đảo và nguy cơ đối với hoạt động
thương mại điện tử hiện nay. Các biện pháp mà các công ty áp dụng để giảm thiểu
và khắc phục những nguy cơ này.
Thị trường ngày càng phát triển vì vậy các loại hình kinh doanh cũng ngày càng
trở lên đa dạng. Là một loại hình mua bán thông qua các phương tiện truyền thông, mạng
internet, tiết kiệm thời gian cũng như chi phí đối với cả người mua và người bán, thương
mại điện tử đã trở thành một sự ưu tiên lựa chọn đối với nhiều người. Tuy có nhiều lợi
ích song vẫn còn không ít những bất lợi trong thương mại điện tử. Vậy đó là những gì?
I. Lý thuyết về an toàn trong thương mại điện tử
1/ Các vấn đề đặt ra với an toàn thương mại điện tử.
Thương mại điện tử giúp thục hiện các giao dịch, thanh toán, marketing và
tăng giá trị của các sản phẩm hàng hóa hữu hình hoặc truyền những cơ sờ dữ liệu
liên quan tới thẻ tín dụng, các phương tiện thanh toán khác của khách hàng.Việc
đảm bảo an toàn cho các thông tin trên là rất quan trọng.
An toàn trong thương mại điện tử luôn mang tính tương đối.lịch sử an
toàn thương mại đã chứng minh rằng, bất cứ hệ thống an toàn nào cũng có thể bị
phá vỡ nếu không đủ sức để chống lại các cuộc tấn công. Vì vậy các vấn đề đặt ra
đối với an toàn trong thương mại điện tử :
-Yêu cầu từ phía người sử dụng :
+ Sử dụng đúng website của các công ty hợp pháp.
+ Không chứa đựng virus hay các đoạn mã nguy hiểm trong các website
hoặc các bảng khai thông tin cá nhân.
+ Thông tin cá nhân cần phải được đảm bảo bí mật
-Yêu cầu từ phía nhà cung cấp ( từ phía các website )
+ Người sử dụng không được tấn công máy chủ hay các trang web của
doanh nghiệp.
+ Người sử dụng không được làm gián đoạn hoạt động của máy chủ.
-Yêu cầu từ cả người sử dụng và nhà cung cấp:
+ Đảm bảo cho các thông tin trao đổi hai chiều giữa người sử dụng và
nhà cung cấp không bị bên thứ ba nghe trộm.

Dạng 1: Trang web giả mạo tổ chức từ thiện – Hãy cẩn thận khi bạn đóng
góp.
Vào mùa lễ, tin tặc lợi dụng lòng hảo tâm của cộng đồng bằng cách gửi đi
các thư điện tử có vẻ như hợp pháp của những tổ chức từ thiện. Trong thực tế, đó
là những trang web giả mạo được thiết kế nhằm ăn cắp tiền, thông tin thẻ tín dụng
và thông tin nhận dạng của các nhà tài trợ.
Dạng 2: Hóa đơn giả mạo từ các dịch vụ giao hàng nhằm ăn cắp tiền của
bạn.
Trong suốt mùa lễ, tội phạm mạng thường gởi các hóa đơn giả mạo và
hiện những thông báo giao hàng từ Federal Express, UPS hay dịch vụ hải quan
Mỹ.
Những Email họ gởi nhằm yêu cầu người tiêu dùng xác nhận các thông tin
chi tiết về thẻ tín dụng của họ để xâm nhập vào tài khoản, hoặc yêu cầu người sử
dụng mở một hóa đơn trực tuyến hoặc biên nhận thanh toán trọn gói.
Sau khi hoàn thành, thông tin người dùng bị đánh cắp hoặc các phần mềm
độc hại được tự động cài đặt trên máy tính của họ.
Dạng 3: Mạng xã hội –Tội phạm mạng “Muốn kết bạn”
Tội phạm mạng tận dụng thời gian này của năm bằng cách gửi đi các
email yêu cầu xác nhận “Yêu cầu kết bạn mới” từ các trang web trên mạng xã hội.
Người sử dụng internet nên thận trọng với việc truy cập vào các liên kết
trong các email có khả năng tự động cài đặt phần mềm độc hại trên các máy tính
và ăn cắp thông tin cá nhân
Dạng 4: Những E-Cards nguy hiểm có liên quan tới ngày nghỉ
Những kẻ trộm tiền mặt trong tài khoản của các khách hàng gởi những e-
cards ra sức nâng cao ý thức bảo vệ môi trường. Mùa lễ năm ngoái, trung tâm
nghiên cứu Labs của McAfee đã phát hiện một con sâu ngụy trang dưới các
chương trình khuyến mãi như các e-card của Hallmark, McDonald và Coca-Cola.
Những trang đính kèm trên email bằng PowerPoint liên quan tới ngày lễ
cũng phổ biến trong giới tội phạm mạng. Hãy cẩn thận với những gì bạn truy cập
vào.

lương cao và có nhiều cơ hội làm việc kiếm tiền tại nhà.
Khi những người quan tâm gửi thông tin của họ và trả tiền phí để được
giới thiệu việc làm thông qua mạng trực tuyến, dựa vào các thông tin mà họ đã gửi
các tin tặc trộm tiền của họ thay vì cho họ cơ hội việc làm như chúng đã hứa.
Dạng 9: Outbidding cho tội phạm - Trang web đấu giá Gian Lận
Những kẻ lừa đảo thường ẩn dưới dạng các trang web đấu giá vào mùa lễ.
Người mua cần đề phòng những thỏa thuận đấu giá xuất hiện giống hệt như là
những thỏa thuận đấu giá hợp lệ, vì vậy những lần mua hàng thường không bao
giờ có chủ sở hữu mới.
Dạng 10: Trang web giả mạo đánh cắp mật khẩu
Ăn cắp mật khẩu là vấn nạn đại tràn trong mùa lễ, những kẻ trộm thường
sử dụng công cụ với chi phí thấp để khám phá mật khẩu của một người và gửi đi
những phần mềm độc hại ghi lại những tổ hợp phím, gọi là keylogging.
Một khi tội phạm có quyền truy cập vào một hay nhiều mật khẩu, chúng
truy cập vào tài khoản ngân hàng, chi tiết thẻ tín dụng trên phạm vi rộng lớn và rút
sạch tài khoản của khách hàng chỉ trong vài phút. Chúng cũng thường gởi thư rác
từ tài khoản của người dùng cho các địa chỉ trong danh sách liên lạc của họ.
Dạng 11: E-Mail giả mạo ngân hàng
Tội phạm mạng lừa các khách hàng tiết lộ chi tiết tài khoản ngân hàng của
họ bằng cách gửi những thư điện tử có vẻ như hợp pháp từ các tổ chức tài chính.
Họ yêu cầu người sử dụng xác nhận thông tin tài khoản, trong đó bao gồm
tên người dùng và mật khẩu, với một cảnh báo rằng tài khoản của họ sẽ không hợp
lệ nếu không thực hiện theo yêu cầu. Sau đó, họ thường bán thông tin này thông
qua một thị trường đen trực tuyến ngầm.
Trung tâm nghiên cứu labs của McAfee tin rằng các tội phạm mạng đang
tích cực hơn trong việc lừa đảo người tiêu dùng với chiến thuật này trong những
ngày lễ từ những người mua hàng mà chúng đang giám sát chặt chẽ.
Dạng 12: Đòi tiền chuộc dữ liệu
Các tin tặc giành quyền kiểm soát máy tính của người mọi người thông
qua một vài trang web giả mạo có liên quan tới ngày lễ. Sau đó, chúng hành động

Worm Netwo
rk service
worm
Sasser
Mass
mailing worm
Netsk
y, mydoom
Trojan
Malicious
Mobile Code
Nimd
a
Tracking
Cookie
Backd
oor
Trino,
Tribe Flood,
Network
Keylo
gger
KeySn
atch, Spyster
Attacker Tool Rootk
it
LRK5
,
Knark,Adore,
Hack

Worm cũng là một chương trình có khả năng tự nhân bản và tự lây nhiễm
trong hệ thống tuy nhiên nó có khả năng “tự đóng gói”, điều đó có nghĩa là worm
không cần phải có “file chủ” để mang nó khi nhiễm vào hệ thống. Như vậy, có thể
thấy rằng chỉ dùng các chương trình quét file sẽ không diệt được worm trong hệ
thống vì worm không “bám” vào một file hoặc một vùng nào đó trên đĩa cứng.
Môi trường hoạt động của worm chủ yếu là môi trường mạng, khác với virus là
chỉ “ăn dần ăn mòn” một máy tính nhất định, mục tiêu của worm là “ăn mòn”
mạng, làm lãng phí nguồn lực băng thông của mạng và phá hoại hệ thống như xoá
file, tạo backdoor, thả keylogger, Tấn công của worm có đặc trưng là lan rộng
cực kỳ nhanh chóng do không cần tác động của con người (như khởi động máy,
copy file hay đóng/mở file). Worm có thể chia làm 2 loại:
• Network Service Worm: lan truyền bằng cách lợi dụng các lỗ hổng
bảo mật của mạng, của hệ điều hành hoặc của ứng dụng. Sasser là ví dụ cho loại
worm này.
• Mass Mailing Worm: là một dạng tấn công qua dịch vụ mail, tuy
nhiên nó tự đóng gói để tấn công và lây nhiễm chứ không bám vào vật chủ là
email. Khi worm này lây nhiễm vào hệ thống, nó thường cố gắng tìm kiếm sổ địa
chỉ và tự gửi bản thân nó đến các địa chỉ thu nhặt được. Việc gửi đồng thời cho
toàn bộ các địa chỉ thường gây quá tải cho mạng hoặc cho máy chủ mail. Netsky,
Mydoom là ví dụ cho thể loại này.
c.Trojan:
Trojan là loại mã độc hại được đặt theo sự tích “Ngựa thành Troa”. Trojan không
tự nhân bản, tuy nhiên nó lây vào hệ thống với biểu hiện rất ôn hoà nhưng thực
chất bên trong có ẩn chữa các đoạn mã với mục đích gây hại. Trojan có thể lựa
chọn một trong 3 phương thức để gây hại:
• Tiếp tục thực thi các chức năng của chương trình mà nó bám vào,
bên cạnh đó thực thi các hoạt động gây hại một cách riêng biệt (ví dụ như gửi một
trò chơi dụ cho người dùng sử dụng, bên cạnh đó là một chương trình đánh cắp
password).
• Tiếp tục thực thi các chức năng của chương trình mà nó bám vào,

e.Attacker Tool
Là những bộ công cụ tấn công có thể sử dụng để đẩy các phần mềm độc
hại vào trong hệ thống. Các bộ công cụ này có khả năng giúp cho kẻ tấn công có
thể truy nhập bất hợp pháp vào hệ thống hoặc làm cho hệ thống bị lây nhiễm mã
độc hại. Khi được tải vào trong hệ thống bằng các đoạn mã độc hai, attacker tool
có thể chính là một phần của đoạn mã độc đó (ví dụ như trong một trojan) hoặc nó
sẽ được tải vào hệ thống sau khi nhiễm. Ví dụ như một hệ thống đã bị nhiễm một
loại worm, worm này có thể điều khiển hệ thống tự động kết nối đến một web-site
nào đó, tải attacker tool từ site đó và cài đặt attacker tool vào hệ thống. Attacker
tool thường gặp là backdoor và keylogger.
• Backdoor: Là một thuật ngữ chung chỉ các phần mềm độc hại
thường trú và đợi lệnh điều khiển từ các cổng dịch vụ TCP hoặc UDP. Một cách
đơn giản nhất, phần lớn các backdoor cho phép một kẻ tấn công thực thi một số
hành động trên máy bị nhiễm như truyền file, dò mật khẩu, thực hiện mã lệnh,
Backdoor cũng có thể được xem xét dưới 2 dạng: Zombie và Remote
Administration Tool
Zombie (có thể đôi lúc gọi là bot): Là một chương trình được cài đặt lên
hệ thống nhằm mục đích tấn công hệ thống khác. Kiểu thông dụng nhất của
Zoombie là các agent dùng để tổ chức một cuộc tấn công DDoS. Kẻ tấn công có
thể cài Zombie vào một số lượng lớn các máy tính rồi ra leejnh tấn công cùng một
lúc. Trinoo và Tribe Flood Network là hai Zoombie nổi tiếng.
Remote Administration Tool: Là các công cụ có sẵn của hệ thống cho
phép thực hiện quyền quản trị từ xa. Tuy nhiên hacker cũng có thể lợi dụng tính
năng này để xâm hại hệ thống. Tấn công kiểu này có thể bao gồm hành động theo
dõi mọi thứ xuất hiện trên màn hình cho đến tác động vào cấu hình của hệ thống.
Ví dụ về công cụ RAT là: Back Orifice, SubSeven,
• Keylogger: Là phần mềm được dùng để bí mật ghi lại các phím đã
được nhấn bằng bàn phím rồi gửi tới hacker. Keylogger có thể ghi lại nội dung của
email, của văn bản, user name, password, thông tin bí mật, Ví dụ về keylogger
như: KeySnatch, Spyster,

mềm gián điệp (spyware) nhằm thu thập thông tin riêng tư về hành vi duyệt web
của cá nhân.
Spyware là một phần mềm máy tính được cài bí mật trên một máy tính
cá nhân để thu thập thông tin về một user, máy tính và thói quen lướt web của user
đó mà không có sự đồng ý của họ.
Ban đầu thuật ngữ spyware chỉ mang ý nghĩa “giám sát” hoạt động của
user. Về sau, những chương trình spyware còn có thể thu thập những thông tin cá
nhân, chẳng hạn như thói quen lướt web và các trang web đã truy cập, ngoài ra
chúng còn gây trở ngại cho quyền điều khiển của user theo nhiều cách khác nhau
như cài phần mềm thêm, gây khó khăn khi sử dụng web browser. Spyware thay
đổi các thiết lập của máy tính, làm tốc độ kết nối chậm, ảnh hưởng đến chức năng
của nhiều ứng dụng liên quan mạng internet.
Không giống như virus hay worm, spyware thường không có khả năng tự
nhân bản. Mục đích chủ yếu của spyware là phân phát những quảng cáo mà ta
không mong muốn, bên cạnh đó là việc trộm cắp thông tin cá nhân, ngay cả thông
tin tài chính (số thẻ ngân hàng…), giám sát hoạt động lướt web để phục vụ cho
mục đích tiếp thị, quảng cáo… Tất nhiên những thông tin spyware thu thập được
sẽ được chuyển đến cho người chủ của spyware đó.Spyware nhiễm vào máy tính
cá nhân qua 3 cách cơ bản sau:
• Cách thứ nhất: Spyware có thể “trá hình” bằng vẻ bề ngoài là một
phần mềm hữu ích, chẳng hạn như “Web accelerator” (tăng tốc web)… để user
không nghi ngờ gì khi download về và cài trên máy tính của họ.
• Hai là: spyware đóng vai trò một thành phần phụ cài thêm khi user
cài đặt một số phần mềm shareware, trong lúc cài đặt phần mềm nhiều user không
chú ý điều này (thường hay bấm Next, Next… mà không đọc kĩ các bước cài đặt),
do vậy mà spyware thuận lợi cư ngụ trên máy tính của họ.
• Cách thứ ba là: trong khi lướt web có những mẩu pop-up hiện lên và
được thiết kế giống như một thông báo của windows, những thông báo này đại
loại như là “Bạn là người khách thứ 10000 của chúng tôi. Chúc mừng bạn đã trúng
thưởng 10000 $. Hãy nhấp vào đây để biết thêm chi tiết” hoặc “Máy tính bạn đang

giả mạo nhằm làm cho người dùng tiết lộ các thông tin bí mật về danh tính (ví dụ
như mật khẩu, số tài khoản, thông tin cá nhân, ). Kẻ tấn công phishing thường
tạo ra trang web hoặc email có hình thức giống hệt như các trang web hoặc email
mà nạn nhân thường hay sử dụng như trang của Ngân hàng, của công ty phát hành
thẻ tín dụng, e-mail, trang web giả mạo này sẽ đề nghị nạn nhân thay đổi hoặc
cung cấp các thông tin bí mật về tài khoản, về mật khẩu, Các thông tin này sẽ
được sử dụng để trộm tiền trực tiếp trong tài khoản hoặc được sử dụng vào các
mục đích bất hợp pháp khác.
Một ví dụ cụ thể cho phishing là: chẳng hạn người dùng cần đăng nhập
mail yahoo, nhưng lại không vào trang chủ yahoo để vào mail
( )mà lại vào thông qua một link thấy được trên một trang
web khác, giả sử link này có dạng chỉ cần không quan sát
kĩ người dùng sẽ lầm tưởng đây là trang web đăng nhập mail yahoo. Trang web
giả này cũng có giao diện đăng nhập giống hệt trang web thật, và sau khi đăng
nhập ở đây, tài khoản yahoo của người dùng sẽ được chuyển đến cho chủ nhân của
trang web giả. Đây chỉ là một ví dụ nhỏ, trong thực tế đã có nhiều nạn nhân bị
thiệt hại lớn khi gặp kiểu tấn công phishing này.
D) Kẻ trộm trên mạng ( sniffer)
Kẻ trộm trên mạng ( sniffer) là một dạng của trương chình nghe lén , giám
sát sự di chuyển của thông tin trên mạng. Khi sử dụng vào những mục đích hợp
phá, nó có thể giúp phát hiện các yếu điểm của mạng, nhưng ngược lại, nếu sử
dụng vòa các mục đích phạm tội nó sẽ trở thành những mối đe dọa lớn và rất khó
có thể phát hiện. Kẻ trộm cũng có thế là chính những tên tin tặc chuyên ăn cắp các
thông tin có giái trị nhưng thông điệp thư điện tử, lữ liệu kinh odanh của các
doanh nghiệp, các báo cáo mật…từ bất cứ nơi nào trên mạng
Xem lén thư điên tử là một dạng mwois của hành vi trộm cắp trên mạng.
Kĩ thuật xem lến thư điện tử sử dụng 1 đoạn mã ẩn bí mật gắn vào một thông điệp
chuyển tiếp được gửi đi cùng với thông điệp bạn đầu. Ví dụ: một nhân viên phát
hiện thấy lỗi kux thuật trong khâu sản xuất anh ta lập tức gửi báo cáo cho cấp trên
để thông báo phát hiện của mình. Người này, sau đó sẽ tiếp tục gửi thông báo tới

mật, hoặc xâm nhập tới mọi nơi trong hệ thống thông tin của tố chức nếu như biện
pháp bảo mật thông tin của doanh nghiệp thiếu thận trọng. Chính vì vậy, trong
nhiều trường hợp, hậu quả của những đe dọa loại này còn nghiêm trọng hơn những
vụ tấn công từ bên ngoài doanh nghiệp.
3. Một số ví dụ thực tế các hoạt động lừa đảo trên mạng
Những nhà đầu tư túi rỗng và nghệ thuật phù phép biến giấy lộn
thành tiền tỉ
Thủ đoạn lừa đảo khá phổ biến của bọn tội phạm quốc tế ở Việt Nam là
giả góp vốn đầu tư vào Việt Nam dưới hình thức góp vốn (máy móc, công
nghệ ), sau đó yêu cầu các doanh nghiệp của Việt Nam, ngân hàng chuyển tiền ra
nước ngoài để mua máy móc, thiết bị phục vụ hoạt động kinh doanh tại Việt
Nam nhưng thực chất là để lừa đảo chiếm đoạt tài sản với thủ đoạn nâng khống
giá trị các hợp đồng để chiếm đoạt tài sản lên tới hàng triệu đôla. Chúng làm giả
các giấy chứng nhận ngân hàng quốc tế, giấy tờ tuỳ thân để chứng minh khả
năng tài chính của mình và tạo niềm tin với các doanh nghiệp Việt Nam, từ đó đề
nghị chuyển tiền vào các tài khoản của bọn tội phạm.
Điển hình như năm 2008, tại Ninh Bình xảy ra vụ đối tượng Ahmed El
Fehdi - Chủ tịch Hội đồng quản trị Công ty cổ phần ENZO Việt nâng khống giá trị
hợp đồng nhập khẩu 59 máy dệt kim từ 2,1 triệu euro lên 3,3 triệu euro để biến
phần chênh lệch 1,2 triệu euro thành vốn góp của mình trong công ty. Sau khi ký
kết hợp đồng, phía Việt Nam chuyển tiền xong thì đối tượng bỏ trốn. Kết quả xác
minh tại nước ngoài cho thấy tất cả những giấy tờ tuỳ thân, giấy chứng nhận của
ngân hàng quốc tế về khả năng tài chính đều là giả.
Một thủ đoạn lừa đảo nữa đã được Interpol phát hiện là một số đối tượng
người nước ngoài sau khi thành lập công ty và được phép hoạt động tại Việt Nam
đã câu kết với một số cán bộ ngân hàng trong nước thiếu tinh thần trách nhiệm vay
vốn tín dụng để đầu tư vào dây chuyền sản xuất. Nhưng thực chất, các đối tượng
này đã chiếm đoạt số tiền vay vốn, không triển khai thực hiện dự án và trốn khỏi
Việt Nam. Xác minh tại nước ngoài cho thấy số đối tượng này đã từng có tiền án,
tiền sự ở nước ngoài về tội lừa đảo.

thư ký Interpol để chứng minh rằng có khả năng tài chính lớn và có thể cho các
doanh nghiệp vay vốn. Công ty này yêu cầu các doanh nghiệp Việt Nam có nhu
cầu vay vốn đóng góp những khoản tiền để làm chi phí cho việc chuyển tiền, để
đóng thuế nhưng thực chất là để lừa đảo. Bằng thủ đoạn này, Công ty Thanh Hà
đã lừa đảo chiếm đoạt được hàng chục tỉ đồng.
Theo Interpol Việt Nam thì vụ việc của Công ty Thanh Hà là điển hình
cho một thủ đoạn lừa đảo của bọn tội phạm quốc tế. Đó là các đối tượng lợi dụng
danh nghĩa các công ty nước ngoài thậm chí cả các công ty trong nước nhưng có
quan hệ chặt chẽ với các đối tác nước ngoài có khả năng tài chính lớn, có khả năng
cho các doanh nghiệp Việt Nam vay vốn đầu tư. Bọn tội phạm còn làm giả những
giấy tờ chứng nhận của các ngân hàng ở nước ngoài, các tổ chức quốc tế có uy tín
để lấy lòng tin của các doanh nghiệp Việt Nam sau đó yêu cầu các doanh nghiệp
đóng góp các khoản phí chuyển tiền để cho vay vốn nhưng thực chất là lừa đảo
chiếm đoạt tài sản.
Một thủ đoạn lừa đảo nữa cũng đã được bọn tội phạm quốc tế sử dụng
nhiều ở Việt Nam đó là làm giả hợp đồng, hoá đơn, chứng từ để chiếm đoạt thuế
tiêu thụ đặc biệt, thuế VAT với số tiền lên tới hàng trăm tỉ đồng. Chúng lên mạng
Internet tra cứu thông tin về tên, địa chỉ, số điện thoại, số fax, tên giám đốc, ngành
nghề kinh doanh của các công ty nước ngoài. Sau đó làm giả các hợp đồng mua
bán với các công ty nước ngoài này để chiếm đoạt thuế VAT.
Xác minh tại nước ngoài cho thấy các công ty này không có quan hệ kinh
doanh với các công ty tại Việt Nam. Một số đối tượng còn sử dụng tên của những
công ty nước ngoài đã chấm dứt các hoạt động kinh doanh (giải thể) để làm giả
các hợp đồng mua bán nhằm gây khó khăn cho quá trình xác minh của cảnh sát
nước ngoài.
III. Các giải pháp các doanh nghiệp đã áp dụng
Thương mại điện tử là một hoạt động kinh doanh mang lại hiệu quả cao,
song một khi gặp rủi ro thì những thiệt hại đối với các doanh nghiệp kinh doanh
trên mạng cũng không nhỏ.
Những sơ suất trong kỹ thuật của nhân viên như sự nhầm lẫn khi truyền

mật ở mức trung bình. Sự thiếu sót khi vá những lỗ hổng bảo mật như vậy đồng
nghĩa với việc các DNVVN đã để cho những chiếc máy tính của mình phải đối
mặt với những mối đe dọa mới nhất.
Khi mà tỷ lệ các mối đe dọa bảo mật ngày càng tăng và thông tin quan
trọng đang trở thành mục tiêu tấn công chính, điều này đồng nghĩa với việc các
DNVVN phải cẩn trọng hơn bao giờ hết với những phương thức bảo mật đang áp
dụng.
Vì lý do đó, các DNVVN nên sử dụng những giải pháp phòng thủ mức
sâu, chú trọng vào các hệ thống phòng thủ đa lớp và hỗ trợ lẫn nhau. Hơn nữa, họ
cũng cần phải giám sát tất cả các máy tính kết nối mạng về những dấu hiệu hoạt
động mã độc, và điều quan trọng nhất là, phải đảm bảo cập nhật thường xuyên các
định nghĩa vi rút mới.
Thiết lập và áp dụng những chính sách nhằm xác định và hạn chế những
ứng dụng có thể truy nhập hệ thống mạng sẽ giúp giảm thiểu các nguy cơ bị tấn
công trong các hoạt động thường ngày. Một điều quan trọng nữa đối với các doanh
nghiệp là họ cần phải có giải pháp sao lưu và khôi phục dữ liệu hiệu quả nhằm
khôi phục những dữ liệu đã mất hoặc đã bị hư hại nếu bị tấn công.
Dướ đây là các biện pháp phòng tránh rủi ro trong thương mại điện tử có
nhiều, song có thể khái quát thành những biện pháp cơ bản, phổ biến sau đây:
Bảo mật trong giao dịch
Trong giao dịch thương mại nói chung, và giao dịch thương mại điện tử
nói riêng, việc bảo đảm tuyệt đối sự bí mật của giao dịch luôn phải được đặt lên
hàng đầu. Bằng không, doanh nghiệp có thể gặp những nguy cơ như nghe trộm,
giả mạo, mạo danh hay chối cãi nguồn gốc…
Để đảm bảo sự bí mật trong giao dịch, người ta thường dùng những biện
pháp sau:
a. Mã hoá dữ liệu:
- Mã hoá khoá bí mật (Secret key Crytography): Mã hoá khoá bí mật hay
còn gọi là mã hoá đối xứng, nghĩa là dùng một khoá cho cả hai quá trình “mã hoá”
và “giải mã”. Khoá này phải được giữ bí mật.

tin học của các bên.
Kiểm tra tính đúng đắn và chân thực của thông tin trong giao dịch
Mặc dù đã sử dụng những biện pháp kỹ thuật để bảo mật thông tin trong
giao dịch, song khi nhận được các thông tin người sử dụng vẫn phải kiểm tra tính
đúng đắn, chân thật của thông tin.
Giao dịch trên mạng là loại hình giao dịch không biên giới có tính chất
toàn cầu. Các bên giao dịch không gặp nhau, thậm chí không hề quen biết nhau, và
đây cũng chính là cơ hội để cho kẻ xấu lợi dụng để thực hiện mục đích của mình.
Vì vậy, việc kiểm tra tính đúng đắn và chân thật của thông tin trong giao dịch cần
phải được thực hiện thường xuyên để phòng tránh những rủi ro như thông tin gây
nhiễu, giả mạo hay lừa đảo. Các biện pháp kiểm tra cần tuỳ theo tình huống cụ thể
mà áp dụng. Có thể dùng các phương pháp kỹ thuật hoặc phương pháp điều tra
mang tính xã hội…
Lưu trữ dữ liệu nhiều nơi với nhiều hình thức
Để đề phòng những rủi ro hiểm hoạ do thiên tai, sự cố bất ngờ hay những
hành động chiến tranh khủng bố… thì việc lưu trữ dữ liệu trong thương mại điện
tử ở nhiều nơi với nhiều hình thức là việc làm rất có ý nghĩa. Việc làm này tạo sự
an toàn và liên tục trong hoạt động kinh doanh trên mạng.
Cài đặt các phần mềm chống Virút tấn công
Virút luôn là hiểm hoạ đối với các doanh nghiệp kinh doanh trên mạng.
Sự phá hoại của virút là không thể lường hết được.
Virút máy tính là những đoạn mã được lập trình ra, do sự vô ý hay bất cẩn
của người sử dụng mà virút được cài vào hệ thống. Khi đã được cài đặt vào hệ
thống, nó sẽ tiến hành phá huỷ, đảo lộn toàn bộ cơ sở dữ liệu của doanh nghiệp
được lưu trữ trong máy tính hay ăn cắp những thông tin và chuyển những thông
tin đó cho người gửi virút… Virút máy tính có độ phát tán nhanh và ảnh hưởng
trong một phạm vi rộng. Các virút có cấu tạo ngày càng phức tạp và sự phá hoại
ngày càng lớn với mức độ nghiêm trọng.
Vì vậy để chống sự tấn công của virút máy tính các doanh nghiệp kinh
doanh trên mạng cần cài đặt những phần mềm chống virút có hiệu quả và thường

Phối hợp với điểm chấp nhận thẻ để đào tạo các nhân viên chấp nhận thẻ các kiến
thức và các kỹ năng cần thiết trong giao dịch thẻ.
- Cần xây dựng, chuẩn bị một hệ thống máy móc, thiết bị dự phòng bên
cạnh hệ thống đang hoạt động, sẵn sàng khi có sự cố hỏng hóc xảy ra. Việc chuẩn
bị này có thể làm gia tăng chi phí nhưng rất cần thiết vì thế các NHTM nên có sự
chuẩn bị thích hợp để thực hiện giải pháp này.
- Nghiên cứu áp dụng các loại thẻ chip, thẻ thông minh, có những tính
năng hiện đại như: tính bảo mật cao, khó làm giả
B - Đối với khách hàng
- Thông qua việc quảng cáo các sản phẩm thẻ của mình các NHTM nên
lòng vào đó các hướng dẫn cần thiết, cần lưu ý cho khách hàng trong quá trình sử
dụng thẻ như: Các thông tin cần bảo mật tuyệt đối như mã số PIN, cách thanh toán
thẻ an toàn tránh bị skimming thẻ, cảnh giác trong các giao dịch thanh toán qua
mạng bằng thẻ vì có thể bị đánh cắp thông tin thẻ, hướng dẫn khách hàng những
việc cần thiết phải làm khi phát hiện có hiện tượng nghi ngờ, gian lận trong thanh
toán thẻ, các biện pháp giải quyết
C- Đối với các cơ quan hữu quan
- Chính phủ và NHNN cần nghiên cứu sớm ban hành các văn bản pháp lý,
tạo hành lang pháp lý chặt chẽ cho hoạt động kinh doanh thẻ của NH, cũng như
các quy định xử lý các hành vi giả mạo, lừa đảo trong giao dịch thẻ phù hợp với
thông lệ quốc tế.
Hiệp hội thẻ VN cần phát huy vai trò đầu mối nghiên cứu ban hành các
quy định đối với các NH thành viên trong việc cung cấp thông tinH, phối hợp
hành động trong việc phòng chống gian lận giả mạo trong lĩnh vực thẻ, bên cạnh
đó thường
xuyên phối hợp tổ chức các lớp bồi dưỡng nâng cao trình độ cho các cán
bộ của các NH thành viên nâng cao ý thức phòng chống rủi ro trong lĩnh vực này.
Đối với thanh toán thẻ qua internet
Người ta thường nói khách hàng là người gặp nhiều rủi ro khi giao dịch
trực tuyến nhưng trên thực tế chính nhà kinh doanh lại là nạn nhân của các quá

đồng bộ (Unified Resource Locations - URL) trên website của khách hàng bằng
cách đơn giản đưa "www" vào trước phần thứ hai của điạ chỉ email.
Một số nhà kinh doanh còn cẩn thận hơn đó là họ kiểm tra ai có tên miền.
Những thông tin về quyền sở hữu tên miền của nước Mỹ luôn có trên website
Network Solutions ở www.NetworkSolutions.com
e) Kiểm tra các đơn đặt hàng khi thấy lạ. Kẻ trộm thường đặt những đơn
đặt hàng rất khác với những đơn đặt hàng thông thường.
f) Gọi điện cho khách hàng nếu có nghi ngờ.
g) Thu thập tất các dữ liệu về đơn đặt hàng có thể. Cố gắng loại bỏ các
đơn đặt hàng gian trá và thu lại số tiền bị mất mát. Bạn càng có nhiều dữ liệu về
đơn đặt hàng càng tốt, bao gồm địa chỉ và số điện thoại khách hàng, tên ngân hàng
phát hành thẻ và địa chỉ IP (Internet Protocol) nơi đặt đơn đặt hàng.
h) Thông báo rõ ràng cho khách hàng trên website là bạn có các thiết bị
bảo vệ.
j) Không vi phạm mọi thoả thuận giữa bạn và khách hàng.
i) Nếu sử dụng các dịch vụ kiểm tra thì phải đảm bảo là dịch vụ đó đáng
tin cậy.
k) Tốt nhất là kiểm tra bằng các dịch vụ tinh vi chống gian lận như
CyberSource's tại địa chỉ www.cybersource.com nếu như phát hiện gian trá.
Những dịch vụ này tự động kiểm tra giúp bạn và giảm sự cố xuống mức thấp nhất.
l) Sử dụng SET (Secure Electronic Transaction) hoặc phương pháp
Microsoft Wallet với các chứng chỉ số hoá để kiểm tra khách hàng đến thăm
website của bạn.
Theo Thương mại điện tử. Song cho dù có áp dụng biện pháp nào đi chăng
nữa cũng không thể đảm bảo an toàn một cách tuyệt đối bởi có rất nhiều rủi ro
mang tính khách quan. Rủi ro có thể xảy ra hoặc không, lúc này hay lúc khác,
mang lại tai hoạ lớn, vừa hay nhỏ… con người đều hoàn toàn không lường trước
được.
Mặc dù chưa phải là đầy đủ, song những biện pháp nêu là các bước cơ bản
để phòng ngừa và hạn chế những rủi ro tổn thất có thể gặp phải trong quá trình