BÀI THUYẾT TRÌNH MÔN THƯƠNG MẠI ĐIỆN TỬ
Topic 5:
E-commerce Security
Giảng viên hướng dẫn :
Dr Nguyễn Quang Trung
Ms Võ Trung Trinh
Lớp: MBA12C
T hực hiện : Group 3
Trần Viết Khanh
Đặng Thế Hiệp
Trương Đăng Khoa
Nguyễn Thanh Sang(1989)
Đinh Xuân Thắng
1
An ninh Mạng/Bảo Mật trong Thương mại điện tử (TMĐT)
I. Tổng quan về bảo mật trong môi trường TMĐT
a. Môi trường TMĐT:
Theo thống kê 10/2013, hiện tại có trên 1 tỉ người đang sử dụng Internet.
Trong đó, tình trạng tội phạm Internet đặc biệt là tội phạm về tài chính đang ở mức rất cao, đã có 315,000 lượt báo
cáo về tội phạm trên Internet trong đó 1 nửa là mất mát về tài chính ($500tr) trung bình $4,100/lần (2011, Internet
Crime Complaint Center - IC3).
Năm 2011 báo cáo của Symantec cho thấy có trên 405 triệu loại phần mềm độc hại so với 286 triệu của 2010, riêng
những cuộc tấn công trên nền Web tăng 80%, nền Mobile tăng 93%.
Riêng ở Mỹ, các hacker nước ngoài thực hiện trên 100 vụ tấn công vào các website thương mại của Mỹ để lấy cắp
dữ liệu (Mandiant, 10/2013).
Ở chiều ngược lại Mỹ cũng bị cựu nhân viên CIA Snowden tố cáo xâm nhập và lợi dụng các lỗ hổng để theo dõi các
chính phủ và giao dịch trên toàn cầu.
Tại Việt Nam: đã có 2.405 website của các cơ quan và DN bị hack (trung bình 300 website/tháng) trong đó có cả Bộ
Công An, Bộ Quốc phòng, ngân hàng, các cơ quan nghiên cứu… (Bkav, 10/2013).
b. Những yếu tố ảnh hưởng bảo mật TMĐT:
Một giao dịch thương mại điện tử được gọi là an toàn khi đảm bảo không lộ các thông tin cá nhân khi giao dịch,

Cá nhân
Thông tin cá nhân của tôi
được sử dụng ntn?
Dùng dữ liệu cá nhân của KH ntn?
Tiện ích Có thể truy cấp trang web đó? Trang web hiện tại có còn hoạt động?
c. Xung đột giữa bảo mật và các giá trị còn lại:
Tuy nhiên, trong thực tế luôn tồn tại sự xung khắc giữa nhu cầu được đảm bảo an ninh cao với việc thỏa mãn tính
nhanh chóng, tiện lợi, dễ sử dụng khi thực hiện giao dịch.
Vì 1 thực tế là khi giao dịch càng sử dụng nhiều các biện pháp bảo mật thì càng khó để người dùng thực hiện vì càng
phải tiến hành nhiều bước phức tạp hơn.
3
Đó là lý do các biện pháp công nghệ liên tục được đưa ra để giải quyết vấn đề này như bảo mật qua điện thoại, mã
OTP, công nghệ sinh trắc học…
4
II. Những nguy cơ thường gặp hiện nay
Sơ đồ sau sẽ cho phép thấy được toàn cảnh chu trình của 1 giao dịch thương mại điện tử đầy đủ và đặc biệt là các
điểm yếu dễ bị tấn công của nó.
Trong đó:
1. Web bugs: lỗi do xử lý bên trong website TMĐT
2. Wifi: sơ hở bảo mật wifi nên bị lộ thông tin qua mạng này
3. Customer list: bị tấn công và mất danh sách khách hàng
4. DB server: máy chủ dữ liệu bị tấn công (thường do lỗi SQL injection)
5. Lỗi sơ hở khi truyển thông tin từ máy chủ dữ liệu đến ngân hàng
6. DOS: tấn công từ chối dịch vụ vào ngân hàng người mua
7. Thay đổi thông tin trong quá trình giao hàng hóa
8. Tấn công vào ngân hàng của người bán
5
Các điểm yếu trên thường được tấn công bằng các công cụ như sau:
1. Malicious Code (Malware, mã độc):
a) Drive by download (yêu cầu tải file có mã độc về máy)

3. Phishing & Indentity Theft (lừa đảo, trộm thông tin):
a) Social engineering: dựa vào sự tò mò, hiếu kì để lừa user tải 1 file mã độc về máy hoặc dùng trang web giả để
user nhập thông tin
b) Phishing: lừa, trộm thông tin tài chính cá nhân,thường thấy qua email lừa đảo
8
4. Hacking, cyber vandalism, hacktivism, data breached:
a) Hacker: truy cập trái phép
b) Cracker: truy cập trái phép có ý định phạm tội
c) Cyber vandalism: phá hoại mạng
d) Hacktivism: tin tặc
e) White/Black/Grey hats
f) Data breach: phá dữ liệu
5. Credit card fraud/theft (gian lận, lừa thẻ TD):
9
6. Spoofing (pharming, giả mạo) and spam:
7. Denial of Service (Dos) and Distributed denial of service (DDos):
Dùng bot/botnet để tấn công gây tràn và website, server bị từ chối không thể đáp ứng các dịch vụ đang cung cấp
10
8. Sniffing: bắt gói tin trong mạng, email …
9. Insider attacks (tấn công từ nội bộ):
11
10. Server thiết kế yếu và các phần mềm máy trạm:
Các Server được thiết kế yếu, không đủ mạnh để chạy các ứng dụng bảo mật
11. Các phần mềm nhiều lỗ hổng để tấn công
Social Network Issues:Facebook, twitter cung cấp quá nhiều thông tin cá nhân
12. Mobile platform Issues:
Niềm tin vào điện thoại như trước
Nhưng thật ra khi phát triển thông minh hơn  tất cả mọi người đều dễ bị tấn công qua bluetooth, wifi, 3g, tin rác…
13. Cloud Issues:
-Tập trung dữ liệu tại các cloud server nên khi bị tấn công người dùng không thể truy cập dữ liệu (Google Drive,

và kiếm tra Google Webmaster Tool, đa phần chỉ cấu hình 1 lần rồi để đó.
◦ Website xếp hàng top với từ khoá không liên quan: malware cài những
backlink ẩn, hoặc lợi dụng domain của website để spam. Hacker sử dụng
phần mềm tự động dò các website có lỗ hổng để gắn các link trỏ đến các
nguồn chứa mã độc. Điều này sẽ khiến cho website của bạn “được” xếp
hàng top với rất nhiều từ khóa không liên quan đến lĩnh vực của mình hoặc
các từ vớ vẩn nào đó….
 Chèn mã độc
 Virus facebook
14
III. Một số giải pháp phổ biến đang được sử dụng
1. Mã hóa
 Là quá trình chuyển văn bản hay các tài liệu gốc thành văn bản dưới dạng mật mã để bất cứ ai ngoài người
gửi và người nhận đều không thể đọc được
 Bảo đảm an ninh thông tin khi truyền phát
 Hai phương pháp mã hóa:
◦ Mã hóa đối xứng (Symmetric Key Encryption): Dùng 1 khóa cho mã hóa và giải mã
15
◦ Mã hóa khóa công khai (Public Key Encryption): Dùng 2 mã khóa trong quá trinh mã hóa. 1 khóa
dùng để mã hóa, 1 khóa dùng để giải mã
◦ Khóa công khai
 Được thông báo rộng rãi cho những người sử dụng khác trong hệ thống
 Dùng để mã hóa thông điệp hoặc kiểm tra chữ ký
◦ Khóa bí mật
 Chỉ nơi giữ được biết
 Để giãi mã thông điệp hoặc tạo chữ ký
◦ Ứng dụng
16
 Mã hóa/ Giải mã
 Đảm bảo bí mật của thông tin