Bài thảo luận nhóm 11.
Đề tài: Tìm hiểu về các hoạt động lừa đảo và nguy cơ đối với hoạt động
thương mại điện tử hiện nay. Các biện pháp mà các công ty áp dụng để giảm thiểu
và khắc phục những nguy cơ này.
Thị trường ngày càng phát triển vì vậy các loại hình kinh doanh cũng ngày càng
trở lên đa dạng. Là một loại hình mua bán thông qua các phương tiện truyền thông, mạng
internet, tiết kiệm thời gian cũng như chi phí đối với cả người mua và người bán, thương
mại điện tử đã trở thành một sự ưu tiên lựa chọn đối với nhiều người. Tuy có nhiều lợi ích
song vẫn còn không ít những bất lợi trong thương mại điện tử. Vậy đó là những gì?
I. Lý thuyết về an toàn trong thương mại điện tử
1/ Các vấn đề đặt ra với an toàn thương mại điện tử.
Thương mại điện tử giúp thục hiện các giao dịch, thanh toán, marketing và
tăng giá trị của các sản phẩm hàng hóa hữu hình hoặc truyền những cơ sờ dữ liệu
liên quan tới thẻ tín dụng, các phương tiện thanh toán khác của khách hàng.Việc
đảm bảo an toàn cho các thông tin trên là rất quan trọng.
An toàn trong thương mại điện tử luôn mang tính tương đối.lịch sử an toàn
thương mại đã chứng minh rằng, bất cứ hệ thống an toàn nào cũng có thể bị phá vỡ
nếu không đủ sức để chống lại các cuộc tấn công. Vì vậy các vấn đề đặt ra đối với
an toàn trong thương mại điện tử :
-Yêu cầu từ phía người sử dụng :
+ Sử dụng đúng website của các công ty hợp pháp.
+ Không chứa đựng virus hay các đoạn mã nguy hiểm trong các website
hoặc các bảng khai thông tin cá nhân.
+ Thông tin cá nhân cần phải được đảm bảo bí mật
-Yêu cầu từ phía nhà cung cấp ( từ phía các website )
+ Người sử dụng không được tấn công máy chủ hay các trang web của
doanh nghiệp.
+ Người sử dụng không được làm gián đoạn hoạt động của máy chủ.
-Yêu cầu từ cả người sử dụng và nhà cung cấp:
+ Đảm bảo cho các thông tin trao đổi hai chiều giữa người sử dụng và nhà
cung cấp không bị bên thứ ba nghe trộm.

Da
̣
ng 1: Trang web giả mạo tổ chức từ thiện – Hãy cẩn thận khi bạn đóng
góp.
Vào mùa lễ, tin tặc lợi dụng lòng hảo tâm của cộng đồng bằng cách gửi đi
các thư điện tử có vẻ như hợp pháp của những tổ chức từ thiện. Trong thực tế, đó là
những trang web giả mạo được thiết kế nhằm ăn cắp tiền, thông tin thẻ tín dụng và
thông tin nhận dạng của các nhà tài trợ.
Da
̣
ng 2: Hóa đơn giả mạo từ các dịch vụ giao hàng nhằm ăn cắp tiền của
bạn.
Trong suốt mùa lễ, tội phạm mạng thường gởi các hóa đơn giả mạo và hiện
những thông báo giao hàng từ Federal Express, UPS hay dịch vụ hải quan Mỹ.
Những Email họ gởi nhằm yêu cầu người tiêu dùng xác nhận các thông tin
chi tiết về thẻ tín dụng của họ để xâm nhập vào tài khoản, hoặc yêu cầu người sử
dụng mở một hóa đơn trực tuyến hoặc biên nhận thanh toán trọn gói.
Sau khi hoàn thành, thông tin người dùng bị đánh cắp hoặc các phần mềm
độc hại được tự động cài đặt trên máy tính của họ.
Da
̣
ng 3: Mạng xã hội –Tội phạm mạng “Muốn kết bạn”
Tội phạm mạng tận dụng thời gian này của năm bằng cách gửi đi các email
yêu cầu xác nhận “Yêu cầu kết bạn mới” từ các trang web trên mạng xã hội.
Người sử dụng internet nên thận trọng với việc truy cập vào các liên kết
trong các email có khả năng tự động cài đặt phần mềm độc hại trên các máy tính và
ăn cắp thông tin cá nhân
Da
̣
ng 4: Những E-Cards nguy hiểm có liên quan tới ngày nghỉ

– Việc tìm kiếm vào mùa lễ là rất mạo hiểm.
Trong những ngày lễ, các tin tặc tạo ra các trang web lừa đảo có liên quan
tới ngày lễ dành cho những người tìm kiếm nhạc chuông hoặc hình nền về ngày lễ
đó, các danh sách nhạc mừng lễ Giáng Sinh hoặc hình nền lễ hội. Các tập tin họ tải
về có liên quan tới ngày lễ có thể lây nhiễm phần mềm độc hại cho máy tính với
phần mềm gián điệp, phần mềm quảng cáo hay các phần mềm độc hại khác.
McAfee đã tìm thấy một trong những trang web tải bài hát mừng lễ Giáng
Sinh đưa những người tiềm kiếm vào các phần mềm quảng cáo, phần mềm gián
điệp và các chương trình có khả năng không mong muốn khác.
Da
̣
ng 8: Thất nghiệp – Email lừa đảo có liên quan tới việc làm.
Gần đây, tỷ lệ thất nghiệp ở nước Mỹ đã tăng lên tới 10.2%, mức cao nhất
từ năm 1983 cho tới nay. Những kẻ lừa đảo đang lợi dụng sự tuyệt vọng của những
người tìm việc trong kinh tế nghèo, với những lời hứa công việc với mức lương cao
và có nhiều cơ hội làm việc kiếm tiền tại nhà.
Khi những người quan tâm gửi thông tin của họ và trả tiền phí để được giới
thiệu việc làm thông qua mạng trực tuyến, dựa vào các thông tin mà họ đã gửi các
tin tặc trộm tiền của họ thay vì cho họ cơ hội việc làm như chúng đã hứa.
Da
̣
ng 9: Outbidding cho tội phạm - Trang web đấu giá Gian Lận
Những kẻ lừa đảo thường ẩn dưới dạng các trang web đấu giá vào mùa lễ.
Người mua cần đề phòng những thỏa thuận đấu giá xuất hiện giống hệt như là
những thỏa thuận đấu giá hợp lệ, vì vậy những lần mua hàng thường không bao giờ
có chủ sở hữu mới.
Da
̣
ng 10: Trang web giả mạo đánh cắp mật khẩu
Ăn cắp mật khẩu là vấn nạn đại tràn trong mùa lễ, những kẻ trộm thường sử

u
Các tin tặc giành quyền kiểm soát máy tính của người mọi người thông qua
một vài trang web giả mạo có liên quan tới ngày lễ. Sau đó, chúng hành động như
một kẻ bắt cóc tống tiền nhằm cướp các tập tin trên máy tính và mã hóa chúng, làm
cho họ không thể đọc và truy cập được
2.Tấn công kỹ thuật
Xét trên góc độ công nghệ, có ba bộ phân dễ bị tấn công và tổn thương nhất
khi thực hiện các giao dịch thương mại điện tử đó là hệ thống khách hàng, máy chủ
doanh nghiệp và đường truyền thông tin
A) .Maliciouscode
Trước khi tìm hiểu về virus, chúng ta cần hiểu khái niệm Malicious code.
Malicious code hay còn gọi là Malware ( Mã độc hại) là một khái niệm rộng, được
định nghĩa là “một chương trình (program) được chèn một cách bí mật vào hệ thống
với mục đích làm tổn hại đến tính bí mật, tính toàn vẹn hoặc tính sẵn sàng của hệ
thống”.
Định nghĩa này sẽ bao hàm rất nhiều thể loại mà chúng ta vẫn quen gọi
chung là virus máy tính ở Việt nam như: worm, trojan, spy-ware, ... thậm chí là
virus hoặc các bộ công cụ để tấn công hệ thống mà các hacker thường sử dụng như:
backdoor, rootkit, key-logger, …
Malware được phân loại như sau:
Loại Ví dụ
Maliciou
s code
Virus Nonre
sident
Virus
Miche
langelo,
Stined,
Jerusalem

,
Knark,Adore,
Hack
Defender
Web
Brower Plug-
in
Email
Generator
a.Virus:
Với cách định nghĩa, phân loại này, virus là một loại mã độc hại (Malicious code)
có khả năng tự nhân bản. tự tái tạo và lây nhiễm chính nó vào các file, chương trình
hoặc máy tính. Như vậy, theo cách định nghĩa này virus máy tính phải luôn luôn
bám vào một vật chủ (đó là file dữ liệu hoặc file ứng dụng) để lây lan. Các chương
trình diệt virus dựa vào đặc tính này để thực thi việc phòng chống và diệt virus, để
quét các file trên thiết bị lưu, quét các file trước khi lưu xuống ổ cứng, ...
Về bản chất virus chỉ lây nhiễm trên một máy tính đơn, nhưng nó sẽ có thể
lan sang nhiều máy tính khác bằng cách lây nhiễm vào các file share trên hệ thống
mạng nội bộ, máy nào truy cập vào thì sẽ bị nhiễm. Hoặc virus có thể được gửi qua
email để lây lan trên mạng diện rộng. Điều này cũng giải thích vì sao đôi khi các
phần mềm diệt virus tại PC đưa ra thông báo “phát hiện ra virus nhưng không diệt
được” khi thấy có dấu hiệu hoạt động của virus trên PC, bởi vì “vật mang virus” lại
nằm ở máy khác nên không thể thực thi việc xoá đoạn mã độc hại đó.
Phân loại: người ta chia virus thành 2 loại chính:
• Nonresident virus (virus ko thường trú):loại virus này gồm 2 module
là finder module và replication module. Finder có nhiệm virus tìm các file cần lây
nhiễm, cứ mỗi file tìm được, nó sẽ gọi replication module để lây nhiễm file đó.
• Resident virus (virus thường trú):ở loại này, virus chỉ có replication
module. Virus tải replication module vào trong bộ nhớ, và mỗi khi hệ điều hành
thực thi một file nhất định nào đó, replication module được gọi và lây nhiễm virus

password).
• Tiếp tục thực thi các chức năng của chương trình mà nó bám vào,
nhưng sửa đổi một số chức năng để gây tổn hại (ví dụ như một trojan giả lập một
cửa sổ login để lấy password) hoặc che dấu các hành động phá hoại khác (ví dụ như
trojan che dấu cho các tiến trình độc hại khác bằng cách tắt các hiển thị của hệ
thống).
• Thực thi luôn một chương trình gây hại bằng cách núp dưới danh một
chương trình không có hại (ví dụ như một trojan được giới thiệu như là một chò
chơi hoặc một tool trên mạng, người dùng chỉ cần kích hoạt file này là lập tức dữ
liệu trên PC sẽ bị xoá hết).
d.Malicious Mobile Code
Malicious Mobile Code là một dạng mã phần mềm có thể được gửi từ xa
vào để chạy trên một hệ thống mà không cần đến lời gọi thực hiện của người dùng
hệ thống đó. Malicious Mobile Code được coi là khác với virus, worm ở đặc tính là
nó không nhiễm vào file và không tìm cách tự phát tán . Thay vì khai thác một điểm
yếu bảo mật xác định nào đó, kiểu tấn công này thường tác động đến hệ thống bằng
cách tận dụng các quyền ưu tiên ngầm định để chạy mã từ xa. Các công cụ lập trình
như Java, ActiveX, JavaScript, VBScript là môi trường tốt cho malicious mobile
code. Một trong những ví dụ nổi tiếng của kiểu tấn công này là Nimda, sử dụng
JavaScript.
Kiểu tấn công này của Nimda thường được biết đến như một tấn công hỗn
hợp (Blended Atatck). Cuộc tấn công có thể đi tới bằng một email khi người dùng
mở một email độc bằng web-browser. Sau khi nhiệm vào máy này, Nimda sẽ cố
gắng sử dụng sổ địa chỉ email của máy đó để phát tán tới các máy khác. Mặt khác,
từ máy đã bị nhiễm, Nimda cố gắng quét các máy khác trong mạng có thư mục chia
sẻ mà không bảo mật, Nimda sẽ dùng dịch vụ NetBIOS như phương tiện để chuyển
file nhiễm virus tới các máy đó. Đồng thời Nimda cố gắng dò quét để phát hiện ra
các máy tính có cài dịch vụ IIS có điểm yếu bảo mật của Microsoft. Khi tìm thấy,
nó sẽ copy bản thân nó vào server. Nếu một web client có điểm yếu bảo mật tương
ứng kết nối vào trang web này, client đó cũng bị nhiễm (lưu ý rằng bị nhiễm mà