Đang tải... (xem toàn văn)
Giao thức SSL được thiết kế bởi Nestcape như là một phương pháp bảo đảm sự an toàn của kết nối khách (client) – chủ (server) trên môi trường Internet. SSL là công nghệ để mã hóa việc truyền dữ li
II. Giải pháp an toàn trong thanh toán điện tửNhư đã giới thiệu ở trên, cách tốt nhất bảo đảm an toàn trong thanh toán điện tử là mã hóa các thông tin cần được truyền đi trên mạng. Hiện nay có nhiều giao thức được sử dụng cho phép thực hiện giao dịch trong không gian ảo. Bản chất của giao dịch cũng chỉ là sự chuyển tiền từ tay người này qua người khác. Trong phần này chúng ta sẽ xem xét hai giao thức mở cho phép thực hiện giao dịch an toàn, đó là SSL và SET.1. Giao thức tầng cắm an toàn (Secure Sockets Layer – SSL)Giao thức SSL được thiết kế bởi Nestcape như là một phương pháp bảo đảm sự an toàn của kết nối khách (client) – chủ (server) trên môi trường Internet. SSL là công nghệ để mã hóa việc truyền dữ liệu giữa trình duyệt web và máy chủ web. Công nghệ này được sử dụng thường xuyên bởi các trang web ngân hàng trực tuyến và trang web thương mại điện tử. Trang web khác cũng có thể triển khai SSL dưới hình thức hạn chế hơn -- ví dụ: để giúp bảo vệ mật khẩu của bạn khi nhập thông tin đăng nhập của bạn. Địa chỉ web được bảo mật bằng SSL bắt đầu với https: t hay vì http: nên các điều khoản thường được sử dụng thay thế cho nhau.Cơ Chế Hoạt Động Của SSLVề cơ bản, giao thức SSL hoạt động ngay dưới các giao thức ứng dụng (như HTTP, SMTP,Telnet, FTP, Gopher và NNTP) và nằm trên giao thức mạng TCP/IP. Điều đó cho phép SSL vận hành độc lập đối với các giao thức ứng dụng mạng. SSL sử dụng phương pháp mã hóa khóa công khai đã giới thiệu ở trên, với thuật toán RAS dùng để mã hóa. SSL cho phép: - Client và server nhận dạng lẫn nhau.- Sử dụng chứng thực số để chứng thực tính toàn vẹn.- Mã hóa toàn bộ thông tin để đảm bảo tính bí mật. Để làm được điều này cần có một máy chủ bảo mật, đó là lý do tại sao bạn thường nhận được thông báo kiểu này:Các máy chủ bảo mật thường có chuỗi HTTPS và hình chiếc khóa trong URL thay vì HTTP như bình thường.Quá trình bạn bắt đầu một phiên làm việc với một máy chủ web dưới sự bảo mật của SSL được gọi là “quá trình bắt tay”. Một quá trình bắt tay bao gồm:- Trình duyệt và server quyết định cấp độ và cách thức mã hóa dùng cho phiên làm việc.- Trình duyệt và server tạo và chia sẻ chìa khóa dùng để mã hóa.- Trình duyệt yêu cầu và nhận chứng thực số từ server (không bắt buộc).- Server yêu cầu và nhận chứng thực số từ trình duyệt (không bắt buộc).Sau khi quá trình bắt tay kết thúc, bạn hoàn thành giao dịch. Chỉ cần phiên làm việc chưa kết thúc thì mọi dữ liệu truyền đi giữa trình duyệt và server đều được mã hóa. Khi phiên làm việc hoàn thành, trình chủ bảo mật sẽ chuyển bạn về trình chủ không bảo mật.SSL an toàn đến đâu?Hầu hết chúng ta không quan tâm tới việc SSL hoạt động như thế nào, chúng ta chỉ muốn biết nó có thực sự hoạt động hay không. Nếu nó giữ thông tin thẻ tín dụng của bạn an toàn thì không có gì phải phàn nàn. Tất nhiên, mã hóa sử dụng trong SSL có thể bị phá vỡ nhưng rất tốn kém. Trong hầu hết các ứng dụng, SSL vẫn được coi là giải pháp hàng đẩu để bảo vệ thông tin thẻ tín dụng khi giao dịch trực tuyến. Hơn nữa, SSL có thể được phát triển, đặc biệt nếu Nestcape và Microsoft được chính phủ Mỹ cho phép sử dụng những phương pháp mã hóa mạnh hơn. 2. Giao thức giao dịch an toàn (Secure Electronic Transaction)Giao thức SET được thiết kế nguyên thủy bởi Visa và MasterCard vào năm 1997 và được phát triển dần lên từ đó. Giao thức SET đáp ứng được 4 yêu cầu về bảo mật cho TMĐT giống như SSLKhi bạn bắt đầu một phiên làm việc với một website thương mại thông qua SSL, điều đó chẳng khác gì bạn đưa thẻ tín dụng của mình cho người bán hàng . Anh ta nói giá, bạn đồng ý, và bạn đợi cho người bán yêu cầu xác định giá trị thẻ với ngân hàng. Nếu thẻ được xác nhận, một phiếu bán hàng được in ra. Bạn ký vào phiếu bán hàng, người bán giữ một bản copy cho hồ sơ của bạn.Với SET, ngân hàng phát hành thẻ cũng tham gia trong quá trình giao dịch với vai trò người trung gian. Khi bạn nhập số thẻ của mình trong một giao dịch với SET, site thương mại sẽ không bao giờ thấy được số thẻ của bạn. Thay vào đó, thông tin được gửi đến cơ quan tài chính thông qua cổng thanh toán, người sẽ xác thực thẻ của bạn và thực hiện thanh toán với site thương mại điện tử. Đổi lại, công việc đó đòi hỏi một chi phí nhất định.Giao thức SET yêu cầu khách hàng phải tải một phần mềm đặc biệt gọi là ví điện tử (electronic wallet) hay ví số (digital wallet) để lưu giữ chứng thực của khách hàng tại máy tính cá nhân hay thẻ IC (Intergrated circuit card) của họ. Để kết nối ví điện tử với những người kinh doanh khác nhau, khả năng liên vận hành là một đặc tính quan trọng cần được đáp ứng. Do tính liên vận hành của ví số của người chủ sở hữu thẻ với phần mềm của bất cứ người kinh doanh nào là điều cơ bản, một liên hiệp các công ty (Visa, MasterCard, JCB – ngân hàng phát hành thẻ của Nhật – và American Express) đã thành lập một công ty được gọi là SETCO (Secure Electronic Transaction LLC 1999). Công ty này thực hiện các thử nghiệm liên vận hành và phát hành một nhãn hiệu SET như một xác nhận về tính liên vận hành. IBM, Netscape, Microsoft, Verisign, Tandem và MetaLand cung cấp các ví số có khả năng liên vận hành như vậy.3. So sánh SSL và SETKhác với giao thức SSL có 3 thực thể là người chủ sở hữu thẻ, người kinh doanh và cơ quan chứng thực (CA), SET có thêm một thực thể là cổng thanh toán. Đây là cổng kết nối Internet với các mạng độc quyền của các ngân hàng. Mỗi thực thể tham gia cần chứng thực riêng.Trên lý thuyết, SET bảo mật hơn SSL. Với SSL, thông tin thẻ tín dụng của bạn là công khai với người bán, cả người bán và ngân hàng của bạn đều biết bạn là ai và mua những gì. Điều này xâm phạm quyền riêng tư. Đối với SET thì không, người bán không bao giờ nhìn thấy số thẻ của bạn, bạn chỉ phải cung cấp thông tin về thẻ của mình cho cơ quan đã biết quá rõ về nó. Người bán không biết bạn là ai, còn ngân hàng của bạn không biết bạn mua những gì.Tuy nhiên trên thực tế, SET không được ứng dụng rộng rãi như người ta mong đợi do tính phức tạp, thời gian phản hồi chậm và sự cần thiết phải cài đặt ví số ở máy tính của khách hàng. Nhiều ngân hàng ảo và cửa hàng điện từ duy trì giao thức SSL, một số sử dụng cả hai giao thức như WalMart Online. Hiện chỉ có 1% kế hoạch kinh doanh điện tử di chuyển sang SET.III. Những hình thức gian lận trong TMĐT và cách phòng chống1. Phishing Phishing là một dạng lừa đảo trực tuyến ngày càng phổ biến. Kỹ thuật lừa đảo Phishing bắt đầu bằng một email giả danh một công ty hợp pháp, chẳng hạn như Ebay hay CityBank. Thông thường, nội dung của email giả danh thông báo cho nạn nhân là tài khoản của họ đã hết hạn hoặc đại loại như vậy. Nạn nhân sẽ được hướng dẫn để nhấp chuột vào một liên kết dẫn đến một website giả mạo. Nếu nạn nhân vào website này, nó sẽ bảo bạn khai báo các thông tin cá nhân quan trọng như số thẻ tín dụng hay số tài khoản cá nhân. Hậu quả là nạn nhân bị bọn chúng vét sạch tiền trong tài khoản mà không hiểu vì sao.Hiện nay có nhiều phần mềm cho phép tạo lập website giả mạo của các công ty hợp pháp một cách dễ dàng mà không đòi hỏi kẻ lừa đảo phải có nhiều kiến thức về lập trình, chỉ đơn giản là cắt và dán nên vấn nạn Phishing sẽ còn gia tăng trong thời gian tới. Trong khi nhiều người dùng cho rằng Web Caller – ID không phải là phương thức toàn năng chữa trị triệt để vấn nạn phishing.Để phòng chống Phishing bạn có thể sử dụng sản phẩm Web Caller – ID của công ty WholeSecurity. Web Caller – ID hoạt động theo nguyên lý phân tích các địa chỉ Web để dò tìm những đầu mối cho biết một website có giả mạo hay không. Chẳng hạn nếu địa chỉ URL của website mà dài và luẩn quẩn, hoặc nếu nó chứa một dãy số dài và được ngăn cách bởi các dấu chấm trong địa chỉ IP thì nhiều khả năng nó là website mạo danh. Chương trình cũng có khả năng kiểm tra xem có phải tên miền mới được đăng ký hay không, cũng như xem có phải nhà quản trị website đó đang sử dụng một dịch vụ host miễn phí.Ngoài Ebay, hãng WholeSecuriry còn có kế hoạch cấp giấy phép cho các doanh nghiệp kinh doanh trực tuyến sử dụng phần mềm Web Caller – ID. Các doanh nghiệp này có thể là ngân hàng, hãng tín dụng hay các cửa hàng bán lẻ qua mạng.Với phần mềm này, bạn có thể tích hợp nó vào thanh công cụ trình duyệt Web, tạo thành một tính năng gián tiếp làm nhiệm vụ bảo mật. Ngoài ra, bạn có thể lựa chọn đăng ký dịch vụ xử lý email từ hãng WholeSecurity để nhận được những thông tin mới nhất về nạn phishing scam.2. Spear PhishingMục tiêu của hình thức lừa đảo này nhằm vào các thông tin nhạy cảm của cả một tổ chức thuộc cá nhân hay chính phủ. Thay vì giả mạo email của một trang web nổi tiếng hay một trang ngân hàng nào đó, kẻ lừa đảo gửi email cho một số ít nhân viên của tổ chức mục tiêu và làm như email đó được gửi đến từ một quan chức cao cấp trong tổ chức đó.Không giống như email của các hình thức lừa đảo Phishing thông thường được gửi với số lượng lớn, tới mọi đối tượng, kẻ lừa đảo theo hình thức Spear Phishing mỗi lần chỉ nhắm vào một tổ chức. Spear Phishing là hình thức lừa đảo có mục tiêu cụ thể. Khi chúng lừa được nhân viên của tổ chức lộ ra mật khẩu, chúng có thể cài các phần mềm gián điệp khai thác các bí mật của tổ chức đó.Spear Phishing hiệu quả rất lớn đối với cả những nhân viên có hiểu biết về các mối đe dọa trên mạng. Tại học viện quân sự Mỹ tại West Point, New York, một thử nghiệm nội bộ đã cho thấy tất cả các học viên sẵn sàng cung cấp thông tin cho một kẻ lừa đảo tự xưng là sỹ quan cao cấp. “Đó là hiệu ứng đại tá, bất cứ ai ở cấp tá trở lên cũng có thể ra lệnh trước rồi đưa ra các câu hỏi sau”, tiến sĩ Aeron Ferguson phát biểu. Gần đây các học viên đã có phần nghi ngờ các bức thư trên khi nhận thức của họ được nâng lên.Để ngăn chặn hình thức lừa đảo Spear Phishing, biện pháp tốt nhất hiện nay là giáo dục nâng cao ý thức của các nhân viên trong tổ chức. Muốn ngăn chặn triệt để vấn nạn Phishing cần có một cơ chế chứng thực email được dùng rộng rãi. Điều này đòi hỏi sự phối hợp của toàn xã hội.3. PharmingHình thức lừa đảo này rất nguy hiểm. Kẻ cắp thay đổi địa chỉ IP của trang web mà bạn muốn truy cập. Khi bạn login vào, mặc dù đã gõ đúng tên của trang bạn muốn nhưng bạn được dẫn tới một trang web giả mạo.Đối với hệ điều hành Windows có một file lưu những trang mà bạn đã vào, bên cạnh đó là địa chỉ IP của trang đó. Trong lần truy cập tiếp theo, bạn sẽ truy cập trực tiếp vào trang đã có địa chỉ IP trong danh sách mà không cần thông qua máy chủ DNS. Nếu hacker tấn công máy của bạn và thay đổi địa chỉ IP của trang đó, bạn sẽ được dẫn vào một trang web giả.Mức độ nguy hiểm sẽ tăng, nếu hacker tấn công được vào máy chủ DNS của và thay đổi địa chỉ IP của trang web. Lúc này không chỉ mình bạn, mà bất cứ ai truy cập vào trang web đó đều truy cập vào trang web giả mạo.Máy chủ DNS (Domain Name Server) có nhiệm vụ biên dịch tên miền thành địa chỉ IP. Khi bạn đánh tên trang web bạn muốn vào, máy chủ DNS sẽ biên dịch tên trang web thành địa chỉ IP và kết nối tới trang có địa chỉ IP đó.4. keyloggerKeylog, keylogger là chương trình ghi lại các thao tác trên bàn phím, chuột. Keylogger được các nhà lập trình viết ra để sử dụng với mục đích hợp pháp như theo dõi, quản lý con em họ, … Tuy nhiên vấn đề nghiêm trọng ở đây là hiện nay, keylogger được sử dụng tràn lan với các mục đích xấu, đó là ăn cắp thông tin cá nhân của người dùng máy tính.Như đã nói ở trên, keylogger ghi lại các thao tác trên bàn phím, đó là các loại keylogger lỗi thời. Các loại keylogger hiện nay có thể hiện đại hơn rất nhiều. Đó là lưu lại hoạt động của cả con chuột, chụp lại ảnh màn hình. Và tinh vi hơn nữa là keylogger không chỉ lưu lại, mà còn tự động gửi các thông tin đã lưu lại cho chủ nhân của mình theo thời gian hay chế độ đặt sẵn (…) qua email hoặc upload file (FTP).Máy tính của bạn rất có thể đang bị nhiễm keylogger. Có rất nhiều cách để kẻ cắp thông tin đưa nó vào máy tính của bạn. Đơn giản là họ đã cài đặt nó vào máy bạn khi bạn không ngồi trước máy, hay phát tán nó trên internet bằng cách gắn nó vào các tệp thực thi (.exe) của crack, patch, keygen, … Bạn có thể vô tình download chúng về rồi nhận luôn món quà khuyến mãi quý báu này. Hoặc đỉnh cao hơn nữa, họ gắn vào các website, bạn truy cập vào và cũng nhận được quà.Ở Việt Nam hiện nay, ít có bố mẹ nào theo dõi con cái bằng keylogger cả mà chỉ toàn là cài đặt, phát tán keylogger trên internet để ăn cắp tài khoản, email, … của người dùng máy tính. Máy tính ở các quán internet rất có thể bị cài đặt keylogger vì việc cài đặt trên các máy tính này rất dễ mà người dùng và người quản lý không hề để ý. Điều này rất nguy hiểm vì người dùng máy tính có internet thường xuyên đăng nhập các tài khoản trực tuyến như nick chat, tài khoản email hay có khi là cả tài khoản ngân hàng.Phát hiện keylogger không khó với một người có hiểu biết chút về máy tính, nhưng cũng khá rắc rối với một người bình thường. Sau đây là một số cách phát hiện keylogger:5. Các phòng chống gian lậna.Nếu bạn là khách hàngĐể tránh để mình trở thành nạn nhân của các hình thức gian lận trên bạn cần:- Bảo vệ máy tính của mình bằng firewall và các phần mềm diệt trừ spyware, trojan.- Thực hiện các quy tắc an toàn về tài khoản như tạo tên tài khoản hợp lệ, password đủ dài và bao gồm cả ký tự chữ và số, không sử dụng thông tin cá nhân làm password. - Để tránh “mất hết tài khoản”, mỗi tài khoản nên đặt mật khẩu khác nhau, và nên thay đổi thường xuyên (xem thêm Hướng dẫn đặt và bảo vệ mật khẩu).- Kiểm tra tên trang web để chắc chắn bạn đang truy cập vào trang bạn cần. VD: http://www.1uadao.com và http://www.luadao.com. Hai tên trang web giống nhau đến kinh ngạc. Một trang sử dụng ký tự chữ “l” và một trang sử dụng ký tự số “1”.- Cẩn thận với những email lạ, đặc biệt là những email yêu cầu cung cấp thông tin dù vẫn biết là phải tránh nhưng không ít trường hợp đều chủ quan.- Xem kỹ nội dung có chính xác, có giống với những biểu mẫu thường gặp không. Nếu sai chính tả như trên là… có vấn đề.- Nếu có yêu cầu xác nhận thì xem kỹ liên kết, nếu có ký tự là như @ hay %01 thì có khả năng giả mạo. - Nếu muốn mở một link thì nên tô khối và copy rồi dán vào trình duyệt, và đồng thời phải xem kỹ trên thanh địa chỉ xem liên kết có biến đổi thêm các ký tự lạ như @ hay không.- Khi được yêu cầu cung cấp thông tin quan trọng, tốt hơn hết là nên trực tiếp vào website của phía yêu cầu để cung cấp thông tin chứ không đi theo đường liên kết được gửi đến. Cẩn thận hơn thì nên email lại (không reply email đã nhận) với phía đối tác để xác nhận hoặc liên hệ với phía đối tác bằng phone hỏi xem có kêu mình gửi thông tin không cho an toàn. - Với các trang xác nhận thông tin quan trọng, họ luôn dùng giao thức http secure (có ‘s’ sau http) nên địa chỉ có dạng http s :// chứ không phải là http:// thường.Ngân hàng kêu ta xác nhận lại dùng http:// “thường” thì chắc là ngân hàng… giả.- Nên thường xuyên cập nhật các miếng vá lỗ hổng bảo mật cho trình duyệt (web browser). Cài thêm chương trình phòng chống virus, diệt worm, trojan và tường lửa là không bao giờ thừa.- Cuối cùng, và cũng là quan trọng nhất là đừng quên kiểm tra thường xuyên thông tin thẻ ATM, Credit Card, Tài khoản ngân hàng. - Nếu bị “lừa” bạn phải thông báo đến tổ chức Anti Phishing Group Phòng chống Phishing quốc tế (www.antiphising.org) để nhờ họ giúp đỡ.b.Nếu bạn là người kinh doanhBạn có thể bảo vệ mình trước các hình thức gian lận bằng cách sử dụng dịch vụ chống gian lận của VerisignVeriSign là nhà cung cấp hoạt động trong lĩnh vực an toàn Internet. Họ cung cấp cho bạn các dịch vụ bảo vệ chất lượng cao với giá cả hợp lý. Công nghệ bảo mật của VeriSign được thiết kể dựa trên các thông tin phản hồi từ các thương nhân và nhu cầu của cộng đồng kinh doanh trực tuyến cộng với việc lường trước các hành vi gian lận mới.Các lựa chọn nâng cấp:- Dịch vụ kiểm tra tài khoản: bổ xung thêm dịch vụ này vào cả hai gói dịch vụ cơ bản và cao cấp để chống lại các hành vi tiếp quản và xâm nhập tài khoản thanh toán. Cung cấp tính năng quản lý giao dịch với đường dây liên lạc gian lận cho phép bạn hỏi cac chuyên gia về các hoạt động của các tài khoản có nghi ngờ gian lận.- Dịch vụ xác minh người mua: bảo vệ trách nhiệm pháp lý với dịch vụ xác nhận người mua (được xác nhận bởi Visa và MasterCard)- Dịch vụ an toàn quản lý: bổ xung dịch vụ này để bảo vệ tốt nhất toàn bộ cơ sở hạ tầng của bạn. Cung cấp một đội ngũ bảo mật riêng 24x7 không tốn kém thời gian và chi phí quản lý. [...]... trình chủ khơng bảo mật. SSL an tồn đến đâu? Hầu hết chúng ta không quan tâm tới việc SSL hoạt động như thế nào, chúng ta chỉ muốn biết nó có thực sự hoạt động hay khơng. Nếu nó giữ thơng tin thẻ tín dụng của bạn an tồn thì khơng có gì phải phàn nàn. Tất nhiên, mã hóa sử dụng trong SSL có thể bị phá vỡ nhưng rất tốn kém. Trong hầu hết các ứng dụng, SSL vẫn được coi là giải pháp hàng đẩu để bảo vệ thông...Để làm được điều này cần có một máy chủ bảo mật, đó là lý do tại sao bạn thường nhận được thông báo kiểu này: Các máy chủ bảo mật thường có chuỗi HTTPS và hình chiếc khóa trong URL thay vì HTTP như bình thường. Quá trình bạn bắt đầu một phiên làm việc với một máy chủ web dưới sự bảo mật của SSL được gọi là “quá trình bắt tay”. Một quá trình bắt tay bao gồm: - Trình duyệt... giải pháp hàng đẩu để bảo vệ thông tin thẻ tín dụng khi giao dịch trực tuyến. Hơn nữa, SSL có thể được phát triển, đặc biệt nếu Nestcape và Microsoft được chính phủ Mỹ cho phép sử dụng những phương pháp mã hóa mạnh hơn. . II. Giải pháp an toàn trong thanh toán điện tửNhư đã giới thiệu ở trên, cách tốt nhất bảo đảm an toàn trong thanh toán điện tử là mã hóa các. được gửi đến cơ quan tài chính thông qua cổng thanh toán, người sẽ xác thực thẻ của bạn và thực hiện thanh toán với site thương mại điện tử. Đổi lại, công