Các nguy cơ và giải pháp an toàn thông tin trong thương mại điện tử
Thương mại điện tử là hình thức mua bán hàng hóa và dịch vụ thông qua mạng máy tính toàn cầu. Thương mại điện tử đang trở thành phương thức kinh doanh mang lại nhiều lợi ích cho nhân loại trên cơ sở phát triển nhanh chóng của các ngành công nghệ, trước hết là công nghệ thông tin. Thương mại điện tử, vì vậy, trở thành phương thức kinh doanh đại diện cho nền kinh tế trí thức.
Toàn cầu hóa đã tạo điều kiện để thương mại điện tử phát huy những điểm mạnh như đẩy nhanh tốc độ kinh doanh, giảm thiểu chi phí, vượt qua các trở ngại về không gian và thời gian,v.v… Hiện tại, không có một quốc gia nào không tham gia vào thương mại điện tử và mức độ tập trung các nguồn lực để phát triển thương mại điện tử ngày càng cao.
Gần đây, Thương Mại Điện Tử tại Việt Nam có sự phát triển vượt bậc với các tên tuổi lớn như Tiki, Shopee, Lazada, Sendo, Vntrip, Hotdeal hay Luxstay. Bên cạnh tiềm năng phát triển, vẫn tồn tại những thách thức và rủi ro kìm hãm sự bứt phá của các doanh nghiệp TMĐT như : vấn đề lòng tin của người tiêu dùng, vấn đề bảo mật đối với hệ thống công nghệ thông tin, khó khăn trong việc bảo vệ dữ liệu khách hàng trước rủi ro bị tin tặc tấn công đánh cắp.
Các nguy cơ mất an toàn trong thương mại điện tử
Gian lận thanh toán
Gian lận thanh toán là vấn đề nan giải, đã xuất hiện ngay từ khi TMĐT ra đời. Đây là hình thức mà kẻ gian hoặc hacker lợi dụng lỗi của hệ thống thanh toán để thực hiện những giao dịch ảo dẫn tới thất thoát lớn cho doanh nghiệp TMĐT.
Ví dụ: Ví điện tử X ra mắt chương trình tặng tiền vào tài khoản cho người dùng mới đăng ký. Nếu ứng dụng X còn tồn tại lỗ hổng trong việc kiểm duyệt và xác minh tài khoản đăng ký mới, rất có thể kẻ gian sẽ tạo được nhiều tài khoản để nhận được nhiều tiền.
Gian lận thanh toán còn là hành vi dối trá, mánh khóe, lừa lọc trong lĩnh vực thương mại thông qua hoạt động mua, bán, kinh doanh, xuất nhập khẩu hàng hoá, dịch vụ nhằm mục đích thu lợi bất chính. Mục đích của hành vi gian lận thương mại là nhằm thu lợi bất chính do thực hiện trót lọt hành vi lừa đảo, dối trá. Chủ thể tham gia hành vi gian lận thương mại bao gồm: người mua, người bán, hoặc cả người mua và người bán thông qua đối tượng là hàng hóa.
Với ưu thế thuận tiện và nhanh chóng, thanh toán trực tuyến ngày càng phổ biến và trở thành một trong những phương thức được ưa chuộng nhất hiện nay. Tuy nhiên, các trường hợp gian lận liên quan tới loại hình thanh toán này được ghi nhận gần đây diễn biến ngày càng phức tạp đã được ghi nhận. Gần đây, tội phạm trong giao dịch thanh toán thẻ trực tuyến hoạt động ngày càng tinh vi, có thể kể đến như: Giả danh cán bộ ngân hàng thông báo với khách hàng về các khoản tiền chuyển đến tài khoản khách hàng và yêu cầu khách hàng cung cấp thông tin số thẻ, cùng mã mật khẩu xác thực một lần (One Time Password – OTP) để tác nghiệp ghi có vào tài khoản khách hàng. Sau đó, đối tượng sẽ lợi dụng các thông tin được cung cấp, để mua sắm hàng hóa, dịch vụ qua mạng Internet, dễ dàng chuyển đổi thành tiền mặt như thẻ games trực tuyến, thẻ trả trước Internet, thẻ điện thoại (tại Việt Nam) hoặc dịch vụ du lịch, vật phẩm cao cấp (tại nước ngoài).
Spam
Khi mà email marketing đang là kênh thúc đẩy doanh số hiệu quả, thì đó cũng là kênh để những kẻ phá phách thực hiện hành vi SPAM. Không chỉ vậy, chúng có thể spam bình luận, form liên hệ bằng những đường link có gắn mã độc, hoặc spam với tần suất lớn khiến cho tốc độ tải trang giảm đáng kể.
Những người gửi spam thường ngụy tạo những thông tin giả như là tên, địa chỉ, số điện thoại... để đánh lừa các ISP. Họ cũng thường dùng số giả hay số ăn cắp của các thẻ tín dụng để chi trả cho các tài khoản. Việc này cho phép họ di chuyển thật nhanh từ một tài khoản này sang tài khoản khác mỗi lần bị phát hiện và bị đóng tài khoản bởi các chủ ISP.
Phổ biến là việc dùng các địa chỉ được đăng bởi những người chủ để dùng trong các mục tiêu khác nhau. Thí dụ như địa chỉ của các nhóm Google thường là mục tiêu của những người làm spam. Hoặc người làm spam có tên đăng ký trong các danh sách bàn thảo qua thư điện tử (discussion mailing lists). Nhiều chương trình tiện ích có thể dùng để tìm ra các địa chỉ trên các trang web.
Phishing
Tấn công mạng theo hình thức lừa đảo Phishing luôn nằm top những rủi ro bảo mật phổ biến của TMĐT. Với hình thức này, Hacker thường giả mạo thành doanh nghiệp hoặc đơn vị có uy tín để lừa người tiêu dùng cung cấp thông tin nhạy cảm như số thẻ tín dụng, tài khoản – mật khẩu trang TMĐT. Để đạt được mục đích này, chúng tạo ra một website giả trông gần giống như bản gốc khiến người dùng nhầm lẫn và nhập thông tin quan trọng. Cũng có khi chúng gửi một email, tin nhắn SMS mạo danh nhân viên công ty hoặc thực hiện một cuộc gọi mạo danh cơ quan chức năng để chiếm được lòng tin của nạn nhân.
Thông thường, tin tặc sẽ giả mạo thành ngân hàng, trang web giao dịch trực tuyến, ví điện tử, các công ty thẻ tín dụng để lừa người dùng chia sẻ các thông tin nhạy cảm như: tài khoản & mật khẩu đăng nhập, mật khẩu giao dịch, thẻ tín dụng và các thông tin quý giá khác.
Phương thức tấn công này thường được tin tặc thực hiện thông qua email và tin nhắn. Người dùng khi mở email và click vào đường link giả mạo sẽ được yêu cầu đăng nhập. Nếu “mắc câu”, tin tặc sẽ có được thông tin ngay tức khắc.
Bots
Kẻ gian có thể viết ra một chương trình (bot) có khả năng thu thập dữ liệu quan trọng trong website Thương mại điện tử của bạn, từ đó tạo ra lợi thế cạnh tranh riêng cho họ. Những thông tin dễ bị thu thập là các mặt hàng đang “hot”, số lượng hàng tồn kho, hay số lượng hàng đã bán. Những thông tin này tuy không ảnh hưởng trực tiếp, nhưng ảnh hưởng gián tiếp tới doanh thu của sàn TMĐT nếu như kẻ xấu biết tận dụng đúng cách.
DdoS
DDoS (tấn công từ chối dịch vụ) luôn là nỗi ác mộng của các website thương mại điện tử. Để đảm bảo trải nghiệm khách hàng, các trang web TMĐT được kỳ vọng sẽ liên tục online và có thể chịu được một lượng traffic đủ lớn phục vụ nhu cầu mua sắm của khách hàng (tùy từng giai đoạn phát triển). Tuy nhiên, chỉ cần một cuộc tấn công DDoS khiến website bị sập, doanh nghiệp sẽ phải chịu thiệt hại cả về doanh thu trực tiếp lẫn gián tiếp (mất uy tín).
Một phương thức tấn công phổ biến kéo theo sự bão hoà máy mục tiêu với các yêu cầu liên lạc bên ngoài, đến mức nó không thể đáp ứng giao thông hợp pháp, hoặc đáp ứng quá chậm. Trong điều kiện chung, các cuộc tấn công DoS được bổ sung bởi ép máy mục tiêu khởi động lại hoặc tiêu thụ hết tài nguyên của nó đến mức nó không cung cấp dịch vụ, hoặc làm tắc nghẽn liên lạc giữa người sử dụng và nạn nhân.
Không phải tất các dịch vụ đều ngừng chạy, thậm chí đó là kết quả của một hoạt động nguy hại, tất yếu của tấn công DoS. Tấn công từ chối dịch cũng có thể dẫn tới vấn đề về nhánh mạng của máy đang bị tấn công. Ví dụ băng thông của router giữa Internet và LAN có thể bị tiêu thụ bởi tấn công, làm tổn hại không chỉ máy tính ý định tấn công mà còn là toàn thể mạng.
Brute-force Attack
Tấn công brute-force là kiểu tấn công nhắm vào tài khoản admin của quản trị viên trang web TMĐT. Bằng cách sử dụng công cụ chuyên dụng và test thử tất cả các cụm từ phổ biến, kẻ tấn công có thể dò ra mật khẩu và chiếm quyền quản trị website. Chính vì vậy, bạn có thể tự bảo vệ mình khỏi brute-force attacks bằng cách đặt mật khẩu phức tạp, và đừng quên thay đổi mật khẩu định kỳ.
SQL injections
Tấn công tiêm SQL nhắm vào cơ sở dữ liệu của website thương mại điện tử. Hacker tiêm một đoạn mã độc hại vào database, thường thông qua submit form (tìm kiếm, đăng ký email…). Khi đó, chúng có thể truy cập vào cơ sở dữ liệu của website, thu thập những thông tin như data khách hàng, inventory, và nhiều dữ liệu khác.
Các cuộc tấn công SQL Injection được thực hiện bằng cách gửi lệnh SQL độc hại đến các máy chủ cơ sở dữ liệu thông qua các yêu cầu của người dùng mà website cho phép. Bất kỳ kênh input nào cũng có thể được sử dụng để gửi các lệnh độc hại, bao gồm các thẻ , chuỗi truy vấn (query strings), cookie và tệp tin.
Tấn công chéo trang XSS
XSS (cross-site scripting) là kiểu tấn công nhắm vào người dùng website – chính là những khách hàng của TMĐT. Lợi dụng lỗ hổng XSS của website TMĐT, hacker có thể chèn mã độc thông qua các đoạn script thực thi ở phía client. Kiểu tấn công này có thể gây ra tổn thất cho cả 2 đối tượng là user và website. Chính vì thế nó được xếp vào loại nguy hiểm, các website TMĐT cần hết sức cảnh giác và kiểm tra lỗ hổng XSS thường xuyên.
Mục đích chính của cuộc tấn công này là ăn cắp dữ liệu nhận dạng của người dùng như: cookies, session tokens và các thông tin khác. Trong hầu hết các trường hợp, cuộc tấn công này đang được sử dụng để ăn cắp cookie của người khác. Như chúng ta biết, cookie giúp chúng tôi đăng nhập tự động. Do đó với cookie bị đánh cắp, chúng tôi có thể đăng nhập bằng các thông tin nhận dạng khác. Và đây là một trong những lý do, tại sao cuộc tấn công này được coi là một trong những cuộc tấn công nguy hiểm nhất.
Trojan Horse
Nếu bạn đã nghe về sự tích thành Troy, thì Trojan Horse là một loại như thế. Một Trojan horse được định nghĩa là một “chương trình độc hại ngụy trang như một cái gì đó được cho là lành tính”. Nếu thiếu kiến thức về internet, cả admin và user trang web TMĐT đều có thể trở thành nạn nhân của Trojan Horse. Khi đó, hacker có toàn quyền điều khiển máy tính, dữ liệu của nạn nhân để thực hiện các hành vi nguy hại cho website thương mại điện tử.
Một khi virus trojan tấn công máy tính, rất có thể những dữ liệu nhạy cảm, mật khẩu, thông tin cá nhân sẽ được chuyển trực tiếp tới tin tặc. Thậm chí, các thao tác của bạn trên bàn phím cũng có thể bị Trojan ghi lại. Nguy hiểm hơn, tin tặc có thể điều khiển máy tính từ xa, tải về hoặc tải lên các tệp tin chứa virus trong máy tính nạn nhân.
Theo như các vấn đề có thể xảy ra trong thương mại điện tử đã nói như trên, chúng ta cần phải có những biện pháp/phương pháp để phòng chống những nguy cơ hiểm họa khi xây dựng một trang web thương mại điện tử trên internet. Vì nếu không bảo mật những thông tin cá nhân của người dùng (cả người mua và người bán) hay những tổ chức thương mại lớn như Tiki, Lazada, …. và những người sử dụng thương mại điện tử để kinh doanh hay nhiều mục đích khác cần phải cẩn thận hơn khi tham gia.
Giải pháp để bảo mật thông tin trong thương mại điện tử
Chống xâm nhập và tấn công từ chối dịch vụ DDOS
Lợi ích: Phòng chống và phát hiện xâm nhập (IPS) và ngăn chặn các cuộc tấn công DDOS toàn diện cho hệ thống
Tính năng:
- Phát hiện ngăn chặn các tình huống tấn công DDOS xảy ra cho hệ thống ở cả mức network và ứng dụng.
- Hệ thống ngăn chặn xâm nhập dựa trên công nghệ phát hiện signatures, cơ sở dữ liệu của signatures được update định kỳ hoặc ngay tức thì khi có cuộc tấn công mới được phát hiện.
- Công nghệ thống kê phân tích và tự động tạo signatures theo thời gian thự, qua quá trình phân tích các luồng dữ liệu Defense Pro phát hiện ra các hành vi bất thường đồng thời sinh ra 1 signatures ngăn chặn ngay tức thì những đối tượng gây ra sự bất thường này.
Tường lửa thế hệ mới
Lợi ích: Thiết bị tường lửa thế hệ mới với kiến trúc tiên tiến và mạnh mẽ, kết hợp cùng phần cứng chuyên biệt tốc độ cao, đã cung cấp các tính năng bảo mật vượt trội, giúp khắc phục những nhược điểm của mô hình bảo mật truyền thống và đáp ứng tốt hơn yêu cầu về bảo mật trong thời điểm hiện tại, trở thành một trong những giải pháp bảo mật hiệu quả nhất hiện nay.
Tính năng:
- Thiết lập các chính sách bảo vệ máy chủChỉ cho phép những dịch vụ hợp lệ được phép ngăn chặn.
- Ngăn chặn các cuộc tấn công DoS vào hệ thống.
- Tính năng IPS chống các cuộc tấn công vào lỗ hổng của hệ điều hành
Bảo mật bằng tường lửa cho ứng dụng web
Lợi ích: Cung cấp một lớp bảo mật toàn diện cho hệ thống Web, phát hiện, ngăn chặn và cảnh báo các mối hiểm họa tấn công vào ứng dụng Web. Bảo vệ các ứng dụng web khi có các lỗ hổng trên ứng dụng mà chưa được vá.
Tính năng:
- Chống khai thác lỗ hổngQuản lý lưu lượng webXML FirewallChống thất thoát dữ liệu (DLP)
- Bảo vệ, phân tích và giám sát các luồng dữ liệuKiểm soát HTTP/HTTPS vào ra hệ thống
- Nhận dạng người dùng và quản lý truy cậpPhân phối và tăng tốc ứng dụng
Bảo vệ máy trạm và người dùng cuối
Lợi ích: Trang bị thêm lớp bảo vệ cho máy chủ.
Tính năng:
- Giám sát, phân tích, ngăn chặn các hành vi gây ra bởi mã độc, virus.
- Tích hợp tính năng Machine-Learning, Behavior Monitoring cho phép phân tích những mã độc chưa được biết đến.
- Tính năng URL filtering, Web Reputation lọc các web độc hại.
- Giám sát các ứng dụng ở máy chủ.
Sử dụng HTTPS
Là tiêu chuẩn bắt buộc dành cho mọi website, đặc biệt là TMĐT. Giao thức HTTPS giúp bảo mật thông điệp truyền tải giữa server và client. Điều này không chỉ giúp bảo mật tài khoản của người dùng, mà còn giúp website TMĐT phòng tránh nhiều rủi ro bị tấn công.
Bên cạnh đó, chứng chỉ SSL của HTTPS còn có những ích lợi lớn đối với website TMĐT:
- Hiện khóa xanh bảo mật, giúp tăng sự tin tưởng của người dùng.
- Có lợi cho SEO. Google thích những trang web an toàn và thân thiện với người dùng.
- Không bị trình duyệt (Chrome, Firefox, Safari) chặn vì thiếu bảo mật.
Nếu truy cập một website không được cài đặt giao thức HTTPS, người dùng sẽ đối diện với nguy cơ bị tấn công sniffing. Hacker có thể “chen ngang” vào kết nối giữa máy khách và máy chủ, đánh cắp các dữ liệu mà người dùng gửi đi (password, thông tin thẻ tín dụng, văn bản email,…) và các thông tin sẵn có từ website. Thậm chí, mọi thao tác của người dùng trên website đều có thể bị quan sát, ghi lại mà họ không hề hay biết.
Bảo mật server và Admin panel
Nếu sở hữu server riêng, việc áp dụng các biện pháp end-point security (bảo mật tại điểm cuối) là cần thiết cho mọi web TMĐT. Ngoài ra, các quản trị viên website cần có kiến thức để tự bảo vệ tài khoản Admin của mình bằng cách:
- Đặt mật khẩu khó, thay đổi mật khẩu định kỳ
- Cẩn trọng với những phần mềm, đường link, email không tin cậy.
- Phân quyền tài khoản rõ ràng.
- Đặt cảnh báo khi có địa chỉ IP lạ đăng nhập vào Admin panel.
Bảo mật hệ thống thanh toán
Cổng thanh toán là một mục tiêu hấp dẫn của tin tặc, vì nó chứa thông tin giao dịch của người dùng và website TMĐT, đặc biệt là thông tin thẻ tín dụng. Để bảo mật cổng thanh toán, doanh nghiệp cần tuân thủ tối thiểu các chuẩn sau:
- Tích hợp chứng chỉ SSL mã hóa thông tin truyền tải
- Chuẩn bảo mật PCI DS
- Mật khẩu OTP
- Mã hóa MD5 128 bit
- Cơ chế lưu token của người dùng
- Không lưu giữ thông tin thẻ của người dùng.
Việc tự tạo một cổng thanh toán rất tốn công sức, tiền bạc, rủi ro pháp lý, vì thế hầu hết doanh nghiệp TMDT đều liên kết với một đối tác thanh toán bên thứ 3. Khi đó, cần chọn những cổng thanh toán uy tín, có các kênh thanh toán phù hợp với khách hàng, quy trình thanh toán đơn giản, và cam kết bảo mật cao.
- Đối tác thanh toán quốc tế: Paypal, Stripe, 2Checkout…
- Đối tác thanh toán nội địa Việt Nam: VNpay, NAPAS, Smartlink, Onepay…
Sao lưu dữ liệu (Backup data)
Sao lưu dữ liệu là giải pháp đơn giản nhưng hiệu quả chống lại các cuộc tấn công hay các rủi ro bảo mật cho thương mại điện tử. Mỗi khi website gặp vấn đề mà không thể giải quyết được bằng các biện pháp ứng cứu thông thường, bạn có thể phục hồi lại bản sao lưu để tiếp tục phục vụ người dùng. Vấn đề khó khăn khi sao lưu dữ liệu là chọn giải pháp phù hợp với quy mô doanh nghiệp và dễ dàng scale up khi cần thiết. Dịch vụ backup của Amazon Web Service sẽ giải quyết được vấn đề này cho phần lớn doanh nghiệp. Bên cạnh đó, cũng cần thực hiện offline backup như một phương án dự phòng khi trường hợp xấu nhất xảy ra.
Dữ liệu là tài sản quý giá đối với mỗi cá nhân và mỗi doanh nghiệp. Nếu bạn không muốn một hôm đẹp trời nào đó toàn bộ dữ liệu của mình lưu trên máy tính cá nhân, máy tính bảng hay thậm chí điện thoại di động bốc hơi mất vì máy bị hỏng hay mất trộm thì bạn cần phải back-up dữ liệu.
Nguy cơ mất an toàn trong thương mại điện tử là một vấn đề lớn mà các doanh nghiệp đang phải đương đầu.Vì vậy, để đảm bảo an toàn hơn trong quá trình giao dịch trên mạng, các doanh nghiệp nên áp dụng các giải pháp nêu trên.
Ths. Vũ Thị Thương