Các hình thức giao dịch trực tuyến phổ biển ở Việt Nam
Cùng với sự phát triển của Internet, nhu cầu mua bán trực tuyến ngày càng gia tăng, do vậy việc sử dụng các dịch vụ thanh toán trực tuyến là cấp thiết. Trong khoảng 10 năm trở lại đây, các dịch vụ thanh toán đang phát triển mạnh mẽ, từ các cổng thanh toán trực tuyến như Ngân Lượng, Bảo Kim, VnPay, Soha, VTCPay,… đến các ngân hàng cũng mở rộng thêm các dịch vụ thanh toán trực tuyến.
Trong Hình 1 là mô hình giao dịch trực tuyến sử dụng cổng thanh toán điện tử VTCPay, người mua lựa chọn hàng hóa và đặt hàng qua người bán. Người bán chuyển thông tin giao dịch sang cổng thanh toán VTCPay. Những thông tin giao dịch được chuyển tới ngân hàng người mua. Sau khi người bán chuyển hàng hóa tới người mua, ngân hàng người mua chuyển tiền cho ngân hàng người bán thông qua cổng thanh toán của VTCPay.
.jpg)
Hình 1. Giao dịch trực tuyến sử dụng cổng thanh toán điện tử VTCPAY
Hình 2 là mô hình giao dịch trực tuyến sử dụng cổng thanh toán trực tuyến Bảo Kim. Giao dịch sau khi đặt hàng và gửi yêu cầu thanh toán trên website bán hàng, người mua lựa chọn thanh toán qua cổng thanh toán Bảo Kim theo 02 cách (người mua nhập thông tin thẻ ngân hàng để xác thực thanh toán hoặc sử dụng tài khoản Bảo Kim để chuyển tiền). Khi tiền được chuyển về tài khoản người bán trên Bảo Kim, người bán sẽ chuyển hàng cho người mua.
.jpg)
Hình 2. Giao dịch trực tuyến sử dụng cổng thanh toán trực tuyến Bảo Kim
Hai mô hình giao dịch trực tuyến trên là ví dụ điển hình trong giao dịch trực tuyến ở Việt Nam. Qua đây có thể thấy mô hình giao dịch trực tuyến hiện dùng gồm 4 thành phần chính: Client (Khách hàng/Người mua hàng), Merchant Server (Người bán), Payment Service Provider (PSP -Nhà cung cấp dịch vụ thanh toán) và Bank (Ngân hàng).
Các bước hoạt động của giao dịch trực tuyến (như mô hình tại Hình 3) như sau:
- Bước 1: Người mua lựa chọn hàng, đặt lệnh mua, gửi thông tin cá nhân (tên chủ thẻ, số thẻ, tên ngân hàng - UID, BankID) tới phía người bán.
- Bước 2: Bên bán nhận được yêu cầu mua hàng, gửi yêu cầu thanh toán tới PSP. Yêu cầu thanh toán bao gồm UID, Bank ID của người mua và người bán kèm theo số tiền cần thanh toán.
- Bước 3: PSP nhận được yêu cầu thanh toán, xác nhận UID, Bank ID và gửi mã OTP bằng SMS/Email tới người mua.
- Bước 4: Nếu người mua chấp nhận thanh toán sẽ xác nhận mã OTP cho phía PSP.
- Bước 5: Nếu OTP sai thì sẽ kết thúc giao dịch.
- Bước 6: Nếu OTP đúng, PSP sẽ chuyển yêu cầu thanh toán của người mua tới Ngân hàng.
- Bước 7: Ngân hàng nhận được yêu cầu sẽ chuyển khoản và gửi xác nhận về phía người bán.
- Bước 8: Người bán sẽ tiến hành giao hàng đến người mua và nhận được thanh toán từ phía ngân hàng.
.jpg)
Hình 3. Mô hình giao dịch trực tuyến
Tấn công phishing vào giao dịch trực tuyến
Khi đề cập đến giao dịch trực tuyến, bảo mật luôn là vấn đề được quan tâm. Đặc biệt trong thời gian gần đây, các phương thức tấn công mới liên tục xuất hiện với phương thức thủ đoạn ngày càng tinh vi. Để vượt qua các hệ thống bảo mật, tin tặc kết hợp nhiều biện pháp khác nhau, tấn công vào tất cả các giai đoạn của quá trình giao dịch: từ trước khi người dùng đăng nhập, khi người dùng đăng nhập, sau khi đăng nhập, khi thực hiện giao dịch,…
Với mô hình hiện tại, PSP đóng vai trò là bên trung gian, kết nối việc thanh toán giữa Khách hàng, Người bán và Ngân hàng.
Để tấn công bằng hình thức Phishing vào mô hình này, tin tặc sẽ thực hiện như trong Hình 4.
Đầu tiên, tin tặc tạo một website giả mạo với hình thức và nội dung giống như website hợp pháp. Tiếp theo, tin tặc đăng ký tên miền cho website giả mạo gần giống với tên miền của website hợp pháp, nhằm mục đích dễ dàng đánh lừa người dùng.
Ví dụ: website hợp pháp là https://www.lazada.vn/ thì tin tặc có thể sẽ đặt tên website giả mạo sẽ là https://www.lazadä.vn/. Người dùng rất khó phát hiện và phân biệt được sự khác biệt của tên miền nằm ở ký tự “a” và “ä”.
Sau đó, tin tặc dùng các biện pháp kỹ thuật gửi đường dẫn của website giả mạo tới khách hàng và tự nhận mình là website có thẩm quyền hoặc hợp pháp. Khách hàng nếu không thực
sự lưu ý sẽ tiến hành mua sắm trên website giả mạo và cung cấp thông tin tài khoản thanh toán cá nhân vào website giả mạo. Thông tin thanh toán của khách hàng sẽ được chuyển đến website của tin tặc thay vì đến website hợp pháp. Tin tặc sử dụng thông tin của khách hàng để yêu cầu PSP thanh toán cho mình. PSP sẽ xác nhận yêu cầu thanh toán từ phía khách hàng bằng cách gửi mã OTP cho khách hàng. Khách hàng nhận được tin nhắn vẫn không hề biết mình đang mua hàng trên một website giả mạo, xác nhận OTP. Lúc này, tiền sẽ được chuyển từ tài khoản của khách hàng sang tài khoản của tin tặc thông qua ngân hàng. Tài khoản của khách hàng bị trừ tiền nhưng khách hàng không nhận được hàng.
.jpg)
Hình 4. Tấn công Phishing vào mô hình giao dịch trực tuyến
Ứng dụng mật mã trực quan phòng chống tấn công phishing
Với việc ứng dụng mật mã trực quan vào giao dịch trực tuyến. Đầu tiên, người bán sẽ tiến hành đăng ký một ảnh Logo được coi là định danh thương hiệu của người bán với PSP và công khai Logo để khách hàng nhận diện thương hiệu (mô tả ở Hình 5). PSP tiếp nhận Logo và đảm bảo Logo là duy nhất với mỗi người bán. (Căn cứ quy định tại khoản 16 Điều 4 Luật Sở hữu trí tuệ, Logo được đăng ký bảo hộ theo hình thức đăng ký nhãn hiệu. Vì vậy, Logo là định danh duy nhất đối với doanh nghiệp).
Hình 5. Người bán đăng ký Logo với PSP
Các bước khi mua bán trực tuyến
- Bước 1: Khách hàng lựa chọn hàng trên website, đặt lệnh mua, gửi thông tin cá nhân (tên chủ thẻ, số thẻ, tên ngân hàng - UID, BankID) tới phía Merchant Server.
- Bước 2: Merchant Server nhận được yêu cầu mua hàng, gửi yêu cầu thanh toán tới PSP. Yêu cầu thanh toán bao gồm, UID, Bank ID của Khách hàng, và Merchant Server kèm theo số tiền cần thanh toán.
- Bước 3: PSP nhận được yêu cầu thanh toán, xác nhận UID, Bank ID của Khách hàng và Merchant Server. PSP tiến hành xác thực thông tin nhận được.
Nếu thông tin hợp lệ, PSP dùng Logo mà Merchant Server đăng ký sử dụng lược đồ mật mã trực quan cho ảnh màu VC (2,2) để tạo ra 2 mảnh ảnh bí mật là Share_Client và Share_Merchant như Hình 6.
Hình 6. Ứng dụng mật mã trực quan phòng chống tấn công Phishing trong mô hình giao dịch trực tuyến
- Bước 4: PSP gửi Share_Client cho Khách hàng kèm theo mã OTP, gửi Share_Merchant lên website bán hàng của Merchant Server.
- Bước 5: Client nhận được ảnh Share_Client và lấy Share_Merchant trên phía Merchant Server sử dụng lược đồ mật mã trực quan VC(2,2) để giải mã (Hình 7). Nếu không hiển thị ra thông tin Logo thì sẽ hủy bỏ giao dịch. Nếu hiển thị được Logo, Khách hàng sẽ biết được mình đang mua hàng trên Merchant Server nào, và tiến hành xác nhận lại OTP cho phía PSP.
Hình 7 Client sử dụng mật mã trực quan để ghép 2 mảnh ảnh
- Bước 6: PSP nhận được mã OTP phía Khách hàng. Nếu OTP sai, giao dịch sẽ bị hủy bỏ. Nếu đúng, PSP xác thực giao dịch về phía BankServer yêu cầu thanh toán cho Merchant Server.
Từ mô hình có thể thấy những ưu điểm của việc ứng dụng mật mã trực quan phòng chống tấn công Phishing trong mô hình giao dịch trực tuyến:
Một là, hỗ trợ khách hàng phát hiện những website giả mạo chưa có trong danh sách đen hoặc các công cụ tự động phát hiện tấn công Phishing không thể tìm thấy.
Hai là, khắc phục những hạn chế, bất lợi của các kỹ thuật phòng chống Phishing dựa trên heuristic. Ngay cả khi kỹ thuật heuristic không thể phát hiện được các URL giả mạo, thì cách tiếp cận bằng mật mã trực quan có thể hỗ trợ khách hàng phát hiện được những URL giả mạo.
Ba là, đơn giản và dễ thực hiện, quá trình tính toán nhanh chóng hơn việc sử dụng các công cụ quét lỗ hổng và phân tích Phishing tự động.
Có thể thấy rằng, việc ứng dụng mật mã trực quan vào phòng, chống tấn công Phishing trong giao dịch trực tuyến là một trong những biện pháp hiệu quả, khả thi nhằm nâng cao bảo mật của các giao dịch trực tuyến.
|
TÀI LIỆU THAM KHẢO 1.M. Naor,A. Shamir, “Visual cryptography,” Advances in Cryptology-EUROCRYPT’94, in lecture Notes in Computer Science, vol. 950, Springer, Berlin, 1995, pp. 1–12. |
ThS. Phạm Tiến Đạt (Học viện Cảnh sát nhân dân)
13:00 | 11/05/2018
08:00 | 25/09/2016
11:00 | 29/03/2023
15:00 | 11/05/2021
14:00 | 23/02/2024
09:00 | 21/08/2018
10:00 | 13/12/2023
Meta đã chính thức triển khai hỗ trợ mã hóa đầu cuối - End-to-end encryption (E2EE) trong ứng dụng Messenger cho các cuộc gọi và tin nhắn cá nhân theo mặc định trong bản cập nhật mới lần này, bên cạnh một số bộ tính năng mới cho phép người dùng có thể kiểm soát và thao tác dễ dàng và hiệu quả hơn trong các cuộc trò chuyện.
10:00 | 30/01/2023
Blockchain (chuỗi khối) là một cơ sở dữ liệu phân tán với các đặc trưng như tính phi tập trung, tính minh bạch, tính bảo mật dữ liệu, không thể làm giả. Vì vậy công nghệ Blockchain đã và đang được ứng dụng vào rất nhiều lĩnh vực trong đời sống như Y tế, Nông nghiệp, Giáo dục, Tài chính ngân hàng,... Bài báo này sẽ giới thiệu về công nghệ Blockchain và đề xuất một mô hình sử dụng nền tảng Hyperledger Fabric để lưu trữ dữ liệu sinh viên như điểm số, đề tài, văn bằng, chứng chỉ trong suốt quá trình học. Việc sử dụng công nghệ Blockchain để quản lý dữ liệu sinh viên nhằm đảm bảo công khai minh bạch cho sinh viên, giảng viên, các khoa, phòng chức năng. Đồng thời giúp xác thực, tra cứu các thông tin về văn bằng, chứng chỉ góp phần hạn chế việc sử dụng văn bằng, chứng chỉ giả hiện nay.
11:00 | 27/01/2023
Các tổ chức/doanh nghiệp nên thực hiện quản lý rủi ro trong suốt chu trình phát triển phần mềm thay vì quay trở về các xu hướng phát triển trước đó. Tần suất xuất hiện rủi ro sẽ tiếp tục tăng nhanh khi các tác động tiêu cực của các lỗi xuất hiện trong chu trình phát triển phần mềm ngày càng nghiêm trọng. Các phương pháp và cách thực hành trước đây về thực hiện quản trị, rủi ro và tuân thủ (GRC) đều xoay quanh các quy trình thủ công, sử dụng bảng tính hoặc nhận dạng hồi tố,… đã quá lỗi thời, không thể bắt kịp với sự phát triển nhanh chóng của công nghệ. Kết quả là, các doanh nghiệp đã đưa quản lý rủi ro vào thời đại kỹ thuật số, biến GRC thành quản lý rủi ro kỹ thuật số (DRM). Những DRM được áp dụng đó đưa ra các quyết định bảo mật tốt hơn, bảo vệ dữ liệu khách hàng và đảm bảo sự hài lòng của các bên liên quan. Việc thực hiện DRM cũng dẫn đến hiệu quả cao hơn thông qua tự động hóa.
11:00 | 27/01/2023
Nhà máy thông minh hay sản xuất thông minh là sự phát triển vượt bậc từ một hệ thống sản xuất truyền thống sang một hệ thống sản xuất thông minh dựa trên dữ liệu có thể kết nối và xử lý liên tục, được thu thập từ các máy móc thiết bị sản xuất, đến các quy trình sản xuất và kinh doanh. Việc kết nối với điện toán đám mây và môi trường Internet mang lại nhiều lợi thế cho hệ thống, tuy nhiên nó cũng dẫn đến nguy cơ bị tấn công mạng. Các cuộc tấn công mạng vào các hệ thống sản xuất công nghiệp có thể làm tê liệt dây chuyền vận hành và từ chối hoạt động truy cập vào dữ liệu quan trọng. Do đó, cần thiết lập các biện pháp bảo mật mạnh mẽ để phát hiện và bảo vệ trước các mối đe dọa an ninh từ các cuộc tấn công độc hại vào hạ tầng mạng và các thiết bị công nghiệp đối với sự phát triển của mô hình nhà máy thông minh.
08:00 | 11/01/2024 | Chính sách - Chiến lược
09:00 | 10/01/2024 | Giải pháp khác
09:00 | 05/01/2024|Chính sách - Chiến lược
09:00 | 05/01/2024|An ninh – Quốc Phòng
Lược đồ chữ ký số dựa trên hàm băm là một trong những lược đồ chữ ký số kháng lượng tử đã được Viện Tiêu chuẩn và Công nghệ Quốc gia Mỹ (NIST) chuẩn hóa trong tiêu chuẩn đề cử FIPS 205 (Stateless Hash Based Digital Signature Standard) vào tháng 8/2023. Bài báo này sẽ trình bày tổng quan về sự phát triển của của lược đồ chữ ký số dựa trên hàm băm thông qua việc phân tích đặc trưng của các phiên bản điển hình của dòng lược đồ chữ ký số này.
09:00 | 01/04/2024
Mới đây, Cơ quan An ninh mạng và Cơ sở hạ tầng Hoa Kỳ (CISA) đã phát hành phiên bản mới của hệ thống Malware Next-Gen có khả năng tự động phân tích các tệp độc hại tiềm ẩn, địa chỉ URL đáng ngờ và truy tìm mối đe dọa an ninh mạng. Phiên bản mới này cho phép người dùng gửi các mẫu phần mềm độc hại để CISA phân tích.
13:00 | 17/04/2024
