Giáo trình Thương mại điện tử căn bản (Phần 1)

ính thức làm việc với Trung 
tâm An ninh mạng (BKIS) và các cơ quan chức năng để nhanh chóng truy tìm 
 240 
thủ phạm. Tuy nhiên, với hình thức tấn công vào tên miền, thủ phạm sẽ khó có 
thể bị phát hiện do cơ chế tấn công không liên tục như tấn công từ chối dịch vụ 
(DOS). 
 Virus lây lan qua YM, “Tháng 9 kinh hoàng”, hơn 20.000 máy tính bị 
nhiễm và đã phải cầu cứu đến BKAV khi người sử dụng tò mò kích vào những 
đường link “mời mọc” hay “kích động” được gửi đến thông qua YM. 
4.2. Phòng chống lừa đảo qua mạng (phishing) 
 Vấn đề 
 Ngày 17 tháng 11 năm 2003, một số khách hàng của eBay được thông báo 
bằng email rằng tài khoản của họ trên eBay đang được cập nhật và tăng cường 
mức độ an toàn. Thông báo cũng kèm theo một đường link đến một trang web 
của eBay tại đó khách hàng có thể đăng ký để chấp nhận các dịch vụ này. Tất cả 
các thông tin khách hàng cần cung cấp để nhận được dịch vụ này là cung cấp số 
thẻ tín dụng, số bảo hiểm xã hội, ngày sinh, tên bí mật, số pin thẻ ATM. Vấn đề 
duy nhất là thực tế eBay chưa từng bao giờ gửi đi các thông điệp như thế này cả 
và trang web mà khách hàng được link tới cũng không thuộc sự quản lý của 
eBay. Mặc dù trang web giả trông rất giống trang web thực của eBay, cũng có 
logo của eBay, giao diện tương tự, trang web này thực chất được tạo ra với mục 
đích lừa đảo. Những khách hàng “ngây thơ” điền thông tin được yêu cầu vào 
trang web này đã ngay lập tức trở thành nạn nhân của vụ lừa đảo trên mạng 
được biết đến với thuật ngữ “phishing”. Phishing là kỹ thuật lừa đảo sử dụng thư 
điện tử, pop-up, trang web để dụ dỗ người dùng cung cấp các thông tin nhạy 
cảm như thẻ tín dụng, tài khoản ngân hàng, mật khẩu 
 Giải pháp 
 Bản chất kỹ thuật lừa đảo này không mới, tuy nhiên “công nghệ” được sử 
dụng lại mới và có nhiều người sử dụng bị mắc bẫy. Trước đây, công nghệ được 
ưa chuộng cho kiểu lừa này là điện thoại. Ngày nay, những kẻ chủ mưu sử dụng 
thư điện tử, thông điệp pop-up, trang web giả để người sử dụng tưởng lầm họ 
đang giao dịch với các doanh nghiệp chính thức. Các thông điệp này thường dẫn 
 241 
dắt người sử dụng đến một website khác, tại đó, người sử dụng sẽ được yêu cầu 
cung cấp hoặc cập nhật thông tin mới cho tài khoản của họ. Mặc dù các website 
này trông hoàn toàn giống như website thật, đó là website giả mạo. Tổ chức 
phòng chống kiểu lừa đảo này có tên gọi Anti-Phishing Working Group 
(APWG, antiphishing.org). Tháng 7 năm 2004, số vụ lừa đảo kiểu này được 
thông báo đến APWG lên đến 1.974 vụ, tăng 39% so với tháng 6 cùng năm. 
Ngành chịu tấn công nhiều nhất là dịch vụ tài chính (1.649 trong tổng số 1.974 
vụ tấn công). Thương hiệu bị tấn công nhiều nhất là Citibank, U.S. Bank, eBay 
và PayPal (1.191 trong tổng số 1.974). Những website giả mạo được lưu trữ 
nhiều nhất tại Hoa Kỳ (35%) tiếp đến là Hàn Quốc, Trung Quốc và Nga. Để 
tránh bị điều tra, các website giả mạo thường hoạt động trong một thời gian 
ngắn, trung bình khoảng 6 ngày. 
 Các công ty chuyên về an ninh trên mạng như VeriSign (verisign.com) và 
Name Protect (nameprotect.com) đang phối hợp triển khai để ngăn chặn hình 
thức tấn công này. Cả hai công ty này đều chủ động nghiên cứu các website (tên 
miền, tên máy chủ, các trang, nhóm tin tức, chatroom) để phát hiện các dấu 
hiệu phishing. Những dịch vụ này được các công ty như MasterCard, các công 
ty bán lẻ và tổ chức tài chính hỗ trợ. Khi phát hiện các dấu hiệu lừa đảo, những 
thông tin này được chuyển đến các tổ chức hỗ trợ và các cơ quan quản lý liên 
quan. Tuy nhiên, các dịch vụ này không được thông báo trực tiếp đến các khách 
hàng dù là tổ chức hay cá nhân. Do đó, khách hàng vẫn cần chủ động phòng 
tránh những vụ lừa đảo kiểu này. Ủy ban Thương mại Liên bang (FDC-Federal 
Trade Commision) khuyến cáo: 
 - Tránh trả lời các thư điện tử hay thông điệp pop-up yêu cầu cung cấp 
thông tin cá nhân 
 - Tránh gửi các thông tin cá nhân hay tài chính dưới bất kỳ hình thức nào 
 - Kiểm tra kỹ các thông tin tài khoản và chi tiết mua sắm thẻ tín dụng 
hàng tháng 
 - Sử dụng và cập nhật các phần mềm diệt virus thường xuyên 
 - Cẩn trọng khi mở bất kỳ thông điệp dữ liệu gắn kèm theo thư điện tử 
 242 
 - Gửi các thông báo đến FTC về các thông điệp bị nghi ngờ 
 Kết quả 
 Theo điều tra của Tổ chức Chống lừa đảo qua mạng (APWG), ước tính 
khoảng 5% người sử dụng mắc phải bẫy phishing. Tổng thiệt hại không được 
thống kê chi tiết, tuy nhiên đến nay vẫn chưa có quy định cụ thể xử lý các kẻ 
chủ mưu của những vụ lừa đảo dạng phishing. 
 Bài học kinh nghiệm 
 Các mô hình thương mại điện tử đều có điểm chung là nhiều bên tham 
gia, sử dụng nhiều mạng khác nhau, nhiều ứng dụng và nhiều cơ sở dữ liệu do 
đó đảm bảo an toàn trong thương mại điện tử rất khó khăn. Kẻ tấn công chỉ cần 
phát hiện ra một điểm yếu trong toàn bộ hệ thống là có khả năng thành công. 
Một số vụ tấn công đòi hỏi công nghệ và kỹ năng cao. Tuy nhiên, hầu hết các vụ 
tấn công như phishing chỉ cần sử dụng những công nghệ rất đơn giản để đánh 
vào điểm yếu của con người và các tập quán an ninh mạng mới đang hình thành. 
Do đa số các vụ tấn công không tinh vi và phức tạp, những quy định rõ ràng về 
phòng tránh rủi ro trong thương mại điện tử sẽ giúp giảm thiểu đáng kể nguy cơ 
và thiệt hại. 
4.3. Giải pháp giảm rủi ro trong thƣơng mại điện tử của iPremier 
 Giới thiệu về iPremier 
 Do hai sinh viên từ trường UFT đã có nhiều thành công lớn trong thương 
mại điện tử thành lập năm 1994 với tên gọi iPremier. Đến nay công ty đã là một 
trong hai nhà bán lẻ hàng đầu về những mặt hàng sang trọng, quý hiếm trên 
mạng. Công ty có trụ sở tại Seattle, Washington. Công ty có tốc độ tăng trưởng 
rất nhanh khoảng 50% mỗi năm, đến năm 1999, lợi nhuận đạt 2.1 triệu USD trên 
doanh số 32 triệu USD. 
 Từ khi cổ phần hoá năm 1998, giá cổ phiếu tăng gần ba lần. Sau cuộc 
khủng hoảng năm 2000, iPremier là một trọng số rất ít các công ty thương mại 
điện tử B2C sống sót và tiếp tục phát triển. Trong con mắt các nhà phân tích, 
đây là một mô hình thành công điển hình trong kinh doanh thương mại điện tử. 
 243 
 Hầu hết các mặt hàng công ty kinh doanh có giá từ 50 đến vài trăm USD, 
tuy nhiên một số có giá hàng nghìn USD. Công ty áp dụng chính sách trả lại 
hàng rất linh hoạt theo đó cho phép khách hàng kiểm tra kỹ lưỡng hàng hoá 
trước khi quyết định có nên mua hay không. Khách hàng của công ty thường có 
thu nhập rất cao và vì thế vấn đề về giới hạn tín dụng dường như chưa bao giờ 
gặp phải cho dù đối với những mặt hàng có giá trị rất cao. 
 Cơ cấu tổ chức kỹ thuật 
 Công ty thuê ngoài các dịch vụ Internet từ một nhà cung cấp nhiều kinh 
nghiệm là Qdata. Qdata cung cấp dịch vụ về máy chủ, đường truyền internet, 
các dịch vụ quản lý như theo dõi website cho các khách hàng thông quan 
Network Operations Center (NOC) và một số dịch vụ bảo mật khác. Tuy nhiên, 
Qdata chậm trong việc đầu tư vào các hệ thống máy chủ mới nhất cũng như 
nâng cao chất lượng đội ngũ nhân viên. 
 iPremier đã có kế hoạch chuyển sang nhà cung cấp dịch vụ khác nhưng có 
một số lý do khiến việc chuyển đổi bị trễ lại. Thứ nhất, tốc độ tăng trưởng nhanh 
khiến công ty luôn bận rộn và việc chuyển đổi không được coi là ưu tiên số một. 
Thứ hai, chi phí cho một hệ thống hiện đại hơn luôn có chi phí cao gấp hai đến 
ba lần hệ thống hiện tại. Thứ ba, việc chuyển đổi hệ thống có thể gây gián đoạn 
công việc kinh doanh, đặc biệt ảnh hưởng đến các khách hàng qua mạng. Hơn 
nữa, kế hoạch triển khai lắp đặt mới tại nhà cung cấp khác cũng chưa bao giờ 
được bàn cụ thể. Lý do cuối cùng là một thành viên trong ban lãnh đạo iPremier 
có quan hệ cá nhân mật thiết với Qdata vì vậy Qdata sẵn sàng thương lượng lại 
hợp đồng trong thời gian tới. 
 Cuộc tấn công vào iPremier 
 - 4:31 sáng, ngày 12 tháng 1 năm 2001 
 Giám đốc của iPremier được một nhân viên trong công ty thông báo về 
việc website của công ty đã bị tấn công. Website công ty đã bị khoá. Nhân viên 
công ty đã thử ba phần mềm duyệt web nhưng không thể mở nó ra được. Khách 
hàng của công ty cũng không thể mở được. Dịch vụ hỗ trợ khách hàng đang 
ngập tràn trong điện thoại và mỗi giây công ty lại nhận được một e-mail với nội 
 244 
dung chỉ có từ “ Ha”. Các e-mail liên tiếp tạo thành Ha ha ha...Hầu hết các email 
bắt nguồn từ Châu Á và Châu Âu. Chính vì vậy để lần ra ai là người đã tiến 
hành tấn công vào website của công ty sẽ phải mất rất nhiều thời gian. Theo 
nhận định của nhân viên công ty có thể mất khoảng 18 tháng mới tìm ra người 
khởi tạo email. Nếu email được gửi từ một nơi công cộng thì thời gian để tìm ra 
sẽ còn lâu hơn nữa. 
 Ngay sau khi vụ tấn công diễn ra nhân viên kỹ thuật của công ty đã kết 
hợp với Qdata để tìm ra lý do sinh sôi các email này. Cuối cùng họ phát hiện ra 
rằng kẻ chủ mưu vụ tấn công đã sử dụng virus zombies có tên “ Bình minh của 
cái chết” để tấn công vào hệ thống cơ sở dữ liệu của công ty. Mỗi lần công ty cố 
shutdown một IP truy cập vào thì mấy con virus sẽ tự động khởi động tấn công 
từ hai IP khác. Tuy nhiên vụ tấn công bằng virus này vẫn còn non chưa thể vượt 
qua bức tường lửa do hệ thống kỹ thuật xây lên; chính vì vậy cuộc tấn công 
nhanh chóng chấm dứt vào lúc 5:46 sáng. Kẻ tấn công vẫn chưa hack được vào 
trong hệ thống của công ty. 
 Câu hỏi ôn tập 
1. Hãy cho biết một số rủi ro thường gặp trong thương mại điện tử 
2. Hãy cho biệt một số vấn đề về an ninh mà các doanh nghiệp gặp phải khi tiến 
hành hoạt động thương mại điện tử. 
3. Phishing là gì? Hãy cho biết một vài ví dụ về phishing trên thế giới và tại Việt 
Nam 
4. DDoS là gì? Hãy cho biết một vài ví dụ về DDoS trên thế giới và tại Việt 
Nam trong một vài năm gần đây. 
5. Hãy cho biết một số biện pháp doanh nghiệp thường tiến hành để đảm bảo an 
toàn cho các giao dịch thương mại điện tử. 
 Thuật ngữ 
Nội dung động (active content) : những chương trình được gắn liền vào các 
trang web và sẽ hoạt động tùy theo hành vi tác động từ người sử dụng. 
 245 
Tiêu chuẩn mã hóa cấp cao (advanced encryption standard): Tiểu chuẩn mã 
hóa mới thường được sử dụng để bảo mật các thông tin của chính phủ sử dụng 
thuật toán mã hóa của Rijndael. Thuật toán này được Viện tiêu chuẩn và công 
nghệ quốc gia (NITS) giới thiệu năm 2001. 
Phần mềm chống virus (antivirus software): những phần mềm giúp phát hiện 
virus và sâu sau đó có thể xóa hoặc tách những phần mềm nguy hại này khỏi các 
dữ liệu khác để chúng không thể hoạt động gây hại được. 
Mã hóa không đối xứng (asymmetric encryption): đồng nghĩa với mã hóa 
công khai, đây là công nghệ mã hóa các thông điệp dữ liệu, sử dụng hai khóa 
riêng biệt nhưng có quan hệ một một với nhau. 
Cửa hậu (back door): những lỗ hổng trên các phần mềm thương mại điện tử 
được tạo ra vô tình hay cố ý. 
Thiết bị an ninh sinh học (biometric security device): một thiết bị an ninh sử 
dụng các đặc điểm sinh học của con người để xác thực. Các thiết bị này có thể là 
máy kiểm tra chữ ký, máy quét võng mạc, máy đọc vân tay, đọc chi tiết bàn 
tay... 
Bộ đệm (buffer): một phần của bộ nhớ máy tính được dành riêng lưu trữ các dữ 
liệu do máy tính đọc từ các file hay cơ sở dữ liệu. 
Cơ quan chứng thực (CA-certificate authority): một công ty hay tổ chức 
cung cấp chữ ký điện tử và chứng thực điện tử cho các tổ chức và cá nhân 
Mã hóa (Cryptography): công nghệ để giấu các thông tin để chỉ những người 
được phép mới có thể đọc được. 
Chƣơng trình giải mã (Decrypted program): một phần mềm giúp đảo ngược 
quá trình mã hóa, kết quả là khôi phục lại thông điệp ban đầu từ thông điệp đã 
được mã hóa. 
Chứng chỉ số (Digital certificate): phần gắn kèm theo một thông điệp dữ liệu 
hoặc tích hợp trong trang web để xác thực người gửi hay website. 
Chữ ký số (Digital signature): thông điệp điện tử được tạo ra nhờ việc sử dụng 
phần mềm ký điện tử mã hóa phần rút gọn của các văn bản điện tử. 
 246 
Máy chủ quản lý tên miền (Domain name server): một máy tính trên Internet 
lưu trữ các danh bạ cho phép liên kết tên miền với các địa chỉ IP. 
Thuật toán mã hóa (Encryption algorithm): logic cho phép tiến hành các 
chương trình mã hóa. 
Chƣơng trình mã hóa (Encryption program): chương trình cho phép chuyển 
các văn bản sang dạng mã hóa. 
Tƣờng lửa (firewall): Một máy tính cung cấp hàng rào bảo vệ giữa mạng bên 
trong tường lửa với các mạng bên ngoài tường lửa để tránh các rủi ro, nguy cơ 
cho mạng bên trong. Tất cả các luồng thông tin đến và đi từ mạng bên trong đều 
phải chạy qua tường lửa. Chỉ những luồng thông tin được phép theo quy định 
được đặt ra cho tường lửa mới được truyền qua. 
Thuật toán “băm”/thuật toán rút gọn (hash function): một thuật toán cho 
phép phối hợp tất cả các ký tự trong một văn bản để tạo ra một con số với độ dài 
cố định (thường là 128 bit) được coi là bản rút gọn đại diện cho văn bản gốc, 
bản rút gọn này quan hệ một một với bản gốc, tương tự như vai trò của vân tay 
với người có vân tay đó. 
Virus macro (macro virus): virus được truyền tải hay giấu trong các file đính 
kèm, có thể làm hỏng các chương trình khác trên máy tính hoặc làm lộ các thông 
tin bí mật. 
Bom thƣ (mail bomb): hành động tấn công bằng cách gửi hàng loạt thư điện tử 
đến một địa chỉ cụ thể, vượt quá khả năng tiếp nhận của địa chỉ đó làm địa chỉ 
đó hoặc toàn bộ hệ thống ngừng hoạt động. 
Lừa đảo qua mạng (phishing): gửi hàng loạt thư điện tử giả danh từ một địa 
chỉ đáng tin cậy đến các khách hàng của địa chỉ đó. Thư điện tử có đường link 
đến một trang web có giao diện giống hệt giao diện của công ty có uy tín. Nạn 
nhân được đề nghị nhập vào tên, mã bí mật, thông tin thẻ tín dụng để được cập 
nhật và ngay lập tức những thông tin này bị đánh cắp. 
Khóa bí mật (private key): là một phần mềm giúp mã hóa và giải mã các thông 
điệp, chủ sở hữu giữ bí mật để sử dụng xác thực vào các thông điệp dữ liệu họ 
gửi qua mạng. 
 247 
Khóa công khai (public key): là khóa có quan hệ một một với khóa bí mật, 
được dùng để mã hóa và giải mã các thông điệp đã được mã hóa bằng khóa bí 
mật, khóa này được công bố cho mọi người liên quan biết để sử dụng nhằm xác 
thực thông điệp có được gửi bởi người nắm giữ khóa bí mật hay không. 
Lớp khóa an toàn (Secure socket layer): một giao thức cho phép truyền tải 
thông tin trên mạng an toàn 
Mã hóa đối xứng (Symmetric encryption): công nghệ mã hóa sử dụng một 
khóa trong cả hai quá trình mã hóa và giải mã. 
Tiêu chuẩn mã hóa dữ liệu 3 (Triple DES, 3 DES – triple data encryption 
standard) : một tiêu chuẩn mã hóa do chính phủ Mỹ xây dựng và các máy tính 
mạnh nhất hiện nay vẫn chưa thể phá mã được. 
Con ngựa thành trojan (Trojan horse) : một chương trình nấp bên trong một 
chương trình khác hay một trang web khác để che giấu các hành vi của nó, 
thường là mang tính phá hoạt. 
Sâu (worm) : một dạng virus tự nhân bản. 
Zombie : một dạng virus chiếm quyền kiểm soát các máy tính với mục đích tấn 
công một máy tính nhất định. Tấn công theo kiểu này thường rất khó truy tìm 
người chủ mưu. 
 248