Các hình thức giao dịch trực tuyến phổ biển ở Việt Nam
Cùng với sự phát triển của Internet, nhu cầu mua bán trực tuyến ngày càng gia tăng, do vậy việc sử dụng các dịch vụ thanh toán trực tuyến là cấp thiết. Trong khoảng 10 năm trở lại đây, các dịch vụ thanh toán đang phát triển mạnh mẽ, từ các cổng thanh toán trực tuyến như Ngân Lượng, Bảo Kim, VnPay, Soha, VTCPay,… đến các ngân hàng cũng mở rộng thêm các dịch vụ thanh toán trực tuyến.
Trong Hình 1 là mô hình giao dịch trực tuyến sử dụng cổng thanh toán điện tử VTCPay, người mua lựa chọn hàng hóa và đặt hàng qua người bán. Người bán chuyển thông tin giao dịch sang cổng thanh toán VTCPay. Những thông tin giao dịch được chuyển tới ngân hàng người mua. Sau khi người bán chuyển hàng hóa tới người mua, ngân hàng người mua chuyển tiền cho ngân hàng người bán thông qua cổng thanh toán của VTCPay.
.jpg)
Hình 1. Giao dịch trực tuyến sử dụng cổng thanh toán điện tử VTCPAY
Hình 2 là mô hình giao dịch trực tuyến sử dụng cổng thanh toán trực tuyến Bảo Kim. Giao dịch sau khi đặt hàng và gửi yêu cầu thanh toán trên website bán hàng, người mua lựa chọn thanh toán qua cổng thanh toán Bảo Kim theo 02 cách (người mua nhập thông tin thẻ ngân hàng để xác thực thanh toán hoặc sử dụng tài khoản Bảo Kim để chuyển tiền). Khi tiền được chuyển về tài khoản người bán trên Bảo Kim, người bán sẽ chuyển hàng cho người mua.
.jpg)
Hình 2. Giao dịch trực tuyến sử dụng cổng thanh toán trực tuyến Bảo Kim
Hai mô hình giao dịch trực tuyến trên là ví dụ điển hình trong giao dịch trực tuyến ở Việt Nam. Qua đây có thể thấy mô hình giao dịch trực tuyến hiện dùng gồm 4 thành phần chính: Client (Khách hàng/Người mua hàng), Merchant Server (Người bán), Payment Service Provider (PSP -Nhà cung cấp dịch vụ thanh toán) và Bank (Ngân hàng).
Các bước hoạt động của giao dịch trực tuyến (như mô hình tại Hình 3) như sau:
- Bước 1: Người mua lựa chọn hàng, đặt lệnh mua, gửi thông tin cá nhân (tên chủ thẻ, số thẻ, tên ngân hàng - UID, BankID) tới phía người bán.
- Bước 2: Bên bán nhận được yêu cầu mua hàng, gửi yêu cầu thanh toán tới PSP. Yêu cầu thanh toán bao gồm UID, Bank ID của người mua và người bán kèm theo số tiền cần thanh toán.
- Bước 3: PSP nhận được yêu cầu thanh toán, xác nhận UID, Bank ID và gửi mã OTP bằng SMS/Email tới người mua.
- Bước 4: Nếu người mua chấp nhận thanh toán sẽ xác nhận mã OTP cho phía PSP.
- Bước 5: Nếu OTP sai thì sẽ kết thúc giao dịch.
- Bước 6: Nếu OTP đúng, PSP sẽ chuyển yêu cầu thanh toán của người mua tới Ngân hàng.
- Bước 7: Ngân hàng nhận được yêu cầu sẽ chuyển khoản và gửi xác nhận về phía người bán.
- Bước 8: Người bán sẽ tiến hành giao hàng đến người mua và nhận được thanh toán từ phía ngân hàng.
.jpg)
Hình 3. Mô hình giao dịch trực tuyến
Tấn công phishing vào giao dịch trực tuyến
Khi đề cập đến giao dịch trực tuyến, bảo mật luôn là vấn đề được quan tâm. Đặc biệt trong thời gian gần đây, các phương thức tấn công mới liên tục xuất hiện với phương thức thủ đoạn ngày càng tinh vi. Để vượt qua các hệ thống bảo mật, tin tặc kết hợp nhiều biện pháp khác nhau, tấn công vào tất cả các giai đoạn của quá trình giao dịch: từ trước khi người dùng đăng nhập, khi người dùng đăng nhập, sau khi đăng nhập, khi thực hiện giao dịch,…
Với mô hình hiện tại, PSP đóng vai trò là bên trung gian, kết nối việc thanh toán giữa Khách hàng, Người bán và Ngân hàng.
Để tấn công bằng hình thức Phishing vào mô hình này, tin tặc sẽ thực hiện như trong Hình 4.
Đầu tiên, tin tặc tạo một website giả mạo với hình thức và nội dung giống như website hợp pháp. Tiếp theo, tin tặc đăng ký tên miền cho website giả mạo gần giống với tên miền của website hợp pháp, nhằm mục đích dễ dàng đánh lừa người dùng.
Ví dụ: website hợp pháp là https://www.lazada.vn/ thì tin tặc có thể sẽ đặt tên website giả mạo sẽ là https://www.lazadä.vn/. Người dùng rất khó phát hiện và phân biệt được sự khác biệt của tên miền nằm ở ký tự “a” và “ä”.
Sau đó, tin tặc dùng các biện pháp kỹ thuật gửi đường dẫn của website giả mạo tới khách hàng và tự nhận mình là website có thẩm quyền hoặc hợp pháp. Khách hàng nếu không thực
sự lưu ý sẽ tiến hành mua sắm trên website giả mạo và cung cấp thông tin tài khoản thanh toán cá nhân vào website giả mạo. Thông tin thanh toán của khách hàng sẽ được chuyển đến website của tin tặc thay vì đến website hợp pháp. Tin tặc sử dụng thông tin của khách hàng để yêu cầu PSP thanh toán cho mình. PSP sẽ xác nhận yêu cầu thanh toán từ phía khách hàng bằng cách gửi mã OTP cho khách hàng. Khách hàng nhận được tin nhắn vẫn không hề biết mình đang mua hàng trên một website giả mạo, xác nhận OTP. Lúc này, tiền sẽ được chuyển từ tài khoản của khách hàng sang tài khoản của tin tặc thông qua ngân hàng. Tài khoản của khách hàng bị trừ tiền nhưng khách hàng không nhận được hàng.
.jpg)
Hình 4. Tấn công Phishing vào mô hình giao dịch trực tuyến
Ứng dụng mật mã trực quan phòng chống tấn công phishing
Với việc ứng dụng mật mã trực quan vào giao dịch trực tuyến. Đầu tiên, người bán sẽ tiến hành đăng ký một ảnh Logo được coi là định danh thương hiệu của người bán với PSP và công khai Logo để khách hàng nhận diện thương hiệu (mô tả ở Hình 5). PSP tiếp nhận Logo và đảm bảo Logo là duy nhất với mỗi người bán. (Căn cứ quy định tại khoản 16 Điều 4 Luật Sở hữu trí tuệ, Logo được đăng ký bảo hộ theo hình thức đăng ký nhãn hiệu. Vì vậy, Logo là định danh duy nhất đối với doanh nghiệp).
Hình 5. Người bán đăng ký Logo với PSP
Các bước khi mua bán trực tuyến
- Bước 1: Khách hàng lựa chọn hàng trên website, đặt lệnh mua, gửi thông tin cá nhân (tên chủ thẻ, số thẻ, tên ngân hàng - UID, BankID) tới phía Merchant Server.
- Bước 2: Merchant Server nhận được yêu cầu mua hàng, gửi yêu cầu thanh toán tới PSP. Yêu cầu thanh toán bao gồm, UID, Bank ID của Khách hàng, và Merchant Server kèm theo số tiền cần thanh toán.
- Bước 3: PSP nhận được yêu cầu thanh toán, xác nhận UID, Bank ID của Khách hàng và Merchant Server. PSP tiến hành xác thực thông tin nhận được.
Nếu thông tin hợp lệ, PSP dùng Logo mà Merchant Server đăng ký sử dụng lược đồ mật mã trực quan cho ảnh màu VC (2,2) để tạo ra 2 mảnh ảnh bí mật là Share_Client và Share_Merchant như Hình 6.
Hình 6. Ứng dụng mật mã trực quan phòng chống tấn công Phishing trong mô hình giao dịch trực tuyến
- Bước 4: PSP gửi Share_Client cho Khách hàng kèm theo mã OTP, gửi Share_Merchant lên website bán hàng của Merchant Server.
- Bước 5: Client nhận được ảnh Share_Client và lấy Share_Merchant trên phía Merchant Server sử dụng lược đồ mật mã trực quan VC(2,2) để giải mã (Hình 7). Nếu không hiển thị ra thông tin Logo thì sẽ hủy bỏ giao dịch. Nếu hiển thị được Logo, Khách hàng sẽ biết được mình đang mua hàng trên Merchant Server nào, và tiến hành xác nhận lại OTP cho phía PSP.
Hình 7 Client sử dụng mật mã trực quan để ghép 2 mảnh ảnh
- Bước 6: PSP nhận được mã OTP phía Khách hàng. Nếu OTP sai, giao dịch sẽ bị hủy bỏ. Nếu đúng, PSP xác thực giao dịch về phía BankServer yêu cầu thanh toán cho Merchant Server.
Từ mô hình có thể thấy những ưu điểm của việc ứng dụng mật mã trực quan phòng chống tấn công Phishing trong mô hình giao dịch trực tuyến:
Một là, hỗ trợ khách hàng phát hiện những website giả mạo chưa có trong danh sách đen hoặc các công cụ tự động phát hiện tấn công Phishing không thể tìm thấy.
Hai là, khắc phục những hạn chế, bất lợi của các kỹ thuật phòng chống Phishing dựa trên heuristic. Ngay cả khi kỹ thuật heuristic không thể phát hiện được các URL giả mạo, thì cách tiếp cận bằng mật mã trực quan có thể hỗ trợ khách hàng phát hiện được những URL giả mạo.
Ba là, đơn giản và dễ thực hiện, quá trình tính toán nhanh chóng hơn việc sử dụng các công cụ quét lỗ hổng và phân tích Phishing tự động.
Có thể thấy rằng, việc ứng dụng mật mã trực quan vào phòng, chống tấn công Phishing trong giao dịch trực tuyến là một trong những biện pháp hiệu quả, khả thi nhằm nâng cao bảo mật của các giao dịch trực tuyến.
|
TÀI LIỆU THAM KHẢO 1.M. Naor,A. Shamir, “Visual cryptography,” Advances in Cryptology-EUROCRYPT’94, in lecture Notes in Computer Science, vol. 950, Springer, Berlin, 1995, pp. 1–12. |
ThS. Phạm Tiến Đạt (Học viện Cảnh sát nhân dân)
13:00 | 11/05/2018
08:00 | 25/09/2016
11:00 | 29/03/2023
15:00 | 11/05/2021
14:00 | 23/02/2024
09:00 | 21/08/2018
09:00 | 01/04/2024
Trong thời đại số ngày nay, việc quản lý truy cập và chia sẻ thông tin cá nhân trên các thiết bị di động thông minh đã trở thành vấn đề đáng quan tâm đối với mọi người dùng. Việc không kiểm soát quyền truy cập và sự phổ biến của dữ liệu cá nhân có thể gây ra các rủi ro về quyền riêng tư và lạm dụng thông tin. Bài viết này sẽ giới thiệu đến độc giả về Safety Check - một tính năng mới trên iOS 16 cho phép người dùng quản lý, kiểm tra và cập nhật các quyền và thông tin được chia sẻ với người và ứng dụng khác ngay trên điện thoại của chính mình, giúp đảm bảo an toàn và bảo mật khi sử dụng ứng dụng và truy cập dữ liệu cá nhân.
14:00 | 14/09/2023
NFT (Non-fungible token) là một sản phẩm của thời đại công nghệ mới và đang phát triển như vũ bão, ảnh hưởng sâu rộng đến nhiều lĩnh vực. Thị trường NFT bùng nổ mạnh mẽ vào năm 2021, tăng lên khoảng 22 tỷ USD và thu hút ước tính khoảng 280 nghìn người tham gia. Nhưng khi thị trường này phát triển, phạm vi hoạt động của tin tặc cũng tăng theo, đã ngày càng xuất hiện nhiều hơn các báo cáo về những vụ việc lừa đảo, giả mạo, gian lận và rửa tiền trong NFT. Bài báo sau sẽ giới thiệu đến độc giả tổng quan về NFT, các hành vi lừa đảo NFT và cách thức phòng tránh mối đe dọa này.
14:00 | 22/06/2023
Google cho biết đã cung cấp các tính năng tăng cường bảo mật mới cho Trình Quản lý mật khẩu tích hợp sẵn trên trình duyệt Chrome, giúp người dùng quản lý mật khẩu của họ dễ dàng hơn và giữ an toàn trước mối đe dọa từ các cuộc tấn công chiếm đoạt tài khoản.
09:00 | 04/05/2023
Những năm gần đây, các ứng dụng sử dụng hệ thống IoT đang ngày càng phát triển bởi khả năng mềm dẻo trong thiết kế phần cứng và thu thập dữ liệu. Đồng hành cùng với sự thay đổi của các công nghệ mạng truyền dẫn, tín hiệu, Wifi Mesh đang trở thành một lựa chọn thực tế và phù hợp đối với các hệ thống IoT công nghiệp, thương mại điện tử. Thông qua bài báo này, nhóm tác giả sẽ giới thiệu về nền tảng công nghệ mạng Wifi Mesh, từ đó làm cơ sở cho việc ứng dụng để thiết kế hệ thống giám sát đo độ nghiêng sẽ được trình bày trong kỳ tới.
08:00 | 11/01/2024 | Chính sách - Chiến lược
09:00 | 10/01/2024 | Giải pháp khác
09:00 | 05/01/2024|Chính sách - Chiến lược
09:00 | 05/01/2024|An ninh – Quốc Phòng
Có một số phương pháp để xác định mức độ an toàn của các hệ mật sử dụng độ dài khóa mã (key length) tham chiếu làm thông số để đo độ mật trong cả hệ mật đối xứng và bất đối xứng. Trong bài báo này, nhóm tác giả tổng hợp một số phương pháp xác định độ an toàn của hệ mật khóa công khai RSA, dựa trên cơ sở các thuật toán thực thi phân tích thừa số của số nguyên modulo N liên quan đến sức mạnh tính toán (mật độ tích hợp Transistor theo luật Moore và năng lực tính toán lượng tử) cần thiết để phá vỡ một bản mã (các số nguyên lớn) được mã hóa bởi khóa riêng có độ dài bit cho trước. Mối quan hệ này giúp ước lượng độ an toàn của hệ mật RSA theo độ dài khóa mã trước các viễn cảnh tấn công khác nhau.
08:00 | 04/04/2024
Mới đây, Cơ quan An ninh mạng và Cơ sở hạ tầng Hoa Kỳ (CISA) đã phát hành phiên bản mới của hệ thống Malware Next-Gen có khả năng tự động phân tích các tệp độc hại tiềm ẩn, địa chỉ URL đáng ngờ và truy tìm mối đe dọa an ninh mạng. Phiên bản mới này cho phép người dùng gửi các mẫu phần mềm độc hại để CISA phân tích.
13:00 | 17/04/2024
