Các hình thức giao dịch trực tuyến phổ biển ở Việt Nam
Cùng với sự phát triển của Internet, nhu cầu mua bán trực tuyến ngày càng gia tăng, do vậy việc sử dụng các dịch vụ thanh toán trực tuyến là cấp thiết. Trong khoảng 10 năm trở lại đây, các dịch vụ thanh toán đang phát triển mạnh mẽ, từ các cổng thanh toán trực tuyến như Ngân Lượng, Bảo Kim, VnPay, Soha, VTCPay,… đến các ngân hàng cũng mở rộng thêm các dịch vụ thanh toán trực tuyến.
Trong Hình 1 là mô hình giao dịch trực tuyến sử dụng cổng thanh toán điện tử VTCPay, người mua lựa chọn hàng hóa và đặt hàng qua người bán. Người bán chuyển thông tin giao dịch sang cổng thanh toán VTCPay. Những thông tin giao dịch được chuyển tới ngân hàng người mua. Sau khi người bán chuyển hàng hóa tới người mua, ngân hàng người mua chuyển tiền cho ngân hàng người bán thông qua cổng thanh toán của VTCPay.
Hình 1. Giao dịch trực tuyến sử dụng cổng thanh toán điện tử VTCPAY
Hình 2 là mô hình giao dịch trực tuyến sử dụng cổng thanh toán trực tuyến Bảo Kim. Giao dịch sau khi đặt hàng và gửi yêu cầu thanh toán trên website bán hàng, người mua lựa chọn thanh toán qua cổng thanh toán Bảo Kim theo 02 cách (người mua nhập thông tin thẻ ngân hàng để xác thực thanh toán hoặc sử dụng tài khoản Bảo Kim để chuyển tiền). Khi tiền được chuyển về tài khoản người bán trên Bảo Kim, người bán sẽ chuyển hàng cho người mua.
Hình 2. Giao dịch trực tuyến sử dụng cổng thanh toán trực tuyến Bảo Kim
Hai mô hình giao dịch trực tuyến trên là ví dụ điển hình trong giao dịch trực tuyến ở Việt Nam. Qua đây có thể thấy mô hình giao dịch trực tuyến hiện dùng gồm 4 thành phần chính: Client (Khách hàng/Người mua hàng), Merchant Server (Người bán), Payment Service Provider (PSP -Nhà cung cấp dịch vụ thanh toán) và Bank (Ngân hàng).
Các bước hoạt động của giao dịch trực tuyến (như mô hình tại Hình 3) như sau:
- Bước 1: Người mua lựa chọn hàng, đặt lệnh mua, gửi thông tin cá nhân (tên chủ thẻ, số thẻ, tên ngân hàng - UID, BankID) tới phía người bán.
- Bước 2: Bên bán nhận được yêu cầu mua hàng, gửi yêu cầu thanh toán tới PSP. Yêu cầu thanh toán bao gồm UID, Bank ID của người mua và người bán kèm theo số tiền cần thanh toán.
- Bước 3: PSP nhận được yêu cầu thanh toán, xác nhận UID, Bank ID và gửi mã OTP bằng SMS/Email tới người mua.
- Bước 4: Nếu người mua chấp nhận thanh toán sẽ xác nhận mã OTP cho phía PSP.
- Bước 5: Nếu OTP sai thì sẽ kết thúc giao dịch.
- Bước 6: Nếu OTP đúng, PSP sẽ chuyển yêu cầu thanh toán của người mua tới Ngân hàng.
- Bước 7: Ngân hàng nhận được yêu cầu sẽ chuyển khoản và gửi xác nhận về phía người bán.
- Bước 8: Người bán sẽ tiến hành giao hàng đến người mua và nhận được thanh toán từ phía ngân hàng.
Hình 3. Mô hình giao dịch trực tuyến
Tấn công phishing vào giao dịch trực tuyến
Khi đề cập đến giao dịch trực tuyến, bảo mật luôn là vấn đề được quan tâm. Đặc biệt trong thời gian gần đây, các phương thức tấn công mới liên tục xuất hiện với phương thức thủ đoạn ngày càng tinh vi. Để vượt qua các hệ thống bảo mật, tin tặc kết hợp nhiều biện pháp khác nhau, tấn công vào tất cả các giai đoạn của quá trình giao dịch: từ trước khi người dùng đăng nhập, khi người dùng đăng nhập, sau khi đăng nhập, khi thực hiện giao dịch,…
Với mô hình hiện tại, PSP đóng vai trò là bên trung gian, kết nối việc thanh toán giữa Khách hàng, Người bán và Ngân hàng.
Để tấn công bằng hình thức Phishing vào mô hình này, tin tặc sẽ thực hiện như trong Hình 4.
Đầu tiên, tin tặc tạo một website giả mạo với hình thức và nội dung giống như website hợp pháp. Tiếp theo, tin tặc đăng ký tên miền cho website giả mạo gần giống với tên miền của website hợp pháp, nhằm mục đích dễ dàng đánh lừa người dùng.
Ví dụ: website hợp pháp là https://www.lazada.vn/ thì tin tặc có thể sẽ đặt tên website giả mạo sẽ là https://www.lazadä.vn/. Người dùng rất khó phát hiện và phân biệt được sự khác biệt của tên miền nằm ở ký tự “a” và “ä”.
Sau đó, tin tặc dùng các biện pháp kỹ thuật gửi đường dẫn của website giả mạo tới khách hàng và tự nhận mình là website có thẩm quyền hoặc hợp pháp. Khách hàng nếu không thực
sự lưu ý sẽ tiến hành mua sắm trên website giả mạo và cung cấp thông tin tài khoản thanh toán cá nhân vào website giả mạo. Thông tin thanh toán của khách hàng sẽ được chuyển đến website của tin tặc thay vì đến website hợp pháp. Tin tặc sử dụng thông tin của khách hàng để yêu cầu PSP thanh toán cho mình. PSP sẽ xác nhận yêu cầu thanh toán từ phía khách hàng bằng cách gửi mã OTP cho khách hàng. Khách hàng nhận được tin nhắn vẫn không hề biết mình đang mua hàng trên một website giả mạo, xác nhận OTP. Lúc này, tiền sẽ được chuyển từ tài khoản của khách hàng sang tài khoản của tin tặc thông qua ngân hàng. Tài khoản của khách hàng bị trừ tiền nhưng khách hàng không nhận được hàng.
Hình 4. Tấn công Phishing vào mô hình giao dịch trực tuyến
Ứng dụng mật mã trực quan phòng chống tấn công phishing
Với việc ứng dụng mật mã trực quan vào giao dịch trực tuyến. Đầu tiên, người bán sẽ tiến hành đăng ký một ảnh Logo được coi là định danh thương hiệu của người bán với PSP và công khai Logo để khách hàng nhận diện thương hiệu (mô tả ở Hình 5). PSP tiếp nhận Logo và đảm bảo Logo là duy nhất với mỗi người bán. (Căn cứ quy định tại khoản 16 Điều 4 Luật Sở hữu trí tuệ, Logo được đăng ký bảo hộ theo hình thức đăng ký nhãn hiệu. Vì vậy, Logo là định danh duy nhất đối với doanh nghiệp).
Hình 5. Người bán đăng ký Logo với PSP
Các bước khi mua bán trực tuyến
- Bước 1: Khách hàng lựa chọn hàng trên website, đặt lệnh mua, gửi thông tin cá nhân (tên chủ thẻ, số thẻ, tên ngân hàng - UID, BankID) tới phía Merchant Server.
- Bước 2: Merchant Server nhận được yêu cầu mua hàng, gửi yêu cầu thanh toán tới PSP. Yêu cầu thanh toán bao gồm, UID, Bank ID của Khách hàng, và Merchant Server kèm theo số tiền cần thanh toán.
- Bước 3: PSP nhận được yêu cầu thanh toán, xác nhận UID, Bank ID của Khách hàng và Merchant Server. PSP tiến hành xác thực thông tin nhận được.
Nếu thông tin hợp lệ, PSP dùng Logo mà Merchant Server đăng ký sử dụng lược đồ mật mã trực quan cho ảnh màu VC (2,2) để tạo ra 2 mảnh ảnh bí mật là Share_Client và Share_Merchant như Hình 6.
Hình 6. Ứng dụng mật mã trực quan phòng chống tấn công Phishing trong mô hình giao dịch trực tuyến
- Bước 4: PSP gửi Share_Client cho Khách hàng kèm theo mã OTP, gửi Share_Merchant lên website bán hàng của Merchant Server.
- Bước 5: Client nhận được ảnh Share_Client và lấy Share_Merchant trên phía Merchant Server sử dụng lược đồ mật mã trực quan VC(2,2) để giải mã (Hình 7). Nếu không hiển thị ra thông tin Logo thì sẽ hủy bỏ giao dịch. Nếu hiển thị được Logo, Khách hàng sẽ biết được mình đang mua hàng trên Merchant Server nào, và tiến hành xác nhận lại OTP cho phía PSP.
Hình 7 Client sử dụng mật mã trực quan để ghép 2 mảnh ảnh
- Bước 6: PSP nhận được mã OTP phía Khách hàng. Nếu OTP sai, giao dịch sẽ bị hủy bỏ. Nếu đúng, PSP xác thực giao dịch về phía BankServer yêu cầu thanh toán cho Merchant Server.
Từ mô hình có thể thấy những ưu điểm của việc ứng dụng mật mã trực quan phòng chống tấn công Phishing trong mô hình giao dịch trực tuyến:
Một là, hỗ trợ khách hàng phát hiện những website giả mạo chưa có trong danh sách đen hoặc các công cụ tự động phát hiện tấn công Phishing không thể tìm thấy.
Hai là, khắc phục những hạn chế, bất lợi của các kỹ thuật phòng chống Phishing dựa trên heuristic. Ngay cả khi kỹ thuật heuristic không thể phát hiện được các URL giả mạo, thì cách tiếp cận bằng mật mã trực quan có thể hỗ trợ khách hàng phát hiện được những URL giả mạo.
Ba là, đơn giản và dễ thực hiện, quá trình tính toán nhanh chóng hơn việc sử dụng các công cụ quét lỗ hổng và phân tích Phishing tự động.
Có thể thấy rằng, việc ứng dụng mật mã trực quan vào phòng, chống tấn công Phishing trong giao dịch trực tuyến là một trong những biện pháp hiệu quả, khả thi nhằm nâng cao bảo mật của các giao dịch trực tuyến.
TÀI LIỆU THAM KHẢO 1.M. Naor,A. Shamir, “Visual cryptography,” Advances in Cryptology-EUROCRYPT’94, in lecture Notes in Computer Science, vol. 950, Springer, Berlin, 1995, pp. 1–12. |
ThS. Phạm Tiến Đạt (Học viện Cảnh sát nhân dân)
13:00 | 11/05/2018
08:00 | 25/09/2016
09:00 | 02/08/2024
11:00 | 29/03/2023
15:00 | 11/05/2021
14:00 | 23/02/2024
09:00 | 21/08/2018
10:00 | 18/10/2024
Nhằm trang bị cho người dân “vũ khí” chống lừa đảo trên không gian mạng, Cục An toàn thông tin (Bộ TT&TT) triển khai chiến dịch quốc gia với 5 nhóm kỹ năng thiết yếu, từ nhận biết dấu hiệu lừa đảo đến xử lý tình huống khi bị tấn công.
08:00 | 07/05/2024
Sự phổ biến của các giải pháp truyền tệp an toàn là minh chứng cho nhu cầu của các tổ chức trong việc bảo vệ dữ liệu của họ tránh bị truy cập trái phép. Các giải pháp truyền tệp an toàn cho phép các tổ chức bảo vệ tính toàn vẹn, bí mật và sẵn sàng cho dữ liệu khi truyền tệp, cả nội bộ và bên ngoài với khách hàng và đối tác. Các giải pháp truyền tệp an toàn cũng có thể được sử dụng cùng với các biện pháp bảo mật khác như tường lửa, hệ thống phát hiện xâm nhập (IDS), phần mềm chống virus và công nghệ mã hóa như mạng riêng ảo (VPN). Bài báo sẽ thông tin tới độc giả những xu hướng mới nổi về chia sẻ tệp an toàn năm 2024, từ các công nghệ, giải pháp nhằm nâng cao khả năng bảo vệ dữ liệu trước các mối đe dọa tiềm ẩn.
09:00 | 28/04/2024
Không chỉ tác động đến lĩnh vực an toàn thông tin, Bug Bounty còn được cho là cổ vũ cho nền kinh tế Gig Economy kiểu Orwell. Điều này có là một góc nhìn tiêu cực cho hình thức bảo mật này?
08:00 | 12/03/2024
Lộ thông tin thẻ tín dụng gây ra nhiều hệ lụy nghiêm trọng, nguy cơ mất tiền là rất cao. Bài báo giới thiệu một số cách thức giúp người dùng giảm nguy cơ khi phát hiện thông tin thẻ tín dụng bị lộ.
Trong bối cảnh chuyển đổi số và ứng dụng rộng rãi của công nghệ thông tin (CNTT) thì xu hướng kết nối liên mạng để chia sẻ cơ sở dữ liệu (CSDL) trở nên tất yếu. Các hệ thống công nghệ vận hành (Operational Technology - OT) cũng không nằm ngoài xu hướng này, quá trình đó được gọi là Hội tụ IT/OT. Do vậy, nhu cầu truyền dữ liệu một chiều giữa các mạng độc lập ngày càng tăng để phục vụ cho mục đích khai thác dữ liệu. Bài viết này giới thiệu một giải pháp mới dựa trên công nghệ vi mạch tích hợp khả trình (Field-Programmable Gate Array - FPGA), sử dụng cơ chế xử lý đa luồng tốc độ cao, giúp duy trì băng thông hệ thống mà không gây ra tình trạng treo hoặc nghẽn mạng, cho phép các kết nối yêu cầu thời gian thực. Đồng thời, bài viết cũng sẽ trình bày giải pháp giả lập giao thức TCP/IP hỗ trợ cho các giao thức truyền thông trong các hệ thống mạng điều khiển IT/OT.
09:00 | 06/01/2025
Trong bối cảnh Chính phủ đang đẩy mạnh hoạt động của Chính phủ Điện tử và chuyển đổi số trên phạm vi cả nước, an ninh mạng đã trở thành một trong những thách thức lớn nhất đối với các cơ quan Đảng và Chính phủ. Tình hình mất an ninh, an toàn thông tin đang ngày càng phức tạp và nghiêm trọng, với sự gia tăng không ngừng của các cuộc tấn công mạng tinh vi và các biến thể mã độc mới. Với bối cảnh như vậy, việc bảo vệ hệ thống thông tin và các sản phẩm phần cứng, phần mềm quan trọng trong các cơ quan Đảng, Chính phủ trước các mối đe dọa từ mã độc trở thành nhiệm vụ hết sức cấp thiết.
15:00 | 10/01/2025