Đề cương môn thương mại điện tử - trường đại học kinh tế- tài chính thành phố Hồ chí minh

I. Khái niệm
1. Tổng quan (chọn 1 trong 3 cái)
- TMĐT là sự mua bán sản phẩm, dịch vụ hay tiền tệ trên các hệ thống trực tuyến như
Internet và các mạng máy tính. TMDT sử dụng mạng www
2. Các thành phần TMDT (1đ: chỉ nêu mục lớn; 3đ: nêu đủ)
- Các yếu tố thành phần cấu thành TMĐT o Yếu tố vĩ mô:
· Cơ chế an toàn trong giao dịch
·Chính sách thuận lợi trong giao dịch TMĐT · Thủ tục gọn gàng
· Cơ chế chế tài: hệ thống luật về TMĐT, tiêu chuẩn công nghiệp. o Kỹ thuật bảo mật
o Giá trị dòng tiền theo thời gian o Chi phí cho bảo mật
o Yếu tố an toàn theo dây chuyền
3. Môi trường thương mại điện tử
- Giao dịch thương mại điện tử thực hiện trên môi trường Internet bằng các thiết bị kỹ thuật số
nên môi trường thương mại điện tử cũng như các giao dịch thương mại điện tử đều bị tác động bởi 3 yếu tố:
o An toàn từ máy chủ (server)
o an toàn từ máy khách (client)
o An toàn trong quá trình truyền tin (communication). II.
Các mối đe dọa: các đoạn mã nguy hiểm
a. Các mối đe dọa 1. Mã độc
2. Chương trình không mong muốn
3. Tấn công giả mạo (phishing): hacker giả mạo là doanh nghiệp tmđt để lừa người tiêu
dùng cung cấp các thông tin quan trọng như thông tin cá nhân, số thẻ tín dụng, tài khoản và
mật khẩu. Thậm chí, chúng tạo ra một website giả giống như bản gốc, đôi khi chúng gửi
email hoặc tin nhắn SMS giả danh là cơ quan chức năng.
VD: Mỗi bé tự cho một cái ví dụ nha 4. Tin tặc
5. Gian lận thẻ tín dụng: cracker, hacker lợi dụng lỗi của hệ thống thanh toán để thực hiện
giao dịch ảo gây thất thoát cho doanh nghiệp. đánh cắp thông tin thẻ tín dụng(visa, master
card, atm). Các hình thức gian lận:
- Dùng thẻ bị mất để thanh toán/quẹt trộm
- Sử dụng công nghệ cao để ăn cắp qua mạng: số thẻ CVV(che lại, mã PIN
- Bị rút trộm tiền qua cây ATM
- Làm giả thẻ ((thẻ giả mới kh có chip nên kh khoá đc))
VD: Mỗi bé tự cho một cái ví dụ nha
6. DoS/DDoS: tấn công từ chối/ khước từ dịch vụ, tấn công vào website của doanh nghiệp
thương mại điện tử, trang web sẽ liên tục ở trạng thái online nhưng lại không chịu được
lượng giao dịch của khách hàng và không chấp nhận các lệnh mua sắm của khách hàng.
Đôi khi, một cuộc tấn công DDoS cũng khiến 1 website doanh nghiệp sập.
VD:Khai thác lỗ hổng trong ứng dụng khiến trang chứng khoán VPS ko thể đặt lệnh
7. Kẻ trộm trên mạng (Sniffer)
8. Sự tấn công từ bên trong doanh nghiệp III. Giải pháp a. Mật mã và mã hoá
1. Mã hoá dữ liệu (encode): là dùng khoá để chuyển dữ liệu trong văn bản gốc sang
dạng dữ liệu mới mà thường không thể đọc theo cách thông thường. Dữ liệu được mã
hoá bằng khoá dựa trên các thuật toán lồng nhau.
2. Giải mã ( decode): dùng khoá tương thích để khôi phục dữ liệu từ kiểu mã hoá về
dạng ban đầu. Có 2 loại mã hoá: mã hoá đối xứng và mã hoá bất đối xứng
- Mã hoá đối xứng là quy trình mã hoá và giải mã sử dụng cùng 1 khoá.
- Mã hoá bất đối xứng là sử dụng bộ khóa ( public key and private key ) cho cả quá
trình truyền dữ liệu người gửi sử dugnj pub lic key để gửi dữ liệu và người nhận sử
dụng privatekey để giải mã dữ liệu .
Câu hỏi phụ: Giữa 2 doanh nghiệp A và B giao dịch TMĐT với nhau thì có dùng khóa public key không?
Không. Họ sẽ dùng private key vì số tiền giao dịch giữa 2 doanh nghiệp là rất lớn vì vậy
họ sẽ dùng séc điện tử. Vậy nên họ cần 1 ngân hàng phía sau bảo lãnh, thế nên dùng
private key sẽ được đảm bảo chắc chắn hơn.
=>Tóm lại, việc sử dụng khóa private key trong quá trình giao dịch TMĐT giữa hai doanh
nghiệp A và B phụ thuộc vào cách thức mà họ thực hiện giao dịch. Nếu sử dụng phương thức
thanh toán trực tiếp, thì không có sự liên quan đến khóa private key, trong khi sử dụng
phương thức thanh toán qua cổng thanh toán trực tuyến thì khóa private key sẽ được sử dụng
để xác thực danh tính của doanh nghiệp B
(ghi trước tất cả các case study):
Do pháp luật nhiều nơi chưa có quy định cụ thể nên khi xảy ra tranh chấp, các doanh nghiệp
thương mại điện tử thường phải chịu 1 chi phí rất lớn để tránh những tổn thất này. Doanh
nghiệp thương mại điện tử cần có các ràng buộc pháp lý để lưu lại phục vụ cho quá trình giao
dịch cũng như tranh chấp. Căn cứ đầu tiên cần thiết và quan trọng nhất là:
- Thoả thuận pháp lý hay hợp đồng thương mại điện tử. Trong hợp đồng tmdt, chữ
ký và các tài liệu cần được lưu đầy đủ và chính xác. Các điều khoản, điều lệ cần phải
có sự ràng buộc chặt chẽ.
(ghi trước casestudy dành cho VAN và ISP/ASP)
Loại hợp đồng đầu tiên mà doanh nghiệp thương mại điện tử cần ký là hợp đồng với VAN và
ASP, doanh nghiệp cần lưu ý hợp đồng của VAN và ASP chỉ bảo vệ quyền lợi của họ chứ không
phải bảo vệ quyền lợi của tổ chức được cung cấp dịch vụ
- VAN: cung cấp kết nối quản lý và lưu trữ dữ liệu
- ASP: cung cấp giải pháp cho giao dịch tmdt. VD: lưu thông tin khách hàng, quản lý giao dịch. IV. Khác (2đ)
- chữ ký điện tử (e-signature)được tạo lập dưới dạng: số, chữ, từ, ký hiệu, âm thanh
bằng phương tiện điện tử để xác minh người ký có trách nhiệm với văn bản điện tử
và sự chấp thuận của người đó với nội dung thông điệp ký
- chứng thư điện tử(digital cẻtificate) là dịch vụ chứng thực chữ ký điện tử nhằm
đảm bảo chống từ chối bởi người ký và đảm bảo tính toàn vẹn của hợp đồng điện
tử. tổ chức chứng thực được cấp phép và cung cấp dịch vụ chứng thư điện tử. có 4 nhóm tổ chức:
o 1.tổ chức chứng thực quốc gia
o 2.tổ chức chứng thực chuyên dùng cho chính phủ
o 3.tổ chức chứng thực công cộng
o 4.tổ chức chuyên dùng của cơ quan tổ chức CASE STUDY Câu 2đ:
Hai doanh nghiệp A và B cùng giao dịch tmdt vs nhau thì hình thức giao dịch đó có dùng public key được hay kh? Why?
• Không được. Dùng mã hoá bất đối xứng. Vì:
o mỗi doanh nghiệp dùng riêng ngân hàng khác nhau. o Case Study 1 :
Chị A đi từ HCM ra HN bị mất thẻ, bị một người lấy vào TGDD mua 2 đt trị giá 200tr. Ngân
hàng giải quyết như thế nào?
Trường hợp 1 Báo khóa thẻ thứ 6, phát sinh giao dịch chủ nhật
• Bên chủ thẻ A Điều 9.1: Trong thời hạn 60 ngày giao dịch, yêu cầu tra soát giao dịch.
Chủ thẻ có trách nhiệm bổ xung giấy tờ đề nghị tra soát để khiếu nại theo đúng thời gian quy định.
• Bên VCB: Điều 3.2.g: Từ thời gian khiếu nại 80 ngày cho chủ thẻ, Ngân hàng sẽ hoàn trả
cho chủ thẻ giá trị giao dịch đúng với khiếu nại.
Trường hợp 2: Không thông báo ngày t6 nhưng xuất hiện giao dịch ngày chút nhật
• Bên chủ thẻ: Điều 2.2.d: Chủ thẻ được khiếu nại về sai sót (nếu có) phát sinh không
mong muốn trong lúc sử dụng thẻ của mình và chịu chi phí liên quan đến khiếu nại (nếu
khiếu nại sai) theo quy định của NH. Thời hạn yêu cầu tra soát là 60 ngày kể từ ngày phát sinh giao dịch.
• Bên VCB: Điều 3.2.b: Chịu trách nhiệm nhận yêu cầu tra soát, kể từ ngày giao dịch. Điều
3.2.h: trong thời hạn 5 ngày làm việc kể từng ngày thông báo kết quả tra soát, khiếu nại
cho chủ thẻ, NH có trách nhiệm thực hiện bồi hoàn cho chủ thẻ theo thỏa thuận quy định
của pháp luật đối với những tổn thất phát sinh không do lỗi của chủ thẻ hoặc không thuộc
các trường hợp bất khả kháng. Case study 2:
Shopee bị giả mạo trang web, khách hàng bị lừa mất tiền, lỗi tấn công, phương pháp xử lý: • Tấn công giả mạo • Giải pháp:
o Hỗ trợ khách hàng tố giác đến cơ quan chức năng.
o Bộ phận CSKH của Shopee thông báo đến khách hàng và đối tác các đặc điểm để
nhận dạng trang web giả mạo.
o Thực hiện các chính sách mã hoá thông tin sản phẩm để hacker khó đánh cắp dữ
liệu, tối ưu các phương pháp bảo mật như xác thực hai lớp, không hiện thông tin
khách hàng, dấu mộc riêng của shopee trên từng sản phẩm,...
o Cung cấp kiến thức an ninh mạng cho nhân viên và phổ biến đến khách hàng, đối tác.
o Báo ngay cho cơ quan chức năng khi phát hiện trang web giả mạo.
CÂU HỎI LÝ THUYẾT
1. So sánh hợp đồng truyền thống và hợp đồng TMĐT trong kinh doanh điện tử
Hợp đồng điện tử
Hợp đồng truyền thống Căn cứ pháp lý
• Luật giao dịch điện tử - Bộ luật Dân sự 2015 2005
• Luật thương mại 2005 - Luật Thương mại 2005 Phương thức
• Phương tiện điện tử
• Bằng văn bản, bằng lời nói, bằng giao kết
• Chữ ký điện tử 3 bên hành động • 2 bên thỏa thuận • Chữ ký bằng tay Chủ thể tham • Bên bán, bên mua • Bên bán, bên mua gia vào giao kết
• Nhà cung cấp các dịch vụ mạng, cơ quan chứng thực Phạm vi áp
• Chỉ áp dụng trong một
• Áp dụng rộng rãi trong mọi hoạt dụng số lĩnh vực cụ thể
động của đời sống kinh tế, xã hội, mọi ngành
2. Nêu các rủi ro đối với KH trong thanh toán điện tử. Rủi ro nào là khó khắc phục
nhất trên thị trường Việt Nam?
Các rủi ro đối với khách hàng trong thanh toán điện tử bao gồm:
1. Rủi ro bảo mật: hệ thống bảo mật của nhà cung cấp không đủ an toàn.
2. Rủi ro gian lận: các hoạt động gian lận trực tuyến.
3. Rủi ro kỹ thuật: Các sự cố kỹ thuật như mất kết nối mạng hoặc lỗi hệ thống có thể dẫn đến
việc thanh toán không thành công hoặc mất tiền.
4. Rủi ro pháp lý: Khách hàng có thể bị phạt hoặc bị kiện khi sử dụng các dịch vụ thanh toán
điện tử không hợp pháp.
5. Rủi ro bị lừa tiền
6. Rủi ro khi giao dịch qua website giả mạo
Trong số các rủi ro này, rủi ro bảo mật là khó khắc phục nhất trên thị trường Việt Nam. Điều
này là do nhiều nhà cung cấp thanh toán điện tử chưa đầu tư đầy đủ vào hệ thống bảo
mật và chưa có quy định rõ ràng về bảo vệ thông tin cá nhân của khách hàng.
3. Phân tích lợi ích và rủi ro khi sử dụng Internet Banking đối với doanh nghiệp
(Người Bán). Lợi ích nào là thiết thực nhất? Đâu là hạn chế khó khắc phục nhất
trên thị trường Việt Nam Lợi ích:
1. Đơn giản hoá quy trình làm việc
2. Tiết kiệm chi phí và công sức
3. Linh hoạt về thời gian
4. Độ bảo mật cao Rủi ro:
1. Rủi ro về bảo mật: Sử dụng Internet Banking có thể tiềm ẩn rủi ro về bảo mật, như mất mát
thông tin tài khoản, tấn công từ hacker hoặc virus máy tính.
2. Rủi ro về pháp lý: không tuân thủ đúng các quy định pháp luật khi sử dụng Internet Banking,
có thể bị phạt hoặc gặp rắc rối pháp lý.
3. Rủi ro về kỹ thuật: Các lỗi kỹ thuật, như mất kết nối hoặc hệ thống bị treo, có thể xảy ra và
gây ảnh hưởng đến hoạt động của doanh nghiệp.
Trong số các lợi ích, lợi ích thiết thực nhất là tiết kiệm công sức và chi phí. Đây là lợi ích
quan trọng giúp doanh nghiệp tăng năng suất và cải thiện hiệu quả kinh doanh.
Hạn chế khó khắc phục nhất trên thị trường Việt Nam là rủi ro về bảo mật. Việc sử dụng
Internet Banking đòi hỏi doanh nghiệp phải có kiến thức về an ninh mạng và kỹ năng quản lý
rủi ro.Ngoài ra, cần có sự hỗ trợ từ các tổ chức chuyên môn để đảm bảo an toàn và bảo mật cho
các giao dịch tài chính của doanh nghiệp.
4. Nêu khái niệm an toàn TMĐT. Phân tích các vấn đề đang đặt ra hiện nay đối với an
toàn thương mại điện tử
An toàn TMĐT: chỉ các biện pháp bảo vệ thông tin và giao dịch trực tuyến sử dụng các
dịch vụ TMĐT. An toàn TMĐT gồm các yếu tố như bảo mật thông tin, xác thực người dùng,
đảm bảo tính toàn vẹn của dữ liệu và đảm bảo tính sẵn sàng của hệ thống.
Hiện nay, an toàn TMĐT đang đặt ra nhiều vấn đề đối với người dùng và doanh nghiệp, bao gồm: 1. Rủi ro bảo mật 2. Vấn đề pháp lý
3. Thiếu ý thức của người dùng
4. Thiếu đầu tư vào hệ thống an toàn
5. Sự phát triển nhanh chóng của TMĐT
Vì vậy, để đảm bảo an toàn TMĐT, người dùng và doanh nghiệp cần có ý thức và kiến thức về
an toàn TMĐT, chọn các dịch vụ TMĐT uy tín và đảm bảo an toàn, đầu tư vào hệ thống an
toàn và bảo mật thông tin, và hợp tác với các cơ quan chức năng để giải quyết các vấn đề liên quan đến an toàn TMĐT.
5. Phân tích quá trình truyền tin và vẽ sơ đồ của quy trình mã hoá bất đối xứng (mã hóa công khai)
Quá trình truyền tin bao gồm các bước sau:
• Mã hóa bất đối xứng là người gửi dùng 1 bộ khóa riêng và khóa công
khai (private key + public key) để gửi văn bản. Người nhận dùng khóa
công khai (public key) để nhận văn bản và dùng khóa riêng (private
key) để giải mã dữ liệu trong văn bản
Sử dụng 2 khóa cho cả quá trình Mã hóa và Giải mã
Quy trình mã hoá bất đối xứng được thực hiện theo các bước sau:
6. Làm thế nào để nhận diện một website TMĐT an toàn
• website phải đảm bảo việc minh bạch hóa thông tin. Một website
thương mại điện tử uy tín phải hiện thị đầy đủ các thông tin về người
bán, sản phẩm, quy trình mua hàng, thanh toán và vận chuyển hàng hóa rõ ràng.
• người mua có quyền được đảm bảo thông qua chính sách bảo vệ
thông tin cá nhân và giải quyết tranh chấp, khiếu nại. 1 website
thương mại điện tử uy tín phải có chính sách bảo mật thông tin và
khiếu nại hợp lý
• website được nhận định thông qua nhãn uy tín.Đây cũng là xu
hướng toàn cầu - khẳng định uy tín của website thông qua một vị trung gian thứ 3.
7. So sánh mã hoá đối xứng và mã hoá bất đối xứng h Mã hóa đối xứng
Mã hóa bất đối xứng Số lượng • Chỉ dùng 1 khóa • 2 khóa khóa Bảo vệ • Kém an toàn • An toàn
• Dùng public key gửi văn bản
• Dùng private key giải mã dữ liệu Thời gian
• diễn ra nhanh chóng.
• So với Mã hóa đối xứng, nó chậm hơn Sử dụng
• Yêpu cầu tốc độ cao,bảo mật
• Yêu cầu tính bảo mật cao trong Ứng không cao nhưng tốc độ không cao dụng Độ phức tạp • Thấp • Cao Ứng dụng:
• mã hoá các thông tin nhạy
• xác thực người dùng và
cảm, nhưng không xác thực
mã hoá các thông tin người dùng. nhạy cảm.
9.So sánh tấn công DOS & DDOS. Vẽ sơ đồ DoS DDoS
• Chỉ hệ thống nhắm mục tiêu vào hệ thống
• Nhiều hệ thống tấn công hệ thống nạn nhân nạn nhân
• Được Load dữ liệu từ 1 vị trí
• Load từ gói dữ liệu gửi từ nhiều vị
• Tấn công DoS chậm hơn DDoS trí
• Lưu lượng truy cập ít
• Tấn công DDoS nhanh hơn tấn
• Dễ theo dõi, dễ ngăn chặn công DoS
• Lưu lượng truy cập lớn, • Dùng nhiều Bot
• Khó theo dõi, dễ tấn công các mối đe dọa
9. Nhận xét cơ sở hạ tầng an ninh của TMĐT Việt Nam. Nêu những hạn chế và giải
pháp. Trong các giải pháp đó, giải pháp nào là cần thiết và cơ bản nhất đối với doanh nghiệp. Lý do?
Cơ sở hạ tầng an ninh của TMĐT Việt Nam hiện nay đã được cải thiện đáng kể so
với những năm trước đây. Tuy nhiên, vẫn còn tồn tại một số hạn chế, bao gồm:
1. Thiếu kiến thức và nhận thức về an ninh mạng
2. Thiếu đầu tư vào an ninh mạng
3. Tình trạng tấn công mạng diễn ra phổ biến
4. Rủi ro từ các cuộc tấn công mạng
5. Hạn chế về quy định pháp lý
Để giải quyết các hạn chế này, cần có các giải pháp sau:
1. Tăng cường ý thức về an ninh thông tin:
2. Đầu tư vào an ninh mạng:
3. Sử dụng các giải pháp bảo vệ mạng:
4. Áp dụng các chuẩn mực và quy định
5. Hợp tác và chia sẻ thông tin
Trong các giải pháp trên, giải pháp cơ bản và cần thiết nhất là đầu tư vào an ninh
mạng. An ninh mạng là một trong những yếu tố quan trọng nhất để bảo vệ thông
tin của doanh nghiệp và người dùng. Khi tấn công mạng và mất thông tin quan
trọng, gây thiệt hại nghiêm trọng cho hoạt động kinh doanh của mình.
10. Phân biệt tấn công kỹ thuật và tấn công phi kỹ thuật
Tấn công kỹ thuật
Tấn công phi kỹ thuật
• Tấn công lỗ hổng mạng
• Kỹ năng thuyết phục
• sử dụng các kỹ thuật, công
• Khai thác thiếu sót của con
nghệ và phần mềm để xâm người
nhập vào hệ thống mạng.
• Sử dụng các phương pháp xã
hội, tâm lý hoặc kỹ năng xã hội để lừa đảo
• thực hiện bởi các hacker
chuyên nghiệp hoặc các tổ
chức tội phạm mạng.
• Thực hiện bởi các kẻ lừa đảo
hoặc các tổ chức tội phạm mạng.
• Bao gồm: tấn công từ chối
dịch vụ (DDoS), tấn công mã độc, …
• Bao gồm: lừa đảo qua email,
lừa đảo qua điện thoại, lừa đảo qua tin nhắn, vv.
11. So sánh chữ ký điện tử và chữ ký số
• Chữ ký điện tử và chữ ký số Đối Cơ chế ký Cấp Phạm vi sử Tính toàn tượng chứng dụng vẹn ký chỉ doanh nghiệp Chữ
Được áp Thường được tạo
Thì không Sử dụng ở nhiều Đảm bảo ký
dụng cho bằng cách sử dụng yêu cầu lĩnh vực khác tính toàn vẹn điện tài liệu mã hóa đối xứng quá trính
nhau như hành thấp hơn chữ tử điện tử hoặc không đối này chính, tài chính, ký số xứng để Bảo mật pháp luật và các dữ liệu và xác thực hoạt động truyền người dùng thông. Chữ Áp dụng Sử dụng 1 cặp Được ký Sử dụng để xác Đảm bảo ký số cho cả tl khóa công khai và bởi 1 cơ thực các giao tính không điện tử riêng tư và thường quan dịch TMĐT chối bỏ của
và tl giấy được mã hóa bằng chứng thông tin, thuật toán băm nhận người ký (hash) để bảo mật không thể và xác thực phủ nhận việc đã ký
• Ưu điểm của chữ ký số • Có chứng thực • Chống thoái thác
• Có 3 bên mua, bán và bên thứ 3
12. So sánh chứng thư số và chứng thư điện tử Cơ chế xác thực Phạm vi sử dụng Tính bảo mật Thời hạn sử dụng Chứng
Bởi một cơ quan chứng thực xác thực danh tính Có tính bảo dưới 1
thư điện và xác thực danh tính của của cá nhân hoặc tổ mật cao hơn năm tử
người yêu cầu bằng cách sử chức trong các giao do sử dụng các
dụng các công nghệ mã hoá dịch tài chính và các công nghệ mã (chữ ký số) hoạt động khác hoá và chữ ký số Chứng
Bởi một cơ quan chứng thực để xác thực tính Tính bảo mật Thường thư số
độc lập và xác thực thông
toàn vẹn của các tài thấp hơn so từ 2-5
tin của người yêu cầu, bằng liệu, thông tin và với chữ ký năm
cách kiểm tra các giấy tờ, ứng dụng e máy điện tử
thông tin cá nhân và các quy tính
trình xác thực khác
https://ictvietnam.vn/lazada-gap-su-co-lon-ve-du-lieu-khach-hang-tam-quan-trong-viec-tich-hop- he-thong-30842.html https://bõm.so/zVATqy
https://daibieunhandan.vn/nghi-vien-the-gioi-viet-nam-va-the-gioi/grabcar-lam-ro-ri-du-lieu-ca-
nhan-khach-hang-va-xu-ly-cua-pdpc-i303085/?
fbclid=IwAR0uMSg7OlSklsdkuEDjt5_fOvwSWGrQy9hMrvUl1x8_nSyuxlaN5SihfbY
https://tuoitre.vn/tai-xe-xe-cong-nghe-muon-tai-khoan-nguy-hiem-rinh-rap-hanh-khach- 20200421105724807
Linkgroup3:https://amp.dantri.com.vn/kinh-doanh/gia-cuoc-taxi-xanh-sm-dung-o-dau-so-voi-
grab-be-mai-linh-20230414160326614.htm 1. Nhóm 1: SHOPEE
https://laodong.vn/ban-doc/mat-sach-tien-trong-tai-khoan-vi-bi-lua-trung-
thuong-tu-shopee-gia-991731.ldo?
fbclid=IwAR1N5PoOjGR_xDQRIf6ooak1mls9LVgpMc8BAZXPT7l2cxyG3d oG4zRKRQ8
Nội dung: được phản ánh của bạn đọc về việc mình bị lừa mất sạch tiền trong
tài khoản ngân hàng bằng thủ đoạn giả mạo thông báo trúng thưởng từ
sàn thương mại điện tử Shopee.
=> Các mối đe dọa: Tấn công giả mạo
=> Shoppe không có lỗi. ISP phối hợp Shoppee và cơ quan an toàn và bảo mật
thông tin mạng tìm IP bên lừa đảo, hỗ trợ khách hàng. Bên VAN (bên cung cấp và
chịu trách nhiệm bảo mật sàn) bồi thường 40tr => Giải pháp:
o Hỗ trợ khách hàng tố giác đến cơ quan chức năng.
o Bộ phận CSKH của Shopee thông báo đến khách hàng và đối tác các đặc
điểm để nhận dạng trang web giả mạo.
o Thực hiện các chính sách mã hoá thông tin sản phẩm để hacker khó đánh
cắp dữ liệu, tối ưu các phương pháp bảo mật như xác thực hai lớp, không
hiện thông tin khách hàng, dấu mộc riêng của shopee trên từng sản phẩm,...
o Cung cấp kiến thức an ninh mạng cho nhân viên và phổ biến đến khách hàng, đối tác.
o Báo ngay cho cơ quan chức năng khi phát hiện trang web giả mạo.
2. Nhóm 2: LAZADA: https://ictvietnam.vn/lazada-gap-su-co-lon-ve-du-lieu-
khach-hang-tam-quan-trong-viec-tich-hop-he-thong-30842.html
Nội dung: Xâm phạm dữ liệu khách hàng - 1,1 triệu tài khoản người dùng của Redmart bị xâm phạm
=> Các mối đe dọa: Tấn công giả mạo => Giải pháp: Risk Control Status
Rủi ro về tấn công giả mạo doanh nghiệp Gửi email khẩn cấp tới khách hàng Gửi email
từ việc gửi email và đánh lừa là từ
và đăng lên website để cảnh báo
Lazada để đề nghị khách hàng cung cấp
người dùng cảnh giác với những Đăng lên thêm thông tin. email lừa đảo. website
Dữ liệu không được bảo mật trên nền
Để an toàn an ninh, an toàn tất cả tài Đăng xuất tảng thanh toán Online.
khoản đang sử dụng của khách hàng
bị lấy trộm đều được Lazada đăng Đăng xuất.
Khi khách hàng đăng nhập sẽ yêu nhập lại
cầu tạo tài khoản mới.
Cơ sở dữ liệu cũ từ 2019 không được
Chặn quyền truy cập vào cơ sở dữ Quyền
cập nhật dẫn đến việc bị đánh cắp dữ liệu ngay lập tức. truy cập liệu.
Củng cố cơ sở hạ tầng bảo mật của Công cụ Lazada bảo mật 3. Nhóm 3: taxi sm
https://amp.dantri.com.vn/kinh-doanh/gia-cuoc-taxi-xanh-sm-dung-o-dau-
so-voi-grab-be-mai-linh-20230414160326614.htm 4. Nhóm 4: BE
https://tuoitre.vn/tai-xe-xe-cong-nghe-muon-tai-khoan-nguy-hiem-rinh-rap- hanh-khach-20200421105724807
Nội dung: kẹt đường truyền mạng vào giờ cao điểm, khách hàng đặt xe có 5 tài xế đến cùng lúc
=> Các mối đe dọa: Dos/DDOS
=> Bên VAN sẽ tăng cường băng thông. Bên ASP sẽ chịu đền bù dựa trên chi phí cước dịch vụ => Giải pháp:
• Bên VAN sẽ tăng cường băng thông
• ASP sẽ chịu đền bù dựa trên chi phí cước dịch vụ (xử lý 2% trường hợp bị
lỗi trong ngày, còn 18% sẽ thanh toán cuối tháng) • • 5. Nhóm 5: GRABCAR
https://daibieunhandan.vn/nghi-vien-the-gioi-viet-nam-va-the-gioi/grabcar-
lam-ro-ri-du-lieu-ca-nhan-khach-hang-va-xu-ly-cua-pdpc-i303085/?
fbclid=IwAR0uMSg7OlSklsdkuEDjt5_fOvwSWGrQy9hMrvUl1x8_nSyuxlaN 5SihfbY
Nội dung: GRABCAR LÀM RÒ RỈ DỮ LIỆU CÁ NHÂN KHÁCH HÀNG VÀ
XỬ LÝ CỦA PDPC (Luật Bảo vệ dữ liệu cá nhân) LỚP THẦY CÔNG 12 .
Webtrust là một chương trình chứng thực và chứng nhận được phát triển bởi hiệp hội kế toán công
cộng của Mỹ AICPA. Nó là một chương trình chứng thực và chứng nhận được thiết kế để đảm bảo sự tin
cậy, an toàn trong hoạt động trực tuyến của các nhà cung cấp dịch vụ. 16 .
man in the middle attack là một cuộc tấn công mạng trong đó kẻ tấn công bí mật chuyển tiếp và có thể
thay đổi thông tin liên lạc giữa hai bên mà họ tin rằng họ đang liên lạc trực tiếp với nhau mà họ tin rằng
họ đang liên lạc trực tiếp với nhau như kẻ tấn công đã chèn giữa 2 bên
22. các lớp bảo mật trong môi trường tmđt:
lớp máy chủ an toàn của hệ điều hành server, sự sẵn sàng của chương trình an ninh, danh sách đen về các địa chỉ IP.
Lớp website quy trình mã hoá xác thực người dùng khả ngăn chặn Ddos.
Lớp truyền tải truyền tin và các gói tin giữa end user & server 15 SSL
Là viết tắt của Secure Sockets Layer, một giao thức được thiết kế để xây dựng mối liên kết an toàn
giữa máy chủ và trình duyệt web.
Đảm bảo tất cả các dữ liệu truyền giữa các máy chủ web và các trình duyệt mang tính riêng tư, tách rời.
Hoạt động bằng cách sử dụng mã hoá đối xứng và bất đối xứng để bảo vệ dữ liệu truyền. Dữ liệu
được mã hoá trước khi được gửi từ trình duyệt web của người dùng đến máy chủ.
SSL còn được sử dụng để xác định danh tính của máy chủ web và đảm bảo người dùng đang kết nối với máy chủ đúng. 6.
Giạn lận thẻ tín dụng là hình thức giận lận sử dụng công nghệ cao để đánh cắp thông tin thẻ tín dụng.
Hình thức : Bị trộm thẻ và thanh toán bắt kẻ trộm, hacker dùng công nghệ cao đánh cắp thông tin qua
Internet, rút trộm từ ATM, làm giả thẻ.
Giải pháp : Luôn lưu ý, cẩn trọng khi quẹt thẻ hoặc rút tiền ở ATM. Cài đặt các phần mềm chống virut
trên máy tính và điện thoại, không bấm vào link lạ, email lạ. Kiểm tra độ uy tín của các website bán
hàng khi mua. Chỉ đăng ký các dịch vụ thanh toán mạng khi thực sự cần thiết. 4
mã hoá là quá trình biến đổi thông tin thành một dạng mã hoá để người khác đọc được. khi thông tin
được mã hoá chỉ có thể giải mã bằng người dùng có khoá giải
Public key: một khoá đc sử dụng để mã hoá dữ liệu và có thể chia sẻ công khai với mọi người. người
dùng sử dụng khoá công khai để mã hoá dữ liệu trước khi gửi
Private key: một khoá để sử dụng để giải mã dữ liệu và không được chia sẻ với bất kì ai khác. người
sử dụng dùng khoá để giait mã dữ liệu khi nhận được nó 1.
- [ ] sàn tmđt là 1 nơi cho phép các dn và cá nhân bán hàng trực tuyến. quy chế hoạt động của sàn
tmđt bao gồm quyền và nghĩa vụ của thương nhân tổ chức cung cấp dịch vụ sàn tmđt và quyền và
nghĩa vụ của ng sử dụng dịch vụ trên tmđt. ngoài ra quy chế hoạt động còn mô tả quá trình giao dịch
có thể tiến hành trên các sàn tmđt. 5
Những cách hạn chế hoạt động tội phạm mạng
DN cần tăng cường an ninh mạng bằng cách
duy trì các phần mền bảo mật mạnh
DN cần thiết lập các chính sách và quy trình an ninh mạng rõ ràng và đầy đủ.
DN phải đảm bảo sử dụng các biện pháp bảo mật tiên tiến.
DN cần tổ chức các buổi đào tạo thường xuyên để hiểu rõ các mối đe doạ mạng và cách phòng chống.
DN cần liên tục cập nhật và kiểm tra hệ thống để đảm bảo rằng các bảo mật hoạt động đúng cách. 13 Đánh giá nguy cơ
Thiết lập các chính sách bảo mật
Cài đặt các biện pháp bảo mật
Đào tạo nhân viên về an ninh mạng
Kiểm tra và đánh giá hệ thống
Sử dụng phương pháp bảo mật tiên tiến
Đảm bảo tuân thut các quy định bảo vệ dữ liệu
Theo dọ và báo cáo các sự cố bào mật 11
giao thức bảo mật tmđt là giao thức để sử dụng bảo vệ an toàn thông tin và giao dịch trực tuyến giữa
người dùng và trang web tmđt
các giao thức phổ biến
SSL secure socket layer
TLS transport layer security
SET secure electronic transtion
S-HTTP secure hypertext-transfer protocol
IPSEC internet protocol security 7 DoS DDoS
• Chỉ hệ thống nhắm mục tiêu vào hệ thống
• Nhiều hệ thống tấn công hệ thống nạn nhân nạn nhân
• Được Load dữ liệu từ 1 vị trí
• Load từ gói dữ liệu gửi từ nhiều vị
• Tấn công DoS chậm hơn DDoS trí
• Lưu lượng truy cập ít
• Tấn công DDoS nhanh hơn tấn
• Dễ theo dõi, dễ ngăn chặn công DoS
• Lưu lượng truy cập lớn, • Dùng nhiều Bot
• Khó theo dõi, dễ tấn công các mối đe dọa 9
chữ ký điện tử (e-signature)được tạo lập dưới dạng: số, chữ, từ, ký hiệu, âm thanh bằng
phương tiện điện tử để xác minh người ký có trách nhiệm với văn bản điện tử và sự
chấp thuận của người đó với nội dung thông điệp ký
Nguyên tắc sử dụng :
Sử dụng hoặc không để ký điện tử để ký thông điệp dữ liệu trong quá trình giao dịch
Sử dụng hoặc không sử dụng chữ ký điện tử có chứng thực
Lựa chọn tổ chức dịch vụ chứng thực chữ ký điện tử trong trường hợp thỏa thuận
sử dụng chữ ký điện tử có chứng thực
- chứng thư điện tử(digital cẻtificate) là dịch vụ chứng thực chữ ký điện tử nhằm
đảm bảo chống từ chối bởi người ký và đảm bảo tính toàn vẹn của hợp đồng điện