Đồ án: Nghiên cứu bảo mật thông tin trên hệ thống ATM (Automatic Teller Machine) - Trần Minh Quang

Nghiên cứu chuyên sâu về bảo mật ATM. Tìm hiểu các lỗ hổng hệ thống phổ biến và giải pháp tăng cường an ninh, bảo vệ tiền mặt & thông tin người dùng.

Chuyên ngành

Công nghệ thông tin

Người đăng

Ẩn danh

Thể loại

Đồ án tốt nghiệp

2022

73
2
0

Phí lưu trữ

30 Point

Mục lục chi tiết

LỜI MỞ ĐẦU

1. CHƯƠNG 1: TỔNG QUAN VỀ MÁY ATM VÀ HỆ THỐNG THANH TOÁN TỰ ĐỘNG ATM

1.1. Sự phát triển của máy ATM

1.2. Tình hình sử dụng máy ATM

1.3. Định nghĩa máy ATM

1.4. Cấu tạo của máy ATM

1.5. Cấu trúc hệ thống thanh toán ATM

1.6. Tổng quan hệ thống thanh toán ATM

1.7. Giao thức kết nối hệ thống ATM

1.8. Lợi ích của việc sử dụng máy ATM

1.9. Các dịch vụ trên máy ATM

2. CHƯƠNG 2: HỆ THỐNG THANH TOÁN ATM CHO THẺ TỪ VÀ THẺ CHIP

2.1. Hệ thống thanh toán cho thẻ từ

2.2. Cấu trúc của số thẻ

2.3. Định dạng thông điệp (message) của máy ATM

2.4. Hệ thống thanh toán ATM cho thẻ chip

2.5. Tổng quan về thẻ chip

2.6. Phân loại thẻ chip

2.7. Các thành phần trong kiến trúc của thẻ chip

3. CHƯƠNG 3: CƠ CHẾ BẢO MẬT VÀ AN TOÀN THÔNG TIN TRÊN HỆ THỐNG ATM

3.1. Thuật toán, khóa bí mật và thiết bị mã hóa trong hệ thống ATM

3.2. Khóa bí mật trong hệ thống ATM

3.3. Thiết bị mã hóa trong hệ thống ATM

3.4. Cơ chế mã hóa và giải mã số PIN trong hệ thống ATM

3.5. Định nghĩa số PIN - Personal Identification Number

3.6. Mã hóa PIN tại ATM

3.7. Xác thực PIN tại HSM

3.8. Một số giải pháp bảo mật và đảm bảo an toàn thông tin trong hệ thống ATM

3.9. Kiểm tra tính đúng đắn số thẻ - Card number Check Digit

3.10. Xác thực tính hợp lệ của thẻ - Card Authentication Values

3.11. Bảo đảm an toàn thông tin giao dịch

3.12. Bảo đảm an toàn phần mềm ATM

3.13. Bảo đảm an toàn hệ điều hành

3.14. Bảo đảm an toàn chống tấn công vật lý

3.15. Bảo đảm an toàn từ phía ngân hàng

3.16. Bảo đảm an toàn từ phía người dùng

4. CHƯƠNG 4: ĐỀ XUẤT GIẢI PHÁP ĐẢM BẢO TÍNH AN TOÀN, BẢO MẬT THÔNG TIN CHO HỆ THỐNG ATM

4.1. Gợi ý cách quản lý số PIN

4.2. Sử dụng kỹ thuật hàm Hash để mã hóa số PIN

4.3. Giới thiệu hàm Hash – hàm băm

4.4. Ứng dụng hàm Hash vào mã hóa số PIN

4.5. Nhập số PIN không dùng bàn phím

4.6. Bảo đảm toàn vẹn nguồn gốc thông tin (MAC- Message Authentication Code)

4.7. Định nghĩa MAC

4.8. Chế độ hoạt động CBC

4.9. Xác thực thông điệp MAC giữa ATM và hệ thống Switch

4.10. Bảo đảm an toàn trên đường truyền

TÀI LIỆU THAM KHẢO

Tóm tắt

I. Tìm hiểu về Bảo mật ATM Tổng quan hệ thống và rủi ro

Hệ thống ATM (Automatic Teller Machine) đã trở thành một phần không thể thiếu trong cuộc sống hiện đại, mang lại sự tiện lợi cho người dùng trong việc giao dịch tài chính. Tuy nhiên, sự phát triển nhanh chóng của công nghệ cũng đi kèm với những rủi ro về an ninh ATMbảo mật thẻ ATM. Các hình thức gian lận ATM ngày càng tinh vi, đòi hỏi các tổ chức tài chính phải liên tục nâng cao hệ thống bảo mật ATM để bảo vệ tài sản của khách hàng và uy tín của ngân hàng. Bài viết này sẽ đi sâu vào nghiên cứu hệ thống bảo mật ATM, phân tích các lỗ hổng tiềm ẩn và đề xuất các giải pháp bảo mật ATM hiệu quả.

Theo thống kê, số lượng tấn công ATM đã tăng đáng kể trong những năm gần đây, gây thiệt hại không nhỏ cho cả người dùng và ngân hàng. Các hình thức tấn công phổ biến bao gồm ATM skimming, sử dụng phần mềm độc hại ATM và tấn công vật lý vào máy ATM. Để đối phó với những thách thức này, việc hiểu rõ về hệ thống bảo mật ATM và áp dụng các biện pháp phòng chống gian lận ATM là vô cùng quan trọng. Mục tiêu của bài viết này là cung cấp một cái nhìn toàn diện về ATM Security, từ đó giúp các chuyên gia an ninh mạng và các nhà quản lý ngân hàng có thể đưa ra các quyết định sáng suốt để bảo vệ hệ thống ATM một cách hiệu quả nhất. Việc đảm bảo an toàn ATM không chỉ là trách nhiệm của ngân hàng mà còn là sự hợp tác giữa ngân hàng và khách hàng, thông qua việc nâng cao nhận thức về các rủi ro và tuân thủ các biện pháp bảo mật ATM cơ bản.

Các biện pháp kiểm soát ATM cần được thực hiện một cách chặt chẽ và thường xuyên để đảm bảo tính hiệu quả. Điều này bao gồm việc kiểm tra camera an ninh ATM, cập nhật phần mềm bảo mật ATM và tuân thủ các tiêu chuẩn bảo mật ATM quốc tế. Ngân hàng cần phối hợp chặt chẽ với các cơ quan chức năng để điều tra và xử lý các vụ gian lận ATM, đồng thời tăng cường giáo dục khách hàng về bảo mật ATM. Chỉ khi có sự phối hợp đồng bộ giữa các bên liên quan, chúng ta mới có thể xây dựng một hệ thống ATM an toàn và đáng tin cậy, góp phần vào sự phát triển bền vững của ngành tài chính.

1.1. Các phương thức tấn công gian lận ATM Chi tiết và phân loại

Các phương thức tấn công gian lận ATM ngày càng trở nên tinh vi và đa dạng, đòi hỏi các biện pháp bảo mật ATM phải liên tục được cập nhật và cải tiến. Một trong những hình thức phổ biến nhất là ATM skimming, trong đó kẻ gian sử dụng các thiết bị đọc trộm gắn vào máy ATM để thu thập thông tin thẻ của người dùng. Thông tin này sau đó được sử dụng để tạo ra các thẻ giả mạo và rút tiền trái phép.

Một hình thức tấn công khác là sử dụng phần mềm độc hại ATM, được cài đặt vào hệ thống ATM để kiểm soát và thao túng máy. Phần mềm độc hại ATM có thể được sử dụng để đánh cắp thông tin thẻ, ghi lại số PIN hoặc thậm chí rút tiền trực tiếp từ máy ATM. Các cuộc tấn công vật lý vào máy ATM cũng là một mối đe dọa nghiêm trọng, trong đó kẻ gian sử dụng các công cụ như khoan, cắt hoặc chất nổ để phá hoại máy ATM và lấy cắp tiền.

Ngoài ra, còn có các hình thức tấn công trực tuyến vào hệ thống ATM, chẳng hạn như tấn công từ chối dịch vụ (DDoS) hoặc tấn công vào các giao thức bảo mật ATM. Các cuộc tấn công này có thể làm gián đoạn hoạt động của hệ thống ATM và gây ra thiệt hại tài chính đáng kể. Để đối phó với những thách thức này, các tổ chức tài chính cần áp dụng các biện pháp phòng chống gian lận ATM toàn diện, bao gồm việc tăng cường bảo mật vật lý ATM, nâng cấp phần mềm bảo mật ATM và đào tạo nhân viên về các mối đe dọa an ninh ATM mới nhất. Việc nâng cao nhận thức của khách hàng về các rủi ro bảo mật ATM và cách phòng tránh cũng là một phần quan trọng của chiến lược bảo mật ATM tổng thể.

1.2. Rủi ro bảo mật ATM cho ngân hàng và khách hàng Phân tích chi tiết

Rủi ro bảo mật ATM không chỉ ảnh hưởng đến ngân hàng mà còn gây ra những hậu quả nghiêm trọng cho khách hàng. Đối với ngân hàng, các vụ gian lận ATM có thể dẫn đến thiệt hại tài chính trực tiếp, chi phí điều tra và bồi thường, cũng như ảnh hưởng tiêu cực đến uy tín và thương hiệu. Các tấn công ATM thành công có thể làm suy yếu lòng tin của khách hàng vào hệ thống ATM và các dịch vụ ngân hàng trực tuyến, dẫn đến giảm doanh thu và lợi nhuận.

Đối với khách hàng, rủi ro bảo mật ATM có thể dẫn đến mất tiền trong tài khoản, bị đánh cắp thông tin cá nhân và tài chính, cũng như gặp phải những phiền toái và căng thẳng do quá trình khiếu nại và giải quyết tranh chấp. Các vụ ATM skimmingphishing có thể khiến khách hàng trở thành nạn nhân của gian lận ATM và mất tiền một cách oan uổng.

Để giảm thiểu rủi ro bảo mật ATM cho cả ngân hàngkhách hàng, việc áp dụng các biện pháp bảo mật ATM toàn diện là vô cùng quan trọng. Điều này bao gồm việc tăng cường bảo mật vật lý ATM, nâng cấp phần mềm bảo mật ATM, tuân thủ các tiêu chuẩn bảo mật ATM và tăng cường giáo dục khách hàng về bảo mật ATM. Ngân hàng cần phối hợp chặt chẽ với các cơ quan chức năng để điều tra và xử lý các vụ gian lận ATM, đồng thời tăng cường giám sát ATMkiểm soát ATM để phát hiện và ngăn chặn các hành vi tấn công ATM kịp thời. Việc xây dựng một hệ thống ATM an toàn và đáng tin cậy là trách nhiệm chung của cả ngân hàngkhách hàng, và đòi hỏi sự hợp tác và nỗ lực không ngừng.

II. Giải pháp bảo mật ATM Các phương pháp và công nghệ bảo mật ATM

Để đối phó với các mối đe dọa an ninh ATM ngày càng gia tăng, các tổ chức tài chính cần áp dụng các giải pháp bảo mật ATM toàn diện và hiệu quả. Các giải pháp bảo mật ATM này bao gồm cả các biện pháp bảo mật vật lý ATMbảo mật phần mềm ATM, cũng như các biện pháp kiểm soát ATMgiám sát ATM chặt chẽ.

Công nghệ bảo mật ATM đóng vai trò quan trọng trong việc bảo vệ hệ thống ATM khỏi các tấn công ATM. Các công nghệ bảo mật ATM phổ biến bao gồm mã hóa dữ liệu, xác thực đa yếu tố, phát hiện xâm nhập và phản ứng sự cố. Mã hóa dữ liệu giúp bảo vệ thông tin thẻ và số PIN của khách hàng trong quá trình truyền tải và lưu trữ. Xác thực đa yếu tố yêu cầu khách hàng cung cấp nhiều hơn một hình thức xác thực, chẳng hạn như số PIN và mã OTP (One-Time Password), để tăng cường bảo mật ATM.

Phát hiện xâm nhập và phản ứng sự cố giúp phát hiện và ngăn chặn các hành vi tấn công ATM kịp thời, cũng như giảm thiểu thiệt hại do các cuộc tấn công gây ra. Ngoài ra, các biện pháp bảo mật vật lý ATM như lắp đặt camera an ninh ATM, tăng cường kiểm soát ra vào ATM và sử dụng các thiết bị chống ATM skimming cũng đóng vai trò quan trọng trong việc bảo vệ máy ATM khỏi các tấn công ATM vật lý. Việc tuân thủ các tiêu chuẩn bảo mật ATM quốc tế như PCI DSS (Payment Card Industry Data Security Standard) cũng là một yếu tố quan trọng để đảm bảo an toàn ATMbảo mật thẻ ATM.

2.1. Tăng cường bảo mật vật lý ATM Camera an ninh và kiểm soát ra vào

Tăng cường bảo mật vật lý ATM là một phần quan trọng của chiến lược bảo mật ATM tổng thể. Camera an ninh ATM đóng vai trò quan trọng trong việc ghi lại hình ảnh và video của các hoạt động diễn ra xung quanh máy ATM, giúp phát hiện và ngăn chặn các hành vi tấn công ATMATM skimming. Các camera an ninh ATM nên được lắp đặt ở vị trí chiến lược để có thể quan sát rõ khuôn mặt của người dùng, bàn phím nhập PIN và khe cắm thẻ.

Kiểm soát ra vào ATM cũng là một biện pháp quan trọng để hạn chế quyền truy cập vào máy ATM và ngăn chặn các hành vi phá hoại hoặc trộm cắp. Các máy ATM nên được đặt trong các khu vực có kiểm soát ra vào chặt chẽ, chẳng hạn như sảnh ngân hàng hoặc khu vực có bảo vệ. Việc sử dụng thẻ từ hoặc mã PIN để truy cập vào khu vực ATM cũng có thể giúp tăng cường bảo mật ATM.

Ngoài ra, việc lắp đặt các thiết bị chống ATM skimming như thiết bị chống sao chép khe cắm thẻ và bàn phím che PIN cũng là một biện pháp hiệu quả để ngăn chặn các hành vi gian lận ATM. Các thiết bị này giúp bảo vệ thông tin thẻ và số PIN của người dùng khỏi bị đánh cắp bởi kẻ gian. Việc kiểm tra và bảo trì thường xuyên các thiết bị bảo mật vật lý ATM là rất quan trọng để đảm bảo tính hiệu quả của chúng.

2.2. Bảo mật phần mềm ATM Mã hóa dữ liệu và xác thực đa yếu tố

Bảo mật phần mềm ATM là một yếu tố quan trọng khác trong việc bảo vệ hệ thống ATM khỏi các tấn công ATM. Mã hóa dữ liệu giúp bảo vệ thông tin thẻ và số PIN của khách hàng trong quá trình truyền tải và lưu trữ. Các giao thức bảo mật ATM như SSL (Secure Sockets Layer) và TLS (Transport Layer Security) nên được sử dụng để mã hóa dữ liệu truyền giữa máy ATM và hệ thống ngân hàng.

Xác thực đa yếu tố yêu cầu khách hàng cung cấp nhiều hơn một hình thức xác thực, chẳng hạn như số PIN và mã OTP (One-Time Password), để tăng cường bảo mật ATM. Mã OTP có thể được gửi đến điện thoại di động của khách hàng hoặc được tạo ra bởi một thiết bị tạo mã. Việc sử dụng xác thực đa yếu tố giúp ngăn chặn các hành vi gian lận ATM ngay cả khi kẻ gian đã có được thông tin thẻ và số PIN của người dùng.

Ngoài ra, việc cập nhật phần mềm bảo mật ATM thường xuyên là rất quan trọng để vá các lỗ hổng an ninh ATM và bảo vệ hệ thống khỏi các tấn công ATM mới nhất. Các bản cập nhật phần mềm bảo mật ATM thường bao gồm các bản vá lỗi, các cải tiến bảo mật và các tính năng mới để tăng cường an toàn ATM.

III. Tiêu chuẩn bảo mật ATM Tuân thủ và đánh giá hiệu quả

Việc tuân thủ các tiêu chuẩn bảo mật ATM quốc tế là một yếu tố quan trọng để đảm bảo an toàn ATMbảo mật thẻ ATM. Các tiêu chuẩn bảo mật ATM phổ biến bao gồm PCI DSS (Payment Card Industry Data Security Standard), EMV (Europay, MasterCard, Visa) và các tiêu chuẩn của tổ chức ISO (International Organization for Standardization).

PCI DSS là một tiêu chuẩn bảo mật ATM toàn diện, bao gồm các yêu cầu về bảo mật vật lý ATM, bảo mật phần mềm ATM, kiểm soát truy cập ATM, giám sát ATM và phản ứng sự cố. EMV là một tiêu chuẩn bảo mật ATM tập trung vào việc sử dụng thẻ chip để tăng cường bảo mật ATM và giảm thiểu gian lận ATM. Các tiêu chuẩn của ISO cung cấp các hướng dẫn về quản lý rủi ro bảo mật ATM, kiểm soát ATM và đánh giá hiệu quả bảo mật ATM.

Việc đánh giá hiệu quả bảo mật ATM là rất quan trọng để đảm bảo rằng các biện pháp bảo mật ATM đang được thực hiện một cách hiệu quả và đáp ứng được các mối đe dọa an ninh ATM mới nhất. Đánh giá hiệu quả bảo mật ATM có thể được thực hiện thông qua các cuộc kiểm tra an ninh ATM định kỳ, thử nghiệm xâm nhập và đánh giá lỗ hổng an ninh ATM.

3.1. Tiêu chuẩn PCI DSS Yêu cầu và quy trình tuân thủ bảo mật ATM

Tiêu chuẩn PCI DSS (Payment Card Industry Data Security Standard) là một tiêu chuẩn bảo mật ATM toàn diện, bao gồm các yêu cầu về bảo mật vật lý ATM, bảo mật phần mềm ATM, kiểm soát truy cập ATM, giám sát ATM và phản ứng sự cố. Tiêu chuẩn PCI DSS được áp dụng cho tất cả các tổ chức tài chính xử lý thông tin thẻ tín dụng và thẻ ghi nợ, bao gồm cả các ngân hàng vận hành hệ thống ATM.

Để tuân thủ tiêu chuẩn PCI DSS, các ngân hàng cần thực hiện một loạt các biện pháp bảo mật ATM, bao gồm: Cài đặt và duy trì tường lửa để bảo vệ hệ thống ATM khỏi các tấn công ATM mạng. Mã hóa dữ liệu thẻ tín dụng và thẻ ghi nợ trong quá trình truyền tải và lưu trữ. Sử dụng phần mềm diệt virus và cập nhật thường xuyên. Phát triển và duy trì các hệ thống và ứng dụng an toàn. Hạn chế quyền truy cập vào dữ liệu thẻ tín dụng và thẻ ghi nợ. Gán một ID duy nhất cho mỗi người có quyền truy cập vào hệ thống ATM. Kiểm tra và kiểm tra thường xuyên các hệ thống bảo mật và quy trình. Duy trì một chính sách bảo mật ATM rõ ràng và dễ hiểu.

Việc tuân thủ tiêu chuẩn PCI DSS là một quá trình liên tục, đòi hỏi các ngân hàng phải liên tục đánh giá và cải thiện các biện pháp bảo mật ATM của mình để đáp ứng được các mối đe dọa an ninh ATM mới nhất.

3.2. Các tiêu chuẩn EMV và ISO So sánh và ứng dụng trong bảo mật ATM

Ngoài tiêu chuẩn PCI DSS, các tiêu chuẩn EMV (Europay, MasterCard, Visa) và ISO (International Organization for Standardization) cũng đóng vai trò quan trọng trong việc bảo mật ATM. Tiêu chuẩn EMV tập trung vào việc sử dụng thẻ chip để tăng cường bảo mật ATM và giảm thiểu gian lận ATM. Thẻ chip sử dụng một con chip nhỏ để lưu trữ thông tin thẻ thay vì dải từ truyền thống, giúp ngăn chặn các hành vi ATM skimminggian lận ATM liên quan đến thẻ giả mạo.

Các tiêu chuẩn ISO cung cấp các hướng dẫn về quản lý rủi ro bảo mật ATM, kiểm soát ATM và đánh giá hiệu quả bảo mật ATM. Các tiêu chuẩn ISO có thể giúp các ngân hàng xây dựng và duy trì một hệ thống bảo mật ATM toàn diện và hiệu quả. So sánh tiêu chuẩn EMV và ISO: Tiêu chuẩn EMV tập trung vào công nghệ thẻ chip và các giao thức thanh toán an toàn, trong khi các tiêu chuẩn ISO cung cấp một khuôn khổ rộng hơn cho quản lý rủi ro bảo mật ATMkiểm soát ATM. Các ngân hàng có thể sử dụng cả hai loại tiêu chuẩn này để tăng cường an toàn ATMbảo mật thẻ ATM.

Ví dụ, các ngân hàng có thể tuân thủ tiêu chuẩn EMV bằng cách phát hành thẻ chip và nâng cấp máy ATM để hỗ trợ đọc thẻ chip. Đồng thời, các ngân hàng có thể tuân thủ các tiêu chuẩn ISO bằng cách thực hiện đánh giá rủi ro bảo mật ATM định kỳ, xây dựng các chính sách bảo mật ATM và đào tạo nhân viên về các mối đe dọa an ninh ATM.

IV. Nghiên cứu điển hình Bảo mật ATM trong thực tế và bài học kinh nghiệm

Nghiên cứu các trường hợp thực tế về bảo mật ATM có thể cung cấp những bài học kinh nghiệm quý giá cho các tổ chức tài chính. Các trường hợp tấn công ATM thành công và thất bại có thể giúp các ngân hàng hiểu rõ hơn về các lỗ hổng an ninh ATM và các biện pháp bảo mật ATM hiệu quả.

Ví dụ, một nghiên cứu về một vụ ATM skimming thành công có thể cho thấy rằng các biện pháp bảo mật vật lý ATM như camera an ninh ATM và thiết bị chống sao chép khe cắm thẻ đã không được thực hiện một cách đầy đủ. Điều này có thể giúp các ngân hàng nhận ra tầm quan trọng của việc tăng cường bảo mật vật lý ATM và thực hiện các biện pháp kiểm soát ATM chặt chẽ hơn.

Một nghiên cứu về một vụ tấn công ATM mạng không thành công có thể cho thấy rằng các biện pháp bảo mật phần mềm ATM như tường lửa và phần mềm diệt virus đã hoạt động hiệu quả trong việc ngăn chặn cuộc tấn công. Điều này có thể giúp các ngân hàng củng cố niềm tin vào các biện pháp bảo mật phần mềm ATM của mình và tiếp tục đầu tư vào các công nghệ bảo mật ATM mới nhất.

4.1. Phân tích các vụ gian lận ATM Nguyên nhân và hậu quả

Phân tích các vụ gian lận ATM là một bước quan trọng để hiểu rõ hơn về các lỗ hổng an ninh ATM và phát triển các biện pháp phòng chống gian lận ATM hiệu quả. Các vụ gian lận ATM có thể xảy ra do nhiều nguyên nhân, bao gồm ATM skimming, phishing, phần mềm độc hại ATM và tấn công vật lý.

ATM skimming là một hình thức gian lận ATM phổ biến, trong đó kẻ gian sử dụng các thiết bị đọc trộm gắn vào máy ATM để thu thập thông tin thẻ của người dùng. Phishing là một hình thức gian lận ATM khác, trong đó kẻ gian sử dụng các email hoặc tin nhắn giả mạo để lừa người dùng cung cấp thông tin cá nhân và tài chính. Phần mềm độc hại ATM có thể được cài đặt vào hệ thống ATM để kiểm soát và thao túng máy, cho phép kẻ gian đánh cắp thông tin thẻ, ghi lại số PIN hoặc thậm chí rút tiền trực tiếp từ máy ATM.

Tấn công vật lý vào máy ATM cũng là một nguyên nhân gây ra các vụ gian lận ATM. Kẻ gian có thể sử dụng các công cụ như khoan, cắt hoặc chất nổ để phá hoại máy ATM và lấy cắp tiền. Hậu quả của các vụ gian lận ATM có thể rất nghiêm trọng, bao gồm thiệt hại tài chính cho cả người dùng và ngân hàng, chi phí điều tra và bồi thường, cũng như ảnh hưởng tiêu cực đến uy tín và thương hiệu của ngân hàng.

4.2. Bài học từ các vụ tấn công lớn Giải pháp và phòng ngừa

Các vụ tấn công lớn vào hệ thống ATM có thể cung cấp những bài học kinh nghiệm quý giá cho các tổ chức tài chính. Ví dụ, vụ tấn công Carbanak vào năm 2015 đã cho thấy rằng các hệ thống ngân hàng có thể bị tấn công thông qua các lỗ hổng trong an ninh mạng. Kẻ gian đã sử dụng phần mềm độc hại để xâm nhập vào hệ thống ngân hàng và chuyển tiền trái phép từ các tài khoản ATM.

Bài học từ vụ tấn công Carbanak là các ngân hàng cần tăng cường bảo mật mạng, thực hiện đánh giá rủi ro an ninh ATM thường xuyên và đào tạo nhân viên về các mối đe dọa an ninh mạng mới nhất. Vụ tấn công ATM Jackpotting vào năm 2016 đã cho thấy rằng các máy ATM có thể bị tấn công vật lý để rút tiền trái phép. Kẻ gian đã sử dụng phần mềm độc hại để điều khiển máy ATM và rút tiền một cách tự động.

Bài học từ vụ tấn công ATM Jackpotting là các ngân hàng cần tăng cường bảo mật vật lý ATM, sử dụng các thiết bị chống ATM skimming và thực hiện giám sát ATM chặt chẽ hơn. Để phòng ngừa các vụ tấn công lớn vào hệ thống ATM, các ngân hàng cần áp dụng các biện pháp bảo mật ATM toàn diện, bao gồm cả bảo mật vật lý ATMbảo mật phần mềm ATM, cũng như các biện pháp kiểm soát ATMgiám sát ATM chặt chẽ. Các ngân hàng cũng cần phối hợp chặt chẽ với các cơ quan chức năng để chia sẻ thông tin và phối hợp hành động trong trường hợp xảy ra các vụ tấn công ATM.

22/09/2025

Trích đoạn nội dung tài liệu

CHƯƠNG 1 TỔNG QUAN VỀ MÁY ATM VÀ HỆ THỐNG THANH TOÁN TỰ ĐỘNG ATM 1. Sự phát triển của máy ATM. Máy rút tiền đầu tiên trên thế giới được thiết kế và hoàn thành bởi Luther George Simjian (người Thổ Nhĩ Kỳ), vào năm 1939, máy được thiết kế tại thành phố NewYork cho Ngân hàng City Bank of NewYork, nhưng 6 tháng sau thì bị bỏ đi vì ít người dùng. Sau 25 năm, vào ngày 27/6/1967, máy rút tiền điện tử đầu tiên được hãng In De la Rue thiết kế tại Enfield Town (gần London Anh) cho Ngân hàng Barclays Bank.

Người phát minh là John Shepherd-Barron mặc dù Luther George Simjian và một vài người khác cũng đã đăng ký văn bằng phát minh cho loại máy này. Tuy nhiên, nhiều người cho rằng loại máy ATM đầu tiên theo đúng nghĩa ATM mà thế giới ngày nay đang sử dụng chính là loại máy được ra mắt vào năm 1969 tại Ngân hàng Chemical Bank ở NewYork (Mỹ). Tác giả là Don Wetzel, phó giám đốc một công ty chuyên về máy tự động xử lý hành lý. ATM ngày nay là thiết bị để Ngân hàng giao dịch tự động với chủ thẻ, thực hiện thông qua các loại thẻ ATM như thẻ ghi nợ, thẻ ghi có (thẻ tín dụng), và các loại thẻ khác, giúp chủ thẻ kiểm tra tài khoản, rút tiền mặt, chuyển khoản thanh toán hàng hóa, dịch vụ.

Tình hình sử dụng máy ATM. Thanh toán tiền qua hệ thống ATM đã phổ biến trên toàn thế giới và ở Việt Nam hệ thống ATM dần trở nên quen thuộc với mọi người dân. Năm 1993, thị trường thẻ Việt Nam mới xuất hiện những sản phẩm thẻ đầu tiên do Vietcombank phát hành, đến năm 1996 thì thị trưởng thẻ thực sự xuất hiện. Năm 1996, ngân hàng ngoại thương Vietcombank kết hợp cùng ngân hàng nhà nước triển khai lắp đặt 2 chiếc máy rút tiền tự động tại Hà Nội.

Đến nay, chúng ta đã chứng kiến sự phát triển vượt bậc của thị trưởng thẻ và máy ATM tại Việt Nam: với hơn 20 ngân hàng thương mại phát hành Thẻ nội địa, trong đó có 8 Ngân hàng phát hành thẻ Quốc tế. 10 Số lượng thẻ phát hành Năm Gồm thẻ nội địa và quốc tế Số máy ATM Đơn vị: chiếc 1996 360 1997 460 1998 4.1: Số liệu thống kê thị trường thẻ Việt Nam qua các năm (Theo hiệp hội ngân hang Việt Nam và hội thảo Banking Việt Nam 2008) 3. Định nghĩa máy ATM. ATM là máy giao dịch tự động được gọi là hệ thống ngân hang tự động, không chỉ đơn thuần là máy rút tiền tự động mà còn có nhiều dịch vụ khác trên đó như chuyển khoản, thanh toán hóa đơn, các dịch vụ thương mại điện tử…được gọi là hệ thống giao dịch ngân hàng tự động.1 Máy ATM nhìn từ phía trước 11 4.

Cấu tạo của máy ATM. ATM được coi như một thiết bị chuyên biệt được sử dụng trong lĩnh vực ngân hàng, nó là một kênh phục vụ tự động của ngân hàng, do đó nó cần có một cấu tạo đặc biệt để có thể thực hiện các chức năng được yêu cầu. Cấu tạo của máy ATM gồm 2 phần là phần cứng và phần mềm.2 Cấu tạo cơ bản của một máy ATM. Các thiết bị phần cứng có thể được chia như sau: Thiết bị đầu vào Thiết bị đầu ra 12 Máy tính điều khiển Thiết bị đọc thẻ Bàn phím Khe nhận tiền Màn hình hiển thị 13 Thiết bị trả tiền và các khay chứa tiền Thiết bị in biên lai giao dịch Máy ghi nhật kí giao dịch Loa Bảng 1.2: Các thiết bị phần cứng cơ bản Trong máy ATM các thiết bị phần cứng sử dụng các chuẩn giao tiếp sau để kết nối đến máy PC: SDC (Seria Direct Connect), RS 232, Parallel, PCI, ISA, USB 14 4.

Hầu hết các loại máy ATM đều phải có hệ điều hành (OS-operate system), phần mềm điều khiển thiết bị của máy ATM và phần mềm tiện ích kèm theo. Hiện nay, hệ điều hành là Window NT, Window XP. Cấu trúc hệ thống thanh toán ATM. Tổng quan hệ thống thanh toán ATM.

Hệ thống ATM là hệ thống mạng gồm có các thành phần trung tâm như Switch, CoreBank và các hệ thống mạng viễn thông dùng để kết nối các thiết bị thanh toán nhằm giúp cho khách hàng truy cập thuận tiện các dịch vụ một cách nhanh chóng, dịch vụ 24/7 ở bất cứ nơi đâu và vào thời gian nào. Ngoài ra có thể kết nối đến hệ thống mạng của ngân hàng khác. Card Management SWITCH System Core Bank Finance Status Monitoring Statement OTHER ATM Message: SWITCH (Email, SMS ATM ISO 8583, ,Performance Reports) NETWORK Standard Finance Message: Statement 911,912 Message: NDC,NDC+, ATM ATM ATM PO Hình 2.14 Sơ đồ mạng lưới ATM. 15 Core Bank: Hệ thống Ngân hàng cốt lõi, là nơi tập trung CSDL thông tin về ngân hàng và thông tin về tài khoản, kiểu tài khoản, số dư tài khoản, số hạn mức tài khoản của chủ thẻ tham gia vào hệ thống ngân hàng.

Switch: Là một hệ thống phần mềm và phần cứng (thường gọi là hệ thống chuyển mạch) được kết nối trực tiếp với Core bank và các thiết bị đầu cuối ATM, POS. Switch rất quan trọng trong hệ thống ATM, cũng như các giao dịch tài chính khác. Switch là trung tâm của toàn bộ hệ thống, là một thành phần trung gian giữa ATM và cơ sở dữ liệu của ngân hàng. Mọi giao dịch từ ATM đều phải thông qua Switch.

Hệ thống này gồm một số chức năng sau: - Chức năng quản lý thẻ (Card Management): Chức năng này cho phép kết nối đến hệ thống quản lý các thiết bị sản xuất thẻ, cho phép giám sát và quản lý các thẻ được phát hành. - Chức năng kết nối các thiết bị đầu cuối như ATM, POS,… - Chức năng giám sát và điều khiển toàn hệ thống. - Ghi nhật kí và lưu vết giao dịch - Hệ thống cung cấp các giao tiếp với các thiết bị mã hóa cứng HSM, đảm bảo mã hóa, giải mã số PIN và xác thực các thông điệp - Kết nối đến các ngân hàng hay các tổ chức phát hành khác như VISA, MasterCard,… ATM (Automatic Teller Machine): được biết như là một kênh tự phục vụ thông qua thẻ của ngân hàng, như cho phép rút tiền tự động, chuyển khoản, thanh toán hóa đơn, mua vé, các dịch vụ thương mại điện tử… POS (Point of Service): được biết như là điểm thanh toán mua hàng bằng thẻ thanh toán. Status Monitoring ATM: Cho phép quản lý và giám sát toàn bộ tình trạng hiện thời của các ATM theo các nhóm, theo vị trí địa lý… 16 5.

Giao thức kết nối hệ thống ATM. Mỗi ATM được coi như là một máy PC, do đó mỗi ATM có một địa chỉ IP xác định để có thể tham gia vào mạng. Có thể đặt địa chỉ IP tĩnh (static IP) hoặc IP động (dynamic IP). Hiện nay máy ATM hỗ trợ các giao thức kết nối như: TCP/IP, X.

Ở Việt nam máy ATM chủ yếu sử dụng giao thức TCP/IP để kết nối. Các giao thức này được hỗ trợ bởi các đường truyền thông như đường Lease-line, Dial- up, Mega Wan. Lợi ích của việc sử dụng máy ATM. Đối với ngân hàng: ATM được biết đến như là một kênh tự phục vụ của ngân hàng, là một bộ phận chiến lược trong kênh phân phối của ngân hang giúp chủ thẻ truy cập một cách thuận tiện các dịch vụ một cách nhanh chóng, dịch vụ 24/7 ở bất cứ nơi đâu và vào thời gian nào.

ATM là một trong các kênh phân phối vụ bán lẻ của ngân hàng như: ATM, POS (point of service), Telephone banking, SMS. Bên cạnh đó, máy ATM còn có một số ưu điểm sau: - Các địa điểm đặt máy thuận lợi, thời gian phục vụ 24/7 giúp dễ tiếp cận với các dịch vụ ngân hàng nên thu hút nhiều chủ thẻ hơn. - Mỗi ATM có thể coi là một chi nhánh của Ngân hàng, do đó sẽ giảm thiểu chi phí vận hành chi nhánh Ngân hàng - Hệ thống ATM là sự khác biệt về chất lượng phục vụ và nhãn hiệu để cạnh tranh với các ngân hàng khác. - Giảm lượng tiền mặt lưu thông trên thị thường.

Đối với khách hàng: - Thuận tiện trong tiếp cận ngân hàng - Nhanh hơn là chờ đợi ở các quầy giao dịch 17 7. Các dịch vụ trên máy ATM. - Rút tiền mặt (Card Withdrawal) - Chuyển khoản (Fund Transfer) - Tiện ích/ Thanh toán hóa đơn (Điện thoại, điện, nước.) - Gửi tiền - Các giao dịch internet thương mại điện tử, điện thoại, điện, nước. 18 CHƯƠNG 2: HỆ THỐNG THANH TOÁN ATM CHO THẺ TỪ VÀ THẺ CHIP 1.

Hệ thống thanh toán cho thẻ từ. Là loại thẻ nhựa cứng, các thông tin về thẻ được lưu trên băng từ. Thẻ có thể thực hiện các giao dịch tự động như kiểm tra số dư, rút tiền, chuyển khoản,…từ máy rút tiền ATM. Tính chất vật lí của thẻ Các tính chất vật lý của thẻ từ (kích cỡ, khối lượng, cấu trúc vật liệu, tính chất cứng, tính mềm dẻo, tính bền …) tuân theo chuẩn ISO 7810 Chuẩn ISO 7810 là một tập các chuẩn mô tả các đặc tính vật lý và kích cỡ của thẻ.

- Thẻ có 4 loại kích thước khác nhau: • ID-000: Dài 25 mm Rộng 15 mm Dày 0.76 mm, • ID-1: Dài 85.60 mm Rộng 53,98 mm Dày 0.76 mm • ID-2: Dài 105 mm Rộng 74 mm Dày 0.76 mm • ID-3: Dài 125 mm Rộng 88 mm Dày 0.76 mm - Thẻ ATM là loại thẻ ID-1 Hình 2.1 Kích thước thẻ 19 1. Thông tin dập nổi trên thẻ Các thông tin dập nổi trên thẻ tuân theo chuẩn ISO 7811-1 Hình 2.2 Các vị trí dập nổi trên thẻ (mặt trước) Identification number line (Area 1) Name and address area (Area 2) A 21,42 ± 0,12 (0.1: Bảng định nghĩa kích thước vị trí dập nổi, đơn vị milimet (Inches) Trên thẻ có 2 khu vực dập nổi: - Khu vực 1 (Area 1) – được sử dụng để dập nổi số định dạng thẻ (Identification number). - Khu vực 2 (Area 2) – được sử dụng để dập nổi tên, địa chỉ và các thông tin liên quan đến chủ thẻ.3 Thông tin lưu trên vạch của thẻ Các thông tin lưu trên vạch từ và cấu trúc các trường thông tin của thẻ tuân theo chuẩn ISO 7811-2, ISO 7811-6 và ISO 7813.3 Vị trí dải từ (Mặt sau thẻ) a = 11,89 (0.468): Khi sử dụng cho các tracks 1 và 2 a = 15,95 (0.628): Khi sử dụng cho các tracks 1, 2, và 3 Đơn vị milimet (inches) Hình 2.4 Vị trí của các rãnh từ trong dải từ. 21 Term Track 1 Track 2 Track 3 5,79 (0.2: Bảng định nghĩa kích thước vị trí rãnh từ, đơn vị milimet (Inches) Các chuẩn này quy định trên thẻ gồm 3 track nhưng thường chỉ được sử dụng track 1 và 2 - Track 1 là track tuân theo chuẩn IATA (International Air Bansport Associantion).

Nội dung được bảo vệ bản quyền — Tải xuống đầy đủ