Bài tập lớn: Phân tích An toàn dữ liệu và Bảo mật trong Thương mại Điện tử

Tổng quan về an toàn dữ liệu và bảo mật trong TMĐT. Phân tích các rủi ro phổ biến và giải pháp bảo vệ hiệu quả như mã hóa, chữ ký số.

Chuyên ngành

An Toàn Dữ Liệu Và Bảo Mật Trong Thương Mại Điện Tử

Người đăng

Ẩn danh

Thể loại

Bài tập lớn

2024

68
3
0

Phí lưu trữ

30 Point

Tóm tắt

I. Những Rủi ro Bảo mật Thương mại Điện tử Phổ biến

Thương mại điện tử ngày nay đối mặt với nhiều thách thức bảo mật nghiêm trọng. Các rủi ro này không chỉ ảnh hưởng đến doanh nghiệp mà còn tác động trực tiếp đến khách hàng. Hiểu rõ những mối đe dọa là bước đầu tiên để xây dựng hệ thống bảo vệ hiệu quả. Các vấn đề bảo mật thường xuất phát từ lỗ hổng kỹ thuật, thiếu sót quản lý hoặc tấn công từ các nhân vật xấu.

1.1. Tấn công Phishing và Lừa đảo Trực tuyến

Phishing là hình thức tấn công phổ biến nhất trong thương mại điện tử. Những kẻ tấn công giả mạo trang web hoặc gửi email giả để lấy thông tin cá nhân của người dùng. Họ nhắm vào những điểm yếu trong ý thức an toàn của khách hàng. Các cuộc tấn công này có thể gây mất dữ liệu, tiền bạc và uy tín của doanh nghiệp.

1.2. Xâm phạm Dữ liệu Khách hàng

Dữ liệu khách hàng là tài sản quý giá của các cửa hàng online. Khi thông tin cá nhân, địa chỉ, số thẻ tín dụng bị rò rỉ, hậu quả rất nghiêm trọng. Điều này không chỉ làm tổn hại đến khách hàng mà còn phá hoại niềm tin vào thương hiệu. Các vi phạm dữ liệu thường đến từ máy chủ không được bảo vệ đúng cách.

1.3. Phần mềm Độc hại và Ransomware

Ransomware là loại phần mềm độc hại khóa dữ liệu của nạn nhân và yêu cầu tiền chuộc. Nó có thể phá vỡ hoàn toàn hoạt động kinh doanh. Malware khác cũng có khả năng đánh cắp thông tin hoặc làm sập hệ thống. Việc cập nhật hệ thống và sử dụng phần mềm antivirus chất lượng là điều bắt buộc.

II. Các Lỗ hổng Bảo mật Kỹ thuật Thường gặp

Bên cạnh các cuộc tấn công từ bên ngoài, các lỗ hổng kỹ thuật cũng là mối nguy hiểm lớn. Những điểm yếu này có thể nằm trong code, cơ sở dữ liệu hoặc hạ tầng mạng. Không khó để những kẻ có ý đồ xấu khai thác các lỗ hổng này. Đánh giá và kiểm thử bảo mật định kỳ là cách tốt nhất để phát hiện và khắc phục chúng.

2.1. Lỗi Xác thực và Kiểm soát Truy cập

Mật khẩu yếu hoặc quản lý xác thực không tốt là lỗ hổng lớn. Người dùng thường sử dụng mật khẩu dễ đoán hoặc tái sử dụng mật khẩu trên nhiều nền tảng. Các hệ thống cần yêu cầu mật khẩu mạnh và triển khai xác thực hai yếu tố. Kiểm soát truy cập phải được thiết kế sao cho mỗi người chỉ có quyền cần thiết.

2.2. SQL Injection và Lỗ hổng Mã nguồn

SQL Injection cho phép kẻ tấn công chèn mã độc vào cơ sở dữ liệu thông qua các ô input. Lỗi này rất nguy hiểm vì có thể truy cập toàn bộ dữ liệu hoặc xóa thông tin quan trọng. Các lỗ hổng khác trong code cũng có thể bị khai thác tương tự. Kiểm thử mã và sử dụng thư viện an toàn là giải pháp cần thiết.

2.3. Giao thức và Mã hóa Không an toàn

Sử dụng HTTP thay vì HTTPS khiến dữ liệu dễ bị đánh cắp trong quá trình truyền. Mã hóa yếu hoặc lạc hậu không đủ để bảo vệ thông tin nhạy cảm. Tất cả các nền tảng thương mại điện tử phải sử dụng HTTPS và mã hóa end-to-end. Các tiêu chuẩn mã hóa cần được cập nhật thường xuyên theo xu hướng bảo mật.

III. Giải pháp Bảo mật Hàng đầu cho TMĐT

Để bảo vệ nền tảng thương mại điện tử, cần áp dụng nhiều lớp bảo mật. Không có giải pháp duy nhất mà phải kết hợp nhiều biện pháp khác nhau. Các doanh nghiệp nên xây dựng chiến lược bảo mật toàn diện từ kỹ thuật đến quản lý. Đầu tư vào bảo mật sẽ tiết kiệm chi phí lớn hơn khi xảy ra sự cố.

3.1. Triển khai Chứng chỉ SSL TLS và HTTPS

SSL/TLS là tiêu chuẩn để mã hóa dữ liệu truyền trên internet. HTTPS bảo vệ thông tin khách hàng khỏi bị giám sát hoặc đánh cắp. Mỗi trang web thương mại điện tử bắt buộc phải có chứng chỉ SSL hiệu lực. Điều này không chỉ tăng bảo mật mà còn cải thiện xếp hạng SEO của trang.

3.2. Xác thực Hai yếu tố 2FA và Sinh trắc học

Xác thực hai yếu tố thêm một lớp bảo vệ bằng cách yêu cầu xác minh thứ hai ngoài mật khẩu. Công nghệ sinh trắc học như vân tay hoặc nhận dạng khuôn mặt rất hiệu quả. Những phương pháp này khiến kẻ tấn công khó có thể đánh cắp tài khoản. Khuyến khích khách hàng sử dụng 2FA sẽ tăng cường bảo mật toàn diện.

3.3. Quản lý Cập nhật và Vá Lỗi Định kỳ

Phần mềm, hệ điều hành và plugin cần được cập nhật thường xuyên để khắc phục lỗ hổng. Các nhà phát triển liên tục phát hiện và sửa các điểm yếu bảo mật. Chủ động cập nhật là cách tốt nhất để ngăn chặn các cuộc tấn công. Lập kế hoạch bảo trì định kỳ đảm bảo hệ thống luôn ở trạng thái an toàn nhất.

IV. Chiến lược Bảo mật Dài hạn và Tuân thủ Quy định

Bảo mật không phải là sự kiện một lần mà là quá trình liên tục. Các doanh nghiệp cần xây dựng văn hóa bảo mật trong toàn tổ chức. Đồng thời phải tuân thủ các quy định pháp luật như GDPR, PCI-DSS về bảo vệ dữ liệu. Kiểm toán bảo mật định kỳ giúp phát hiện sơ hở trước khi có sự cố xảy ra.

4.1. Đào tạo và Nâng cao Ý thức Bảo mật

Nhân viên là vòng tuần hoàn cuối cùng trong bảo mật. Đào tạo thường xuyên giúp họ nhận biết và tránh các rủi ro. Khách hàng cũng cần hiểu về bảo mật cá nhân khi mua sắm online. Các chiến dịch nâng cao ý thức về phishing, mật khẩu mạnh rất quan trọng. Một tổ chức có nhân viên và khách hàng sáng suốt là an toàn hơn.

4.2. Kế hoạch Ứng phó và Phục hồi Sự cố

Dù chuẩn bị kỹ càng, sự cố vẫn có thể xảy ra. Cần có kế hoạch chi tiết để ứng phó nhanh chóng và hiệu quả. Backup dữ liệu thường xuyên đảm bảo có thể phục hồi nếu bị ransomware. Kiểm thử kế hoạch này định kỳ để đảm bảo nhân viên hiểu rõ nhiệm vụ. Tốc độ phản ứng nhanh sẽ giảm thiểu thiệt hại đáng kể.

4.3. Tuân thủ Chuẩn quốc tế và Quy định Pháp luật

GDPR yêu cầu bảo vệ dữ liệu cá nhân của công dân EU. PCI-DSS quy định chuẩn bảo mật cho các giao dịch thẻ tín dụng. Các doanh nghiệp phải kiểm toán tuân thủ định kỳ để tránh phạt. ISO 27001 là tiêu chuẩn quốc tế cho quản lý bảo mật thông tin. Tuân thủ các chuẩn này không chỉ bắt buộc pháp lý mà còn tạo niềm tin khách hàng.

18/12/2025

Trích đoạn nội dung tài liệu

BỘ THÔNG TIN VÀ TRUYỀN THÔNG HỌC VIỆN CÔNG NGHỆ BƯU CHÍNH VIỄN THÔNG BÀI TẬP LỚN AN TOÀN DỮ LIỆU VÀ BẢO MẬT TRONG THƯƠNG MẠI ĐIỆN TỬ GVHD: Nguyễn Thành Trung NHÓM SV: Nhóm 26 NHÓM LỚP: 01 DANH SÁCH THÀNH VIÊN: Lê Thị Thu Phương B21DCTM079 Lê Kim Oanh B21DCTM077 Hà Nội, 11/2024 Contents I. An toàn dữ liệu & Bảo mật trong TMĐT. Tổng quan về an toàn dữ liệu và bảo mật trong thương mại điện tử. Rủi ro chung trong TMĐT.

Gian lận tài chính. Đánh cắp thông tin qua e-Skimming (Magecart). Lừa đảo trực tuyến (Phishing, Pharming, Spamming). Lừa đảo bằng bot (Bot Fraud).

Chiếm đoạt tài khoản (Account Takeover). Tấn công từ chối dịch vụ phân tán (DDoS). Phần mềm độc hại (Malware). Mã độc tống tiền (Ransomware).

Khai thác lỗ hổng bảo mật. Tấn công Trung gian (Man-in-the-Middle - MITM). Phân biệt website có mã hoá và không có mã hoá đường truyền. Tại sao cần phải mã hoá dữ liệu?.

Khái niệm website có mã hoá và không có mã hoá đường truyền. Phân biệt website có mã hoá đường và không có mã hoá đường truyền. Chữ ký số và Chứng chỉ số. Chứng chỉ số (Digital Certificate).

Hạ tầng khóa công khai (PKI - Public Key Infrastructure). Công nghệ phòng ngừa gian lận. Xác thực người dùng. Phát hiện gian lận trong thanh toán.

Phòng chống lừa đảo. Bảo vệ tài khoản. Xu hướng phát triển. Ứng dụng công nghệ mới trong TMĐT.

Thực trạng ứng dụng công nghệ mới trong thương mại điện tử. Khái niệm MarTech. Blockchain, Web3 & tiềm năng ứng dụng trong TMĐT. Khái niệm của Blockchain, Web3.

Tiềm năng của Blockchain và Web3 trong thương mại điện tử. Trải nghiệm ứng dụng Blockchain.52 Tạo giao dịch blockchain.52 Tương tác DApps và SmartContract .57 Các bước kết nối ví qua WalletConnect: .57 Lưu ý khi sử dụng WalletConnect:. An toàn dữ liệu & Bảo mật trong TMĐT 1. Tổng quan về an toàn dữ liệu và bảo mật trong thương mại điện tử Thương mại điện tử (TMĐT) đã trở thành một phần không thể thiếu trong cuộc sống hiện đại, mang đến sự tiện lợi và hiệu quả cho cả người tiêu dùng và doanh nghiệp.

Tuy nhiên, bên cạnh những lợi ích to lớn, TMĐT cũng tiềm ẩn nhiều rủi ro bảo mật, đe dọa đến thông tin cá nhân, tài sản và uy tín của các bên tham gia. - Khái niệm + Khái niệm an toàn dữ liệu: An toàn dữ liệu là việc bảo vệ dữ liệu khỏi các mối nguy hiểm như mất mát, truy cập trái phép, hư hỏng hoặc tấn công, nhằm đảm bảo tính toàn vẹn, bảo mật và khả năng truy cập của dữ liệu. + Bảo mật: Bảo mật là các biện pháp bảo vệ hệ thống, thông tin, và tài sản khỏi các mối đe dọa hoặc tấn công từ bên ngoài hoặc bên trong, đảm bảo tính toàn vẹn và an toàn của các tài nguyên. => An toàn Dữ liệu và Bảo mật trong Thương mại Điện tử là các biện pháp bảo vệ thông tin cá nhân, giao dịch và dữ liệu của người dùng khỏi các mối nguy hiểm như tấn công mạng, gian lận thanh toán, hoặc vi phạm quyền riêng tư, nhằm đảm bảo tính bảo mật, toàn vẹn và khả năng truy cập của hệ thống thương mại điện tử.

- Tình hình hiện nay + Phát triển TMĐT: ○ Thương mại điện tử phát triển mạnh trên toàn cầu ○ Tại Việt Nam, năm 2020 có 78,7% người dùng Internet tham gia mua sắm trực tuyến; 20,5% dân số sử dụng thanh toán trực tuyến. + Gia tăng mối đe dọa: ○ Các cuộc tấn công mạng vào hệ thống TMĐT ngày càng phức tạp, bao gồm gian lận tài chính, đánh cắp thông tin (e-Skimming), tấn công từ chối dịch vụ (DDoS), và mã độc (malware). ○ Thiệt hại toàn cầu từ gian lận TMĐT vượt 20 tỷ USD vào năm 2021. + Thách thức bảo mật: ○ Số lượng tấn công vào TMĐT cao hơn các ngành khác, đòi hỏi các doanh nghiệp đầu tư mạnh vào bảo mật.

○ Các lỗ hổng bảo mật từ phần mềm, mạng và cơ sở dữ liệu thường xuyên bị khai thác, gây thiệt hại về tài chính, uy tín và quyền riêng tư. Thương mại điện tử (TMĐT) đã và đang cách mạng hóa cách chúng ta mua sắm và kinh doanh. Sự tiện lợi, linh hoạt và tiếp cận toàn cầu mà TMĐT mang lại đã thúc đẩy sự tăng trưởng vượt bậc của lĩnh vực này. Tuy nhiên, song song với những lợi ích to lớn đó, TMĐT cũng tiềm ẩn nhiều rủi ro bảo mật, đe dọa đến thông tin cá nhân, tài sản và uy tín của các bên tham gia.

Trong môi trường trực tuyến đầy phức tạp này, việc hiểu rõ và phòng ngừa các rủi ro bảo mật là vô cùng quan trọng để đảm bảo sự an toàn và phát triển bền vững của TMĐT. Rủi ro chung trong TMĐT 2. Gian lận tài chính Gian lận tài chính trong TMĐT không chỉ ảnh hưởng đến người bán mà còn tác động trực tiếp đến người tiêu dùng và hệ thống thanh toán. Khi giao dịch trực tuyến trở nên phổ biến, các thủ đoạn gian lận tài chính ngày càng trở nên phức tạp và tinh vi, đe dọa đến sự ổn định của các nền tảng TMĐT.

- Giả mạo thẻ tín dụng: Giả mạo thẻ tín dụng là một trong những hình thức gian lận tài chính phổ biến nhất trong TMĐT. Kẻ tấn công chiếm đoạt thông tin thẻ tín dụng của khách hàng thông qua các phương thức như phishing, e-skimming, hoặc khai thác các lỗ hổng bảo mật của hệ thống thanh toán trực tuyến. Khi có được thông tin thẻ tín dụng, kẻ tấn công có thể sử dụng để thực hiện các giao dịch không hợp pháp, gây thiệt hại lớn cho người tiêu dùng và các nền tảng TMĐT. - Giả mạo bồi hoàn: Giả mạo bồi hoàn là hình thức gian lận mà người mua lợi dụng các chính sách hoàn trả của các nền tảng TMĐT để yêu cầu hoàn tiền mà không có cơ sở hợp lý.

Kẻ gian có thể khai báo không nhận được sản phẩm hoặc dịch vụ dù thực tế họ đã nhận và sử dụng nó. Đây là hình thức gian lận phổ biến trong các dịch vụ trực tuyến và bán lẻ. - Ví dụ: Trên nền tảng eBay và Amazon, một số khách hàng đã lợi dụng chính sách hoàn trả sản phẩm để yêu cầu hoàn tiền cho sản phẩm họ đã nhận và sử dụng. Họ có thể báo cáo rằng sản phẩm bị hư hỏng hoặc không phù hợp mà không có bằng chứng, và yêu cầu hoàn tiền mà không trả lại sản phẩm.

Đánh cắp thông tin qua e-Skimming (Magecart) E-skimming (hay Magecart) là một kỹ thuật tấn công phổ biến trong TMĐT, nơi kẻ tấn công cài mã độc vào các trang web bán lẻ trực tuyến để thu thập thông tin thẻ tín dụng và các dữ liệu cá nhân của người dùng khi họ thực hiện giao dịch thanh toán. Đây là một trong những mối đe dọa nghiêm trọng đối với các nền tảng TMĐT vì các mã độc này thường rất khó phát hiện và có thể thu thập thông tin trong một thời gian dài trước khi bị phát hiện. ● Cách thức hoạt động của e-Skimming: E-skimming được thực hiện bằng cách cài mã độc vào trang thanh toán của các website TMĐT, đặc biệt là tại các điểm thu thập thông tin thẻ tín dụng. Khi người dùng nhập thông tin thanh toán, mã độc sẽ ghi lại thông tin này và gửi đến máy chủ của kẻ tấn công.

● Một trong những đặc điểm nguy hiểm của e-skimming là mã độc thường được ẩn kín trong hệ thống và rất khó phát hiện. Các công cụ bảo mật thường không nhận diện được mã độc này vì chúng hoạt động trên nền tảng web hợp pháp. Ví dụ: Vụ tấn công Magecart vào năm 2019 là một ví dụ điển hình về e-skimming. Nhóm tấn công Magecart đã xâm nhập vào hơn 20.000 trang web bán lẻ trực tuyến, bao gồm cả các trang web nổi tiếng như Newegg và British Airways.

Họ cài mã độc để thu thập thông tin thẻ tín dụng của khách hàng trong suốt quá trình thanh toán. Lừa đảo trực tuyến (Phishing, Pharming, Spamming) Lừa đảo trực tuyến là một trong những vấn đề nghiêm trọng nhất mà các nền tảng TMĐT phải đối mặt. Các hình thức lừa đảo như phishing, pharming, và spamming có thể khiến người tiêu dùng rơi vào bẫy và mất đi thông tin tài chính và cá nhân. Phishing: Phishing là một phương thức tấn công mà kẻ tấn công giả mạo các tổ chức tài chính uy tín (như ngân hàng, cửa hàng trực tuyến, v.) gửi email, tin nhắn, hoặc cuộc gọi giả mạo để yêu cầu người dùng cung cấp thông tin cá nhân.

Mục tiêu là chiếm đoạt thông tin thẻ tín dụng, mật khẩu tài khoản, hoặc các thông tin nhạy cảm khác. ● Ví dụ: Một trong những vụ tấn công phishing nổi bật là vụ việc PayPal bị kẻ giả mạo email yêu cầu người dùng xác nhận thông tin tài khoản. Kẻ tấn công đã gửi email yêu cầu người dùng nhấp vào liên kết để "cập nhật thông tin tài khoản". Khi người dùng điền vào thông tin đăng nhập và mật khẩu, kẻ tấn công đã thu thập thành công thông tin tài khoản và mật khẩu của họ.

Pharming: Pharming là kỹ thuật tấn công mà kẻ tấn công thao túng hệ thống phân giải tên miền (DNS), khiến người dùng bị chuyển hướng đến các trang web giả mạo. Những trang web này có thể trông giống y hệt các trang web hợp pháp, nhưng mục đích chính là thu thập thông tin cá nhân của người dùng. ● Ví dụ: Kẻ tấn công có thể giả mạo trang web của Chase Bank hoặc Citibank bằng cách thay đổi hệ thống DNS và chuyển hướng người dùng đến một trang web giả mạo. Khi người dùng nhập thông tin tài khoản và mật khẩu, kẻ tấn công thu thập thông tin này để chiếm đoạt tài khoản.

Spamming: Spamming là việc gửi một lượng lớn email rác với các liên kết độc hại hoặc quảng cáo không mong muốn. Các email này thường chứa các liên kết dẫn đến trang web giả mạo hoặc có phần mềm độc hại đi kèm. ● Ví dụ: Một dạng spam rất phổ biến là email quảng cáo sản phẩm giảm giá từ các cửa hàng trực tuyến giả mạo. Khi người dùng nhấp vào liên kết trong email, họ có thể bị lừa tải phần mềm độc hại vào thiết bị của mình.

Lừa đảo bằng bot (Bot Fraud) Bot fraud là hành vi sử dụng các chương trình tự động (bot) để thực hiện các hành vi gian lận trên các nền tảng TMĐT. Các bot này có thể giả mạo người dùng hợp pháp, tạo ra các giao dịch giả mạo hoặc gây tắc nghẽn hệ thống.

Nội dung được bảo vệ bản quyền — Tải xuống đầy đủ