Ứng dụng mật mã trực quan phòng chống phishing trong đảm bảo an toàn giao dịch trực tuyến

Tường Minh
01/12/2020 09:38
D

Lợi ích giao dịch trực tuyến đem lại cho người dùng ngày càng rõ rệt. Tuy nhiên, ngoài chất lượng sản phẩm, dịch vụ chăm sóc khách hàng thì chìa khóa thành công của giao dịch trực tuyến là phải giải quyết được những lo ngại về vấn đề bảo mật. Việc tăng cường các biện pháp bảo mật nhằm giảm thiểu rủi ro cho các hệ thống giao dịch trực tuyến hiện đang rất được quan tâm và mật mã học đang được sử dụng phổ biến để giải quyết vấn đề này.

Lợi ích giao dịch trực tuyến đem lại cho người dùng ngày càng rõ rệt. Tuy nhiên, ngoài chất lượng sản phẩm, dịch vụ chăm sóc khách hàng thì chìa khóa thành công của giao dịch trực tuyến là phải giải quyết được những lo ngại về vấn đề bảo mật. Việc tăng cường các biện pháp bảo mật nhằm giảm thiểu rủi ro cho các hệ thống giao dịch trực tuyến hiện đang rất được quan tâm và mật mã học đang được sử dụng phổ biến để giải quyết vấn đề này.

Các hình thức giao dịch trực tuyến phổ biển ở Việt Nam

Cùng với sự phát triển của Internet, nhu cầu mua bán trực tuyến ngày càng gia tăng, do vậy việc sử dụng các dịch vụ thanh toán trực tuyến là cấp thiết. Trong khoảng 10 năm trở lại đây, các dịch vụ thanh toán đang phát triển mạnh mẽ, từ các cổng thanh toán trực tuyến như Ngân Lượng, Bảo Kim, VnPay, Soha, VTCPay,… đến các ngân hàng cũng mở rộng thêm các dịch vụ thanh toán trực tuyến.

Trong Hình 1 là mô hình giao dịch trực tuyến sử dụng cổng thanh toán điện tử VTCPay, người mua lựa chọn hàng hóa và đặt hàng qua người bán. Người bán chuyển thông tin giao dịch sang cổng thanh toán VTCPay. Những thông tin giao dịch được chuyển tới ngân hàng người mua. Sau khi người bán chuyển hàng hóa tới người mua, ngân hàng người mua chuyển tiền cho ngân hàng người bán thông qua cổng thanh toán của VTCPay.

Hình 1. Giao dịch trực tuyến sử dụng cổng thanh toán điện tử VTCPAY

Hình 2 là mô hình giao dịch trực tuyến sử dụng cổng thanh toán trực tuyến Bảo Kim. Giao dịch sau khi đặt hàng và gửi yêu cầu thanh toán trên website bán hàng, người mua lựa chọn thanh toán qua cổng thanh toán Bảo Kim theo 02 cách (người mua nhập thông tin thẻ ngân hàng để xác thực thanh toán hoặc sử dụng tài khoản Bảo Kim để chuyển tiền). Khi tiền được chuyển về tài khoản người bán trên Bảo Kim, người bán sẽ chuyển hàng cho người mua.

Hình 2. Giao dịch trực tuyến sử dụng cổng thanh toán trực tuyến Bảo Kim

Hai mô hình giao dịch trực tuyến trên là ví dụ điển hình trong giao dịch trực tuyến ở Việt Nam. Qua đây có thể thấy mô hình giao dịch trực tuyến hiện dùng gồm 4 thành phần chính: Client (Khách hàng/Người mua hàng), Merchant Server (Người bán), Payment Service Provider (PSP -Nhà cung cấp dịch vụ thanh toán) và Bank (Ngân hàng).

Các bước hoạt động của giao dịch trực tuyến (như mô hình tại Hình 3) như sau:

- Bước 1: Người mua lựa chọn hàng, đặt lệnh mua, gửi thông tin cá nhân (tên chủ thẻ, số thẻ, tên ngân hàng - UID, BankID) tới phía người bán.

- Bước 2: Bên bán nhận được yêu cầu mua hàng, gửi yêu cầu thanh toán tới PSP. Yêu cầu thanh toán bao gồm UID, Bank ID của người mua và người bán kèm theo số tiền cần thanh toán.

- Bước 3: PSP nhận được yêu cầu thanh toán, xác nhận UID, Bank ID và gửi mã OTP bằng SMS/Email tới người mua.

- Bước 4: Nếu người mua chấp nhận thanh toán sẽ xác nhận mã OTP cho phía PSP.

- Bước 5: Nếu OTP sai thì sẽ kết thúc giao dịch.

- Bước 6: Nếu OTP đúng, PSP sẽ chuyển yêu cầu thanh toán của người mua tới Ngân hàng.

- Bước 7: Ngân hàng nhận được yêu cầu sẽ chuyển khoản và gửi xác nhận về phía người bán.

- Bước 8: Người bán sẽ tiến hành giao hàng đến người mua và nhận được thanh toán từ phía ngân hàng.

Hình 3. Mô hình giao dịch trực tuyến

Tấn công phishing vào giao dịch trực tuyến

Khi đề cập đến giao dịch trực tuyến, bảo mật luôn là vấn đề được quan tâm. Đặc biệt trong thời gian gần đây, các phương thức tấn công mới liên tục xuất hiện với phương thức thủ đoạn ngày càng tinh vi. Để vượt qua các hệ thống bảo mật, tin tặc kết hợp nhiều biện pháp khác nhau, tấn công vào tất cả các giai đoạn của quá trình giao dịch: từ trước khi người dùng đăng nhập, khi người dùng đăng nhập, sau khi đăng nhập, khi thực hiện giao dịch,…

Với mô hình hiện tại, PSP đóng vai trò là bên trung gian, kết nối việc thanh toán giữa Khách hàng, Người bán và Ngân hàng.

Để tấn công bằng hình thức Phishing vào mô hình này, tin tặc sẽ thực hiện như trong Hình 4.

Đầu tiên, tin tặc tạo một website giả mạo với hình thức và nội dung giống như website hợp pháp. Tiếp theo, tin tặc đăng ký tên miền cho website giả mạo gần giống với tên miền của website hợp pháp, nhằm mục đích dễ dàng đánh lừa người dùng.

Ví dụ: website hợp pháp là https://www.lazada.vn/ thì tin tặc có thể sẽ đặt tên website giả mạo sẽ là https://www.lazadä.vn/. Người dùng rất khó phát hiện và phân biệt được sự khác biệt của tên miền nằm ở ký tự “a” và “ä”.

Sau đó, tin tặc dùng các biện pháp kỹ thuật gửi đường dẫn của website giả mạo tới khách hàng và tự nhận mình là website có thẩm quyền hoặc hợp pháp. Khách hàng nếu không thực

sự lưu ý sẽ tiến hành mua sắm trên website giả mạo và cung cấp thông tin tài khoản thanh toán cá nhân vào website giả mạo. Thông tin thanh toán của khách hàng sẽ được chuyển đến website của tin tặc thay vì đến website hợp pháp. Tin tặc sử dụng thông tin của khách hàng để yêu cầu PSP thanh toán cho mình. PSP sẽ xác nhận yêu cầu thanh toán từ phía khách hàng bằng cách gửi mã OTP cho khách hàng. Khách hàng nhận được tin nhắn vẫn không hề biết mình đang mua hàng trên một website giả mạo, xác nhận OTP. Lúc này, tiền sẽ được chuyển từ tài khoản của khách hàng sang tài khoản của tin tặc thông qua ngân hàng. Tài khoản của khách hàng bị trừ tiền nhưng khách hàng không nhận được hàng.

Hình 4. Tấn công Phishing vào mô hình giao dịch trực tuyến

Ứng dụng mật mã trực quan phòng chống tấn công phishing

Với việc ứng dụng mật mã trực quan vào giao dịch trực tuyến. Đầu tiên, người bán sẽ tiến hành đăng ký một ảnh Logo được coi là định danh thương hiệu của người bán với PSP và công khai Logo để khách hàng nhận diện thương hiệu (mô tả ở Hình 5). PSP tiếp nhận Logo và đảm bảo Logo là duy nhất với mỗi người bán. (Căn cứ quy định tại khoản 16 Điều 4 Luật Sở hữu trí tuệ, Logo được đăng ký bảo hộ theo hình thức đăng ký nhãn hiệu. Vì vậy, Logo là định danh duy nhất đối với doanh nghiệp).

Hình 5. Người bán đăng ký Logo với PSP

Các bước khi mua bán trực tuyến

- Bước 1: Khách hàng lựa chọn hàng trên website, đặt lệnh mua, gửi thông tin cá nhân (tên chủ thẻ, số thẻ, tên ngân hàng - UID, BankID) tới phía Merchant Server.

- Bước 2: Merchant Server nhận được yêu cầu mua hàng, gửi yêu cầu thanh toán tới PSP. Yêu cầu thanh toán bao gồm, UID, Bank ID của Khách hàng, và Merchant Server kèm theo số tiền cần thanh toán.

- Bước 3: PSP nhận được yêu cầu thanh toán, xác nhận UID, Bank ID của Khách hàng và Merchant Server. PSP tiến hành xác thực thông tin nhận được.

Nếu thông tin hợp lệ, PSP dùng Logo mà Merchant Server đăng ký sử dụng lược đồ mật mã trực quan cho ảnh màu VC (2,2) để tạo ra 2 mảnh ảnh bí mật là Share_Client và Share_Merchant như Hình 6.


Hình 6. Ứng dụng mật mã trực quan phòng chống tấn công Phishing trong mô hình giao dịch trực tuyến

- Bước 4: PSP gửi Share_Client cho Khách hàng kèm theo mã OTP, gửi Share_Merchant lên website bán hàng của Merchant Server.

- Bước 5: Client nhận được ảnh Share_Client và lấy Share_Merchant trên phía Merchant Server sử dụng lược đồ mật mã trực quan VC(2,2) để giải mã (Hình 7). Nếu không hiển thị ra thông tin Logo thì sẽ hủy bỏ giao dịch. Nếu hiển thị được Logo, Khách hàng sẽ biết được mình đang mua hàng trên Merchant Server nào, và tiến hành xác nhận lại OTP cho phía PSP.


Hình 7 Client sử dụng mật mã trực quan để ghép 2 mảnh ảnh

- Bước 6: PSP nhận được mã OTP phía Khách hàng. Nếu OTP sai, giao dịch sẽ bị hủy bỏ. Nếu đúng, PSP xác thực giao dịch về phía BankServer yêu cầu thanh toán cho Merchant Server.

Từ mô hình có thể thấy những ưu điểm của việc ứng dụng mật mã trực quan phòng chống tấn công Phishing trong mô hình giao dịch trực tuyến:

Một là, hỗ trợ khách hàng phát hiện những website giả mạo chưa có trong danh sách đen hoặc các công cụ tự động phát hiện tấn công Phishing không thể tìm thấy.

Hai là, khắc phục những hạn chế, bất lợi của các kỹ thuật phòng chống Phishing dựa trên heuristic. Ngay cả khi kỹ thuật heuristic không thể phát hiện được các URL giả mạo, thì cách tiếp cận bằng mật mã trực quan có thể hỗ trợ khách hàng phát hiện được những URL giả mạo.

Ba là, đơn giản và dễ thực hiện, quá trình tính toán nhanh chóng hơn việc sử dụng các công cụ quét lỗ hổng và phân tích Phishing tự động.

Có thể thấy rằng, việc ứng dụng mật mã trực quan vào phòng, chống tấn công Phishing trong giao dịch trực tuyến là một trong những biện pháp hiệu quả, khả thi nhằm nâng cao bảo mật của các giao dịch trực tuyến.

TÀI LIỆU THAM KHẢO

1.M. Naor,A. Shamir, “Visual cryptography,” Advances in Cryptology-EUROCRYPT’94, in lecture Notes in Computer Science, vol. 950, Springer, Berlin, 1995, pp. 1–12.
2.D. R. Stinson, Cryptography Theory and Practice, Chapman & Hall/CRT, 3rd Ed, 2006.
3.C.-N. Yang, “New visual secret sharing schemes using probabilistic method,” Pattern Recognition Letter, vol. 25, pp. 481–494, 2004.
4.Li Bai , A Reliable (k,n) Image Secret Sharing Scheme, IEEE,2006.
5.F. Liu1, C.K.Wu1, X.J. Lin, Colour visual cryptography schemes, IET Information Security, July 2008.
6.“Phishing”, http://www.phishing.org/history-of- phishing
7.J. Cai, “A Short Survey On Visual Cryptography Schemes,” 2004, Available: http://www.cs.toronto. edu/~jcai/paper.pdf
8.Y. C. Hou, “Visual cryptography for color images,” Pattern Recognition, vol. 36, no. 7, pp. 1619–1629, 2003.
9.Souvik Roy and P.Venkates, “Online Payment System using Stenography and Visual Cryptography”, IEEE Student’s Conference on Electrical, 2014.

ThS. Phạm Tiến Đạt (Học viện Cảnh sát nhân dân)

Theo An toàn Thông tin

Bình luận

Tối thiểu 10 chữ Tiếng việt có dấu Không chứa liên kết

Gửi bình luận

Tin cùng chuyên mục

Lancs Networks tích hợp FPGA, ARM và PUF bảo vệ hạ tầng số quốc gia

Lancs Networks tích hợp FPGA, ARM và PUF bảo vệ hạ tầng số quốc gia

Tấn công mạng quy mô lớn nhắm vào các tập đoàn công nghiệp châu Á - Thái Bình Dương

Tấn công mạng quy mô lớn nhắm vào các tập đoàn công nghiệp châu Á - Thái Bình Dương

Nền tảng phát triển phần mềm hiện đại đối mặt với nguy cơ tấn công mạng ngày càng gia tăng

Nền tảng phát triển phần mềm hiện đại đối mặt với nguy cơ tấn công mạng ngày càng gia tăng

Keysight AppFusion giải pháp hiển thị và bảo mật mạng toàn diện

Keysight AppFusion giải pháp hiển thị và bảo mật mạng toàn diện

Nhận diện các hình thức lừa đảo ngân hàng và biện pháp phòng tránh

Nhận diện các hình thức lừa đảo ngân hàng và biện pháp phòng tránh

Fortinet dự báo về mối đe dọa an ninh mạng năm 2025

Fortinet dự báo về mối đe dọa an ninh mạng năm 2025

Nâng cao nhận thức cộng đồng về lừa đảo trực tuyến

Nâng cao nhận thức cộng đồng về lừa đảo trực tuyến

Meta tăng cường phòng chống lừa đảo trong mùa lễ hội

Meta tăng cường phòng chống lừa đảo trong mùa lễ hội

Lừa đảo tài chính tiếp tục đe dọa các công ty khu vực Đông Nam Á

Lừa đảo tài chính tiếp tục đe dọa các công ty khu vực Đông Nam Á

An ninh mạng tại Việt Nam đang bị đe dọa nghiêm trọng

An ninh mạng tại Việt Nam đang bị đe dọa nghiêm trọng

Kaspersky trang bị kiến thức an ninh mạng cơ bản cho giáo viên Việt Nam

Kaspersky trang bị kiến thức an ninh mạng cơ bản cho giáo viên Việt Nam

Fortinet giới thiệu giải pháp quản lý rủi ro mới

Fortinet giới thiệu giải pháp quản lý rủi ro mới

Tin mới cập nhật

Honda Việt Nam ra mắt HR-V Hybrid và bộ đôi xe điện trong sự kiện 'Green in Motion'

Honda Việt Nam ra mắt HR-V Hybrid và bộ đôi xe điện trong sự kiện 'Green in Motion'

Sản xuất công nghiệp, thương mại điện tử duy trì đà tăng trưởng

Sản xuất công nghiệp, thương mại điện tử duy trì đà tăng trưởng

Việc Làm Tốt hợp tác cùng SITC kết nối nguồn nhân lực chất lượng cho thị trường lao động

Việc Làm Tốt hợp tác cùng SITC kết nối nguồn nhân lực chất lượng cho thị trường lao động

Kiến nghị chưa nên đưa nước giải khát có đường vào đối tượng chịu thuế Tiêu thụ đặc biệt

Kiến nghị chưa nên đưa nước giải khát có đường vào đối tượng chịu thuế Tiêu thụ đặc biệt

L'Oréal khai trương ‘nhà máy livestream’ hiện đại đầu tiên tại Việt Nam

L'Oréal khai trương ‘nhà máy livestream’ hiện đại đầu tiên tại Việt Nam

Cần trao quyền tự chủ cao hơn cho các tổ chức nghiên cứu

Cần trao quyền tự chủ cao hơn cho các tổ chức nghiên cứu

Phát triển công nghệ 6G: Xây dựng chiến lược và lộ trình

Phát triển công nghệ 6G: Xây dựng chiến lược và lộ trình

Bà Nguyễn Thị Thu Hoài được bổ nhiệm làm Tổng biên tập Báo Hưng Yên sau sáp nhập

Bà Nguyễn Thị Thu Hoài được bổ nhiệm làm Tổng biên tập Báo Hưng Yên sau sáp nhập

Mercedes-Benz G 580 EQ EDITION ONE: Huyền thoại off-road điện tại Việt Nam

Mercedes-Benz G 580 EQ EDITION ONE: Huyền thoại off-road điện tại Việt Nam

Bộ KH&CN đề xuất bổ sung thiết bị vô tuyến điện được miễn giấy phép sử dụng tần số

Bộ KH&CN đề xuất bổ sung thiết bị vô tuyến điện được miễn giấy phép sử dụng tần số

FPT và GE HealthCare mở rộng hợp tác chiến lược

FPT và GE HealthCare mở rộng hợp tác chiến lược

Hành trình nghệ thuật 'Hoa và Rác' lần đầu tiên đến Hà Nội

Hành trình nghệ thuật 'Hoa và Rác' lần đầu tiên đến Hà Nội

Tin đọc nhiều

Bị tố bán dữ liệu giả, Chunxong nghi ngờ người mua là nhân viên của Bkav

Bị tố bán dữ liệu giả, Chunxong nghi ngờ người mua là nhân viên của Bkav

Colonial Pipeline bị buộc phải điều trần về sự cố vấn công mạng tống tiền

Colonial Pipeline bị buộc phải điều trần về sự cố vấn công mạng tống tiền

Giá xăng dầu có thể bị ảnh hưởng khi hệ thống truyền dẫn nhiên liệu lớn nhất nước Mỹ bị tấn công mạng

Giá xăng dầu có thể bị ảnh hưởng khi hệ thống truyền dẫn nhiên liệu lớn nhất nước Mỹ bị tấn công mạng

Security World 2021 nhận diện thách thức ATTT với những bước tăng trưởng "nóng" của chuyển đổi số

Security World 2021 nhận diện thách thức ATTT với những bước tăng trưởng "nóng" của chuyển đổi số

Tin tặc tấn công dữ liệu vắc xin COVID-19 của Pfizer/BioNTech để làm gì?

Tin tặc tấn công dữ liệu vắc xin COVID-19 của Pfizer/BioNTech để làm gì?

Google vá lỗ hổng zero-day trên Chrome lần thứ hai trong hai tuần

Google vá lỗ hổng zero-day trên Chrome lần thứ hai trong hai tuần

Lỗ hổng vượt qua xác thực mã PIN mới ảnh hưởng tới thanh toán Visa

Lỗ hổng vượt qua xác thực mã PIN mới ảnh hưởng tới thanh toán Visa

Camera an ninh có thể báo cho tội phạm mạng biết khi nào bạn không ở nhà

Camera an ninh có thể báo cho tội phạm mạng biết khi nào bạn không ở nhà

Cảnh báo lỗ hổng Windows DNS Server có thể làm sập hệ thống doanh nghiệp

Cảnh báo lỗ hổng Windows DNS Server có thể làm sập hệ thống doanh nghiệp

Quy trình quản lý vật chứa bí mật nhà nước

Quy trình quản lý vật chứa bí mật nhà nước

Video xem nhiều

Isuzu Mu-X 2021 hoàn toàn mới: Thiết kế hiện đại và đầy công nghệ

Isuzu Mu-X 2021 hoàn toàn mới: Thiết kế hiện đại và đầy công nghệ

Honda MSX 125 Grom 2021 mẫu xe côn tay phiên bản đường đua

Honda MSX 125 Grom 2021 mẫu xe côn tay phiên bản đường đua

Clip: Khuyến cáo đối với người lao động, người làm việc, người bán hàng tại khu dịch vụ trong dịch Covid-19

Clip: Khuyến cáo đối với người lao động, người làm việc, người bán hàng tại khu dịch vụ trong dịch Covid-19

Geneva Motor Show 2020: Bentley hé lộ siêu xe Bacalar triệu đô

Geneva Motor Show 2020: Bentley hé lộ siêu xe Bacalar triệu đô

Lộ diện siêu xe hypercar Czinger 21C tăng tốc 0-100km/h chưa tới 2 giây

Lộ diện siêu xe hypercar Czinger 21C tăng tốc 0-100km/h chưa tới 2 giây

“Rắn tiên tri” dự đoán đội tuyển Việt Nam thắng Thái Lan

“Rắn tiên tri” dự đoán đội tuyển Việt Nam thắng Thái Lan

Xe máy điện VinFast được CNN chọn là 1 trong 5 biểu tượng mới của Hà Nội

Xe máy điện VinFast được CNN chọn là 1 trong 5 biểu tượng mới của Hà Nội

Một ngày trải nghiệm giấc mơ trở thành tay đua F1 chuyên nghiệp ở Nhật Bản

Một ngày trải nghiệm giấc mơ trở thành tay đua F1 chuyên nghiệp ở Nhật Bản

Bắc Sơn mây hát

Bắc Sơn mây hát

Trực tiếp: Apple ra mắt Iphone 11 tại Cupertino, California, Mỹ

Trực tiếp: Apple ra mắt Iphone 11 tại Cupertino, California, Mỹ

Sếp nhà bán lẻ làm lộ ngày bán iPhone 11

Sếp nhà bán lẻ làm lộ ngày bán iPhone 11

5G thay đổi tương lai của bạn như thế nào?

5G thay đổi tương lai của bạn như thế nào?

Bàn về tầm nhìn và các trụ cột của công nghệ thông tin di động 6G
04/03/2022
Chip xử lý A15 Bionic của Apple có gì mới
15/09/2021
Sex Education mùa 3 được Netflix công chiếu vào 17/9
14/09/2021
iPhone 13 không thay đổi nhiều về ngoại hình, camera được nâng cấp mạnh
13/09/2021
Cách xem trực tiếp sự kiện ra mắt iPhone 13 và Apple Watch 7
10/09/2021
VNEID của Bộ Công an khác các ứng dụng đang được vận hành?
10/09/2021
'Cái tôi' thời 4.0 và tính hai mặt của mạng xã hội
04/09/2021
'Muôn màu' cảm xúc của trẻ trong ngày khai giảng online
24/08/2021
Chủ tịch Chu Ngọc Anh giải toả 'ách tắc' về Giấy đi đường cho người dân Thủ đô
10/08/2021
Hàng loạt Macbook M1 tự dưng vỡ màn hình, Apple có đồng ý bảo hành?
02/08/2021
6 bộ phim hay nhất để xem trên VieON
29/01/2021
Bắc Ninh: Không ký kết triển khai dự án Owifi 5G với CSE Singapore
27/06/2020
Bị World Bank cấm dự thầu 7 năm, công ty Sao Bắc Đẩu thừa nhận sai sót
27/06/2020
Wefinex - Mô hình hoạt động đa cấp "đội lốt" đầu tài chính trên mạng internet
10/06/2020
Khai trừ MISA khỏi Câu lạc bộ Chữ ký số và Giao dịch điện tử Việt Nam
27/05/2020
Chuyển đổi số - Nên hiểu như thế nào cho đúng
25/05/2020
Chống thất thu thuế là thách thức lớn đối với nền kinh tế số
29/04/2020
Cách chuyển tập tin sang máy tính mới
10/11/2019
VNPT, MobiFone, VTC sẽ hoàn thành cổ phần hóa trước năm 2021
20/08/2019
5G thay đổi tương lai của bạn như thế nào?
26/07/2019
Nhận diện hành vi lừa đảo trên không gian mạng
25/07/2019
Truyền hình OTT - Hướng đi mới của các “nhà Đài”
24/07/2019