Tải bản đầy đủ

Định nghĩa và đặc điểm của thương mại điện tử:

II. Giải pháp an toàn trong thanh toán điện tử
Như đã giới thiệu ở trên, cách tốt nhất bảo đảm an toàn trong thanh
toán điện tử là mã hóa các thông tin cần được truyền đi trên mạng. Hiện
nay có nhiều giao thức được sử dụng cho phép thực hiện giao dịch trong
không gian ảo. Bản chất của giao dịch cũng chỉ là sự chuyển tiền từ tay
người này qua người khác. Trong phần này chúng ta sẽ xem xét hai giao
thức mở cho phép thực hiện giao dịch an toàn, đó là SSL và SET.
1. Giao thức tầng cắm an toàn (Secure Sockets Layer – SSL)
Giao thức SSL được thiết kế bởi Nestcape như là một phương pháp bảo đảm
sự an toàn của kết nối khách (client) – chủ (server) trên môi trường Internet.
SSL là công nghệ để mã hóa việc truyền dữ liệu giữa trình duyệt web và máy
chủ web. Công nghệ này được sử dụng thường xuyên bởi các trang web ngân hàng trực
tuyến và trang web thương mại điện tử. Trang web khác cũng có thể triển khai SSL dưới
hình thức hạn chế hơn -- ví dụ: để giúp bảo vệ mật khẩu của bạn khi nhập thông tin đăng
nhập của bạn.
Địa chỉ web được bảo mật bằng SSL bắt đầu với https: t hay vì http: nên các
điều khoản thường được sử dụng thay thế cho nhau.
Cơ Chế Hoạt Động Của SSL
Về cơ bản, giao thức SSL hoạt động ngay dưới các giao thức ứng
dụng (như HTTP, SMTP,Telnet, FTP, Gopher và NNTP) và nằm trên
giao thức mạng TCP/IP.

Điều đó cho phép SSL vận hành độc lập đối với các giao thức ứng dụng
mạng. SSL sử dụng phương pháp mã hóa khóa công khai đã giới thiệu ở
trên, với thuật toán RAS dùng để mã hóa. SSL cho phép:
- Client và server nhận dạng lẫn nhau.
- Sử dụng chứng thực số để chứng thực tính toàn vẹn.
- Mã hóa toàn bộ thông tin để đảm bảo tính bí mật.
Để làm được điều này cần có một máy chủ bảo mật, đó là lý do tại sao
bạn thường nhận được thông báo kiểu này:
Các máy chủ bảo mật thường có chuỗi HTTPS và hình chiếc khóa
trong URL thay vì HTTP như bình thường.
Quá trình bạn bắt đầu một phiên làm việc với một máy chủ web dưới
sự bảo mật của SSL được gọi là “quá trình bắt tay”. Một quá trình bắt tay
bao gồm:
- Trình duyệt và server quyết định cấp độ và cách thức mã hóa
dùng cho phiên làm việc.
- Trình duyệt và server tạo và chia sẻ chìa khóa dùng để mã hóa.
- Trình duyệt yêu cầu và nhận chứng thực số từ server (không
bắt buộc).
- Server yêu cầu và nhận chứng thực số từ trình duyệt (không bắt
buộc).
Sau khi quá trình bắt tay kết thúc, bạn hoàn thành giao dịch. Chỉ cần
phiên làm việc chưa kết thúc thì mọi dữ liệu truyền đi giữa trình duyệt và
server đều được mã hóa. Khi phiên làm việc hoàn thành, trình chủ bảo mật
sẽ chuyển bạn về trình chủ không bảo mật.
SSL an toàn đến đâu?
Hầu hết chúng ta không quan tâm tới việc SSL hoạt động như thế nào,
chúng ta chỉ muốn biết nó có thực sự hoạt động hay không. Nếu nó giữ
thông tin thẻ tín dụng của bạn an toàn thì không có gì phải phàn nàn. Tất
nhiên, mã hóa sử dụng trong SSL có thể bị phá vỡ nhưng rất tốn kém. Trong
hầu hết các ứng dụng, SSL vẫn được coi là giải pháp hàng đẩu để bảo vệ
thông tin thẻ tín dụng khi giao dịch trực tuyến. Hơn nữa, SSL có thể được
phát triển, đặc biệt nếu Nestcape và Microsoft được chính phủ Mỹ cho phép
sử dụng những phương pháp mã hóa mạnh hơn.
2. Giao thức giao dịch an toàn (Secure Electronic Transaction)
Giao thức SET được thiết kế nguyên thủy bởi Visa và MasterCard vào
năm 1997 và được phát triển dần lên từ đó. Giao thức SET đáp ứng được 4
yêu cầu về bảo mật cho TMĐT giống như SSL
Khi bạn bắt đầu một phiên làm việc với một website thương mại thông qua
SSL, điều đó chẳng khác gì bạn đưa thẻ tín dụng của mình cho người bán
hàng . Anh ta nói giá, bạn đồng ý, và bạn đợi cho người bán yêu cầu xác
định giá trị thẻ với ngân hàng. Nếu thẻ được xác nhận, một phiếu bán hàng
được in ra. Bạn ký vào phiếu bán hàng, người bán giữ một bản copy cho hồ
sơ của bạn.
Với SET, ngân hàng phát hành thẻ cũng tham gia trong quá trình
giao dịch với vai trò người trung gian. Khi bạn nhập số thẻ của mình trong
một giao dịch với SET, site thương mại sẽ không bao giờ thấy được số thẻ
của bạn. Thay vào đó, thông tin được gửi đến cơ quan tài chính thông qua
cổng thanh toán, người sẽ xác thực thẻ của bạn và thực hiện thanh toán với
site thương mại điện tử. Đổi lại, công việc đó đòi hỏi một chi phí nhất định.
Giao thức SET yêu cầu khách hàng phải tải một phần mềm đặc
biệt gọi là ví điện tử (electronic wallet) hay ví số (digital wallet) để lưu
giữ chứng thực của khách hàng tại máy tính cá nhân hay thẻ IC
(Intergrated circuit card) của họ.
Để kết nối ví điện tử với những người kinh doanh khác nhau, khả năng liên
vận hành là một đặc tính quan trọng cần được đáp ứng. Do tính liên vận
hành của ví số của người chủ sở hữu thẻ với phần mềm của bất cứ người
kinh doanh nào là điều cơ bản, một liên hiệp các công ty (Visa, MasterCard,
JCB – ngân hàng phát hành thẻ của Nhật – và American Express) đã thành
lập một công ty được gọi là SETCO (Secure Electronic Transaction LLC
1999). Công ty này thực hiện các thử nghiệm liên vận hành và phát hành
một nhãn hiệu SET như một xác nhận về tính liên vận hành. IBM, Netscape,
Microsoft, Verisign, Tandem và MetaLand cung cấp các ví số có khả năng
liên vận hành như vậy.
3. So sánh SSL và SET
Khác với giao thức SSL có 3 thực thể là người chủ sở hữu thẻ, người
kinh doanh và cơ quan chứng thực (CA), SET có thêm một thực thể là cổng
thanh toán. Đây là cổng kết nối Internet với các mạng độc quyền của các
ngân hàng. Mỗi thực thể tham gia cần chứng thực riêng.
Trên lý thuyết, SET bảo mật hơn SSL. Với SSL, thông tin thẻ tín
dụng của bạn là công khai với người bán, cả người bán và ngân hàng của
bạn đều biết bạn là ai và mua những gì. Điều này xâm phạm quyền riêng tư.
Đối với SET thì không, người bán không bao giờ nhìn thấy số thẻ của bạn,
bạn chỉ phải cung cấp thông tin về thẻ của mình cho cơ quan đã biết quá rõ
về nó. Người bán không biết bạn là ai, còn ngân hàng của bạn không biết
bạn mua những gì.
Tuy nhiên trên thực tế, SET không được ứng dụng rộng rãi như
người ta mong đợi do tính phức tạp, thời gian phản hồi chậm và sự cần
thiết phải cài đặt ví số ở máy tính của khách hàng. Nhiều ngân hàng ảo
và cửa hàng điện từ duy trì giao thức SSL, một số sử dụng cả hai giao thức
như WalMart Online. Hiện chỉ có 1% kế hoạch kinh doanh điện tử di chuyển
sang SET.
III. Những hình thức gian lận trong TMĐT và cách phòng
chống
1. Phishing
Phishing là một dạng lừa đảo trực tuyến ngày càng phổ biến. Kỹ thuật
lừa đảo Phishing bắt đầu bằng một email giả danh một công ty hợp pháp,
chẳng hạn như Ebay hay CityBank.
Thông thường, nội dung của email giả danh thông báo cho nạn nhân là
tài khoản của họ đã hết hạn hoặc đại loại như vậy. Nạn nhân sẽ được hướng
dẫn để nhấp chuột vào một liên kết dẫn đến một website giả mạo. Nếu nạn
nhân vào website này, nó sẽ bảo bạn khai báo các thông tin cá nhân quan
trọng như số thẻ tín dụng hay số tài khoản cá nhân. Hậu quả là nạn nhân bị
bọn chúng vét sạch tiền trong tài khoản mà không hiểu vì sao.
Hiện nay có nhiều phần mềm cho phép tạo lập website giả mạo của các
công ty hợp pháp một cách dễ dàng mà không đòi hỏi kẻ lừa đảo phải có
nhiều kiến thức về lập trình, chỉ đơn giản là cắt và dán nên vấn nạn Phishing
sẽ còn gia tăng trong thời gian tới. Trong khi nhiều người dùng cho rằng
Web Caller – ID không phải là phương thức toàn năng chữa trị triệt để vấn
nạn phishing.
Để phòng chống Phishing bạn có thể sử dụng sản phẩm Web Caller –
ID của công ty WholeSecurity.
Web Caller – ID hoạt động theo nguyên lý phân tích các địa chỉ Web để
dò tìm những đầu mối cho biết một website có giả mạo hay không. Chẳng
hạn nếu địa chỉ URL của website mà dài và luẩn quẩn, hoặc nếu nó chứa
một dãy số dài và được ngăn cách bởi các dấu chấm trong địa chỉ IP thì
nhiều khả năng nó là website mạo danh. Chương trình cũng có khả năng
kiểm tra xem có phải tên miền mới được đăng ký hay không, cũng như xem
có phải nhà quản trị website đó đang sử dụng một dịch vụ host miễn phí.
Ngoài Ebay, hãng WholeSecuriry còn có kế hoạch cấp giấy phép cho
các doanh nghiệp kinh doanh trực tuyến sử dụng phần mềm Web Caller –

Tài liệu bạn tìm kiếm đã sẵn sàng tải về

Tải bản đầy đủ ngay

×

×