Những lỗ hổng bảo mật phổ biến trên các sàn TMĐT

Thương mại điện tử đã trở nên phổ biến tại Việt Nam trong những năm gần đây. Bên cạnh sự thuận tiện, các giao dịch trên website TMĐT cũng tiềm ẩn nhiều nguy cơ bảo mật khác nhau.  

Hiện nay, bảo mật trong thương mại điện tử tại Việt Nam vẫn đang là vấn đề nhức nhối nhưng đa số các doanh nghiệp lại khá lơ là, tiềm tàng những nguy cơ có khả năng gây thiệt hại lớn cho doanh nghiệp và cả người dùng bất cứ khi nào.

Chính vì sự bao phủ rộng khắp của các sàn thương mại điện tử nên nó đang trở thành mục tiêu chính của những kẻ tấn công với ý đồ xấu. Hãy cùng điểm qua một số lỗ hổng bảo mật thường gặp dễ bị tin tặc lợi dụng để tấn công trên các sàn TMĐT.

Những lỗ hổng bảo mật phổ biến trên các sàn TMĐT

Lỗ hổng trong các thao tác về giá

Khi lựa chọn một món đồ vào giỏ hàng, thường sẽ có 2 giá trị kèm theo 2 biến sẽ được gửi đến hệ thống máy chủ dưới dạng một lệnh POST, bao gồm tên ID và giá món đồ. Tin tặc có thể ngăn chặn lệnh và thay đổi mức giá của sản phẩm. Lỗ hổng này đã rất phổ biến từ mấy năm trước, tuy nhiên đến nay đã ít ảnh hưởng hơn tới các website do nhận thức của lập trình viên cũng như các nền tảng thư viện, mã nguồn mở hỗ trợ.

Một cách khai thác khác nữa của tin tặc là chuyển đổi loại tiền tệ. Chẳng hạn, việc thay đổi từ USD sang VNĐ sẽ khiến giá cả chênh lệch cả ngàn lần. Cách khai thác này là do trước đó, tin tặc đã đăng nhập thành công vào hệ thống với tư cách quyền quản trị hàng hóa và thay đổi giá cả sản phẩm trước khi khách hàng đặt mua sản phẩm, hay có thể giảm giá 100% cho khách hàng. Nếu bạn là người bán hàng và phải cấp quyền truy cập cho nhiều nhân viên, hãy chú trọng đến việc thiết lập một hệ thống tối ưu giúp bạn kiểm soát được những rủi ro có thể xảy đến.

Lỗ hổng trong việc đặt tên hoặc số thẻ khách hàng theo thứ tự

Để gia tăng khách hàng thường xuyên và trung thành, các hệ thống kinh doanh, bán lẻ thường tạo ra các thẻ khách hàng thân thiết và tích điểm sau mỗi lần mua sắm. Và để thuận tiện nhất, các hệ thống kinh doanh này thường tạo tài khoản thẻ cho khách hàng kiểu tịnh tiến. Chính vì sự tuần tự này, tin tặc hoàn toàn có thể dễ dàng có tên tài khoản và từ đó tìm cách đánh cắp được mật khẩu của những khách hàng khác rồi sử dụng tiền của họ. Rất đơn giản nhưng lỗ hổng này vẫn đang bị bỏ ngỏ.

Lỗ hổng trong việc thống kê hàng tồn kho

Cách khai thác này thường được các đối thủ cạnh tranh trong cùng ngành, cùng lĩnh vực kinh doanh sử dụng. Họ sẽ đo lường và dự đoán kho hàng của bạn bằng cách đặt mua các sản phẩm vào giỏ hàng cho đến khi hệ thống bán hàng báo sản phẩm đã hết.

Thông tin về số lượng sản phẩm mà bạn có trong kho hàng sẽ được các đối thủ cạnh tranh sử dụng để dự đoán kế hoạch kinh doanh của doanh nghiệp. Từ đó, không thể loại trừ trường hợp họ sẽ tìm cách phá vỡ những kế hoạch kinh doanh ấy của bạn. Ví dụ, đối thủ sẽ triển khai kế hoạch kinh doanh giống y hệt, nhưng họ sẽ đẩy mạnh và cải tiến nó sao cho hấp dẫn hơn, sau đó công khai và chạy chiến dịch đó trước khi doanh nghiệp bạn kịp tung ra. Vậy là bạn đã mất một ý tưởng kinh doanh chỉ vì lỗ hổng này.

 

Các cuộc tấn công DDoS nhằm vào website TMĐT

Các cuộc tấn công DDoS là kiểu khai thác đã phổ biến từ lâu nhưng gần đây được sử dụng nhiều và thường xuyên hơn. Nếu trang web của bạn có vấn đề và không thể hoạt động, đương nhiên bạn sẽ không thể bán hàng được và khách hàng lúc này sẽ bắt đầu rời bỏ website và đi tìm những địa chỉ bán hàng trực tuyến khác. Đa số khách hàng sẽ lựa chọn ghé thăm và mua hàng tại website của kẻ tấn công.

Nhằm khiến cho tình hình trở nên tồi tệ hơn, kẻ tấn công sẽ tìm cách khiến trang web của bạn ngưng hoạt động trong thời gian càng lâu càng tốt. Cho dù khi bạn đã khắc phục xong hệ thống và hoạt động trở lại thì các hậu quả vẫn còn sức ảnh hưởng đến một thời gian sau nữa, một số lượng lớn khách hàng bắt đầu quên bạn và trở thành khách hàng thân thiết của những hệ thống thương mại điện tử khác.

Đánh cắp thẻ tín dụng 

Mục đích của kiểu tấn công này là khiến nhà bán lẻ vướng vào những vụ giải quyết khiếu nại đau đầu, từ đó làm suy giảm uy tín, danh tiếng của doanh nghiệp đó. Cách thức chung đó là tin tặc sẽ đánh cắp thông tin của rất nhiều thẻ tín dụng, sử dụng chúng vào việc mua sản phẩm tại hệ thống bán lẻ mục tiêu.

Khi ngân hàng phát hiện thẻ bị đánh cắp được sử dụng, họ sẽ thông báo và yêu cầu bồi hoàn. Lúc này, hệ thống bán lẻ mục tiêu sẽ phải đau đầu khi giải quyết những thủ tục bồi hoàn với bên ngân hàng. Bên cạnh đó, phí bồi hoàn cũng khá cao. Đặc biệt, trong trường hợp sản phẩm đã giao thì họ cũng phải tìm cách để nhận lại sản phẩm đó.

Vì thế, khi thanh toán qua thẻ tín dụng, bạn nên tỉnh táo để có thể xác minh được người mua hàng là chủ sở hữu của thẻ tín dụng đó. Tuy nhiên, cũng không nên khiến thủ tục thanh toán trở nên quá rườm rà và khó khăn cho các khách hàng thực sự. Việc cân bằng giữa các biện pháp an ninh và sự thuận tiện cho khách hàng là điều vô cùng cần thiết, cũng là thách thức đối với các hệ thống thương mại điện tử hiện nay.

Để hình thành một mạng lưới thương mại điện tử an toàn, hiệu quả cho cả người mua và người bán, tất cả mọi người cần có một nhận thức cao về vấn đề bảo mật này.

P.V

Phát hiện phần mềm giả mạo trên điện thoại thông minh để lừa đảo, chiếm đoạt tài sản

Phát hiện phần mềm giả mạo trên điện thoại thông minh để lừa đảo, chiếm đoạt tài sản

Trong công tác bảo vệ an ninh mạng và phòng, chống tội phạm sử dụng công nghệ cao, lực lượng công an phát hiện một phần mềm gián điệp được các đối tượng sử dụng để trộm cắp, lừa đảo, chiếm đoạt tài sản của người dùng điện thoại Android.

 
List comment
 
Gia Lai lên kế hoạch phát triển hệ thống cảnh báo sớm tấn công mạng
icon

Trong bản kế hoạch chuyển đổi số đến năm 2030, Gia Lai định hướng xây dựng và triển khai hệ thống giám sát, cảnh báo sớm nguy cơ, điều phối ứng cứu sự cố mất an toàn, an ninh mạng cho các cơ quan, tổ chức trên địa bàn tỉnh.

 
Tường lửa web là gì, vì sao doanh nghiệp Việt phải cần đến nó?
icon

Tường lửa trên máy tính cá nhân là điều mà ai cũng từng nghe đến, vậy còn tường lửa web là gì, có tác dụng ra sao?

 
Đội KingTigerPrawn của Hàn Quốc giành giải Nhất cuộc thi WhiteHat Grand Prix 06
icon

Khép lại vòng chung kết cuộc thi an toàn không gian mạng toàn cầu WhiteHat Grand Prix 06, giải Nhất trị giá 230 triệu đồng đã thuộc về đội KingTigerPrawn đến từ Hàn Quốc. Hai đội Việt Nam ACEBEAR và BabyPhD xếp ở vị trí thứ 6 và 7.

 
Hạ tầng bảo mật kém, có nên đưa dữ liệu doanh nghiệp lên Cloud?
icon

Đám mây sẽ giúp hệ thống vận hành thông suốt hơn, nhưng trước thực trạng đáng lo ngại của các cuộc tấn công mạng hiện nay, doanh nghiệp Việt Nam cần có sự chuẩn bị kỹ trước khi chuyển đổi hạ tầng.  

 
Backdoor là gì và cách phòng vệ hiệu quả trên không gian mạng?
icon

Nhiều người dùng tại Việt Nam vẫn chưa có khái niệm về “cửa hậu” khi cài đặt các phần mềm trên thiết bị, chính vì vậy họ sẽ dễ trở thành mục tiêu tấn công của tin tặc.  

 
 
Hỗ trợ thương mại điện tử, Sở TT&TT Gia Lai đào tạo an toàn giao dịch
icon

Sở Thông tin và Truyền thông tỉnh Gia Lai được giao hàng năm phối hợp tổ chức các khóa đào tạo, tập huấn kỹ năng an ninh thông tin trong giao dịch, chữ ký số, bảo mật thông tin, góp phần hỗ trợ ứng dụng thương mại điện tử.

Gia Lai ban hành tiêu chí an toàn thông tin cho chính quyền điện tử
icon

Tiêu chí an toàn thông tin trong xây dựng chính quyền điện tử ở Gia Lai bao gồm cập nhật các chính sách bảo vệ trên thiết bị tường lửa; bố trí máy tính không kết nối Internet và máy in riêng để soạn thảo, in ấn văn bản mật.

Thêm hệ thống quản lý an toàn thông tin ngân hàng đạt chuẩn quốc tế
icon

VPBank đã chính thức được tổ chức chứng nhận quốc tế DAS (Vương Quốc Anh) trao chứng chỉ đạt yêu cầu về an toàn thông tin theo tiêu chuẩn quốc tế ISO/IEC 27001:2013 đối với hệ thống quản lý an toàn thông tin (ISMS).

Doanh nghiệp cung cấp dịch vụ phải loại bỏ nội dung vi phạm pháp luật về an ninh mạng
icon

Lãnh đạo tỉnh Hưng Yên yêu cầu doanh nghiệp cung cấp dịch vụ trên địa bàn tỉnh loại bỏ thông tin có nội dung vi phạm pháp luật về an ninh mạng do doanh nghiệp, cơ quan, tổ chức trực tiếp quản lý.

Triển khai các giải pháp cơ yếu đảm bảo ATTT cho chuyển đổi số quốc gia
icon

Để tiếp tục phát huy vai trò là 1 trong 4 Cục Cơ yếu quan trọng, Cục Cơ yếu Đảng-chính quyền cần tham mưu tổ chức triển khai các giải pháp cơ yếu phục vụ phát triển Chính phủ điện tử và quá trình chuyển đổi số quốc gia.

 
123

Giấy phép hoạt động báo chí: Số 09/GP-BTTTT, Bộ Thông tin và Truyền thông cấp ngày 07/01/2019.

Tòa soạn: Tầng 7, Tòa nhà Cục Tần số Vô tuyến điện, 115 Trần Duy Hưng, Quận Cầu Giấy, Hà Nội

Điện thoại: 024 3 936 9966 - Fax: 024 3 936 9364

Hotline nội dung: 0888 911 911 - Email: toasoan@ictnews.vn

123