Lời tóm tắt Trong bối cảnh mạng máy tính đã bao phủ toàn thế giới, người ta có thể thực hiện rất nhiều việc trên mạng trong đó có các giao dịch với ngân hàng. Hệ thống dịch vụ của ngân hàng cung cấp cho khách hàng các giao dịch trực tuyến là hệ thống Internet Banking và Mobile Banking cũng đã phát triển rộng khắp và cung cấp rất sản phẩm đem lại lợi ích cho cả ngân hàng cũng như khách hàng. Tuy nhiên cùng với sự phát triển của Internet Bankingvà Mobile Banking thì cũng đồng thời với sự phát triển của các mối đe dọa về bảo mật của dịch vụ này làm đau đầu cả các ngân hàng lẫn các khách hàng sử dụng dịch vụ. Trước thách thức đó tôi đã lựa chọn đề tài “Nghiên cứu các phương pháp bảo mật trong Internet Banking và Mobile Banking” làm khóa luận tốt nghiệp của mình. Trong khóa luận tôi đã nghiên cứu tổng quan chung về tình hình triển khai Internet Banking tại Việt Nam, các mối đe dọa với ngân hàng và khách hàng khi sử dụng dịch vụ và trọng tâm là một số phương pháp bảo mật được áp dụng để bảo đảm an toàn của hệ thống Internet Banking và một phần tìm hiểu khái quát về Mobile Banking. Thông qua khóa luận tôi muốn mọi người hiểu thêm và thực trạng cũng như các biện pháp bảo mật được áp dụng tại các ngân hàng, từ đó có những kiến thức để tự tin sử dụng dịch vụ Internet Banking và Mobile Banking một cách an toàn. Mặc dù đã hết sức cố gắng nhưng do hoàn cảnh nghiên cứu còn hạn hẹp, chưa có điều kiện trực tiếp nghiên cứu tại các ngân hàng nên không tránh khỏi những thiếu xót, tôi rất mong những ý kiến đóng góp của người đọc quan tâm đến lĩnh vực này. Tôi xin gửi lời cảm ơn chân thành nhất Tiến sỹ Lê Phê Đô, giảng viên trường đại học Công Nghệ, đại học Quốc Gia Hà Nội, người đã tận tình hướng dẫn và cho tôi những nhận xét quý báu giúp tôi hoàn thành khóa luận này. Tôi cũng xin cảm ơn toàn thể gia đình, người thân, bạn bè đã nhiệt tình giúp đỡ và động viên tôi rất nhiều trong quá trình làm khóa luận này. Mục lục Bảng ký hiệu và chữ viết tắt STT Chữ viết tắt Chữ viết đầy đủ Nghĩa tiếng Việt 1 EPS Enterprise Protection Strategy Chiến lược bảo vệ toàn diện 2 IPS Intruction Prevention System Hệ thống phòng chống xâm nhập 3 VPN Virtual Private Network Mạng riêng ảo 4 OTP One Time Password Mật khẩu một lần 5 WAF Web Application Firewall Tường lửa ứng dụng web Danh mục hình vẽ STT Tên hình 1 Ảnh thiết bị videotex 2 Ảnh thẻ xác thực của DongA bank 3 Mô tả thời gian đáp ứng của trang web US bank khi bị tấn công 4 Ví dụ về một email phishing 5 Biểu tượng an toàn trên trình duyệt 6 Hình minh họa thể hiện trang web của Paypal được chứng thực bới tổ chức VerySign 7 Xác định cơ quan cấp chứng chỉ số 8 Cảnh báo của trình duyệt web 9 DNS cache poisioning 10 Mô tả kịch bản tấn công DNS 11 Host file 12 Website của ngân hàng tạm ngừng hoạt động 13 Hai yếu tố xác thực thường được sử dụng 14 Sử dụng mật khẩu một lần để đăng nhập 15 Các thiết bị phân phối OTP 16 Các máy chủ dịch vụ web đặt ở vùng DMZ, Data center đặt ở vùng Intranet 17 Mô tả cơ chế hoạt động của một IPS 18 Chúc năng bản vá ảo 19 Thị phần IPS trên thị trường thiết bị an ninh mạng 20 Mô phỏng tường lửa ứng dụng web của SecuresPhere bảo vệ máy chủ cơ sở dữ liệu và vùng DMZ 21 Mô tả hoạt động của môt tường lửa ứng dụng hãng Netcontinuum 22 Tập hợp các sản phầm phòng chống mã độc của Trend Micro 23 Website ngân hàng sử dụng chứng chỉ số của VerySign cấp 24 Mã hóa một phần thông tin 25 Mã hóa toàn bộ thông tin 26 Intranet VPN 27 Extranet VPN 28 Remote Access VPN 29 Tổng hợp các hình thức VPN 30 IPSec VPN 31 SSL VPN 32 VPN tích hợp với Firewall 33 Biểu đồ về Mobile Banking so với Online Banking trong giai đoạn 19952006 và dự đoán trong tương lai đến 2016 tại Mỹ. 34 Hoạt động của một software client trên mobile 35 Hình ảnh mô tả hoạt động của chương trình OTP Lời mở đầu Internet Banking và Mobile Banking đã đang và sẽ trở thành những dịch vụ thiết yếu với cuộc sống của con người trong xã hội hiện đại ngày nay, tuy nhiên cùng với sự tiện lợi mà các dịch vụ này đem lại thì các ngân hàng cũng như khách hàng sử dụng dịch vụ phải đối mặt với nhiều nguy cơ thách thức về mặt bảo mật. Cuộc chiến với tội phạm công nghệ cao là cuộc chiến mang tính chất rượt đuổi không ngừng nghỉ đòi hỏi trình độ khoa học kỹ thuật ngày càng cao. Vì nguyên nhân ấy tôi quyết định nghiên cứu về đề tài “Các phương pháp bảo mật trong Internet Banking và Mobile Banking” nhằm mục tiêu tìm hiểu các biện pháp và nguyên tắc bảo mật được áp dụng để chống lại các nguy cơ và thách thức từ phía tội phạm. Các kiến thức trong đề tài cung cấp các giải pháp công nghệ cho phía ngân hàng đồng thời cũng nâng cao nhận thức của khách hàng nhằm giúp họ có thể tự bảo vệ mình trước những hình thức tấn công phổ biến. Khóa luận bao gồm 4 chương và phần phụ lục, chương 1 “Internet Banking và thực trạng ở Việt Nam”, chương 2 “Những thách thức với an toàn của Internet Banking”, chương 3 “Triển khai các giải pháp an toàn cho Internet Banking”, chương 4 “Mobile Banking”, và phần phụ lục “Chương trình sinh mật khẩu một lần”. Các biện pháp kỹ thuật trong đề tài mang tính thực tiễn cao và đang được áp dụng trên thực tế tại một số ngân hàng tại Việt Nam đồng thời cũng mở ra hướng nghiên cứu phát triển trong tương lai. 6 Chương 1: Internet Banking và thực trạng ở Việt Nam 1.1. Internet Banking 1.1.1. Khái niệm Internet Banking là một hệ thống cho phép khách hàng truy cập đến tài khoản ngân hàng, các thông tin và dịch vụ mà ngân hàng cung cấp thông qua một máy tính có kết nối mạng hay thông qua các thiết bị thông minh khác. 1.1.2. Các chức năng cơ bản của Internet Banking Tra cứu thông tin tài khoản: thay vì phải đến ngân hàng hay nơi có đặt máy atm thì bạn có thể tra cứu tài khoản của mình bất cứ đâu khi bạn có một kết nối mạng. Chuyển khoản: giúp việc gửi tiền từ tài khoản này sang tài khoản khác được dễ dàng, một số ngân hàng chỉ cho phép chuyển khoản trong cùng một ngân hàng, một số ngân hàng cho phép chuyển khoản sang cả tài khoản của ngân hàng khác, việc này tùy thuộc vào từng ngân hàng và loại tài khoản của bạn. Thanh toán hóa đơn điện tử (bạn có thể dùng tài khoản để thanh toán một số loại hóa đơn như điện nước, cước phí điện thoại). Chuyển tiền từ tài khoản tiền gửi thanh toán của mình đến người nhận bằng CMND, hộ chiếu, địa chỉ… Chuyển đổi ngoại tệ trực tuyến. Nạp tiền vào thẻ: khách hàng có thể thực hiện việc chuyển tiền từ tài khoản tiền gửi thanh toán của khách hàng đến tài khoản thẻ. 1.1.3. Lịch sử Tiền thân cho Internet Banking là dịch vụ ngân hàng từ xa thông qua đường truyền điện tử từ đầu những năm thập niên 80 của thế kỷ 20. Thuật ngữ trực tuyến trở lên phổ biến vào cuối những năm 1980 cùng với việc sử dụng thiết bị đầu cuối, bàn phím và màn hình để truy cập vào hệ thống ngân hàng bằng đường dây điện thoại. Dịch vụ trực tuyến bắt đầu xuất hiện tại NewYork vào năm 1981 khi 4 ngân hàng chính (Citibank, Chase Manhattan, Chemical và Manufactorers Hanover) cung cấp dịch vụ ngân hàng tại nhà sử dụng hệ thống videotex. Tuy nhiên hệ thống videotex đã thất bại nên các dịch vụ mà 7 ngân hàng cung cấp thông qua hệ thống này đã không thể trở lên phổ biến ngoại trừ ở Pháp nơi mà hệ thống videotex đã có những thành công nhất định. Hình 1: Ảnh thiết bị videotex. Dịch vụ ngân hàng trực tuyến đầu tiên tại Anh ra đời vào năm 1983 được thiết lập tại Nottingham Building Society. Hệ thống hoạt động dựa trên trang bị của Prestel, sử dụng máy tính kết nối qua đường điện thoại. Hệ thống có tên Homelink cho phép người sử dụng vấn tin tài khoản, chuyển khoản và trả tiền hóa đơn. Năm 1994, Stanford Federal Credit Union là tổ chức tài chính đầu tiên cung cấp dịch vụ ngân hàng trực tuyến cho tất cả thành viên của mình. Vào ngày 18/10/1995 ngân hàng SFNB cung cấp dịch vụ Internet Banking đầu tiên trên thế giới. SFNB là tên viết tắt của ngân hàng Security First National Bank có trụ sở đóng tại Atlanta Mỹ và cung cấp dịch vụ này tới khách hàng tại 50 bang của nước này. Ngày nay, có rất nhiều ngân hàng chỉ tồn tại ở hình thức ngân hàng trực tuyến. Các ngân hàng này không phải mở và mất phí hoạt động cho các chi nhánh, nhờ vậy mà họ tạo được sự khác biệt với các ngân hàng thông thường khác (mức lãi suất tốt và các dịch vụ ngân hàng trực tuyến phong phú). 8 1.2. Thực trạng Internet Banking tại Việt Nam 1.2.1. Tình hình triển khai Internet Banking tại Việt Nam a. Khái quát Internet Banking đem lại nhiều thuận lợi cho cả ngân hàng và khách hàng nên là vấn đề được nhiều ngân hàng tại Việt Nam quan tâm. Hầu hết các ngân hàng tại Việt Nam đến thời điểm hiện tại đều đã triển khai Internet Banking nhưng mức độ và số lượng dịch vụ còn khác nhau. Có thể kể tên một số ngân hàng đã triển khai Internet Banking tại Việt Nam như ACB, DongA, Viettinbank, Incombank, Agribank, Techcombank, BIDV và một số ngân hàng vốn nước ngoài như HSBC, ANZ Việc triển khai Internet Banking đem lại rất nhiều lợi ích cho cả khách hàng lẫn ngân hàng: • Tiết kiệm được thời gian tiền bạc cho cả hai phía: ngân hàng không phải tốn tiền thuê nhân viên giao dịch, mở chi nhánh tại các vùng xa, tiết kiệm được chi phí vận hành bộ máy. Khách hàng thì không cần mất thời gian tới ngân hàng, tiết kiệm các khoản phí khi giao dịch với nhân viên ngân hàng (vì hầu hết các dịch vụ Internet Banking là miễn phí). • Mang lại nhiều dịch vụ thiết thực cho khách hàng: ngân hàng liên kết với các công ty cung cấp nhiều loại dịch vụ giá trị gia tăng cho khách hàng ngoài các dịch vụ cơ bản của ngân hàng, khách hàng thì được hưởng sự tiện lợi từ các dịch vụ này. • Ngân hàng triển khai các dịch vụ của mình mà không phụ thuộc vào mạng lưới đại lý cũng như khoảng cách địa lý, dịch vụ được cung cấp mọi lúc mọi nơi khi mà các mạng Internet tốc độ cao trở lên phổ biến trên toàn thế giới. b. Các dịch vụ được triển khai Về cơ bản thì Internet Banking tại Việt Nam cũng đã triển khai các dịch vụ chính như các nước trên thế giới, điểm khác biệt lớn nhất của Internet Banking tại Việt Nam so với nước ngoài là quy mô chất lượng dịch vụ cũng như các biện pháp bảo mật. ACB và DongA là hai ngân hàng đã triển khai dịch vụ Internet Banking từ sớm và có nhiều dịch vụ phục vụ khách hàng đi kèm với các giải pháp công nghệ tiên tiến. Chúng ta hãy cùng tìm hiểu về giải pháp Internet Banking của hai ngân hàng này. 9 *Ngân hàng á châu ACB Trang web chính thức: http://www.acb.com.vn/index.jsp. ACB triển khai Internet Banking vào năm 2003. ACB cung cấp giải pháp Internet Banking với nhiều phương thức bảo mật khác nhau phù hợp với điều kiện và mục đích sử dụng của từng đối tượng khách hàng, hiện ACB có 6 tùy chọn bảo mật cho dịch vụ Internet Banking với các hạn mức sử dụng dịch vụ khác nhau. Các tùy chọn đó là: • Phương thức xác thực giao dịch bằng mã số truy cập và mật khẩu tĩnh. Khi khách hàng đăng ký phương thức này khách hàng chỉ được chuyển khoản giữa các tài khoản tiền gửi thanh toán của cùng chủ tài khoản trong hệ thống ACB và tạo tài khoản tiền gửi đầu tư trực tuyến. • Phương thức xác thực giao dịch bằng mã số truy cập và mật khẩu tĩnh, chứng thư điện tử. • Phương thức xác thực giao dịch bằng mã số truy cập và mật khẩu tĩnh, OTP SMS. • Phương thức xác thực giao dịch bằng mã số truy cập và mật khẩu tĩnh, OTP SMS, chứng thư diện tử. • Phương thức xác thực giao dịch bằng mã số truy cập và mật khẩu tĩnh, OTP Token. • Phương thức xác thực giao dịch bằng bằng mã số truy cập và mật khẩu tĩnh, smart card có tích hợp chứng thư diện tử. • Các hình thức xác thực theo mức độ tăng của bảo mật nên cũng có hạn mức giao dịch tăng dần từ chỉ được chuyển tiền giũa các tài khoản của cùng một chủ đến loại không có hạn mức. Đối tượng cung cấp dịch vụ của ACB là khách hàng cá nhân có tiền gửi thanh toán Việt Nam đồng tại ACB. Yêu cầu sử dụng: Khách hàng đăng kí dịch vụ Internet Banking, sử dụng trình duyệt web trên máy tính truy cập Internet vào địa chỉ https://internetbanking.acb.com.vn/ là có thể sử dụng dịch vụ này mọi lúc mọi nơi. Đăng kí dịch vụ: Nếu đã có tài khoản tại ACB, khách hàng chỉ cần đến điểm giao dịch đăng kí theo mẫu có sẵn là có thể sử dụng được dịch vụ Internet Banking, mọi vướng mắc về dịch vụ sẽ được các nhân viên ACB giải đáp. Các dịch vụ cụ thể trên hệ thống Internet Banking của ACB: 10 [...]... biện pháp công nghệ các ngân hàng có 2 lựa chọn nhưng cả 2 lựa chọn đều vấp phải những khó khăn nhất định: • Các giải pháp nhập khẩu công nghệ từ nước ngoài có giá thành quá cao cũng như đòi hỏi nhân lực có trình độ cao để vận hành hệ thống 13 • Các giải pháp công nghệ từ các công ty trong nước chưa đáp ứng được yêu cầu khắt khe của các ngân hàng • Các ngân hàng đang phân vân lựa chọn giải pháp bảo mật. .. gian tiền bạc và công sức nên được đông đảo khách hàng lựa chọn Nhờ áp dụng các biện pháp bảo mật tiên tiến, khách hàng có thể tin tưởng khi thực hiện các giao dịch trên hệ thống Internet Banking của các ngân hàng Kết luận: Chương 1 cung cấp thông tin khái quát về dịch vụ Internet Banking, lịch sử ra đời của nó trên thế giới Ngoài ra chương 1 còn tìm hiểu về thực trạng dịch vụ Internet Banking tại Việt... phishing trong Internet Banking *Khái niệm phishing Trong phạm vi Internet Banking, phishing (lừa đảo) là quá trình gian lận để cố gắng có được các thông tin nhạy cảm của người dùng như tên tài khoản, mật khẩu, các chi tiết thẻ tín dụng bằng cách giả mạo một thực thể tin cậy trong quá trình giao tiếp điện tử Việc lừa đảo thường được thực hiện qua email hoặc tin nhắn, và thường hướng người dùng vào việc... công vào các ngân hàng trực tuyến(3/2005) Một số chuyên giá bảo mật cảnh báo người dùng thận trọng với một loại mã độc mang tên Troj/BankAsh-A, mã độc nhằm vào mục đích pharming, có thể hướng khách hàng của các ngân hàng trực tuyến truy cập vào những website giả mạo trong các cuôc giao dịch và ăn cắp các thông tin cá nhân của khách hàng cho mục đích phi pháp 29 Mã độc trên thường được đính kèm trong. .. đang và sắp ra trường sẽ đáp ứng cho yêu cầu của các ngân hàng về các lĩnh vực như mạng, bảo mật, cở sở dữ liệu… Khoa học kỹ thuật đang trên đà phát triển nhanh, các công ty trong nước cũng dần đưa ra những giải pháp tốt phù hợp hơn với yêu cầu của các ngân hàng Bên cạnh đó, với sự khuyến khích và hỗ trợ của Ngân hàng Nhà nước, các ngân hàng đang bày tỏ kế hoạch liên kết với nhau, chia sẻ kinh nghiệm và. .. nhập các chi tiết về tài khoản của mình ở một trang web giả mạo mà nhìn và cảm nhận giống như một trang web hợp pháp Hình 4: Ví dụ về một email phishing Tấn công phishing dựa vào những kỹ thuật hiện đại nhằm khai thác điểm yếu của công nghệ bảo mật hiện tại của các trang web nhằm đánh lừa người sử dụng Những nỗ lực chống lại các vụ tấn công phishing chủ yếu dựa vào pháp luật, kỹ thuật, các biện pháp. .. cũng không được biết, tuy nhiên trong nhiều trường hợp các thông tin này lại không được bảo mật và dễ dàng thấy được bởi các nhân viên ngân hàng Thông tin khách hàng không được cô lập và có thể tiếp cận được: nhiều trường hợp thông tin được lưu trữ trong đĩa cd, ổ cứng di động và có thể bị mất vào tay kẻ gian Trong thực tế nhiều trường hợp tương tự như vậy đã xảy ra và dù thông tin có được mã hóa thì... bảo mật phù hợp với yêu cầu và điều kiện của mình *Khó khăn phía khách hàng: Internet Banking là dịch vụ mới với đa số khách hàng, cần tốn thời gian tìm hiểu và làm quen Nhiều khách hàng không tin tưởng vào khả năng bảo mật cũng như lo sợ rủi ro khi thực hiện các giao dịch trên Internet Banking, nhất là những người có tuổi họ có xu hướng thích đến thực hiện giao dịch tại các chi nhánh ngân hàng Điều... ngừng hoạt động cũng gây ra những thiệt hại rất lớn Nhiệm vụ đặt ra cho những người thiết kế và quản trị hệ thống internet banking của các ngân hàng là phải đảm bảo cho hệ thống phục vụ được cùng lúc nhiều người dùng và chạy ổn định trong thời gian dài Tuy nhiên trong thực tế nhiều trường hợp các dịch vụ Internet Banking của ngân hàng đã phải dừng hoạt động do bị tấn công từ bên ngoài Có nhiêu hình thức... triển Internet Banking tại Việt Nam a Khó khăn *Khó khăn từ phía ngân hàng Việt Nam đi lên từ một nước nông nghiệp trình độ khoa học kỹ thuật còn nhiều hạn chế trong khi triển khai Internet Banking lại cần nhiều biện pháp công nghệ tiên tiến nhằm bảo đảm an toàn cho cả khách hàng lẫn ngân hàng , đây là trở ngại lớn nhất của các ngân hàng khi triển khai Internet Banking Để giải quyết bài toàn về các biện . nghiên cứu về đề tài Các phương pháp bảo mật trong Internet Banking và Mobile Banking nhằm mục tiêu tìm hiểu các biện pháp và nguyên tắc bảo mật được áp dụng để chống lại các nguy cơ và thách. tài Nghiên cứu các phương pháp bảo mật trong Internet Banking và Mobile Banking làm khóa luận tốt nghiệp của mình. Trong khóa luận tôi đã nghiên cứu tổng quan chung về tình hình triển khai Internet Banking. Internet Banking tại Việt Nam, các mối đe dọa với ngân hàng và khách hàng khi sử dụng dịch vụ và trọng tâm là một số phương pháp bảo mật được áp dụng để bảo đảm an toàn của hệ thống Internet Banking và