Ứng dụng mật mã trực quan phòng chống phishing trong đảm bảo an toàn giao dịch trực tuyến

Lợi ích giao dịch trực tuyến đem lại cho người dùng ngày càng rõ rệt. Tuy nhiên, ngoài chất lượng sản phẩm, dịch vụ chăm sóc khách hàng thì chìa khóa thành công của giao dịch trực tuyến là phải giải quyết được những lo ngại về vấn đề bảo mật. Việc tăng cường các biện pháp bảo mật nhằm giảm thiểu rủi ro cho các hệ thống giao dịch trực tuyến hiện đang rất được quan tâm và mật mã học đang được sử dụng phổ biến để giải quyết vấn đề này.

Các hình thức giao dịch trực tuyến phổ biển ở Việt Nam

Cùng với sự phát triển của Internet, nhu cầu mua bán trực tuyến ngày càng gia tăng, do vậy việc sử dụng các dịch vụ thanh toán trực tuyến là cấp thiết. Trong khoảng 10 năm trở lại đây, các dịch vụ thanh toán đang phát triển mạnh mẽ, từ các cổng thanh toán trực tuyến như Ngân Lượng, Bảo Kim, VnPay, Soha, VTCPay,… đến các ngân hàng cũng mở rộng thêm các dịch vụ thanh toán trực tuyến.

Trong Hình 1 là mô hình giao dịch trực tuyến sử dụng cổng thanh toán điện tử VTCPay, người mua lựa chọn hàng hóa và đặt hàng qua người bán. Người bán chuyển thông tin giao dịch sang cổng thanh toán VTCPay. Những thông tin giao dịch được chuyển tới ngân hàng người mua. Sau khi người bán chuyển hàng hóa tới người mua, ngân hàng người mua chuyển tiền cho ngân hàng người bán thông qua cổng thanh toán của VTCPay.

Hình 1. Giao dịch trực tuyến sử dụng cổng thanh toán điện tử VTCPAY

Hình 2 là mô hình giao dịch trực tuyến sử dụng cổng thanh toán trực tuyến Bảo Kim. Giao dịch sau khi đặt hàng và gửi yêu cầu thanh toán trên website bán hàng, người mua lựa chọn thanh toán qua cổng thanh toán Bảo Kim theo 02 cách (người mua nhập thông tin thẻ ngân hàng để xác thực thanh toán hoặc sử dụng tài khoản Bảo Kim để chuyển tiền). Khi tiền được chuyển về tài khoản người bán trên Bảo Kim, người bán sẽ chuyển hàng cho người mua.

Hình 2. Giao dịch trực tuyến sử dụng cổng thanh toán trực tuyến Bảo Kim

Hai mô hình giao dịch trực tuyến trên là ví dụ điển hình trong giao dịch trực tuyến ở Việt Nam. Qua đây có thể thấy mô hình giao dịch trực tuyến hiện dùng gồm 4 thành phần chính: Client (Khách hàng/Người mua hàng), Merchant Server (Người bán), Payment Service Provider (PSP -Nhà cung cấp dịch vụ thanh toán) và Bank (Ngân hàng).

Các bước hoạt động của giao dịch trực tuyến (như mô hình tại Hình 3) như sau:

- Bước 1: Người mua lựa chọn hàng, đặt lệnh mua, gửi thông tin cá nhân (tên chủ thẻ, số thẻ, tên ngân hàng - UID, BankID) tới phía người bán.

- Bước 2: Bên bán nhận được yêu cầu mua hàng, gửi yêu cầu thanh toán tới PSP. Yêu cầu thanh toán bao gồm UID, Bank ID của người mua và người bán kèm theo số tiền cần thanh toán.

- Bước 3: PSP nhận được yêu cầu thanh toán, xác nhận UID, Bank ID và gửi mã OTP bằng SMS/Email tới người mua.

- Bước 4: Nếu người mua chấp nhận thanh toán sẽ xác nhận mã OTP cho phía PSP.

- Bước 5: Nếu OTP sai thì sẽ kết thúc giao dịch.

- Bước 6: Nếu OTP đúng, PSP sẽ chuyển yêu cầu thanh toán của người mua tới Ngân hàng.

- Bước 7: Ngân hàng nhận được yêu cầu sẽ chuyển khoản và gửi xác nhận về phía người bán.

- Bước 8: Người bán sẽ tiến hành giao hàng đến người mua và nhận được thanh toán từ phía ngân hàng.

Hình 3. Mô hình giao dịch trực tuyến

Tấn công phishing vào giao dịch trực tuyến

Khi đề cập đến giao dịch trực tuyến, bảo mật luôn là vấn đề được quan tâm. Đặc biệt trong thời gian gần đây, các phương thức tấn công mới liên tục xuất hiện với phương thức thủ đoạn ngày càng tinh vi. Để vượt qua các hệ thống bảo mật, tin tặc kết hợp nhiều biện pháp khác nhau, tấn công vào tất cả các giai đoạn của quá trình giao dịch: từ trước khi người dùng đăng nhập, khi người dùng đăng nhập, sau khi đăng nhập, khi thực hiện giao dịch,…

Với mô hình hiện tại, PSP đóng vai trò là bên trung gian, kết nối việc thanh toán giữa Khách hàng, Người bán và Ngân hàng.

Để tấn công bằng hình thức Phishing vào mô hình này, tin tặc sẽ thực hiện như trong Hình 4.

Đầu tiên, tin tặc tạo một website giả mạo với hình thức và nội dung giống như website hợp pháp. Tiếp theo, tin tặc đăng ký tên miền cho website giả mạo gần giống với tên miền của website hợp pháp, nhằm mục đích dễ dàng đánh lừa người dùng.

Ví dụ: website hợp pháp là https://www.lazada.vn/ thì tin tặc có thể sẽ đặt tên website giả mạo sẽ là https://www.lazadä.vn/. Người dùng rất khó phát hiện và phân biệt được sự khác biệt của tên miền nằm ở ký tự “a” và “ä”.

Sau đó, tin tặc dùng các biện pháp kỹ thuật gửi đường dẫn của website giả mạo tới khách hàng và tự nhận mình là website có thẩm quyền hoặc hợp pháp. Khách hàng nếu không thực

sự lưu ý sẽ tiến hành mua sắm trên website giả mạo và cung cấp thông tin tài khoản thanh toán cá nhân vào website giả mạo. Thông tin thanh toán của khách hàng sẽ được chuyển đến website của tin tặc thay vì đến website hợp pháp. Tin tặc sử dụng thông tin của khách hàng để yêu cầu PSP thanh toán cho mình. PSP sẽ xác nhận yêu cầu thanh toán từ phía khách hàng bằng cách gửi mã OTP cho khách hàng. Khách hàng nhận được tin nhắn vẫn không hề biết mình đang mua hàng trên một website giả mạo, xác nhận OTP. Lúc này, tiền sẽ được chuyển từ tài khoản của khách hàng sang tài khoản của tin tặc thông qua ngân hàng. Tài khoản của khách hàng bị trừ tiền nhưng khách hàng không nhận được hàng.

Hình 4. Tấn công Phishing vào mô hình giao dịch trực tuyến

Ứng dụng mật mã trực quan phòng chống tấn công phishing

Với việc ứng dụng mật mã trực quan vào giao dịch trực tuyến. Đầu tiên, người bán sẽ tiến hành đăng ký một ảnh Logo được coi là định danh thương hiệu của người bán với PSP và công khai Logo để khách hàng nhận diện thương hiệu (mô tả ở Hình 5). PSP tiếp nhận Logo và đảm bảo Logo là duy nhất với mỗi người bán. (Căn cứ quy định tại khoản 16 Điều 4 Luật Sở hữu trí tuệ, Logo được đăng ký bảo hộ theo hình thức đăng ký nhãn hiệu. Vì vậy, Logo là định danh duy nhất đối với doanh nghiệp).

Hình 5. Người bán đăng ký Logo với PSP

Các bước khi mua bán trực tuyến

- Bước 1: Khách hàng lựa chọn hàng trên website, đặt lệnh mua, gửi thông tin cá nhân (tên chủ thẻ, số thẻ, tên ngân hàng - UID, BankID) tới phía Merchant Server.

- Bước 2: Merchant Server nhận được yêu cầu mua hàng, gửi yêu cầu thanh toán tới PSP. Yêu cầu thanh toán bao gồm, UID, Bank ID của Khách hàng, và Merchant Server kèm theo số tiền cần thanh toán.

- Bước 3: PSP nhận được yêu cầu thanh toán, xác nhận UID, Bank ID của Khách hàng và Merchant Server. PSP tiến hành xác thực thông tin nhận được.

Nếu thông tin hợp lệ, PSP dùng Logo mà Merchant Server đăng ký sử dụng lược đồ mật mã trực quan cho ảnh màu VC (2,2) để tạo ra 2 mảnh ảnh bí mật là Share_Client và Share_Merchant như Hình 6.

Hình 6. Ứng dụng mật mã trực quan phòng chống tấn công Phishing trong mô hình giao dịch trực tuyến

- Bước 4: PSP gửi Share_Client cho Khách hàng kèm theo mã OTP, gửi Share_Merchant lên website bán hàng của Merchant Server.

- Bước 5: Client nhận được ảnh Share_Client và lấy Share_Merchant trên phía Merchant Server sử dụng lược đồ mật mã trực quan VC(2,2) để giải mã (Hình 7). Nếu không hiển thị ra thông tin Logo thì sẽ hủy bỏ giao dịch. Nếu hiển thị được Logo, Khách hàng sẽ biết được mình đang mua hàng trên Merchant Server nào, và tiến hành xác nhận lại OTP cho phía PSP.

Hình 7 Client sử dụng mật mã trực quan để ghép 2 mảnh ảnh

- Bước 6: PSP nhận được mã OTP phía Khách hàng. Nếu OTP sai, giao dịch sẽ bị hủy bỏ. Nếu đúng, PSP xác thực giao dịch về phía BankServer yêu cầu thanh toán cho Merchant Server.

Từ mô hình có thể thấy những ưu điểm của việc ứng dụng mật mã trực quan phòng chống tấn công Phishing trong mô hình giao dịch trực tuyến:

Một là, hỗ trợ khách hàng phát hiện những website giả mạo chưa có trong danh sách đen hoặc các công cụ tự động phát hiện tấn công Phishing không thể tìm thấy.

Hai là, khắc phục những hạn chế, bất lợi của các kỹ thuật phòng chống Phishing dựa trên heuristic. Ngay cả khi kỹ thuật heuristic không thể phát hiện được các URL giả mạo, thì cách tiếp cận bằng mật mã trực quan có thể hỗ trợ khách hàng phát hiện được những URL giả mạo.

Ba là, đơn giản và dễ thực hiện, quá trình tính toán nhanh chóng hơn việc sử dụng các công cụ quét lỗ hổng và phân tích Phishing tự động.

Có thể thấy rằng, việc ứng dụng mật mã trực quan vào phòng, chống tấn công Phishing trong giao dịch trực tuyến là một trong những biện pháp hiệu quả, khả thi nhằm nâng cao bảo mật của các giao dịch trực tuyến.

TÀI LIỆU THAM KHẢO

1.M. Naor,A. Shamir, “Visual cryptography,” Advances in Cryptology-EUROCRYPT’94, in lecture Notes in Computer Science, vol. 950, Springer, Berlin, 1995, pp. 1–12.
2.D. R. Stinson, Cryptography Theory and Practice, Chapman & Hall/CRT, 3rd Ed, 2006.
3.C.-N. Yang, “New visual secret sharing schemes using probabilistic method,” Pattern Recognition Letter, vol. 25, pp. 481–494, 2004.
4.Li Bai , A Reliable (k,n) Image Secret Sharing Scheme, IEEE,2006.
5.F. Liu1, C.K.Wu1, X.J. Lin, Colour visual cryptography schemes, IET Information Security, July 2008.
6.“Phishing”, http://www.phishing.org/history-of- phishing
7.J. Cai, “A Short Survey On Visual Cryptography Schemes,” 2004, Available: http://www.cs.toronto. edu/~jcai/paper.pdf
8.Y. C. Hou, “Visual cryptography for color images,” Pattern Recognition, vol. 36, no. 7, pp. 1619–1629, 2003.
9.Souvik Roy and P.Venkates, “Online Payment System using Stenography and Visual Cryptography”, IEEE Student’s Conference on Electrical, 2014.

ThS. Phạm Tiến Đạt (Học viện Cảnh sát nhân dân)

Theo An toàn Thông tin