Tuyển tập Hội nghị Khoa học thường niên năm 2017. ISBN: 978-604-82-2274-1
129
AN NINH GIAO DỊCH ĐIỆN TỬ VÀ THỰC TRẠNG
TẠI MỘT SỐ TRANG WEB BÁN HÀNG ONLINE Ở VIỆT NAM
Phạm Thanh Bình
Trường Đại học Thuỷ lợi, email: binhpt@tlu.edu.vn
1. GIỚI THIỆU CHUNG
Giao dịch điện tử (GDĐT) ngày càng trở
nên phổ biến nhờ sự tiện lợi và tiết giảm chi
phí. Người dùng bây giờ không phải đi tới
cửa hàng nữa, chỉ cần ngồi ở nhà cũng có thể
mua mọi thứ hàng hoá thông qua Internet.
Đi kèm với sự tiện lợi đó là sự gia tăng của
nguy cơ rò rỉ thông tin cá nhân trên mạng, lộ
mã số thẻ tín dụng, thẻ ATM… Hàng loạt các
vụ tấn công vào hệ thống ngân hàng đã diễn
ra trong thời gian vừa qua với quy mô giá trị
ngày càng tăng, từ vài chục, vài trăm triệu và
lên tới hàng chục tỉ đồng.
Nguyên nhân của tình trạng trên thì có
nhiều: Do lỗi bảo mật của ngân hàng, do sơ
xuất của người dùng, do người bán thiếu
trách nhiệm... Trong khuôn khổ bài viết này,
chúng tôi sẽ tập trung phân tích một số giải
pháp an ninh GDĐT, thực trạng GDĐT tại
một số trang Web bán hàng trực tuyến, từ đó
tìm ra những hạn chế cần phải khắc phục đối
với hệ thống mua bán trực tuyến ở Việt Nam.
2. PHƯƠNG PHÁP NGHIÊN CỨU
Để tìm hiểu về các giải pháp an ninh
GDĐT, chúng tôi tập trung vào việc phân
tích các chỉ định kỹ thuật SSL (Secure
Sockets Layer) và SET (Secure Electronic
Transaction) [2]. SSL là một tập hợp các giao
thức nhằm đảm bảo an ninh cho các giao vận
Web. Còn SET là một tập hợp các giao thức
an ninh cho phép thanh toán bằng thẻ tín
dụng một cách an toàn qua Internet.
Ngoài ra chúng tôi cũng tìm hiểu cách thức
giao dịch và thanh toán thực tế của một số
Website bán hàng lớn tại Việt Nam. Sau khi
đối chiếu với các chỉ định kỹ thuật nói trên,
chúng tôi sẽ phân tích để tìm ra những nguy cơ
gây rò rỉ thông tin, từ đó đưa ra những khuyến
nghị nhằm nâng cao độ an toàn trong GDĐT.
3. KẾT QUẢ NGHIÊN CỨU
3.1. Tóm lược về SSL
Khi người dùng sử dụng dịch vụ Web, một
kết nối giữa trình duyệt (client) và máy chủ
Web (server) được thiết lập. Kẻ tấn công có
thể xem lén các giao vận mạng giữa client và
server, nhằm ăn cắp thông tin và thực hiện
các hành vi bất hợp pháp. Do đó cần có cơ
chế mã hoá để bảo mật cho dữ liệu truyền
giữa client và server, đồng thời cần có giải
pháp chứng thực để bảo vệ người dùng trước
sự nguy hiểm của các trang Web không an
toàn, và nếu cần có thể bảo vệ server trước
nguy cơ tấn công của những kẻ giả mạo. SSL
chính là phương tiện để thực hiện điều đó.
Hình 1. Cấu trúc bản ghi SSL
SSL cung cấp hai tính năng chính: Chứng
thực và bảo mật. Để khẳng định độ tin cậy
của một Website sẽ cần tới một cơ quan uy
tín đứng ra kiểm định. Sau khi kiểm tra và
xác thực độ tin cậy, cơ quan chứng thực sẽ
cấp cho Website đó một chứng chỉ số SSL.
Tuyển tập Hội nghị Khoa học thường niên năm 2017. ISBN: 978-604-82-2274-1
130
Từ đó, khi truy cập vào Website này, khách
hàng có thể yên tâm về độ an toàn của
Website, các dữ liệu truyền tải giữa máy chủ
và trình duyệt sẽ được mã hoá, đảm bảo tính
riêng tư và toàn vẹn.
3.2. Tóm lược về SET
SET được thiết kế để bảo vệ các giao dịch
bằng thẻ tín dụng qua Internet. SET ra đời
vào tháng 2/1996 do sự đòi hỏi của các chuẩn
an ninh cho MasterCard và Visa. Nhiều công
ty lớn đã phát triển các chỉ định kỹ thuật ban
đầu cho SET, bao gồm IBM, Microsoft,
Netscape, RSA, Terisa, và Verisign.
Hình 2. Các bên tham gia SET
Bằng cách sử dụng các chứng chỉ số
X.509v3, SET cho phép các bên tham gia
giao dịch xác minh sự hợp pháp và tính tin
cậy của đối tác. Các thông tin nhạy cảm về
người dùng thẻ và mã số thẻ được bảo vệ an
toàn khi lưu thông trên mạng nhờ giải pháp
mã hoá. Ngoài ra, SET còn sử dụng chữ kí
kép để chứng thực nội dung và nguồn gốc
thông tin, đồng thời tránh nhầm lẫn về thông
tin thanh toán giữa các đơn hàng khác nhau.
Để hiểu rõ nguyên tắc hoạt động của SET,
ta sẽ phân tích nội dung một thông điệp mua
sắm mà người mua gửi tới người bán hàng
(Hình 3). OI (Order Information) là thông tin
về đơn hàng đã đặt (hàng hoá, số lượng, giá
tiền…), PI (Payment Information) là thông
tin thanh toán (tên chủ thẻ, số thẻ, mã bảo
mật…). Người bán chỉ có thể đọc OI chứ
không thể đọc được PI do thông tin này đã
được mã hoá bởi khoá phiên Ks. Khoá phiên
Ks lại được mã hoá bởi khoá công khai của
cổng thanh toán (PUb), tạo thành phong bì số.
Chữ kí kép bao gồm OIMD và PIMD (là mã
hash của OI và PI), chúng được mã hoá bởi
khoá riêng của khách hàng, nhằm chứng thực
thông tin đó đúng là do khách hàng gửi đến.
Hình 3. Thông điệp người mua
gửi người bán
Nhiệm vụ của người bán là chuyển tiếp PI
(đã mã hoá), chữ kí kép, và phong bì số tới
cổng thanh toán. Cổng thanh toán sẽ dùng
khoá riêng của nó để giải mã phong bì số,
nhằm thu được khoá phiên Ks. Tiếp theo nó
sẽ dùng khoá phiên Ks để giải mã cho PI. Có
được PI, cổng thanh toán sẽ tiến hành các thủ
tục giao dịch với ngân hàng phát hành thẻ.
Việc kiểm tra chữ kí kép phải được tiến
hành ở cả cổng thanh toán và bên bán hàng
(Hình 4). Người bán sẽ dùng khoá công khai
của khách hàng (PUc) để giải mã chữ kí kép,
rồi so sánh kết quả thu được (POMD) với cặp
mã hash của OI và PI. Nếu hai giá trị này
giống nhau thì OI mà người bán nhận được là
hợp lệ. Quá trình tương tự cũng được thực
hiện ở cổng thanh toán, nhằm kiểm tra tính
hợp lệ của PI.
Hình 4. Người bán kiểm tra thông điệp
Tuyển tập Hội nghị Khoa học thường niên năm 2017. ISBN: 978-604-82-2274-1
131
Tóm lại, các bên tham gia giao dịch đều
phải được chứng thực bởi các chứng chỉ số
đáng tin cậy. Mỗi bên chỉ được biết những
thông tin mà họ thực sự cần đến, các thông
tin khác đều được mã hoá để tránh bị lộ.
3.3. Thực trạng an ninh GDĐT tại một số
Website bán hàng trực tuyến ở Việt Nam
Hầu hết các Website bán hàng trực tuyến
lớn ở Việt Nam đều sử dụng SSL và SET với
các mức độ khác nhau [3]. Một số Website áp
dụng SSL trên toàn bộ các khu vực của nó để
đảm bảo mọi giao vận đều được mã hoá bảo
mật (ví dụ adayroi.com, sendo.vn, lotte.vn,
tiki.vn…).
Một số Website khác chỉ áp dụng SSL cho
các khu vực quan trọng liên quan tới thông
tin cá nhân, đặt hàng và thanh toán… Các
khu vực ít quan trọng hơn như danh sách
hàng hoá, thông tin khuyến mại… thì không
được bảo vệ bởi SSL (ví dụ lazada.vn). Điều
này giúp giảm bớt chi phí cho dịch vụ b
ảo
mật và tăng tốc độ truy cập. Tuy nhiên, do
thông tin không được mã hoá hoàn toàn, nếu
có kẻ nghe lén trên đường truyền thì một
phần thông tin về thói quen giao dịch, mua
bán của khách hàng sẽ bị lộ.
Ở khâu quan trọng nhất là thanh toán, một
trong những nguyên tắc cơ bản của SET là
không để người bán biết được thông tin thanh
toán (PI), không lưu trữ số thẻ tín dụng hay
số tài khoản trên server của người bán để
tránh bị rò rỉ. Trên thực tế, điều này chưa
được thực hiện nghiêm túc. Khá nhiều trang
bán hàng yêu cầu khách phải nhập đầy đủ PI
trên Web của họ, bao gồm cả số thẻ tín dụng
và mã bảo mật. Khách hàng không thể biết
được liệu số thẻ của họ có bị lưu lại trên
server đó không (ví dụ tiki.vn, lotte.vn). Cá
biệt có trang còn đặt sẵn tuỳ chọn cho phép
lưu số thẻ tín dụng khi đặt hàng, nếu khách
hàng không chú ý bỏ tuỳ chọn đó đi thì số thẻ
của họ sẽ bị lưu lại mà họ không hề hay biết
(ví dụ lazada.vn).
Một số trang bán hàng khác thì tuân thủ
đúng nguyên tắc: Người mua chỉ nhập thông
tin về đơn hàng (OI) trên Web bán hàng, còn
PI thì người mua sẽ tự nhập trực tiếp trên
Web của cổng thanh toán (ví dụ adayroi.com,
sendo.vn). Quy trình thanh toán này đảm bảo
không có sự khuất tất, gian lận, lén lưu lại PI.
Các cổng thanh toán ở Việt Nam đều được
kiểm định thường xuyên và đạt tiêu chuẩn
bảo mật PCI DSS (Payment Card Industry
Data Security Standard) của Hội đồng Bảo
mật dữ liệu thẻ thanh toán quốc tế [1], nên sẽ
hạn chế được tối đa nguy cơ lộ thông tin.
4. KẾT LUẬN
Sự phát triển nhanh chóng của hình thức
mua bán trực tuyến đem lại nhiều lợi ích cho
xã hội, nhưng cũng đặt ra bài toán phức tạp
về vấn đề bảo mật thông tin. Dù cơ quan
chức năng đã đưa ra các cơ chế pháp lý,
nhưng điểm yếu nhất lại nằm ở khâu kiểm tra
và giám sát. Đối với các tổ chức lớn như
ngân hàng hay các cổng thanh toán, việc
kiểm tra và giám sát mức độ bảo mật được
thực hiện thường xuyên, nếu không đạt chuẩn
PCI DSS họ sẽ bị các tổ chức thanh toán
quốc tế ngắt giao dịch.
Còn đối với các nhà bán hàng trực tuyến,
việc kiểm tra sự tuân thủ nguyên tắc bảo mật
chưa được thực hiện tốt, tạo ra nguy cơ chính
gây rò rỉ thông tin. Giả sử một nhà bán hàng
lớn đã lưu lại số thẻ tín dụng của khách hàng
trong một thời gian dài, rồi đột nhiên tuyên
bố đóng cửa! (Ví dụ trường hợp của
cdiscount.vn). Khi đó cơ sở dữ liệu khách
hàng của họ sẽ do ai quản lý?
Do đó, việc tăng cường khâu kiểm tra,
giám sát đối với các trang bán hàng trực
tuyến là việc cần phải làm ngay nếu muốn thị
trường mua bán trực tuyến tại Việt Nam phát
triển bền vững. Người tiêu dùng cũng cần
được trang bị thêm kiến thức về giao dịch an
toàn, để tự bảo vệ mình trước những nguy cơ
rò rỉ thông tin trên mạng.
5. TÀI LIỆU THAM KHẢO
[1] PCI Security Standards Council. 2016. PCI
DSS - Requirements and Security
Assessment Procedures, Version 3.2.
[2] William Stallings. 2006. Cryptography
and Network Security 4th Ed. Pearson
Prentice Hall.
[3] Website: adayroi.com, lazada.vn, lotte.vn,
sendo.vn, tiki.vn…
![Bài giảng Bán lẻ điện tử [mới nhất]](https://cdn.tailieu.vn/images/document/thumbnail/2025/20250729/vijiraiya/135x160/54161753782101.jpg)
