Tránh bị tấn công mạng bằng các giải pháp nâng cấp website

Gian lận - Phishing Đây là một cách giả mạo thành một đơn vị hoặc cá nhân có uy tín, nhằm chiếm lấy lòng tin của người dùng và khai thác lòng tin ấy cho các mục đích bất chính. Thông thường hành vi phishing được thực hiện qua email. Các thông tin bảo mật có thể bị ăn cắp thông qua phishing như thông tin thẻ tín dụng, mật khẩu hoặc xúi giục người dùng cài đặt các phần mềm độc hại walware vào thiết bị. Có thể thấy phishing là một bước trong kế hoạch tấn công bằng walware. Gian lận trong thanh toán Đây là hình thức mà hacker lợi dụng lỗi trên hệ thống thanh toán của các website thương mại điện tử, nhằm thực hiện các giao dịch ảo để rút tiền từ người dùng và cả doanh nghiệp. Trong một chương trình tiếp thị của một trang web đặt phòng khách sạn, người dùng sẽ được tặng tiền nếu mời được thêm 3 tài khoản mạng xã hội khác cùng đăng kí trên trang web đó. Nếu website lơi lỏng trong việc kiểm duyệt và xác minh tài khoản đăng ký mới, hacker sẽ dễ dàng tạo ra nhiều tài khoản mạng xã hội ảo để nhận được nhiều tiền từ doanh nghiệp. Ăn cắp - Bots Bot là một chương trình có khả năng thu thập dữ liệu quan trọng trong website mà tin tặc tạo ra và bằng những phương thức thông qua phishing hoặc tấn công website, tin tặc cài đặt được bot trong website của bạn và từ đó đánh cắp các thông tin nhạy cảm.

pdf5 trang | Chia sẻ: thanhle95 | Lượt xem: 526 | Lượt tải: 2download
Bạn đang xem nội dung tài liệu Tránh bị tấn công mạng bằng các giải pháp nâng cấp website, để tải tài liệu về máy bạn click vào nút DOWNLOAD ở trên
LỜI MỞ ĐẦU Bạn có quan tâm đến vấn đề bảo mật và tấn công mạng cho trang web của mình? Tần suất bạn chạy phần mềm kiểm tra virus và hoạt động của website là bao nhiêu? Bạn có cho rằng website của bạn không có gì để người khác ăn cắp cả? Trong thời đại Internet phát triển nhanh chóng, người dùng dễ dàng hơn trong việc tìm kiếm thông tin về các sản phẩm và dịch vụ trên công cụ tìm kiếm. Các website ra đời phục vụ cho nhu cầu tìm kiếm của người dùng, đồng thời góp phần vào hiệu quả kinh doanh của doanh nghiệp. Song song đó, các vấn đề bảo mật thông tin, tình hình an ninh trên Internet cũng khiến “nhà nhà, người người” quan tâm chú ý. Vậy giải pháp nào cho vấn đề trên? LPTech với hơn 10 năm kinh nghiệm trong lĩnh vực Bảo mật Website, Thiết Kế Website, Dịch Vụ SEO, công ty đã hệ thống lại các tài liệu liên quan đến vấn đề ​Bảo mật Website hiệu quả để training nội bộ. Nay chúng tôi muốn chia sẻ những kinh nghiệm này cho bạn đọc, đặc biệt là cho những bạn, doanh nghiệp thực sự quan tâm đến vấn đề này. 1 Tránh bị tấn công mạng bằng các giải pháp nâng cấp website Bảo mật là một khía cạnh mà nhiều chủ trang web rất lơ là trong việc kiểm tra, trong khi nó lại là một yếu tố chủ chốt để website của bạn hoạt động tốt và có uy tín trong công tác tương tác với người dùng. Hãy cùng ​LPTech tìm hiểu thêm về các vấn đề Bảo Mật và phương pháp nâng cấp website cho bạn nhé! Xem bài phân tích đầy đủ hơn tại: ​Các biện pháp nâng cấp website, tăng cường bảo mật Những vấn đề cần quan tâm của website thương mại Gian lận - Phishing Đây là một cách giả mạo thành một đơn vị hoặc cá nhân có uy tín, nhằm chiếm lấy lòng tin của người dùng và khai thác lòng tin ấy cho các mục đích bất chính. Thông thường hành vi phishing được thực hiện qua email. Các thông tin bảo mật có thể bị ăn cắp thông qua phishing như thông tin thẻ tín dụng, mật khẩu hoặc xúi giục người dùng cài đặt các phần mềm độc hại walware vào thiết bị. Có thể thấy phishing là một bước trong kế hoạch tấn công bằng walware. Gian lận trong thanh toán Đây là hình thức mà hacker lợi dụng lỗi trên hệ thống thanh toán của các website thương mại điện tử, nhằm thực hiện các giao dịch ảo để rút tiền từ người dùng và cả doanh nghiệp. Trong một chương trình tiếp thị của một trang web đặt phòng khách sạn, người dùng sẽ được tặng tiền nếu mời được thêm 3 tài khoản mạng xã hội khác cùng đăng kí trên trang web đó. Nếu website lơi lỏng trong việc kiểm duyệt và xác minh tài khoản đăng ký mới, hacker sẽ dễ dàng tạo ra nhiều tài khoản mạng xã hội ảo để nhận được nhiều tiền từ doanh nghiệp. Ăn cắp - Bots Bot là một chương trình có khả năng thu thập dữ liệu quan trọng trong website mà tin tặc tạo ra và bằng những phương thức thông qua phishing hoặc tấn công website, tin tặc cài đặt được bot trong website của bạn và từ đó đánh cắp các thông tin nhạy cảm. Xem thử: ​Bảo Mật Website Trước Nguy Cơ Bị Đánh Cắp Dữ Liệu 2 Man-in-the-middle attack MitM hay được hiểu là tấn công theo kiểu rình mò, nghe trộm khi giữa 2 đối tượng đang có một giao dịch hay cuộc trò chuyện trực tuyến, họ bị nghe lén nội dung. Tin tặc sẽ chen giữa vào cuộc đối thoại giữa 2 đối tượng nhằm ăn cắp dữ liệu, khả năng này sẽ xảy ra khi: Người dùng đăng nhập vào mạng wifi công cộng và tin tặc chen vào giữa thiết bị của người dùng và mạng wifi đó. Khi người dùng cài đặt các phần mềm độc hại thiết bị, tin tặc có thể thao túng dữ liệu trong thiết bị của người dùng. Phá hoại - Malwares Phá hoại bằng malwares hay các phần mềm độc hại là cách phá hoại phổ biến nhất hiện nay. Khi phân loại malwares, ta liệt kê thành các loại sau: ​spyware – phần mềm gián điệp, ransomware – mã độc tống tiền, virus và worm – phần mềm độc có khả năng lây lan cao. Lợi dụng vào các lỗ hổng bảo mật trên website, tin tặc có thể xúi giục người dùng tải phần mềm độc hại xuống thiết bị bằng phishing hoặc đánh vào tâm lý thích miễn phí của người dùng. Những hậu quả có thể xảy đến khi malware được cài đặt thành công: 1. Người dùng không thể truy cập vào dữ liệu của chính mình, lúc này tin tặc sẽ tống tiền người dùng để bán lại dữ liệu hoặc có thể người dùng sẽ mất tiền và cả thông tin quan trọng đó vĩnh viễn 2. Dẫn dụ người dùng cài đặt thêm nhiều mã độc khác 3. Theo dõi và đánh cắp dữ liệu 4. Tê liệt hệ thống gây hư hại phần mềm và phần cứng vốn có của hệ thống 3 Ngoài ra còn có các dạng tấn công như: Dos (Denial of Service), DDoS (Distributed Denial of Service), Spam, SQL injections, Zero day attack, Cross-site scripting, Tấn công Brute-force. Tìm hiểu chi tiết các loại tấn công trên: ​Vấn đề ảnh hưởng đến bảo mật website Nâng cấp website tăng cường bảo mật Đối mặt các vấn đề trên, LPTech cung cấp cho bạn một số các nâng cấp website để tăng cường bảo mật như sau: Cookies Hầu hết các phần mềm dành cho website đều sử dụng cookies để lưu trữ các loại thông tin về người dùng, bao gồm các lựa chọn yêu thích, các trang thường được xem, giỏ hàng, phương pháp thanh toán và các loại thông tin liên quan cần thiết khác. Tìm hiểu về ​Bảo mật Cookies Thông tin mật về ứng dụng hoặc cấu hình Các thông tin mật trong ứng dụng bao gồm mật khẩu của admin, biên lai, API key và các key riêng tư (private key). Ngăn ngừa đánh cắp tài khoản và chiếm dụng bằng chứng cứ Người dùng thường thực hiện các bước có sử dụng đến chứng cứ xác nhận (authentication token) khi họ đăng nhập vào một hệ thống. Các ứng dụng nên luôn luôn tách việc xác minh 4 người dùng (user identification) ra khỏi các chứng cứ (token) và so sánh chúng với userID của tài khoản trong khi được vận hành. Chuẩn hóa xác nhận đầu vào (input validation) và truy vấn dữ liệu (database queries) Các cuộc tấn công như SQL injection có thể được phòng tránh dễ dàng nếu kích thước và nội dung đầu vào của người dùng được kiểm định đúng cách. Việc kiểm định ngăn ngừa một whitelist (cho phép sử dụng các kí hiệu) rất được ưu tiên hơn kiểm tra một blacklist (không cho phép sử dụng kí hiệu). Sử dụng nhận diện cá nhân cho việc kiểm tra Đây là một bước khá phổ biến trong các nhóm làm việc, khi họ cùng quản lý dữ liệu nhạy cảm để chia sẻ một tài khoản admin với các thành viên khác trong nhóm. Tất cả mọi người đều biết mật khẩu và có thể sử dụng uy tín của mình để cập nhật các dữ liệu nhạy cảm ấy. Tuy nhiên, đây lại là một hành động đi ngược lại với bảo mật doanh nghiệp. 5
Tài liệu liên quan