Bài giảng An toàn thông tin và quản trị rủi ro thương mại điện tử - Chương 3: Nhận biết rủi ro kinh doanh trong thương mại điện tử - Chử Bá Quyết

Của SV: .................................................... 8/7/2017 Bài giảng ATTT&QTRR trong TMĐT 1 NHẬN BIẾT RỦI RO KINH DOANH TRONG THƯƠNG MẠI ĐIỆN TỬ Khoa TMĐT_ĐHTM 1 Biên soạn: TS. Chử Bá Quyết quyetcb@dhtm.edu.vn GV Bộ môn QTTN TMĐT Nội dung 1. Nhận biết rủi ro bán hàng trực tuyến 2. Nhận biết rủi ro mua hàng trực tuyến 3. Nhận biết rủi ro đấu giá, đấu thầu trực tuyến 4. Rủi ro khởi nghiệp kinh doanh điện tử 5. Nhận biết rủi ro thương mại mạng xã hội Khoa TMĐT_ĐHTM 2 1. Nhận biết rủi ro bán hàng trực tuyến • Bán hàng trực tuyến (online selling) là • Nhận biết các rủi ro: i. Thị trường (market risk) ii. Rủi ro từ khách hàng iii. Rủi ro từ nhà cung ứng (supplier risk) iv. Rủi ro trong vận chuyển (shipping risk) v. Rủi ro trong giao nhận hàng (delivery risk) vi. Rủi ro trong thanh toán (risk in e-payment) Khoa TMĐT_ĐHTM 3 1. Nhận biết rủi ro bán hàng trực tuyến Thị trường (market risk) ▫ Khó xác định tổng cầu trực tuyến, khả năng bị động trong dự trữ hàng hóa. ▫ Khủng hoảng thừa  nguy cơ giảm giá, tăng chi phí, tồn kho quá mức; ▫ Khủng hoảng thiếu  không đáp ứng nhu cầu đặt hàng kịp thời, đúng lúc ▫ Mua hàng có tính mùa vụ Khoa TMĐT_ĐHTM 4 1. Nhận biết rủi ro bán hàng trực tuyến Thị trường (market risk) ▫ Tập khách hàng không ổn định, sự di chuyển quá nhanh của khách hàng trên web, nhiều sự lựa chọn, giữ khách hàng ở lại web khó khăn ▫ Nhu cầu, thị hiếu khách hàng thay đổi quá nhanh ▫ Hàng tăng giá khi đã chấp nhận đơn hàng trực tuyến Khoa TMĐT_ĐHTM 5 1. Nhận biết rủi ro bán hàng trực tuyến Khách hàng ▫ Những khách hàng lần đầu giao dịch ▫ Khách hàng mua hàng với số lượng lớn ▫ Khách hàng đến từ thị trường đã có cảnh báo ▫ Khách hàng sử dụng địa chỉ email miễn phí để đặt hàng ▫ Đơn đặt hàng yêu cầu gửi hàng nhanh và khẩn cấp Khoa TMĐT_ĐHTM 6 DH M_TMU Của SV: .................................................... 8/7/2017 Bài giảng ATTT&QTRR trong TMĐT 2 1. Nhận biết rủi ro bán hàng trực tuyến Khách hàng ▫ Đơn đặt hàng yêu cầu gửi hàng đến các quốc gia, khu vực có cảnh báo rủi ro cao ▫ Nhiều thẻ thanh toán một đơn hàng và yêu cầu gửi hàng đến một địa chỉ ▫ Một thẻ thực hiện nhiều giao dịch trong một thời gian ngắn Khoa TMĐT_ĐHTM 7 1. Nhận biết rủi ro bán hàng trực tuyến Khách hàng ▫ Một thẻ thực hiện nhiều giao dịch và yêu cầu gửi hàng đến nhiều địa chỉ khác nhau ▫ Nhiều thẻ được thanh toán từ một địa chỉ Internet (IP) ▫ Khó xây dựng khách hàng trung thành so với bán hàng truyền thống Khoa TMĐT_ĐHTM 8 1. Nhận biết rủi ro bán hàng trực tuyến ▫ Nhà cung ứng (supplier risk) Khoa TMĐT_ĐHTM 9 1. Nhận biết rủi ro bán hàng trực tuyến RR vận chuyển HH (shipping & delivery risk) ▫ Container hàng từ nhà cung ứng nước ngoài bị ách tắc ở Hải Quan bởi sự thay đổi chính sách hoặc sự cố trong quá trình vận chuyển, dẫn tới không có hàng để bán. Khoa TMĐT_ĐHTM 10 1. Nhận biết rủi ro bán hàng trực tuyến RR trong giao hàng ▫ Hàng hóa vật thể: đối với thanh toán COD, khách hàng có thể không nhận hàng (ko nghe điện thoại, tránh né, đưa ra các lí do khác )  gây khó khăn cho nhân viên giao hàng, làm tăng chi phí vận chuyển ▫ Hàng hóa không phù hợp với đơn hàng ▫ Hàng số hóa: vấn đề bản quyền và các RR thông tin (CIA). Giao hàng số hóa liên quan đến truyền thông tin, dữ liệu qua mạng Internet và mạng truyền thông có thể bị chặn giữ, chỉnh sửa Khoa TMĐT_ĐHTM 11 1. Nhận biết rủi ro bán hàng trực tuyến Rủi ro thanh toán (risk in e-payment) ▫ Gian lận trong thanh toán điện tử ▫ Sơ xuất, lỗi trong chuyển khoản ▫ DN bị hạn chế trong công tác xác thực khách hàng: không kiểm tra được thẻ vật lý, hóa đơn không có chữ ký của người mua. ▫ Giao dịch thanh toán thành công trên cổng thanh toán trực tuyến chưa phải là một giao dịch mua bán hàng hóa thành công. Khoa TMĐT_ĐHTM 12 DH M_TMU Của SV: .................................................... 8/7/2017 Bài giảng ATTT&QTRR trong TMĐT 3 1. Nhận biết rủi ro bán hàng trực tuyến Rủi ro thanh toán (risk in e-payment) ▫ Người bán không phát hiện được hiệu lực của thẻ đã hết hạn ▫ Người bán hàng vượt hạn mức cho phép mà không nhận được sự đồng ý của đơn vị cấp phép ▫ Sửa chữa số tiền trên hóa đơn ▫ Người mua thay đổi quyết định mua, Khoa TMĐT_ĐHTM 13 Khoa TMĐT_ĐHTM 14 Phân loại rủi ro thanh toán điện tử • Rủi ro xuất trình thẻ thanh toán (Clear and present risk): RR xảy ra khi thông tin chi tiết của khách hàng, như số thẻ bị đánh cắp khi thẻ được xuất trình cho thanh toán tại các quầy thanh toán của nhà hàng, cửa hàng bán lẻ và máy ATM. • Đe dọa ẩn (Hidden threats): RR xảy ra trong quá trình thành toán trực tuyến, qua thư điện tử, điện thoại hoặc fax. Khoa TMĐT_ĐHTM 15 Phân loại rủi ro thanh toán điện tử • Intercept/mail non-receipt fraud: Điều này xảy ra khi đổi thẻ hay thẻ mới của chủ thẻ bị đánh cắp trước khi được chuyển tới chủ thẻ. Ví dụ, việc sử dụng các hộp thư ngoài cổng, không chuyển thư trực tiếp đến tay chủ thẻ đã tạo ra các lỗ hổng cho loại gian lận này. • Thẻ giả mạo/nhân bản (Skimming/cloning/counterfeit cards): Các dải từ của thẻ chứa thông tin mà kẻ lừa đảo cần lấy được. Khoa TMĐT_ĐHTM 16 Phân loại rủi ro thanh toán điện tử • ATM skimming: cũng giống như hành vi trộm cắp danh tính thẻ ghi nợ, kẻ trộm sử dụng thiết bị điện tử ẩn để lấy cắp các thông tin cá nhân được lưu trữ trên thẻ của chủ thẻ và lấy cắp số PIN để truy cập vào tài khoản của chủ thẻ. Skimming thẻ gồm 2 việc: • Phần đầu tiên là skimmer chính nó, một đầu đọc thẻ được đặt trên khe cắm thẻ thực sự của máy ATM. Khi trượt thẻ vào máy ATM, chủ thẻ không biết đang trượt thẻ thông qua đầu đọc giả, thiết bị scans và lưu trữ tất cả các thông tin trên dải từ. Khoa TMĐT_ĐHTM 17 Phân loại rủi ro thanh toán điện tử Để truy cập vào tài khoản trên một máy ATM, kẻ trộm cần có số PIN. • Bằng cách đặt máy ảnh đi kèm trong - ẩn trên hoặc gần các máy ATM, máy ảnh gián điệp nhỏ được định vị để có được một cái nhìn rõ ràng của bàn phím và ghi lại tất cả các hành động số PIN của ATM. • Một số chương trình ATM skimming sử dụng bàn phím giả thay cho máy ảnh để chụp số PIN. Cũng giống như card skimmer được đặt khít (fit over) vào khe cắm thật của máy ATM, bàn phím lướt skimming được thiết kế để ngụy trang (như một chiếc bao găng tay). • Có thể đánh cắp thông tin thẻ mà không cần skimming*. Khoa TMĐT_ĐHTM 18 DH M_TMU Của SV: .................................................... 8/7/2017 Bài giảng ATTT&QTRR trong TMĐT 4 Phân loại rủi ro thanh toán điện tử Các PP sử dụng keystroke logging: • Sử dụng phần cứng và phần mềm • Phân tích dải băng điện tử (electromagnetic analysis) • Phân tích âm (acoustic analysis). • Phishing Khoa TMĐT_ĐHTM 19 2. Rủi ro đối với mua hàng trực tuyến • Người mua bị hạn chế trong công tác xác thực hàng hóa hay dịch vụ: không được kiểm tra hàng hóa trước khi thanh toán. • Mua phải hàng kém chất lượng, hàng đến chậm • Hàng hóa nhận được không đáp ứng kì vọng, Giao nhận các hàng hóa vật thể, hữu hình: không tương đồng như mô tả, khuyết tật. Khoa TMĐT_ĐHTM 20 2. Rủi ro đối với mua hàng trực tuyến • RR chủ sở hữu thẻ thanh toán: Để lộ mã số bí mật (PIN) đồng thời làm mất thẻ mà chưa kịp báo cho ngân hàng phát hành thẻ. • Bẫy mạng lưới đa cấp: bán hàng đa cấp TMĐT – trường hợp MB24, • Mua hàng từ website nước ngoài, các rủi ro có nguồn gốc từ thay đổi chính sách, quy định pháp luật – trường hợp đầu tư vào Bitcoin. Khoa TMĐT_ĐHTM 21 3. Nhận biết RR đấu giá, đấu thầu trực tuyến • Theo thống kê NW3C/FBI 2007 chỉ ra rằng gian lận đấu giá trực tuyến là loại vi phạm phổ biến nhất đã báo cáo cho Trung tâm Khiếu nại tội phạm Internet. Trong số 207.492 khiếu nại giữa 1/1 đến 31/12/2006, gian lận đấu giá trực tuyến chiếm 45% của 86.279 trường hợp được đề cập tới các cơ quan thực thi pháp luật của Mỹ và chiếm 33% giá trị tổn thất. Khoa TMĐT_ĐHTM 22 3. Nhận biết RR đấu giá, đấu thầu trực tuyến • Cả người mua và người bán (thương nhân) đều có thể trở thành nạn nhân của gian lận đấu giá trực tuyến. Một số cách thức diễn ra trong hoặc sau các đấu giá trực tuyến. Khoa TMĐT_ĐHTM 23 Khoa TMĐT_ĐHTM 24 National Crime Prevention Council Các cách thức mà các cuộc đấu giá trực tuyến có thể bị khai thác hoặc sử dụng bởi các nhà đấu giá và nhà thầu như sau (Adams 2006; Boyd & mao 2000): DH M_TMU Của SV: .................................................... 8/7/2017 Bài giảng ATTT&QTRR trong TMĐT 5 Các rủi ro đấu giá trực tuyến Khoa TMĐT_ĐHTM 25 3. Nhận biết RR đấu giá • Lỗi trong giao hàng (Failure to deliver goods): Đơn vị tổ chức đấu giá giao hàng chậm, chất lượng kém, không đúng miêu tả ban đầu, thậm chí không giao hàng cho người mua • Không chuyển hàng (Failure to ship): Người bán đấu giá không gửi hàng hóa sau khi nhận được tiền. VD: tháng 2 năm 2005, một người đàn ông Queensland đã bị kết tội vì không chuyển hàng cho người đấu giá sau khi đã trả tiền. Khoa TMĐT_ĐHTM 26 3. Nhận biết RR đấu giá • Tránh né thầu (Bid siphoning): người bán đấu giá tránh né trả phí (khoản hoa hồng cho site đấu giá) bằng cách giao dịch với các người đấu giá quan tâm trực tiếp. • Bid siphoning cũng xảy ra khi người bán đấu giá thu hút các người đấu giá dời khỏi các trang web đấu giá hợp pháp bằng cách cung cấp các mặt hàng giống nhau với mức giá thấp hơn. Họ có ý định lừa người tiêu dùng vào gửi tiền mà không cần cung cấp các mặt hàng. Bằng cách dời khỏi địa chỉ site đấu giá, người mua không còn được bảo vệ bởi website bán đấu giá lúc đầu. Khoa TMĐT_ĐHTM 27 3. Nhận biết RR đấu giá • Đưa ra cơ hội thứ hai (Second chance offers): các nhà thầu thua thầu của một cuộc thầu kín trực tuyến được mời một cơ hội thầu thứ hai để mua cùng loại mặt hàng ngoại tuyến • Đấu thầu giả danh (Shell auction): thực ra là không có ý định bán, đấu giá, chủ ý được thành lập cho mục đích thu thập thông tin người thầu, cả số thẻ tín dụng, sau đó được sử dụng để tạo điều kiện cho việc phạm tội, hoặc lấy cắp thông tin danh tính Khoa TMĐT_ĐHTM 28 3. Nhận biết RR đấu giá • Thông thầu (Shilling): gian lận của người bán (sử dụng một đăng ký thay thế) hoặc kết hợp của người bán để tăng mạnh giá cả hàng hóa, còn được gọi là gian lận thầu và thông đồng. • Thông thầu xảy ra khi bất kỳ ai bao gồm thành viên gia đình, bạn, nhân viên đấu giá một mặt hàng với ý định tạo ra sự tăng giá giả tạo. Ngoài ra, các thành viên không thể đặt giá thầu hoặc mua các mặt hàng để tăng giả tạo phản hồi của người bán hoặc để cải thiện trạng thái tìm kiếm của mặt hàng Khoa TMĐT_ĐHTM 29 3. Nhận biết RR đấu giá • Tham gia đấu giá nhưng không có cơ hội thắng mà chỉ mất tiền: Với mô hình đấu giá trả phí, người tham gia phải nạp tiền để mua lần đấu. Ví dụ: 100 k mua được 100 điểm, mỗi lần “bid” (đơn vị dùng để đặt giá) là mất 1 điểm; dù thắng hay không, số điểm này cũng bị trừ, chỉ người tổ chức là được tiền. Vì vậy, người tổ chức thường chia nhỏ các bước giá để có nhiều người tham gia. Bước giá càng nhỏ thì số lần đặt “bid” càng nhiều, người tổ chức sẽ thu được nhiều điểm của người đấu giá. Khoa TMĐT_ĐHTM 30 DH M_TMU Của SV: .................................................... 8/7/2017 Bài giảng ATTT&QTRR trong TMĐT 6 3. Nhận biết RR đấu giá • RR đối với đấu giá ngược: hình thức đấu giá không minh bạch với người chơi nếu website đấu giá ngược không cập nhật thông tin về quá trình đặt giá của người tham gia, làm phát sinh hiện tượng có người “đột nhiên” thắng cuộc vào phút chót hoặc mức giá thắng cuộc rất bất ngờ mà nhiều người tham gia không thể nào đặt được do website không cung cấp chi tiết từng bước giá. • Đấu giá không minh bạch dẫn đến trường hợp người thấp điểm có thể thắng người 1.00 điểm Cũng không loại trừ người do hệ thống sinh ra có vô số điểm để thắng các thành viên khác. Khoa TMĐT_ĐHTM 31 3. Nhận biết RR đấu giá • Chặn thầu (Bid shielding): khi một người thầu gian lận /không trung thực trong một đấu giá trực tuyến đưa ra giá thấp trong khi người thông đồng đặt giá thầu rất cao. Các nhà thầu khác không muốn cạnh tranh với giá cao, vì vậy họ bỏ cuộc đấu giá. Ngay trước khi đóng cửa đấu giá, người thầu gian lận rút thầu và bắt đầu đấu thầu dưới một tên khác. • Người thầu thông đồng sau đó bỏ thầu, kết quả giá thầu thấp hơn được chấp nhận. Khoa TMĐT_ĐHTM 32 3. Nhận biết RR đấu giá • Hàng hóa thị trường chợ đen (Black market goods). The seller offers goods that are stolen and/or copied (e.g., software, music CDs, and videos). Often they arrive with no warranty, instructions, or box. Khoa TMĐT_ĐHTM 33 4. Rủi ro khởi nghiệp kinh doanh điện tử • Dự án TMĐT • Các lưu ý: ▫ Ý tưởng kinh doanh TMĐT liệu có khả thi ▫ Chi phí đầu tư ban đầu ▫ Ai đầu tư ▫ Tổ chức quản lý ntn? ▫ Chi phí vận hành, ▫ Chi phí quảng cáo; ▫ Thị trường ▫ Lợi nhuận, thời gian hòa vốn ▫ Triển vọng Khoa TMĐT_ĐHTM 34 Rủi ro đối với in setting up an e-business • Khó khăn ▫ Vạn sự khởi đầu nan!!! Tay trắng dựng nghiệp. Thiếu kinh nghiệm, kiến thức, vốn, nhưng nhiều mạo hiểm = high risk  dễ đổ vỡ, thất bại ▫ Dự báo không chính xác nhu cầu thị trường ▫ Vi phạm các quy định pháp luật ▫ Thiếu kinh nghiệm quản lý, hợp tác, cộng sự: liên kết lỏng lẻo, xung đột, mâu thuẫn trong quản lý. ▫ Áp lực thời gian: thời gian để thuyết phục nhà đầu tư mạo hiểm. Khoa TMĐT_ĐHTM 35 Rủi ro đối với in setting up an e-business • Khó khăn ▫ Mất sản nghiệp, trắng tay, kể cả phạm tội Khoa TMĐT_ĐHTM 36 DH M_TMU Của SV: .................................................... 8/7/2017 Bài giảng ATTT&QTRR trong TMĐT 7 Khoa TMĐT_ĐHTM 37 Ví dụ: Vụ Nguyễn Hà Đông và Điều 292 BLHS Cộng đồng start-up lo thành tội phạm vì luật mới Việc nêu tên một số dịch vụ liên quan đến nhiều start-up hiện nay trong Bộ Luật hình sự khiến cộng đồng khởi nghiệp lo lắng về khả năng vi phạm pháp luật, song cũng có ý kiến chuyên gia cho rằng cần có cách hiểu chính xác về quy định trên. Tham khảo: 26 tỉ trong tài khoản VPBank biến mất: Khách hàng tố ngân hàng đùn đẩy khoan-vpbank-bien-mat-khach-hang-to-ngan-hang-dun- day/1160653.html Khoa TMĐT_ĐHTM 38 5. Nhận biết RR TM mạng xã hội • Người dùng SM có thể bị rò rỉ thông tin cá nhân, thông tin kinh doanh vô ý hoặc sơ ý. Ví dụ, một hình ảnh chụp được đăng tải ngay có thể gợi ý thông tin cá nhân về địa điểm người dùng đang ở đâu; hoặc những thông tin cá nhân khác được khai thác (điện thoại, gia đình, nghề nghiệp) • Người dùng SM có thể gửi các nội dung racially or sexually offensive content, phỉ báng, nói xấu cá nhân, tổ chức sử dụng các phương tiện SM để vi phạm pháp luật, chính sách sử dụng của trang mạng xã hội, vi phạm bí mật riêng tư. • Một số nội dung phương tiện truyền thông xã hội tạo thành hồ sơ kinh doanh phải được bảo quản phù hợp với yêu cầu lưu giữ công ty, và quy định pháp luật, nhưng điều đó có thể không được lưu trữ một cách thích hợp. • Địa điểm để phát tán các mã độc, virus Khoa TMĐT_ĐHTM 39 Khoa TMĐT_ĐHTM 40 Các rủi ro truyền thông xã hội Ví dụ: • Koobface mục tiêu sâu này chủ yếu là Facebook, nhưng cũng Twitter, MySpace và các trang web mạng xã hội khác. Mục tiêu của nó là để thu thập thông tin đăng nhập cho mục đích xây dựng một mạng peer-to-peer botnet. • Boonana Written in Java and first reported in late October 2010, Boonana targets Macs and operates much like Koobface. • Bugat Related to the infamous keystroke-logging malware Zeus, Bugat has been delivered in a large-scale phishing attack against LinkedIn. Khoa TMĐT_ĐHTM 41 DH M_TMU