Ví dụ về rủi ro trong thương mại điện tử tại Việt Nam

(HNM) - Sau khi nước ta gia nhập WTO (năm 2006), các giao dịch thông qua mạng internet được bảo vệ và hỗ trợ bởi hàng loạt các văn bản pháp luật, như Luật Giao dịch điện tử (thông qua năm 2005, sửa đổi năm 2011), Luật Công nghệ thông tin (năm 2006) và các thông tư, nghị định, quyết định liên quan đến thương mại điện tử. Tuy nhiên, phương thức mua bán hiện đại này vẫn vượt ngoài tầm kiểm soát của các cơ quan chức năng.

Mua hàng trực tuyến phần lớn không bảo đảm về chất lượng như quảng cáo.

Người mua có được hưởng tiện ích từ các trang web mua bán? Trên thực tế, nhiều người coi online shopping là xem quảng cáo trên mạng rồi đến tận nơi xem và mua hàng. Điều này chủ yếu do tâm lý muốn "sờ tận tay, day tận mặt" của người mua. Họ không yên tâm bỏ tiền khi mua món hàng mà chưa được trực tiếp thử. Các doanh nghiệp và cá nhân bán hàng qua mạng có nhiều cách để buộc người tiêu dùng phải cam chịu khi có tranh chấp xảy ra. Do quy cách và hình thức của các giao dịch này chưa được pháp luật quy định cụ thể, doanh nghiệp có thể tự do quy định những điều kiện chi tiết. Về phía người tiêu dùng, họ xem thông tin sản phẩm dịch vụ rồi click đặt hàng, khi sản phẩm được chuyển đến nhà mới ngớ người ra. Bên cạnh đó, việc buông lỏng quảng cáo trên các trang web cũng gây nhiều phiền phức cho người tiêu dùng. Lợi dụng tâm lý ham rẻ, các cửa hàng thả sức quảng cáo sai sự thật. Tuy nhiên, của rẻ có thể là của ôi. Một cửa hàng điện thoại quảng cáo chiếc Nokia 1280 chính hãng bảo hành 12 tháng giá là 350.000 đồng. Nhưng khi chúng tôi đến, nhân viên bán hàng đưa ra một vài máy vỏ nhựa khá ọp ẹp dán tem của cửa hàng. Hỏi giấy tờ của nhà phân phối chính thức thì nhận được lời giải thích "đây là hàng xách tay". Những trường hợp như thế khá phổ biến trong kinh doanh trên mạng gây nhiều ức chế cho người tiêu dùng. Thời gian gần đây, có một số công ty lớn đứng ra làm trung gian cho các giao dịch bảo đảm. Nổi bật là các hình thức thanh toán thông qua ngân lượng hay “bảo kim” trên các gian hàng của vatgia.com hoặc trang web thuộc những trung tâm điện máy lớn. Người tiêu dùng có thể yên tâm phần nào khi sử dụng. Tuy nhiên, các dịch vụ này còn nhiều giới hạn. Ví dụ như, giá trị bảo đảm là dưới 10 triệu đồng, khách mua hàng phải sử dụng thẻ tín dụng của một vài ngân hàng nhất định. Thêm vào đó, văn bản pháp luật cũng như quản lý nhà nước cụ thể cho dịch vụ trung gian này vẫn còn thiếu. Nếu không có sự bổ sung kịp thời cùng sự phát triển tự do của các định chế trung gian này, có thể gây hậu quả khó lường.

Nhà nước thất thu thuế

Điểm dễ nhận thấy của giao dịch qua internet là chủ yếu người mua là khách lẻ. Hóa đơn bán hàng và chứng từ thường sơ sài, thậm chí không có. Người tiêu dùng chỉ quan tâm đến giấy bảo hành sản phẩm. Vì thế, việc các doanh nghiệp phân phối và bán lẻ dễ dàng qua mặt cơ quan thuế. Một trong những vụ việc điển hình gần đây là sai phạm của Công ty Muaban24, mặc dù chưa được cấp phép đầy đủ, nhưng doanh nghiệp này vẫn hoạt động bán lẻ, trốn thuế và lừa đảo thông qua website muaban24.vn. Vì vậy, yêu cầu có những quy định chặt chẽ hơn với các công ty kinh doanh online là rất cần thiết. Mặc dù nước ta đang tích cực tham gia hội nhập, toàn cầu hóa, nhưng mua hàng từ các nhà phân phối bán lẻ nước ngoài vẫn là quá xa xỉ đối với đại bộ phận người dân. Bởi vậy, eBay, Amazon và các trang web bán hàng trực tuyến quốc tế khác là lựa chọn của nhiều người tiêu dùng bởi tính đa dạng hàng hóa. Ở Việt Nam, nhu cầu mua sắm trên các trang mạng này cũng không nhỏ. Tuy nhiên, hầu hết khách hàng phải lựa chọn các kênh gián tiếp với chi phí cao, gấp nhiều lần giá trị món hàng. Lý do đầu tiên của tình trạng này là hệ thống địa chỉ không đồng nhất khiến hàng hóa gửi qua đường bưu điện hay bị thất lạc. Các gian hàng trên những trang web này thường phải hoàn tiền cho người mua. Do đó, Việt Nam bị nhiều nhà bán lẻ đưa vào danh sách không chuyển hàng qua đường bưu điện. Thêm vào đó, trong vài năm gần đây đã xuất hiện một loại tội phạm mới làm cho tình trạng thất lạc các đơn hàng vào Việt Nam gia tăng. Các đối tượng này chủ yếu nhằm vào các mặt hàng điện tử thuộc gian hàng bán lẻ chưa có kinh nghiệm. Chúng đặt hàng lẻ với nhiều địa chỉ khác nhau với hình thức gửi không cần ký nhận. Mặc dù hàng được chuyển đến nhưng các đối tượng này báo mất, yêu cầu nhà cung cấp hoàn tiền hoặc gửi hàng khác. Vì bị từ chối chuyển hàng trực tiếp tới Việt Nam, người có nhu cầu mua đành lựa chọn kênh xách tay để có được món hàng như ý. Các quảng cáo cho dịch vụ này rất phổ biến với mức giá cao. Với điện thoại, laptop và một số thiết bị điện tử viễn thông, tiền công mua và vận chuyển được tính trung bình 100 USD/ chiếc. Các mặt hàng khác tính theo khối lượng, phổ biến khoảng 20 USD/kg. Ví dụ, một đôi củ loa đấu giá trên eBay, giá cuối là 20 USD, nhưng người mua tại Việt Nam sẽ phải chịu các chi phí như phí chuyển hàng đến nước trung gian (phổ biến là Mỹ, Anh và Australia) + giá bán + phí chuyển về Việt Nam, tổng cộng lên tới gần 100 USD.

Thực tế trên cho thấy rất cần có một hệ thống quản lý và hệ thống chính sách pháp luật chuyên biệt dành cho phân phối bán lẻ online nói riêng và thương mại điện tử nói chung, để tránh những rủi ro không đáng có với người tiêu dùng.

Rủi ro trong thương mại điện tử có thể chia thành bốn nhóm cơ bản sau:

• Nhóm rủi ro dữ liệu
• Nhóm rủi ro về công nghệ
• Nhóm rủi ro về thủ tục quy trình giao dịch của tổ chức
• Nhóm rủi ro về luật pháp và các tiêu chuẩn công nghiệp

Các nhóm rủi ro này không hoàn toàn độc lập với nhau mà đôi khi chúng đồng thời cùng xảy đến và không xác định tách bạch rõ ràng được. Nếu các rủi ro này đồng thời xảy ra, thiệt hại đối với tổ chức có thể rất lớn cả về uy tín, thời gian và chi phí đầu tư để khôi phục hoạt động trở lại bình thường.

2. Một số dạng tấn công chính vào các website thương mại điện tử 

Trong thương mại điện tử, ngoài những rủi ro về phần cứng do bị mất cắp hay bị phá hủy các thiết bị (máy tính, máy chủ, thiết bị mạng…), các doanh nghiệp có thể phải chịu những rủi ro về mặt công nghệ phổ biến như sau:

– Virus

Virus tấn công vào thương mại điện tử thường gồm 3 loại chính: virus ảnh hưởng tới các tệp (file) chương trình (gắn liền với những file chương trình, thường là .COM hoặc .EXE), virus ảnh hưởng tới hệ thống (đĩa cứng hoặc đĩa khởi động), và virus macro. Virus macro là loại virus phổ biến nhất, chiếm từ 75% đến 80% trong tổng số các virus được phát hiện. Đây là loại virus đặc biệt chỉ nhiễm vào các tệp ứng dụng soạn thảo, chẳng hạn như các tệp ứng dụng của MS Word, Excel và Power Point . Khi người sử dụng mở các tài liệu bị nhiễm virus trong các chương trình ứng dụng, virus này sẽ tự tạo ra các bản sao và nhiễm vào các tệp chứa đựng các khuôn mẫu của ứng dụng, để từ đó lây sang các tài liệu khác.

Các loại virus có thể gây ra những tác hại nghiêm trọng, đe doạ tính toàn vẹn và khả năng hoạt động liên tục, thay đổi các chức năng, thay đổi các nội dung dữ liệu hoặc đôi khi làm ngưng trệ toàn bộ hoạt động của nhiều hệ thống trong đó có các website thương mại điện tử. Nó được đánh giá là mối đe doạ lớn nhất đối với an toàn của các giao dịch thương mại điện tử hiện nay.

– Tin tặc (hacker) và các chương trình phá hoại (cybervandalism)

Tin tặc hay tội phạm máy tính là thuật ngữ dùng để chỉ những người truy cập trái phép vào một website, một cơ sở dữ liệu hay hệ thống thông tin. Thực chất mục tiêu của các hacker rất đa dạng. Có thể là hệ thống dữ liệu của các website thương mại điện tử, hoặc với ý đồ nguy hiểm hơn chúng có thể sử dụng các chương trình phá hoại (cybervandalism) nhằm gây ra các sự cố, làm mất uy tín hoặc phá huỷ website trên phạm vi toàn cầu.

Ngày 1-4-2001, tin tặc đã sử dụng chương trình phá hoại tấn công vào các máy chủ có sử dụng phần mềm Internet  Information Server (IIS)  của Microsoft nhằm làm giảm uy tín của phần mềm này và rất nhiều nạn nhân như hãng hoạt hình Walt Disney, Nhật báo phố Wall …đã phải gánh chịu hậu quả cả về tài chính và uy tín.

 – Rủi ro về gian lận thẻ tín dụng

Trong thương mại điện tử, các hành vi gian lận thẻ tín dụng xảy ra đa dạng và phức tạp hơn nhiều so với thương mại truyền thống. Nếu như trong thương mại truyền thống, việc mất thẻ hoặc thẻ bị đánh cắp là mối đe doạ lớn nhất đối với khách hàng thì trong thương mại điện tử mối đe doạ lớn nhất là bị “mất” (hay bị lộ) các thông tin liên quan đến thẻ tín dụng hoặc các thông tin giao dịch sử dụng thẻ tín dụng trong quá trình thực hiện các giao dịch mua sắm qua mạng và các thiết bị điện tử. Các tệp chứa dữ liệu thẻ tín dụng của khách hàng thường là những mục tiêu hấp dẫn đối với tin tặc khi tấn công vào website thương mại điện tử. Hơn thế, những tên tội phạm có thể đột nhập vào các cơ sở dữ liệu của  website thương mại điện tử để  lấy cắp các thông tin của khách hàng như tên, địa chỉ, điện thoại… với những thông tin này chúng có thể mạo danh khách hàng thiết lập các khoản tín dụng mới nhằm phục vụ những mục đích phi pháp.

– Tấn công từ chối dịch vụ

Tấn công từ chối dịch vụ (DOS – Denial Of Service attack, DDOS – Distributed DOS hay DR DOS) là kiểu tấn công khiến một hệ thống máy tính hoặc một mạng bị quá tải, dẫn tới không thể cung cấp dịch vụ hoặc phải dừng hoạt động. Sơ khai nhất là hình thức DoS (Denial of Service), lợi dụng sự yếu kém của giao thức TCP, tiếp đến là DDoS (Distributed Denial of Service) – tấn công từ chối dịch vụ phân tán, và gần đây là DRDoS – tấn công theo phương pháp phản xạ phân tán (Distributed Reflection Denial of Service).

Những cuộc tấn công DoS có thể là nguyên nhân khiến cho mạng máy tính ngừng hoạt động và trong thời gian đó, người sử dụng sẽ không thể truy cập vào các website thương mại điện tử. Những tấn công này cũng đồng nghĩa với những khoản chi phí rất lớn vì trong thời gian website ngừng hoạt động, khách hàng không thể thực hiện các giao dịch mua bán. Đồng thời, sự gián đoạn hoạt động này sẽ ảnh hưởng đến uy tín và tiếng tăm của doanh nghiệp, những điều không dễ dàng gì lấy lại được. Mặc dù những cuộc tấn công này không phá huỷ thông tin hay truy cập vào những vùng cấm của máy chủ nhưng tạo ra phiền toái, gây trở ngại cho hoạt động của nhiều doanh nghiệp. Vụ tấn công DOS điển hình đầu tiên xảy ra vào tháng 2-2000, các hoạt động tấn công liên tục khiến hàng loạt website trên thế giới ngừng hoạt động trong nhiều giờ, trong đó có những website hàng đầu như: eBay ngừng hoạt động trong 5 giờ, Amazon gần 4 giờ, CNN gần 3.5 giờ, E-Trade gần 3 giờ, Yahoo và Buy.com và ZDNet cũng ngừng hoạt động từ  3 đến 4 giờ. Ngay cả người khổng lồ Microsoft cũng đã từng phải gánh chịu hậu quả của những cuộc tấn công này. Ở Việt Nam,cũng đã có rất nhiều doanh nghiệp bị tấn công dưới hình thức này.

– Kẻ trộm trên mạng (sniffer)

Kẻ trộm trên mạng (sniffer) là một dạng của chương trình theo dõi, nghe trộm, giám sát sự di chuyển của thông tin trên mạng. Khi sử dụng vào những mục đích hợp pháp, nó có thể giúp phát hiện ra những yếu điểm của mạng, nhưng ngược lại, nếu sử dụng vào các mục đích phi pháp, các phần mềm ứng dụng này sẽ trở thành các mối hiểm hoạ lớn và rất khó có thể phát hiện. Kẻ trộm sử dụng các phần mềm này nhằm lấy cắp các thông tin có giá trị như thư điện tử, dữ liệu kinh doanh của các doanh nghiệp, các báo cáo mật…từ bất cứ nơi nào trên mạng.

Xem lén thư điện tử là một dạng mới của hành vi trộm cắp trên mạng. Kỹ thuật xem lén thư điện tử là sử dụng một đoạn mã (ẩn) bí mật gắn vào thông điệp thư điện tử, cho phép người nào đó có thể giám sát toàn bộ các thông điệp chuyển tiếp được gửi đi cùng với thông điệp ban đầu. Chẳng hạn một nhân viên phát hiện thấy lỗi kỹ thuật trong khâu sản xuất, anh ta lập tức gửi một báo cáo thông báo cho cấp trên về phát hiện của mình. Người này sau đó sẽ tiếp tục gửi thông báo đến tất cả các bộ phận có liên quan trong doanh nghiệp. Một kẻ nào đó sử dụng kỹ thuật xem lén thư điện tử có thể theo dõi và biết được toàn bộ thông tin trong bức thư điện tử gửi tiếp sau đó bàn về vấn đề này.

– Phishing – “ kẻ giả mạo”

Phishing là một loại tội phậm công nghệ cao sử dụng email, tin nhắn pop-up hay trang web để lừa người dùng cung cấp các thông tin cá nhân nhạy cảm như thẻ tín dụng, mật khẩu, số tài khoản ngân hàng. Thông thường các tin tặc thường giả mạo là các công ty nổi tiếng yêu cầu khách hàng cung cấp những thông tin nhạy cảm này. Các website thường xuyên bị giả mạo đó là Paypal, Ebay, MSN, Yahoo, BestBuy, American Online….Kẻ giả mạo thường hướng tới phishing những khách hàng của ngân hàng và người tiêu dùng thường mua sắm trực tuyến. Những thông tin ăn cắp đươc sẽ được kẻ giả mạo dùng để truy cập với mục đích xấu, nếu là thông tin về tài khoản thanh toán thì sẽ dùng vào mục đích mua hàng hoặc rút tiền. Bất cứ ai cũng có thể phishing được vì phần mềm phishing là có nhiều trên mạng với hướng dẫn chi tiết cùng với danh sách địa chỉ email. Công nghệ phishing là đã có từ những năm 1987, tuy nhiên nó chỉ thực sự biết đến rộng rãi vào năm 1996. AOL là công ty đầu tiên đã bị kẻ giả mạo tấn công ăn cắp thông tin của khách hàng. Hay Vào 17/12/2003 một số khách hàng của eBay nhận đuơc email với thông báo rằng hiện tại tài khoản của họ tạm ngừng hoạt động cho tới khi họ kích vào đường link được cung cấp trong email và cập nhật thông tin về thẻ tín dụng, cùng với các thông tin cá nhân khác như ngày sinh, tên thời con gái của mẹ, số Pin của thẻ ATM. Đường link trong địa chỉ email kết nối tới trang web của ebay nhưng đây không phải là trang web thật của ebay mà chỉ là một trang web giả mạo có logo và hình thức giống với trang web ebay thật. PayPal một trang web giải pháp thanh toán cũng là đối tượng thường xuyên bị giả mạo. Kẻ giả mạo Paypal đã xây đường URL cải trang giống URL của Paypal bằng cách sử dụng ký hiệu. Thường thì các server bỏ qua các ký tự trước @ và chỉ sử dụng những ký tự sau nó. Như vậy là khách hàng chỉ có thể nhìn thấy đường link trong mail như http://paypal.com Chính vì vậy mà khách hàng đã không nhận ra được là mình đang bị tấn công từ các tin tặc và đã cung cấp nhưng thông tin cá nhân và tài khoản.

– Ngoài ra, tội phạm TMĐT được thực hiện dưới nhiều hình thức sau: phát triển các mạng máy tính ma (bots network) để tấn công DOS, gửi thư rác, gửi thư rác với quy mô lớn (dịch vu thư rác), thuê hacker phá hoại website của đối thủ cạnh tranh, thu thập thông tin người sử dụng bằng spyware.