QUẢN LÝ KHÁCH SẠN NHÀ HÀNG: Nguy cơ khi quẹt thẻ tại các điểm thanh toán POS

Thứ Tư, 2 tháng 4, 2014

Nguy cơ khi quẹt thẻ tại các điểm thanh toán POS

Một trong những loại hình tội phạm mạng phát triển sớm nhất và nguyên thủy nhất là ăn cắp thông tin thẻ tín dụng và thẻ ghi nợ debit.

Theo hãng bảo mật Symantec, tội phạm mạng có thể tổ chức những chiến dịch tấn công phức tạp để lấy cắp thông tin thẻ tín dụng trước khi bán chúng ra thị trường chợ đen. Hoặc chúng cũng có thể sử dụng dữ liệu lấy cắp từ dải từ của thẻ để tạo ra thẻ giả. Đây là một thị trường đầy tiềm năng mà ở đó các thẻ cá nhân có thể được bán tới giá 100 USD/chiếc.

Tuy nhiên, một điểm yếu của thẻ tín dụng giả là thời gian sử dụng không thể kéo dài. Các công ty thẻ sẽ rất nhanh chóng nhận ra những khoản chi tiêu bất thường và chủ sở hữu thẻ cũng vậy. Điều này có nghĩa là tội phạm mạng cần một nguồn cung cấp ổn định và dồi dào số thẻ mới.

Trong bối cảnh đó thì các cuộc tấn công nhắm tới hệ thống điểm thanh toán (POS) trở nên đầy hấp dẫn trong mắt hacker. Về hình thái tấn công, tất nhiên sẽ phức tạp hơn và đòi hỏi nhiều giai đoạn hơn so với đánh cắp thông tin thẻ tín dụng. Đầu tiên, những kẻ tấn công phải đạt được quyền truy nhập tới mạng của nạn nhân. Thông thường, kẻ tấn công sẽ tìm cách truy nhập vào một mạng liên kết, không trực tiếp tiếp xúc với môi trường dữ liệu của chủ thẻ.

Sau đó, những kẻ tấn công sẽ phải tìm kiếm khắp mạng đó để có được quyền truy nhập tới hệ thống POS đó. Tiếp theo, chúng sẽ cài đặt mã độc để lấy cắp dữ liệu từ hệ thống bị kiểm soát. Bởi vì hệ thống POS hầu như không có truy nhập mạng bên ngoài, dữ liệu bị lấy cắp sau đó thường sẽ được gửi tới một máy chủ nội bộ và cuối cùng sẽ được trích xuất từ mạng của nhà bán lẻ để gửi tới kẻ tấn công.

Có nhiều phương pháp mà một kẻ tấn công có thể sử dụng để giành được quyền truy nhập tới một mạng doanh nghiệp. Chúng có thể tìm những điểm yếu tồn tại trong hệ thống bên ngoài, chẳng hạn như sử dụng thủ thuật SQL injection trên một máy chủ Web hoặc tìm kiếm một thiết bị ngoại vi vẫn sử dụng mật khẩu mặc định của nhà sản xuất. Hoặc, chúng có thể tấn công mạng doanh nghiệp từ bên trong bằng cách gửi ra một email lừa đảo dạng spear phishing tới một cá nhân nằm trong tổ chức. Email lừa đảo này có thể chứa nội dung đính kèm độc hại hoặc một liên kết tới một trang web cho phép cài đặt một chương trình cửa hậu vào máy tính của nạn nhân.

Một khi đã thâm nhập được vào mạng doanh nghiệp, những kẻ tấn công sẽ cần phải giành được quyền truy nhập tới những mục tiêu quan trọng nhất của chúng – đó là hệ thống điểm thanh toán (POS). Những kẻ tấn công thường sử dụng hàng loạt những công cụ để nắm rõ hệ thống mạng, định vị các hệ thống bên trong môi trường dữ liệu của chủ sở hữu. Mặc dù chúng có thể sử dụng những lỗ hổng bảo mật hoặc những kĩ thuật khác để giành quyền truy nhập tới những hệ thống này, nhưng phương pháp đơn giản nhất và lại hiệu quả nhất đó là sử dụng thông tin truy nhập của chính người dùng. Thông tin người dùng có thể thu được thông qua những chương trình Trojan keylogg (lưu giữ các thao tác của người dùng trên máy), những chương trình khai thác mật khẩu, bẻ khóa, và/hoặc chương trình hiển thị lại nội dung người dùng truy nhập, hoặc thậm chí sử dụng bạo lực. Và cuối cùng, những thông tin truy nhập cấp độ quản trị sau đó có thể được tội phạm nắm giữ.

Từ đây, tội phạm mạng thậm chí có thể giành quyền kiểm soát bộ quản lí tên miền – cho phép chúng truy nhập với đủ quyền hành tới tất cả các máy tính trong một mạng. Một khi kiểm soát được mạng, những kẻ tấn công có thể tiếp cận tới môi trường dữ liệu của chủ thẻ thậm chí ngay cả khi nó nằm trong một hệ mạng phân lập (segmented-network), bằng cách sử dụng mạng và các đường truyền dữ liệu được thiết lập cho những yêu cầu kinh doanh xác định trước. Khi đã vào được môi trường dữ liệu của chủ thẻ, tội phạm mạng sau đó sẽ cài đặt mã độc cho phép chúng lấy cắp dữ liệu thẻ từ các hệ thống POS này.

Bởi vì kẻ tấn công đang nhắm tới một hệ thống POS và những cuộc tấn công kiểu này sẽ cần thời gian để thu thập dữ liệu, do vậy, chúng cần những đoạn mã này tồn tại lâu dài. Không giống như những lỗ hổng về dữ liệu khi hàng triệu bản ghi đều có thể được truy nhập ngay lập tức, các lỗ hổng ở hệ thống POS đòi hỏi những kẻ tấn công phải chờ đợi cho tới khi giao dịch xảy ra và từ đó chúng mới có thể thu thập dữ liệu theo thời gian thực, khi mỗi thẻ tín dụng được sử dụng. Chính vì điều này, việc phát hiện tấn công từ sớm có thể hạn chế mức độ thiệt hại. Việc duy trì mã độc thường xuyên có thể dễ dàng thực hiện bằng cách sử dụng những kĩ thuật đơn giản để đảm bảo nó luôn hoạt động và tự khởi động lại bất cứ khi nào hệ thống khởi động.

Theo Vietnamnet

Không có nhận xét nào:

Đăng nhận xét

QUẢN LÝ KHÁCH SẠN NHÀ HÀNG

QUẢN TRỊ NHÀ HÀNG KHÁCH SẠN

QUẢN TRỊ NHÀ HÀNG KHÁCH SẠN Nỗ lực tìm một CEO (tổng giám đốc) chuyên nghiệp với kỳ vọng người này sẽ đồng hành, gắn bó lâu dài là tâm lý chung của đa số doanh nghiệp Việt Nam. Tuy nhiên, trên thực tế, những cuộc “hôn nhân” đó đều chấm dứt chỉ sau một thời gian ngắn. Khi có sự thay đổi lớn về chiến lược, chẳng hạn như tái cấu trúc, chuẩn bị mua bán – sáp nhập, mở rộng vốn đầu tư và thị trường, các chủ doanh nghiệp thường có nhu cầu tìm kiếm một tướng giỏi để giúp họ lèo lái công việc. Song, khi đã thành công hoặc tạm thành công với chiến lược mới, dấu hiệu rạn nứt giữa đôi bên bắt đầu xảy ra và CEO phải ra đi. Ông Robert Trần, CEO Công ty Robenny khu vực châu Á – Thái Bình Dương, chuyên tư vấn và cho thuê CEO, khuyên, các ông chủ doanh nghiệp đừng quá kỳ vọng vào một cuộc hôn nhân bền vững, lâu dài. “Doanh nghiệp Việt nên thay đổi quan niệm, chọn đúng CEO vào đúng từng giai đoạn phát triển của công ty”, ông nói. Đây cũng là cách thức mà các nước phát triển đã áp dụng thành công.

Khi nào tôi cần thuê CEO?
Nam Long là một tập đoàn chuyên đầu tư và kinh doanh bất động sản đã trải qua 18 năm tồn tại, có 8 công ty con và đang hoạt động mạnh trong 3 lĩnh vực: phát triển quỹ đất, nhà ở và các dự án văn phòng, trung tâm thương mại. Với quy mô ngày càng lớn, ông Nguyễn Xuân Quang, Chủ tịch Hội đồng Quản trị kiêm Tổng Giám đốc Công ty Cổ phần Đầu tư Nam Long, cho biết ông muốn tìm một CEO chuyên nghiệp nhưng 5 năm rồi vẫn chưa tìm được.
Không giống như Nam Long, các công ty như Đồng Tâm, Giấy Sài Gòn đều đã thuê CEO, nhưng rồi họ cũng ra đi. Sau các cuộc chia tay đó, ông Võ Quốc Thắng, Chủ tịch Hội đồng Quản trị Đồng Tâm và ông Cao Tiến Vị, Chủ tịch Hội đồng Quản trị Giấy Sài Gòn, đã có những trải nghiệm quý giá chia sẻ với gần 200 doanh nhân tại buổi Tọa đàm “Finding CEO – Gian nan đường tìm tướng giỏi” do Nhịp Cầu Đầu Tư tổ chức vào cuối tháng 10 vừa qua.
Theo ông Robert Trần, mỗi doanh nghiệp đều trải qua 3 giai đoạn phát triển: bắt đầu phát triển, phát triển và phát triển bền vững. Ở mỗi giai đoạn doanh nghiệp sẽ có mục tiêu khác nhau nên nhu cầu thuê CEO cũng khác nhau. Theo ông, đa số doanh nghiệp lớn tại Việt Nam hiện nay ở giai đoạn đang phát triển, nhưng chính xác là vào đầu, giữa hay cuối giai đoạn thì chủ doanh nghiệp cần phải xác định rõ.
Năm 2007, Đồng Tâm là 1 trong 2 doanh nghiệp lớn của Việt Nam được Bộ Khoa học Công nghệ chọn triển khai thí điểm dự án “Vươn tới đỉnh cao” (BiC – Best in Class), xây dựng những thương hiệu lớn của Việt Nam vươn lên tầm khu vực. Để làm được điều đó, doanh nghiệp phải tái cấu trúc dây chuyền sản xuất, nhân sự… Chủ tịch Võ Quốc Thắng đã mời ông Etienne Lucien Laude (quốc tịch Pháp), từng là CEO Công ty Thiết bị Điện Schneider Vietnam, về giữ chức CEO của Đồng Tâm.
Về Đồng Tâm tháng 8.2008, ông Laude đã bắt tay triển khai module đầu tiên về quản lý sản xuất theo BiC, giúp tiết kiệm tối đa chi phí quản lý, hạn chế tồn kho… Tuy nhiên, cuối tháng 9 vừa qua, Tập đoàn Đồng Tâm đã kết thúc hợp đồng 2 năm với CEO người Pháp này, dù những module quan trọng của quá trình tái cấu trúc vẫn chưa kết thúc.
Giống như Đồng Tâm, đầu năm 2003, Giấy Sài Gòn tiến hành cổ phần hóa, ông Vị đã bắt đầu nghĩ đến việc thay đổi mô hình quản trị từ gia đình sang kiểu quản lý chuyên nghiệp thường thấy ở nhiều tập đoàn đa quốc gia, thuê CEO điều hành Công ty, còn ông lui về làm chiến lược. Đến năm 2008, Giấy Sài Gòn quyết định tăng vốn, mở rộng đầu tư và đã mời ông Trần Xuân Nam về làm CEO. Ông Nam từng là giám đốc tài chính của nhiều công ty lớn như Đồ gỗ Scancom Việt Nam (Đan Mạch), Coca-Cola Việt Nam, Tập đoàn Kinh Đô và là Phó Giám đốc Công ty Gỗ Trường Thành. Với kinh nghiệm và chuyên môn về tài chính, ông Nam đã rất thành công trong việc huy động vốn cho Công ty. Tuy nhiên, khi Giấy Sài Gòn đặt ra chỉ tiêu duy trì và tăng trưởng doanh thu trong thời kỳ khủng hoảng tài chính toàn cầu thì sở trường tài chính của vị CEO mới không còn phù hợp. Cuối năm 2008, ông Nam từ chức.
Lúc này, ông Vị đã mời ông Huỳnh Văn Rô, vốn giỏi trong lĩnh vực bán hàng, về thay ông Nam. Năm 2008, dưới thời ông Rô, tốc độ tăng trưởng của Giấy Sài Gòn có phần ổn định, song tình hình nhân sự lại có nhiều xáo trộn, không ít người giỏi đã ra đi. Đến cuối năm 2009 ông Rô cũng rời Giấy Sài Gòn, ông Vị lại trở về với vai trò CEO.
Cũng với mục đích thay đổi chiến lược, năm 2009, Công ty Cổ phần Kềm Nghĩa quyết định mở rộng thị trường ở nước ngoài, tham vọng xây dựng thương hiệu toàn cầu và mời ông Đỗ Hòa về làm CEO. Ông Hòa từng có hơn 10 năm làm CEO cho các công ty thương mại nước ngoài và Giám đốc Chiến lược Khu vực Đông Nam Á cùng với New Zealand và Úc của Tập đoàn Shell (Hà Lan) suốt 9 năm, trong đó có 2 năm làm chuyên gia cao cấp của Shell tại Indonesia. Tuy nhiên, sau 1 năm, ông Hòa cũng rời Kềm Nghĩa với lý do không đồng quan điểm về chiến lược phát triển của Công ty. Sau 1 năm ông Hòa làm CEO, doanh số của Kềm Nghĩa đã tăng từ 13% lên 21%, ngay trong giai đoạn khủng hoảng tài chính toàn cầu và doanh số của toàn ngành lúc đó giảm đến 40%.
Dù đều có kết cục chung đường ai nấy đi, nhưng sau những cuộc chia tay này ông Robert Trần cho rằng, các ông chủ doanh nghiệp nói trên vẫn đạt được những thành công nhất định vì đã chọn đúng CEO vào đúng giai đoạn phát triển của doanh nghiệp. Tuy nhiên, đến đây một câu hỏi khó lại được đặt ra là biết tìm ở đâu những CEO như vậy.
CEO đến từ đâu?
Theo ông Robert Trần, có 3 nguồn thuê CEO là người Việt làm quản lý tại các công ty đa quốc gia, Việt kiều và nhà quản lý người nước ngoài.
Nhóm CEO người Việt có mặt mạnh là am hiểu thị trường, có nhiệt huyết và tham vọng phát triển nhanh. Đặc biệt, họ cùng có chung ngôn ngữ, am hiểu văn hóa làm việc của người Việt. Trong khi đó, các CEO là Việt kiều đa số có kinh nghiệm quản lý từ các tập đoàn đa quốc gia và lợi thế của họ là giỏi ngoại ngữ, biết văn hóa làm việc ở trong nước và cả nước ngoài. Cuối cùng là CEO người nước ngoài, với lợi thế được đào tạo và làm việc trong môi trường chuyên nghiệp của các tập đoàn đa quốc gia, hiểu thị trường nước ngoài.