E-Business

Curs 11

Lect.univ.dr. Tatiana Dosescu

1
Cursul 11

Securitatea comerțului electronic

1. Vulnerabilitățile mediului Internet care afectează

comerțul electronic

2. Descrierea amenințărilor de securitate

3. Prevenirea fraudelor în comerțul electronic

2
1. Vulnerabilitățile mediului Internet

• Un factor principal care frânează oarecum dezvoltarea comerțului

electronic îl constituie insecuritatea.
• Inițial, serviciile din Internet au fost proiectate pt. cercetare, nu pt.
desfășurarea unor tranzacții comerciale.
• Internetul operează într-un mediu de încredere, în care este permis
utilizatorilor situați la distanță să acceseze fișierele și resursele critice de
pe computere din întreaga lume.
• La începutul erei Internet, securitatea era lăsată mai mult pe respectul
reciproc al utilizatorilor decât pe măsuri tehnice și administrative.
• O protecție minimă, considerată mult timp suficientă, dar dovedită ulterior
cu slăbiciuni de concepție, au constituit-o sistemele de parole care creau
o anumită barieră la pătrunderea într-un sistem aflat la distanță.
• Pe măsură ce Internetul s-a extins, comunitatea utilizatorilor a crescut
foarte mult, iar printre aceștia se găsesc numeroase persoane care nu
mai respectă regulile de comportament stabilite inițial de cercetători.

3
Vulnerabilitățile mediului Internet

• Toate atacurile speculează:

✦ proasta configurare a unor sisteme
✦ unele erori în scrierea programelor
✦ administrarea neglijentă a unor noduri ale rețelei
✦ neglijența unor utilizatori autorizați.
• Unele atacuri mai sofisticate profită de lipsa totală de servicii de
securitate în ierarhia de protocoale TCP/IP, folosită de toate computerele
conectate la Internet.

4
 Hackeri, crackeri, haxori
• Hacker = persoană care are cunoștințe foarte avansate în domeniul tehnicii de
calcul și al programării, reușește să scrie sau să înțeleagă fără un efort aparent
programe complexe, precum și să proiecteze, să dezvolte sau să îmbunătățească
diverse tehnologii informatice.
• Cracker = persoană care obține acces neautorizat la sisteme de calcul, aplicații
sau site-uri Web, trecând peste măsurile de securitate existente, pt. a obține
acces la info. confidențiale sau pt. a utiliza în diverse scopuri resursele respective.
✦ Crackerii care se respectă nu distrug paginile Web obișnuite (ex: cele personale),
țintele preferate fiind site-urile importante care au protecții avansate și conțin informații
strict secrete care, odată obținute, sunt publicate pe Internet.
✦ Mulți crackeri sunt specializați în spargerea programelor shareware sau a celor care
necesită introducerea unui cod serial.
✦ Există și un cod secret al crackerilor, respectat de aceștia.
• Haxor = cracker amator, fără cunoștințe de programare.
✦ Utilizează în activitatea sa ilegală programe create de alții.
✦ Haxorii sunt desconsiderați atât de crackerii cu experiență, cât și de hackeri.
✦ În mod obișnuit, haxorii care - din dorința de a vedea ce se întâmplă și încălcând
codul crackerilor - blochează servicii de utilitate publică (ex: motoare de căutare),
ajung în fața justiției deoarece lasă urme informatice care îi deconspiră.
5
2. Descrierea amenințărilor de securitate

• În funcție de nivelul la care se produc, există atacuri de securitate:

✦ la nivelul fizic: furtul, distrugerea sau deteriorarea calculatoarelor și
echipamentelor.
✦ la nivelul datelor: ștergerea, coruperea sau furtul datelor.
• În funcție de localizarea atacatorilor, există atacuri de securitate:
✦ interne (sau locale [local attack]): sunt determinate de angajații instituției
care folosesc rețeaua și pot fi intenționate sau neintenționate.
✦ externe (sau la distanță [remote attack]): sunt determinate de utilizatori din
afara instituției, care nu au acces autorizat la date sau la alte resurse.
• În funcție de consecințele asupra rețelei, atacurile de securitate fac parte
din următoarele categorii:
✦ atacuri pasive: au ca scop furtul informațiilor, nu distrugerea/deteriorarea
acestora.
✦ atacuri active: au ca scop furtul, coruperea sau distrugerea informațiilor.

6
Amenințări de securitate

În contextul comerțului electronic, atacurile la securitate se manifestă, cu

precădere, astfel:
• Ascultarea comunicațiilor: poate conduce la furtul unor informații
importante ale clienților (ex: nr. cardului de plată, nr. contului bancar, etc).
• Furtul parolelor: permite accesul la sisteme care stochează date
importante.
• Modificarea datelor: determină alterarea mesajelor prin modificare,
inserare sau ștergere.
• Mascarada: o entitate pretinde că este o altă entitate, cu intenția de a
obține date secrete.
• Refuzul serviciului: o entitate nu-și poate îndeplini propria funcție sau
face acțiuni care împiedică o altă enitate să-și îndeplinească propria
funcție.
• Repudierea serviciului: o entitate refuză să recunoască un serviciu
efectuat de o altă entitate.

7
Malware

• Un software de tip malware este un program sau o secvență de program

conceput pentru:
✦ a perturba funcționarea corectă a unui calculator
✦ a aduna informații confidențiale
✦ a obține acces neautorizat la resursele sistemului.
• Reprezintă una dintre cele mai grave amenințări pt. securitatea datelor.
• În funcție de acțiunea determinată, software-ul de tip malware se clasifică
în: viruși, viermi, troieni, bombe, spoofere, păcăleli, căi ascunse, etc.

8
Viruși

• Virus [virus] = program dependent de un alt program, care poate ajunge în

calculatorul atacat prin e-mail, transfer de fișiere sau mesagerie instantanee și a
cărui acțiune se declanșează numai când programul căruia îi este atașat este
lansat în execuție.
✦ Virusul se poate reproduce imediat, infectând alte programe, sau poate aștepta o
anumită dată sau un anumit eveniment, realizând acțiuni neautorizate, adesea
distructive.
✦ Consecințe ale acțiunii unui virus: ștergerea unor fișiere situate pe calculatorul
infectat, trimiterea unor mesaje e-mail către toate adresele existente în Address
Book, înregistrarea informațiilor tastate.
• Ca și un virus biologic, un virus informatic are un ciclu de viață:
✦ Creare → de către un programator
✦ Multiplicare → virusul se copiază de la un calculator la altul
✦ Activare → virusul se lansează în execuție
✦ Detectare → virusul este descoperit, începe studierea acestuia
✦ Asimilare → producătorii de software antivirus includ semnătura noului virus în
tabelul de semnături
✦ Eradicare → programele antivirus elimină virusul
9
Viruși
• În funcție de gazdă, virușii se clasifică în mai multe categorii:
✦ Viruși de fișier
✦ Viruși de boot
✦ Viruși de macro
✦ Viruși de script
✦ Viruși de e-mail
✦ Viruși de chat
✦ Viruși de mesagerie instantanee
• Virușii de fișier sunt cei mai răspândiți.
✦ Codul unui astfel de virus este inclus, cel mai frecvent, în fișierul unui program
executabil (.exe, .com).
✦ Când un astfel de program este lansat în execuție, virusul se copiază în memoria
internă a calculatorului, lansându-și apoi în execuție propriul program de distrugere și
de autocopiere.
✦ Un virus de fișier poate fi:
✤ static → nu-și schimbă structura în cursul existenței sale.
✤ polimorfic → se poate adapta la condițiile oferite de fișierul-gazdă, fiind capabil
să-și schimbe semnătura când se multiplică de la un calculator la altul.
10
 Viermi

• Vierme [worm] = program independent care se reproduce prin autocopiere

de la un calculator la altul, de obicei prin intermediul rețelelor de
calculatoare slab securizate, fără nici o intervenție din partea utilizatorului.
✦ Viermii diferă de viruși prin faptul că nu au nevoie să se atașeze unui program
pt. a afecta o gazdă.
✦ Viermii pot fi utilizați pt. o varietate de acțiuni distructive.
✦ Chiar dacă unii viermi nu deteriorează datele sau programele instalate, ei sunt
dăunători rețelelor deoarece consumă din lățimea de bandă.

11
 Troieni

• Troian [trojan] = program care “pozează” ca software util și care va executa

o operație ascunsă: accesarea neautorizată a calculatorului, copierea
fișierelor existente pe acesta, controlarea comenzilor calculatorului, oprirea
anumitor procese, interceptarea parolelor, formatarea discurilor, blocarea
perifericelor.
✦ Un program troian se reproduce ca un virus și se poate răspândi și la alte
calculatoare.
• Tipuri de troieni:
✦ lansatori [droppers]: instalează viruși în sistemul atacat.
✦ injectori [injectors]: similari cu lansatorii, dar introduc un cod distructiv în
memoria sistemului (nu pe disc).
✦ germeni [germs]: program produs prin compilarea codului-sursă al unui
program infectat.

12
Bombe

• Bombă [bomb] = tip de troian folosit cu scopul de a lansa un virus, un

vierme sau un alt fel de atac.
✦ Bomba poate fi un program independent sau o secvență de cod.
• Tipuri de bombe:
✦ Bombe de timp [time bomb]: se activează după scurgerea unui anumit timp
de la instalare sau la o anumită dată calendaristică.
✦ Bombe logice [logic bomb]: acționează atunci când sunt îndeplinite anumite
condiții impuse de cei care le-au creat.

13
Căi ascunse

• Căile ascunse sunt de două tipuri:

✦ Trap Doors
✤ Sunt mecanisme de acces create de proiectanții de software pt. a pătrunde
în sistemele de calcul prin ocolirea mecanismelor de protecție.
✤ Sunt folosite în perioada de testare a software-ului, fiind apoi eliminate din
produsul final.
✦ Back Doors
✤ Sunt, de obicei, create cu ajutorul troienilor, presupunând introducerea în
calculatorul atacat a unui program care, ulterior, va deschide căi de acces
către resursele acestuia.
✤ Mecanismul Back Door permite încălcarea restricțiilor de acces sau de
scriere pe disc, oferind posibilitatea violării confidențialității informațiilor,
modificarea neautorizată a acestora, etc.

14
Păcăleli

• Păcăleală [hoax] = mesaj de e-mail care conține avertizări false despre un

virus existent și solicitarea de a avertiza persoanele cunoscute.
✦ Adesea, mesajele de acest tip conțin fișiere atașate având ca scop eliminarea
virușilor.
✦ În fapt, deschiderea unui astfel de fișier determină infectarea calculatoarelor-
țintă.

15
Adware, spyware, grayware
• Programele de tip adware:
✦ sunt distribuite, fără cunoștința și acordul utilizatorului, odată cu programele
descărcate - de obicei, gratuit - de pe Internet.
✦ au rolul de a afișa mesaje publicitare pe calculatorul utilizatorului, de obicei, folosind
ferestre pop-up (Acestea sunt deschise adesea mai repede decât le poate închide
utilizatorul).
• Programele de tip spyware:
✦ sunt distribuite fără cunoștința și acordul utilizatorului, având rolul de a monitoriza
activitatea acestuia.
✦ transmit informațiile legate de activitatea utilizatorului (ex: nume de utilizator, parole)
organizației/persoanei responsabile cu distribuirea spyware-ului (Aceste info. pot fi
utilizate ulterior pt. atacarea calculatorului respectiv).
• Grayware:
✦ Termen utilizat începând cu anul 2004 care se referă la aplicații/fișiere care nu sunt
clasificate ca viruși sau troieni, dar care au scopul de a afecta performanța
calculatoarelor sau a rețelelor, fiind riscante pt. siguranța unei organizații.
✦ Multe atacuri grayware sunt de tip phishing: încearcă să convingă utilizatorul să-i
ofere atacatorului acces la informații personale (ex: nr. card de credit, nr. de cont
bancar), de obicei, prin intermediul unor formulare online.
16
3. Prevenirea fraudelor în comerțul electronic

Câteva dintre fraudele cu care pot lua cunoștință clienții magazinelor

electronice și măsurile necesare pt. evitarea lor:
• Frauda prin licitații online
• Frauda prin nelivrarea produselor
• Frauda cu cărți de credit
• Furtul de identitate (Phishing)

17
Frauda prin licitațiile online
Înainte ca utilizatorul să liciteze un produs, este necesar:
• să înțeleagă cât mai bine modul în care funcționează licitațiile pe Internet, mai
ales în ceea ce privește obligațiile cumpărătorilor și cele ale vânzătorilor.
• să afle dacă site-ul pe care se realizează licitația oferă asigurare pt. produsele
listate și transportate. Dacă da, este bine ca utilizatorul să plătească această
asigurare.
• să evite vânzătorii care nu furnizează date corecte și complete.
• să examineze feedbackul referitor la vânzător oferit de alți clienți.
• să evite serviciile de transfer rapid de bani, indiferent de asigurările vânzătorului.
• să verifice dacă taxele de livrare sunt incluse în prețul produsului.
• să se intereseze despre modalitatea și timpul de livrare, precum și despre
politica de returnare a produselor.
• să evite furnizarea de info. suplimentare (de ex.: CNP, seria și nr. CI), întrucât
acestea nu sunt necesare pt. livrarea produsului.
• să fie atent la diferențele între legile diverselor state din domeniul licitațiilor
online. În cazul în care cumpărătorul și vânzătorul sunt localizați în țări diferite,
eventualele dispute pot avea rezolvări imprevizibile.
18
Frauda prin nelivrarea produselor

Pt. a evita o astfel de fraudă, este necesar ca un client:

• să se asigure că vânzătorul este de încredere, verificând reputația acestuia
atunci când este posibil.
• să verifice dacă n-rul de telefon și adresa de e-mail sunt active. Este indicat
să se evite vânzătorii care folosesc adrese de e-mail gratuite.
• să tranzacționeze an sistemul 3D Secure, în condițiile în care cardul său este
înrolat și activat în acest sistem.
• să se asigure că site-ul pe care se face tranzacția utilizează o conexiune
securizată (indicii ale unei pagini securizate: adresa începe cu https://,
prezența unei pictograme cu un lacăt închis în fereastra browserului).

19
Frauda cu cărțile de credit

Pt. a nu fi victima unei astfel de fraude, un client trebuie:

• să nu ofere niciodată informații despre card dacă site-ul folosește o conexiune
nesecurizată sau dacă reputația acestuia este îndoielnică.
• să nu ofere informații referitoare la card nici unei persoane.
• să evite ofertele speciale, mai ales cele venite sub forma mesajelor de poștă
electronică nesolicitate.

20
Furtul de identitate (Phishing)

Pt. a nu cădea pradă unei tentative de phishing, un client trebuie:

• să nu acceseze link-urile incluse în mesajele care provin de la adrese
necunoscute. Adesea, aceste mesaje de e-mail par că provin de la banca
la care clientul are un cont deschis.
• să verifice în browser numele site-ului pt. a-l compara cu cel al băncii. Site-
ul original trebuie accesat direct (prin introducerea adresei sale Web în
caseta de adrese a browserului), nu prin efectuarea unui clic pe link-ul
inclus în e-mail.
• să nu divulge niciodată datele confidențiale referitoare la card (număr card,
cod PIN, data expirării).
✦ Trebuie reținut că, prin politica lor, băncile nu solicită prin e-mail sau telefonic
clienților date confidențiale.

21
Bibliografie

1. SCHNEIDER, Gary P. - Electronic Commerce, 9th Edition

Course Technology, Cengage Learning, 2011.

2. ANGHEL, Traian - Tot ce trebuie să știi despre Internet

Editura Polirom, Iași, 2011.

2. KOVÁCS, Liciniu-Alexandru - Comerț electronic

Presa Universitară Clujeană, Cluj-Napoca, 2006
(ediție revizuită și adăugită, disponibilă gratuit pe site-ul autorului:
www.liciniu.ro/ecs/comert/index.htm ).

22