NGUYỄN THỊ HÀ 2500999 LỚP D18-25

BÀI TẬP THỰC HÀNH MÔN THƯƠNG MẠI ĐIỆN TỬ

NGUYỄN THỊ HÀ-2500999

       TÌNH HUỐNG 5:Mã QR thanh toán tại quầy bị thay thế bởi mã lừa đảo

                                                         BÀI LÀM

1. Phân tích lỗ hổng quy trình quản lý mã QR

Lỗ hổng xuất hiện từ quy trình thủ công, thiếu bảo mật vật lý và xác thực số:

• QR tĩnh dễ bị thay thế mà không phát hiện được vì không liên kết với hệ thống giao dịch tức thời.

• Không có biện pháp kiểm tra định kỳ hoặc xác thực tên tài khoản nhận tiền, dẫn đến khách không biết mình đang chuyển tiền sai chỗ.

• Nhân viên và chủ nhà thuốc không được đào tạo về rủi ro bảo mật QR.

• Không có log truy vết số giao dịch để đối chiếu khi xảy ra sự cố.

---

2. Đề xuất kỹ thuật và quy trình an ninh vật lý

a. Giải pháp kỹ thuật:

• QR động (dynamic QR): Mỗi giao dịch tạo một mã riêng biệt từ phần mềm/POS, liên kết trực tiếp với hệ thống ngân hàng/ví điện tử.

• Xác nhận tên người nhận: Tích hợp API ngân hàng hiển thị rõ Tên tài khoản nhận trước khi xác nhận.

• Sử dụng máy POS/tích hợp QR trên hóa đơn: Thay vì dán mã ngoài, mỗi hóa đơn đi kèm mã QR riêng, không thể thay thế thủ công.

• Tích hợp ví điện tử chính thống (VNPay, MoMo, ZaloPay…) có xác minh danh tính đầu cuối.

b. An ninh vật lý:

• Tem chống giả, niêm phong poster QR: Dán tem vỡ nếu bị gỡ.

• Lắp camera giám sát khu vực QR để phát hiện hành vi thay đổi.

• Kiểm tra poster QR mỗi ngày theo checklist nội bộ.

• Chỉ định người chịu trách nhiệm bảo mật QR tại mỗi chi nhánh.

---

3. Luận điểm cá nhân: Liệu QR có an toàn cho ngành Dược?

QR có thể an toàn, nhưng chỉ khi đi kèm với hệ thống bảo mật kỹ thuật số và kiểm soát vật lý chặt chẽ. Ngành Dược đòi hỏi tính minh bạch, an toàn và tin cậy – vì vậy không nên dùng QR tĩnh. QR động tích hợp hệ thống POS, có xác nhận tên người nhận và kiểm tra định kỳ sẽ đáp ứng được nhu cầu giao dịch tiện lợi và an toàn.

---

THẢO LUẬN

1. So sánh QR tĩnh vs QR động

Tiêu chí	QR Tĩnh	QR Động
Loại mã	Cố định, không thay đổi	Tạo mới theo từng giao dịch
Tính bảo mật	Thấp – dễ bị thay thế	Cao – gắn với hệ thống POS
Tên người nhận	Không hiển thị	Có thể xác thực qua ví/ngân hàng
Khả năng kiểm soát	Thủ công, khó truy vết	Ghi log đầy đủ, dễ truy xuất khi có sự cố
Phù hợp với	Quầy nhỏ, không có máy POS	Nhà thuốc chuỗi, cần tính bảo mật cao

---

2. Những bước kiểm tra đơn giản khách nên thực hiện trước khi quét

1. Quan sát poster QR xem có dấu hiệu bị dán đè, xé, thay không.

2. Kiểm tra tên tài khoản nhận sau khi quét (nếu ứng dụng cho phép).

3. So sánh thông tin tài khoản nhận với tên nhà thuốc in trên biên lai.

4. Hỏi nhân viên nếu thấy QR mới lạ hoặc không giống các lần trước.

5. Ưu tiên quét QR tích hợp trong hóa đơn hoặc máy POS.

---

3. Công nghệ cho phép hiển thị tên người nhận trước khi xác nhận thanh toán

• Ngân hàng số và ví điện tử hiện đại (TPBank, Techcombank, MoMo, ZaloPay) có tích hợp API hiển thị tên tài khoản nhận trước khi xác nhận.

• Hệ thống POS có liên kết ngân hàng thường tự động xác minh và hiện tên người nhận.

---

4. Chủ nhà thuốc cần làm gì để bảo vệ poster QR

• Dán niêm phong QR bằng tem chống giả.

• Kiểm tra QR mỗi ca làm việc.

• Gắn camera trước QR poster.

• Đào tạo nhân viên nhận diện hành vi đáng ngờ.

• Chỉ sử dụng QR do ngân hàng/ví cung cấp chính thức.

---

5. Vai trò ngân hàng/ví trong phát hiện QR giả

• Giám sát giao dịch bất thường như nhiều chuyển khoản nhỏ từ các nguồn khác nhau vào tài khoản mới.

• Khóa tài khoản tạm thời khi có khiếu nại.

• Hợp tác với nhà thuốc khi có dấu hiệu lừa đảo để truy vết.

• Cảnh báo khách hàng trong app nếu tài khoản nhận có rủi ro.

---

6. Nếu là chuỗi nhà thuốc, chính sách kiểm tra QR nên ra sao

• Chuẩn hóa QR động toàn hệ thống.

• Check QR hàng ngày bằng app nội bộ.

• Thiết lập quy trình kiểm tra định kỳ & chụp hình đối chiếu.

• Cảnh báo thay đổi bất thường qua phần mềm quản lý.

---

7. Trường hợp bị lừa, ai chịu trách nhiệm hoàn tiền?

• Khách hàng phải tự xác nhận khi chuyển tiền, nên trách nhiệm ban đầu là của khách.

• Tuy nhiên, nếu nhà thuốc không đảm bảo an ninh QR, có thể bị coi là thiếu trách nhiệm dân sự.

• Ngân hàng phải hỗ trợ điều tra và truy hoàn nếu có căn cứ lừa đảo.

---

8. Làm sao để phát hiện sớm các vụ thay QR hàng loạt

• So sánh log giao dịch và thống kê giao dịch bất thường.

• Cảnh báo hệ thống khi có tài khoản nhận tiền không khớp.

• Định kỳ dùng app quét test mã QR để kiểm tra tài khoản nhận.

• Áp dụng AI giám sát camera để phát hiện thay đổi poster.

---

9. Tác động tới lòng tin khách hàng nếu xảy ra nhiều vụ như vậy

• Mất niềm tin vào nhà thuốc, chuyển sang đối thủ.

• Tăng rủi ro truyền thông tiêu cực.

• Gây lo ngại toàn ngành về thanh toán QR.

• Phải tốn chi phí khắc phục, PR, khuyến mãi để lấy lại uy tín.

---

10. Hệ thống pháp luật xử lý hành vi thay QR như thế nào

• Điều 290 BLHS 2015 (tội sử dụng mạng, thiết bị để chiếm đoạt tài sản): có thể phạt tù từ 6 tháng đến 20 năm tùy mức độ.

• Xử lý hành chính theo Nghị định 144/2021 nếu chưa đủ dấu hiệu hình sự.

• Tịch thu tài sản bất chính, phong tỏa tài khoản.

---

11. Đề xuất QR theo chuẩn ngành (ví dụ tem chống giả tích hợp)

• QR kết hợp tem chống giả điện tử: mỗi sản phẩm/dịch vụ có mã riêng kiểm tra nguồn gốc & tài khoản nhận.

• Chuẩn hóa QR ngành Dược thông qua Bộ Y tế, Ngân hàng Nhà nước.

• Tạo hệ thống xác thực QR chung cho chuỗi nhà thuốc.

---

12. Checklist 5 bước phòng ngừa lừa đảo QR cho nhà thuốc & khách hàng

Dành cho nhà thuốc:

1. Sử dụng QR động hoặc QR tích hợp POS.

2. Dán tem niêm phong và camera giám sát QR poster.

3. Kiểm tra tên tài khoản nhận định kỳ bằng app.

4. Đào tạo nhân viên về rủi ro QR.

5. Có bộ phận IT hoặc quản lý kiểm soát bảo mật hàng tuần.

Dành cho khách hàng:

1. Quan sát poster QR có dấu hiệu bị dán đè hay không.

2. Kiểm tra tên tài khoản người nhận sau khi quét.

3. Ưu tiên thanh toán qua máy POS hoặc hóa đơn có QR riêng.

4. Hỏi nhân viên nếu có nghi ngờ.

5. Báo cáo nhà thuốc nếu phát hiện tài khoản nhận bất thường.