根据ImmuniWeb的数据,几乎所有最大的100家银行都容易遭受网络和移动攻击,黑客可以访问敏感数据。
“我们从利用增强的方法,以往的研究,涵盖网络和世界上最大的企业移动应用程序的安全性从FT全球500强排行榜” 报告说。“为了这项研究的目的,我们仔细研究了标准普尔全球列表的外部网络应用程序,API和移动应用程序,其中包含来自22个国家的全球最大的金融组织。”
根据调查结果,85个电子银行Web应用程序未通过GDPR合规性测试,49个未通过PCI DSS测试。报告称,“只有三个主要网站(瑞士信贷银行,丹麦银行和Handelsbanken)的100个网站的SSL加密和网站安全等级最高”A +“。
“鉴于研究的非侵入性以及研究中所研究的顶级银行可用的强大资源,调查结果敦促金融机构修改其现有的应用安全方法,”ImmuniWeb的首席执行官兼创始人Ilia Kolochenko说。
“大多数数据泄露涉及或开始于不安全的网络和移动应用程序,这些应用程序过于频繁地被未来的受害者优先考虑。不幸的是,今天大多数网络安全团队都承担着履行合规和监管要求的重任,这是首要任务,而且缺乏可用资源来解决其他重要任务。最终,它们成为网络犯罪分子的低调成果。“
研究人员发现了针对金融机构客户的29项有效网络钓鱼活动。“网络钓鱼网站要么传播银行恶意软件,旨在窃取电子银行凭据,要么提供旨在窃取受害者凭据的欺诈性登录表单。大多数恶意网站都是在美国托管的,“报告说。
在相关新闻中,Proofpoint对16个行业的员工安全意识进行了审计,结果发现每四个有关网络钓鱼的问题中就有一个被错误地回答。然而,根据2019年的Beyond the Phish报告,金融业是表现最佳的行业,最终用户正确回答了所有问题的80%。
Proofpoint安全意识培训战略和开发副总裁Amy Baker在一份新闻稿中说:“网络犯罪分子是收集个人信息的专家,可以发起针对个人的高度针对性和令人信服的攻击。”
“在建立强大的安全文化时,实施持续有效的安全意识培训是必要的基础支柱。教育员工了解网络安全最佳实践是让用户了解如何保护他们及其雇主数据的最佳方式,使最终用户成为抵御网络攻击者的最后一道防线。
企业应部署SSL证书。为了防止用户误入假冒网站/钓鱼网站的陷阱,企业网站应部署数安时代SSL证书或更高级别的EV SSL证书,将企业网站和钓鱼网站区分开,网址栏展示HTTPS、安全锁以及证书中的网站真实身份信息,让用户拥有足够的信息判断网站真实性,对比之下,假冒网站立显原形。
企业应为员工通讯邮箱部署电子邮件证书,为保护客户的利益,维护客户数据安全。邮件用户使用GDCA邮件证书对电子邮件进行数字签名并加密传输,一方面可以保证邮件发送者身份真实性,另一方面保障了邮件传输过程中不被他人阅读及篡改,并由邮件接收者进行验证,确保电子邮件内容的完整性。
