在線銀行家,當心。由研究團隊調查的銀行網站中,超過75%的網站至少有一個設計缺陷,這可能會使客戶容易受到網絡小偷的影響。
密歇根大學計算機科學家阿圖爾·普拉卡什(Atul Prakash)和他的研究生勞拉·福克(Laura Falk)和凱文(Kevin Borders)在2006年檢查了214家金融機構的網站,發現與錯誤不同的設計缺陷無法用補丁修復。
安全孔源於流程和佈局網站,根據他們的研究。這些缺陷包括放置登錄框和聯繫信息上的網頁上的聯繫信息,以及無法將用戶保留在最初訪問的網站上。普拉卡什(Prakash)表示,由於收集了這些數據,有些銀行可能已經採取了措施解決這些問題,但總體而言,他仍然認為需要改進。
“令我們驚訝的是,設計缺陷可能妥協安全性普拉卡什說:“很普遍,包括該國一些最大的銀行。我們的重點是試圖小心的用戶,但不幸的是,有些銀行網站使客戶在做在線銀行時很難做出正確的安全性決定。”
計算機入侵上升
約40%的美國人使用網際網路根據Pew Internet進行的2008年2月的調查,用於銀行業務。根據Forrester Research的數據,2011年,有76%的在線家庭將在線融資。
這些缺陷會使黑客可以利用的安全性造成破解,以訪問私人信息和帳戶。 FDIC表示,與抵押欺詐和檢查欺詐等金融犯罪相比,計算機入侵雖然相對較少,但對於銀行及其客戶來說,這是一個日益嚴重的問題。
最近的一份FDIC技術事件報告是根據可疑活動報告季刊彙編的,列出了536例計算機入侵案例,每次事件的平均損失為30,000美元。在2007年第二季度,這一比例總計近1600萬美元。與第一季度相比,2007年第二季度的計算機侵入量是兩倍半。報告指出,在80%的案件中,入侵的來源尚不清楚,但發生在網上銀行期間。
尋找“ HTTPS”和其他技巧
Prakash的設計缺陷和他的團隊是:
- - 在不安全頁面上安置安全的登錄箱:全部47%的銀行對此有罪。一個駭客可以在框中輸入的數據或創建頁面上的欺騙副本以收穫信息。在無線情況下,可以在不更改用戶的銀行URL的情況下進行這種中間攻擊,因此即使是警惕的客戶也可能成為受害者。 Prakash說,為了解決此問題,銀行應在要求敏感信息的頁面上使用標準的“安全套接字層”(SSL)協議。 (SSL保護頁面的URL始於HTTP,而不是HTTP。)大多數銀行在其某些頁面中使用SSL技術使用SSL技術,但是只有少數群體以這種方式保護所有頁面。
- - 在不安全頁面上投入聯繫信息和安全建議:55%,這是最多的罪犯的缺陷。攻擊者可以更改地址或電話號碼,並設置自己的呼叫中心,從需要幫助的客戶那裡收集私人數據。
- - 在信任鏈中違反:銀行Prakash說,將客戶重定向到銀行域外的某些交易中的站點,而沒有警告,但未能維持良好安全決定的背景。他在接受調查的30%的銀行中發現了這個問題。普拉卡什(Prakash)說,該解決方案是要警告用戶,他們將從銀行的網站轉移到一個值得信賴的新站點。否則銀行可以將其所有頁面放置在同一服務器上。當銀行將一些安全功能外包時,通常會出現此問題。
- - 允許不足的用戶ID和密碼:研究人員尋找使用社會保險號或電子郵件地址作為用戶ID的站點。雖然這些信息易於記住,但也很容易猜測或發現。研究人員還尋找沒有陳述密碼政策或允許密碼弱的網站。 28%的被調查網站有這些缺陷之一。
- Prakash說, - e郵件對安全敏感的信息不安全:通常不安全,但31%的銀行網站卻有這種缺陷。這些銀行提供了電子郵件密碼或語句。對於語句,用戶通常不會被告知他們是否會收到鏈接,實際聲明或通知,該聲明可用。普拉卡什說,通知不是問題,而是通過電子郵件發送密碼,鏈接或聲明,這不是一個好主意。
普拉卡什(Prakash)沒有獲得這項研究的特殊資金,他在自己的金融機構網站上註意到了缺陷,開始了這項研究。他和他的同事將於7月25日在匹茲堡卡內基·梅隆大學舉行的關於可用隱私和安全會議研討會上介紹他們的發現。
可以找到接受調查的銀行的清單這裡。
- 視頻:下一步,新興技術
- 10種將改變您生活的技術
- 創新:未來的思想和技術
