根據(jù)ImmuniWeb的數(shù)據(jù)，幾乎所有大的100家銀行都容易遭受網(wǎng)絡(luò)和移動攻擊，黑客可以訪問敏感數(shù)據(jù)。

“我們從利用增強的方法，以往的研究，涵蓋網(wǎng)絡(luò)和世界上很大的企業(yè)移動應(yīng)用程序的安全性從FT全球500強排行榜” 報告說。“為了這項研究的目的，我們仔細(xì)研究了標(biāo)準(zhǔn)普爾全球列表的外部網(wǎng)絡(luò)應(yīng)用程序，API和移動應(yīng)用程序，其中包含來自22個國家的全球很大的金融組織。”

根據(jù)調(diào)查結(jié)果，85個電子銀行Web應(yīng)用程序未通過GDPR合規(guī)性測試，49個未通過PCI DSS測試。報告稱，“只有三個主要網(wǎng)站(瑞士信貸銀行，丹麥銀行和Handelsbanken)的100個網(wǎng)站的SSL加密和網(wǎng)站安全等級很高”A +“。

“鑒于研究的非侵入性以及研究中所研究的頂級銀行可用的強大資源，調(diào)查結(jié)果敦促金融機構(gòu)修改其現(xiàn)有的應(yīng)用安全方法，”ImmuniWeb的首席執(zhí)行官兼創(chuàng)始人Ilia Kolochenko說。

“大多數(shù)數(shù)據(jù)泄露涉及或開始于不安全的網(wǎng)絡(luò)和移動應(yīng)用程序，這些應(yīng)用程序過于頻繁地被未來的受害者優(yōu)先考慮。不幸的是，今天大多數(shù)網(wǎng)絡(luò)安全團隊都承擔(dān)著履行合規(guī)和監(jiān)管要求的重任，這是首要任務(wù)，而且缺乏可用資源來解決其他重要任務(wù)。最終，它們成為網(wǎng)絡(luò)犯罪分子的低調(diào)成果。“

研究人員發(fā)現(xiàn)了針對金融機構(gòu)客戶的29項有效網(wǎng)絡(luò)釣魚活動。“網(wǎng)絡(luò)釣魚網(wǎng)站要么傳播銀行惡意軟件，旨在竊取電子銀行憑據(jù)，要么提供旨在竊取受害者憑據(jù)的欺詐性登錄表單。大多數(shù)惡意網(wǎng)站都是在美國托管的，“報告說。

在相關(guān)新聞中，Proofpoint對16個行業(yè)的員工安全意識進行了審計，結(jié)果發(fā)現(xiàn)每四個有關(guān)網(wǎng)絡(luò)釣魚的問題中就有一個被錯誤地回答。然而，根據(jù)2019年的Beyond the Phish報告，金融業(yè)是表現(xiàn)很好的行業(yè)，最終用戶正確回答了所有問題的80%。

Proofpoint安全意識培訓(xùn)戰(zhàn)略和開發(fā)副總裁Amy Baker在一份新聞稿中說：“網(wǎng)絡(luò)犯罪分子是收集個人信息的專家，可以發(fā)起針對個人的高度針對性和令人信服的攻擊。”

“在建立強大的安全文化時，實施持續(xù)有效的安全意識培訓(xùn)是必要的基礎(chǔ)支柱。教育員工了解網(wǎng)絡(luò)安全優(yōu)秀實踐是讓用戶了解如何保護他們及其雇主數(shù)據(jù)的最佳方式，使最終用戶成為抵御網(wǎng)絡(luò)攻擊者的最后一道防線。

企業(yè)應(yīng)部署SSL證書。為了防止用戶誤入假冒網(wǎng)站/釣魚網(wǎng)站的陷阱，企業(yè)網(wǎng)站應(yīng)部署數(shù)安時代SSL證書或更高級別的EV SSL證書，將企業(yè)網(wǎng)站和釣魚網(wǎng)站區(qū)分開，網(wǎng)址欄展示HTTPS、安全鎖以及證書中的網(wǎng)站真實身份信息，讓用戶擁有足夠的信息判斷網(wǎng)站真實性，對比之下，假冒網(wǎng)站立顯原形。

企業(yè)應(yīng)為員工通訊郵箱部署電子郵件證書，為保護客戶的利益，維護客戶數(shù)據(jù)安全。郵件用戶使用GDCA郵件證書對電子郵件進行數(shù)字簽名并加密傳輸，一方面可以保證郵件發(fā)送者身份真實性，另一方面保障了郵件傳輸過程中不被他人閱讀及篡改，并由郵件接收者進行驗證，確保電子郵件內(nèi)容的完整性。