隨著手機在金融領域的應用越來越廣泛,手機支付、手機轉帳、手機理財等漸漸深入一般民眾的生活之中,但這背後滲雜著複雜的科技因子,也使得網路金融的安全性與隱私保護受到重視。
安全測試機構 ImmuniWeb 指出,就金融APP安全性、隱私保護和內控而言,國際大型金融機構的安全狀況令人擔憂。全球97% 的大型金融機構容易受到網路攻擊,這些機構在 SSL 加密和網站安全方面只有三家取得 A + 的評價。
這三家機構分別為 Credit Suisse、Danske Bank 和瑞典 Handelsbanken。ImmuniWeb 指出在這三家金融機構的主要網站上沒有發現任何漏洞。此外,也有五家金融機構因發現存在可被利用的公開安全漏洞,未能通過檢測。
而該機構還對網站釣魚程式攻擊進行檢測,發現在29起活躍的網路釣魚活動中,大多數惡意網站都在美國託管,其中美國銀行的客戶受到的攻擊次數最高,達到 8次,富國銀行和摩根大通次之,分別為7次和3次。
同時安全測試也擴展到銀行 APP,ImmuniWeb 表示,有55家銀行允許訪問敏感的銀行數據。這些APP總共與298個後端API進行通信,以便從各自的銀行發送或接收數據。
Immuniweb 直言這些發現令人相當擔憂,並指出所有的銀行APP 至少包含一個低風險安全漏洞,92% 至少包含一個中等風險安全漏洞,還有 20% 包含至少一個高風險漏洞。這些測試結果顯示金融機構有必要迅速修改並加強其現有的 APP 安全程序。
一旦存在資安瑕疵,用戶若利用公共無線網路使用銀行 APP,被駭客侵入的風險就大增。不過,若使用家中 WiFi 或自身 4G 連線,就相對較安全。
業界人士指出現今 APP 開發者多,對資安防範的認知、專業度參差不齊,同時銀行 APP 大多委外開發,很少集中在少數廠商,不像是網頁瀏覽器只有幾家大廠,如微軟、Chrome 等,對於網路憑證的確認較謹慎。
〈鉅亨看世界〉
留言列表