据ImmuniWeb称,几乎所有100大银行都容易受到允许黑客访问敏感数据的网络和移动攻击。报告称:“我们利用了之前针对英国《金融时报》全球500强名单中全球最大企业的网络和移动应用程序安全研究的增强方法。”“出于这项研究的目的,我们仔细研究了标准普尔全球名单的外部网络应用程序、API和移动应用程序,其中包含来自22个国家/地区的全球最大金融机构。”根据调查结果,85个电子银行Web应用程序未通过GDPR合规性测试,49个未通过PCIDSS测试。“三大网站(瑞士信贷、丹麦银行和德国商业银行)中只有100个在SSL加密和网站安全方面获得了高等级的‘A+’,”报告称。ImmuniWeb首席执行官兼创始人IliaKolochenko表示:“鉴于这项研究的非侵入性性质以及顶级银行可用的强大资源,研究结果促使金融机构修改其现有的应用程序安全方法。”“大多数数据泄露涉及或始于不安全的网络和移动应用程序,这些程序往往被潜在的受害者优先考虑。不幸的是,当今大多数网络安全团队都将满足合规性和监管要求作为首要任务,并且缺乏可用资源来解决其他重要任务。最终,它们是网络犯罪分子的低调工作。“研究人员确定了29个针对金融机构客户的活跃网络钓鱼活动。”网络钓鱼站点要么??提供旨在窃取电子银行凭证的银行恶意软件,要么提供旨在窃取受害者的凭据。大多数恶意网站都托管在美国,”报告称。在相关新闻中,Proofpoint对16个行业的员工安全意识进行的审计发现,有四分之一的关于网络钓鱼的问题回答错误。然而,根据2019BeyondthePhish报告,金融行业是表现非常好的行业,最终用户正确回答了所有问题的80%。Proofpoint安全意识培训战略和开发副总裁AmyBaker在一份新闻稿中表示:“网络犯罪分子是收集个人信息以对个人发起高度针对性和令人信服的攻击的专家。“在建立强大的安全文化时,实施持续有效的安全意识培训是必要的基础支柱。对员工进行网络安全最佳实践教育是教育用户如何保护其及其雇主数据的最佳方式,使最终用户成为最后一道防线防御网络攻击,企业应部署SSL证书为了防止用户掉入虚假网站或钓鱼网站的陷阱,企业网站应部署数字安全时代SSL证书或更高级别的EVSSL证书,以区分企业网站与钓鱼网站,网址栏显示HTTPS,安全锁,以及网站的真实身份信息,让用户有足够的信息判断网站的真实性,相比之下,假冒网站立马原形毕露,企业应部署员工通讯邮箱邮箱证书,保障客户利益维护客户数据安全。邮件用户使用GDCA邮件证书对邮件进行数字签名和加密传输。一方面可以保证邮件发件人身份的真实性,另一方面可以保证邮件在传输过程中不被他人读取和篡改,并通过邮件验证接收者。,以确保电子邮件内容的完整性。
