根據(jù)ImmuniWeb的數(shù)據(jù)，幾乎所有大的100家銀行都容易遭受網(wǎng)絡(luò)和移動(dòng)攻擊，黑客可以訪問敏感數(shù)據(jù)。

“我們從利用增強(qiáng)的方法，以往的研究，涵蓋網(wǎng)絡(luò)和世界上很大的企業(yè)移動(dòng)應(yīng)用程序的安全性從FT全球500強(qiáng)排行榜” 報(bào)告說。“為了這項(xiàng)研究的目的，我們仔細(xì)研究了標(biāo)準(zhǔn)普爾全球列表的外部網(wǎng)絡(luò)應(yīng)用程序，API和移動(dòng)應(yīng)用程序，其中包含來自22個(gè)國家的全球很大的金融組織。”

根據(jù)調(diào)查結(jié)果，85個(gè)電子銀行Web應(yīng)用程序未通過GDPR合規(guī)性測試，49個(gè)未通過PCI DSS測試。報(bào)告稱，“只有三個(gè)主要網(wǎng)站(瑞士信貸銀行，丹麥銀行和Handelsbanken)的100個(gè)網(wǎng)站的SSL加密和網(wǎng)站安全等級(jí)很高”A +“。

“鑒于研究的非侵入性以及研究中所研究的頂級(jí)銀行可用的強(qiáng)大資源，調(diào)查結(jié)果敦促金融機(jī)構(gòu)修改其現(xiàn)有的應(yīng)用安全方法，”ImmuniWeb的首席執(zhí)行官兼創(chuàng)始人Ilia Kolochenko說。

“大多數(shù)數(shù)據(jù)泄露涉及或開始于不安全的網(wǎng)絡(luò)和移動(dòng)應(yīng)用程序，這些應(yīng)用程序過于頻繁地被未來的受害者優(yōu)先考慮。不幸的是，今天大多數(shù)網(wǎng)絡(luò)安全團(tuán)隊(duì)都承擔(dān)著履行合規(guī)和監(jiān)管要求的重任，這是首要任務(wù)，而且缺乏可用資源來解決其他重要任務(wù)。最終，它們成為網(wǎng)絡(luò)犯罪分子的低調(diào)成果。“

研究人員發(fā)現(xiàn)了針對(duì)金融機(jī)構(gòu)客戶的29項(xiàng)有效網(wǎng)絡(luò)釣魚活動(dòng)。“網(wǎng)絡(luò)釣魚網(wǎng)站要么傳播銀行惡意軟件，旨在竊取電子銀行憑據(jù)，要么提供旨在竊取受害者憑據(jù)的欺詐性登錄表單。大多數(shù)惡意網(wǎng)站都是在美國托管的，“報(bào)告說。

在相關(guān)新聞中，Proofpoint對(duì)16個(gè)行業(yè)的員工安全意識(shí)進(jìn)行了審計(jì)，結(jié)果發(fā)現(xiàn)每四個(gè)有關(guān)網(wǎng)絡(luò)釣魚的問題中就有一個(gè)被錯(cuò)誤地回答。然而，根據(jù)2019年的Beyond the Phish報(bào)告，金融業(yè)是表現(xiàn)很好的行業(yè)，最終用戶正確回答了所有問題的80%。

Proofpoint安全意識(shí)培訓(xùn)戰(zhàn)略和開發(fā)副總裁Amy Baker在一份新聞稿中說：“網(wǎng)絡(luò)犯罪分子是收集個(gè)人信息的專家，可以發(fā)起針對(duì)個(gè)人的高度針對(duì)性和令人信服的攻擊。”

“在建立強(qiáng)大的安全文化時(shí)，實(shí)施持續(xù)有效的安全意識(shí)培訓(xùn)是必要的基礎(chǔ)支柱。教育員工了解網(wǎng)絡(luò)安全優(yōu)秀實(shí)踐是讓用戶了解如何保護(hù)他們及其雇主數(shù)據(jù)的最佳方式，使最終用戶成為抵御網(wǎng)絡(luò)攻擊者的最后一道防線。

企業(yè)應(yīng)部署SSL證書。為了防止用戶誤入假冒網(wǎng)站/釣魚網(wǎng)站的陷阱，企業(yè)網(wǎng)站應(yīng)部署數(shù)安時(shí)代SSL證書或更高級(jí)別的EV SSL證書，將企業(yè)網(wǎng)站和釣魚網(wǎng)站區(qū)分開，網(wǎng)址欄展示HTTPS、安全鎖以及證書中的網(wǎng)站真實(shí)身份信息，讓用戶擁有足夠的信息判斷網(wǎng)站真實(shí)性，對(duì)比之下，假冒網(wǎng)站立顯原形。

企業(yè)應(yīng)為員工通訊郵箱部署電子郵件證書，為保護(hù)客戶的利益，維護(hù)客戶數(shù)據(jù)安全。郵件用戶使用GDCA郵件證書對(duì)電子郵件進(jìn)行數(shù)字簽名并加密傳輸，一方面可以保證郵件發(fā)送者身份真實(shí)性，另一方面保障了郵件傳輸過程中不被他人閱讀及篡改，并由郵件接收者進(jìn)行驗(yàn)證，確保電子郵件內(nèi)容的完整性。