2019网银安全报告：54%网上银行存窃取资金漏洞

摘要：Positive Technologies的安全专家发布报告《网银应用中的漏洞问题》，评估了2018年网络银行的安全情况，结果发现54%的网银可导致攻击者窃取钱财。

Positive Technologies公司的安全专家发布报告《网银应用中的漏洞问题》，评估了2018年网络银行的安全情况，结果发现54%的网银可导致攻击者窃取钱财。除此之外，所有的网银均存在未授权访问个人数据等敏感信息的风险。

报告指出，多数网银包含严重漏洞。分析人员查看的所有系统中均存在如被利用则可造成严重后果的漏洞。例如，54%的应用中都可能导致欺诈交易和资金盗取情况的发生。

未授权访问客户信息和公司敏感信息的威胁如其他用户的账户余额或付款订单的情况存在于所有的网银中。在一些情况下，漏洞可被用于攻击银行的企业网络。仅需平均22美元就能获得网银用户的数据。

另外，数据显示，77%的网银的双因素认证机制中存在安全缺陷问题。某些网银在关键操作（如认证）中并未使用一次性密码，或者允许输入易被攻陷的老旧密码。专家认为这银行想要在安全性和易用性方面做出的平衡所致。但是，以易用性牺牲安全性可带来欺诈风险。如果不使用一次性密码则意味着攻击者无需访问受害者的智能手机，使用老旧密码意味着暴力攻击的几率大大提升，而如果没有限制，那么由四个代号组成的一次性密码可在2分钟之内遭破解。

网银中的漏洞类型

除了认证问题外，分析显示，供应商研发的现成可用的解决方案中的漏洞数量要比银行自己开发的解决方案少三倍。

而测试和生产系统中的漏洞数量持平。数据显示，在2018年，测试和生产系统中都包含至少一个严重漏洞。安全专家认为开发人员测试过一次安全系统后，倾向于匆忙进入生产系统推迟进一步的分析，从而导致漏洞“累积”起来。也就是说，不久缺陷的数量和首次测试中发现的数量就是一样的。

2018年的网络金融应用安全方面的积极趋势是高风险漏洞数量降低。安全研究人员表示，高风险漏洞的比例比2017年降低了一半多，从32%降低到15%。然而，网银的整体安全水平仍然较低。

完整报告见：https://www.ptsecurity.com/ww-en/analytics/vulnerabilities-rbo-2019/

https://www.ptsecurity.com/ww-en/about/news/attackers-can-access-personal-data-and-other-sensitive-information-in-every-online-bank/

◆来源：安全内参

◆本文版权归原作者所有，如有侵权请联系我们及时删除