您现在的位置:ITGov-IT治理研究中心>> 研究>> 信息安全管理>>正文内容
网上银行漏洞多
发布时间:2008年07月25日点击数: 作者:姜汉忠 来源:新浪博客
【字体: 收藏 打印文章 查看评论( 0 )】
摘要:
美国《每日科学》网站报道,美国密执安大学的一项研究发现,被调查的银行网站中,有超过百分之七十五的至少存在一个设计上的缺陷,这种缺陷使得用户对网络窃贼盗取他们的身份卡以及钱财难以防范。美国密执安大学的电子工程与计算科学系的教授阿图尔·普拉卡什与博士生劳拉·佛尔克和柯文·博德斯在二○○六年调查了二百一十四个金融机构的网站。明天他们将在卡内基·梅隆大学召开的一个实用隐私和安全研讨会上首次发表他们的研究成果。

    报道说,这些缺陷并不是可以修补的漏洞。根据这项研究,他们产生于这些网站的运行和设计。这些缺陷包括将登录框以及联系信息放在不安全的页面上,不能让用户从始至终访问一个网站。普拉卡什说,有些银行开始收集信息,采取步骤解决这些问题,但是,总地来说,还有很大的改进余地。普拉卡什说,“让我们惊奇的是,危及安全的那些设计缺陷广泛存在,包括美国的一些最大的银行。我们要求用户仔细,遗憾的是,用户在进行网上交易的时候,某些银行的网站很难让其就是否安全作出判断。黑客利用这些缺陷留下的漏洞获取个人的信息和账户。美国联邦储蓄保险公司.说,跟抵押诈骗、支票诈骗相比,计算机入侵相对来说要少得多。尽管如此,计算机入侵对银行和用户来说已经成了越来越大的问题。美国联邦储蓄保险公司最近发表了技术事故报告,列举了五百三十六例计算机入侵案件,每个案件平均损失三万美元。二○○七年的第一个季度总共损失一千六百万美元。计算机入侵在二○○七年的第一季度和第二季度之间增加了百分之一百五十。在这些入侵案件中,百分之八十虽然来源不明,但是却都发生在网上交易过程中。最常见的网站缺陷包括:

     第一,将登录对话框放在不安全网页上。百分之四十七的银行网站有这个问题。黑客重新搭建路径以进入存有信息的登录对话框或者以骗人的把戏复制网页,从而盗取信息。如果是无线上网,完全可以进行中间人工攻击而不需要改编银行提供给用户的链接,这样一来无论多有警惕性的用户都可能成为受害者。若要解决这个问题,银行应该使用标准且需要敏感信息的安全套接层协议。多数银行的网站在某些网页上使用安全套接层协议,但是只有少数银行以这种方式确保其所有网页安全。

    第二,将联系信息和安全警示信息放在不安全网页上。有百分之五十五的网页存在这种最受攻击的缺陷。黑客可以改变地址或者电话号码,建立自己的呼叫中心以便从需要帮助的用户那里收集私人信息。普拉卡什说,银行好像也不太注意在其他地方很容易获取的信息。可是用户认为,放在银行网站上的信息是正确的。采用安全套接层协议制作网页就可以解决这个问题。

    第三,允许信任链存在缺口。普拉卡什说,银行网站将链接指向银行域名以外的网站进行某种交易而时没有任何交代,好让用户对安全问题作出明智的判断。他发现他们所调查的银行网站中有百分之三十有这个问题。网站界面改变,链接也会改变,用户很难知道是否应该相信这个新网站。普拉卡什说,这个解决方案就是要告诉用户,他们要离开银行的网站进入一个新的可信赖的网站。银行也可以将所有的网站放在一个服务器上。银行在使用某些外来网站的安全功能时,很容易出现这类问题。

    第四,允许使用不合格用户名和密码。研究人员调查了一些网站,发现有的用户使用社会保险号码或者电子邮件地址作为自己的身份卡,因为这类信息容易让用户记住,可是也很容易被人猜到或者发现。研究人员还发现某些网站并没有对密码设置作出什么规定或者允许使用低密级的密码。百分之二十八的网站有这种缺陷中的一个。

    第五,过电子邮件方式传送数据不安全。普拉卡什说,电子邮件传送数据的路径一般来讲很不安全,然而还是有百分之三十一的银行网站有这个缺陷。这些银行向用户提供电子邮件密码或者结算单。如果是结算单,也常常不告知用户是否应该接收链接、真正的结算单或者可以提供结算单的通知。发一个通知没有问题,但是通过邮件发送密码、链接或者结算单就不行了。

分享到:
点击按钮自动加关注代码——新浪微博 点击这里给我发消息
相关文章
推荐文章
订阅
  关于ITGov | 联系ITGov | 收藏本站 | 服务条款 | 隐私保护 | 人员招聘 | 网站地图

京ICP备06004481号   Copyright 2002 - By ITGov.org.cn, All Rights Reserved

 

我要啦免费统计