Rapor, İnternet Bankacılığı Güvenliğindeki Zayıflıkları Tespit Ediyor
Bir tüketici hakları grubuna göre, bazı Birleşik Krallık bankaları, zayıf kimlik doğrulama ve web güvenliği sorunlarıyla müşterilerini hayal kırıklığına uğratıyor.
Hangi? 15 cari hesap sağlayıcısının “ön uç” güvenliğini değerlendirmek için bir kez daha bağımsız güvenlik danışmanları 6point6 ile bir araya geldi. Dört kritere baktı: Şifreleme ve koruma, oturum açma, hesap yönetimi ve gezinme.
Rapor, tüm borç verenlerin Avrupa bankacılık düzenlemelerinde belirtilen güçlü müşteri kimlik doğrulama (SCA) kurallarına uymasına rağmen, bazılarının müşterilerini SIM değiştirme saldırılarına maruz bıraktığını tespit etti.
Bunun nedeni, bilgisayar korsanlarının kurbanın şebeke operatörünü cep telefonu numarasını saldırganın kontrolü altındaki bir SIM'e aktarması için kandırdıkları takdirde araya girebilecekleri SMS kullanarak iki faktörlü kontroller kullanmalarıdır.
Lloyds, Metro, Nationwide, TSB, Santander ve The Co-operative Bank, bunun için yapılan testlerde puan kaybetti, ancak son ikisi "SMS'den uzaklaşmak istediklerini" iddia etseler de, hangisi?
Rapor ayrıca güvenli olmayan parolalarla ilgili sorunları da vurguladı.
“Triodos'un müşterilerin 'parola', '1234567' ve 'yönetici' dahil olmak üzere güvenli olmayan güvenlik kelimeleri belirlemesine izin verdiğini öğrenince şok olduk. Risk, giriş sırasında (fiziksel 'Digipass' cihazını kullanarak) iki faktörlü bir kimlik doğrulama ile azaltılır, ancak bir bankanın bu kadar zayıf kimlik bilgilerine izin vermesi için hiçbir mazeret yoktur ”dedi.
“Altı banka (HSBC, NatWest, Santander, Starling, The Cooperative Bank ve Virgin Money), adınızı ve/veya soyadınızı içeren parolaları seçmenize izin verir. Santander bize bunun aşamalı olarak kaldırıldığını söyledi ve NatWest ve Virgin Money, araştırmamızın ardından şifre sınırlamalarını artırabileceklerini söyledi."
Virgin Money, araştırmacıların ek güvenlik adımları olmadan yeni bir alacaklı oluşturmasına izin verdiği için de seçildi.
Rapor ayrıca, potansiyel olarak tehlikeye atılabilecek savunmasız alt alan adlarına sahip üç bankayı ve kullanıcıların her seferinde oturum açmasını gerektirmeyen bir bankacılık uygulamasını da ortaya çıkardı.
Genel olarak, HSBC çevrimiçi bankacılık güvenlik testlerinde %81 puanla birinci sırada yer aldı ve First Direct, mobil bankacılık güvenliğinde %77 puanla ilk sırada yer aldı.
Kaynak: https://www.infosecurity-magazine.com/news/report-identifies-weak-online/
Siber dünyadaki gelişmelerden haberdar olmak ve haftalık haber bültenine ulaşmak için e-posta listesine kaydolun.
Haber bültenine kaydolduğunuz için teşekkürler!
Something went wrong.
