安全测试机构ImmuniWeb日前发布了一项全球大型金融机构安全评测报告。报告指出，就应用程序安全性、隐私保护和合规性而言，这些大型金融机构的安全状况令人担忧。全球97%的大型金融机构容易受到网络和移动攻击，在SSL加密和网站安全方面仅有三家机构获得A+的评价。

这三家机构分别为瑞士信贷（Credit Suisse）、丹麦丹斯克银行（Danske Bank）和瑞典Handelsbanken银行。ImmuniWeb在这三家金融机构的主要网站上没有发现任何漏洞或配置错误。此外，还有五家金融机构因“发现存在可被利用的公开安全漏洞”而未能通过检测。
据悉，在ImmuniWeb进行的评测中，共有40家机构的评价结果为A，20家机构为B，还有31家机构被评为C。A表示被发现的安全问题“微不足道”或“略显不足”；B意味着发现一些小问题或者未发现足够的安全强化问题；而C则表示网站上有安全漏洞或数个严重的错误配置。
在电子银行方面，获得A+评价的机构略多一些，达到15家；A为27家；B为13家；C为40家。另外还有7家机构获得F评价，代表被发现存在可利用的公开安全漏洞。
就主网站的SSL/TLS加密安全等级而言，获得A+评价的金融机构有所提高，但也有未能通过检测的机构。其中，共有25家金融机构获得A+评价，A为54家；B为7家；仅有一家金融机构获得C评价，但也有13家金融机构没有采用加密，或者被发现存在可利用的安全漏洞而未能通过检测。电子银行网络应用程序的SSL/TLS加密总体表现要好一些，共有29家金融机构获得最高的A+评价，仅有两家金融机构未能通过检测。
另外，只有39家金融机构通过《通用数据保护条例》（GDPR）主站合规性测试，共有2081个子域名未通过测试。电子银行网站通过GDPR合规性测试的仅有17家机构。
Immuniweb透露，每个网站平均包含两个不同的web软件组件，JS库、框架或其他第三方代码。多达29个网站包含至少一个公开披露的中等或高风险的未修补安全漏洞。在研究过程中检测到的最原始的未打补丁的漏洞是jQuery 1.6.1版本中的CVE-2011-4969，这个漏洞最早在2011年被发现。ImmuniWeb表示，最常见的网站漏洞是XSS（跨站点脚本，OWASP A7）、敏感数据暴露（OWASP A3）和安全错误配置（OWASP A6）。
此外，过期组件在二级域名更加糟糕：81%的二级域名含有过期组件，2%的二级域名存在已被公开披露并且可被利用的中、高风险漏洞。
ImmuniWeb表示，该机构所调查的银行都存在安全漏洞或与被弃用的二级域名相关的问题。
该机构还对网络钓鱼攻击进行检测，研究发现在29起活跃的网络钓鱼活动中，大多数恶意网站都在美国托管，其中美国银行的客户受到的攻击次数最高，达到8次，富国银行和摩根大通次之，分别为7次和3次。在检测中，摩根大通总共有受到227次网络钓鱼攻击。
调查还拓展到移动银行应用程序，ImmuniWeb表示，有55家银行允许访问敏感的银行数据。这些移动应用程序总共与298个后端API进行通信，以便从各自的银行发送或接收数据。
Immuniweb直言这些发现“令人相当担忧”。报告指出所有的移动银行应用程序至少包含一个低风险安全漏洞，92%移动银行应用程序至少包含一个中等风险安全漏洞，还有20%包含至少一个高风险漏洞。
Immuniweb首席执行官兼创始人伊利亚·科洛琴科（Ilia Kolochenko）最后表示，考虑到研究方法不具有侵入性，以及银行机构可利用重要财政资源，研究结果表明金融机构有必要迅速修订并加强其现有的应用程序安全方法。