Online-Banking: Weit verbreiteten Sicherheitslücken aufgedeckt

Vorsicht bei Online-Banker. Mehr als 75 Prozent der Bank Websites von einem Forschungsteam Befragten hatte mindestens einen Konstruktionsfehler, die Kunden Internetdiebe anfällig machen könnte.

Universität von Michigan Informatiker Atul Prakash und seine Studenten Laura Falk und Kevin Grenzen untersucht die Websites von 214 Finanzinstitute im Jahr 2006 und fand Designfehler, die, im Gegensatz zu Fehlern, mit einem Patch behoben werden können.

Die Sicherheitslücken ergeben sich aus den Fluss und das Layout dieser Web-Seiten nach ihrer Studie. Die Fehler umfassen Log-in-Boxen und Kontaktinformationen auf unsichere Webseiten sowie nicht halten Nutzer auf der Website, dass sie zunächst besucht. Prakash sagte einige Banken haben möglicherweise Schritte Unternehmen, um diese Probleme zu lösen, da diese Daten wurden gesammelt, aber insgesamt er noch viel Verbesserungsbedarf sieht.

"Zu unserer Überraschung, Konstruktionsfehler, die Sicherheit beeinträchtigen könnten waren weit verbreitet und enthalten einige der größten Banken des Landes," sagte Prakash. "Unser Fokus lag auf Benutzer, die versuchen, vorsichtig zu sein, aber leider einige Bank-Websites machen es schwer für Kunden, die richtige Sicherheitsentscheidungen zu treffen, wenn Sie online-Banking zu tun."

Computer eindringen steigt

Etwa 40 Prozent der Amerikaner nutzen das Internet für Bankgeschäfte, laut einer Umfrage von Februar 2008 von Pew Internet. Im Jahr 2011 wird 76 Prozent der Online-Haushalte bank online, laut Forrester Research.

Die Mängel lassen Risse in Sicherheit, die Hacker ausnutzen könnten, um Zugriff auf private Daten und Konten. Die FDIC sagt Computer eindringen, während relativ selten im Vergleich mit Wirtschaftskriminalität wie Hypothek Betrug und Check Betrug, ein wachsendes Problem für Banken und deren Kunden.

Eine aktuelle FDIC Technologie Incident Report, zusammengestellt aus verdächtige Aktivitäten Banken Datei vierteljährliche Berichte, Listen 536 Fälle von Computer eindringen, mit einem durchschnittlichen Verlust pro Vorfall von $30.000. Das summiert sich auf fast $ 16 Millionen Verluste im zweiten Quartal 2007. Gab es zweieinhalb Mal mehr Computer Einbrüche im zweiten Quartal 2007 im Vergleich zum ersten Quartal. In 80 Prozent der Fälle die Quelle des Einbruchs ist unbekannt, aber es kam während online-Banking, heißt es im Bericht.

Suchen Sie nach "Https" und andere Tipps

Die Konstruktionsfehler Prakash und sein Team suchten sind:

• -Sicheres Login-Boxen auf unsichere Seiten platzieren: satte 47 Prozent der Banken waren Schuld daran. Ein Hacker könnte in den Feldern eingegebene Daten umleiten oder erstellen Sie eine Spoof-Kopie der Seite, um Informationen zu ernten. In einer drahtlosen Situation ist es möglich, diesen Mann-in-the-Middle-Angriff durchführen, ohne Ändern der Bank-URL für den Benutzer selbst wachsam Kunde zum Opfer fallen könnte. Um dieses Problem zu lösen, sollten die Banken verwenden den Standard "secure Socket Layer" (SSL) Protokoll über die Seiten, die nach vertraulichen Informationen Fragen Prakash sagt. (Die Urls für die SSL-geschützten Seiten beginnen mit Https statt http). Die meisten Banken verwenden SSL-Technologie für einige ihrer Seiten, aber nur eine Minderheit aller Seiten sichern auf diese Weise.
• -Unsichere Seiten Kontakt Informationen und Sicherheit Beratung aufsetzen: bei 55 Prozent, das war der Fehler mit den Tätern. Ein Angreifer könnte eine Adresse oder Telefon-Nummer zu ändern und sein eigenes Call-Center eingerichtet, um private Daten von Kunden zu sammeln, die Hilfe brauchen.
• -Nach einer Verletzung in der Kette des Vertrauens: Wenn die Bank Kunden ausserhalb der Bank Domain für bestimmte Transaktionen ohne Vorwarnung leitet, er hat es versäumt, einen Kontext für gute Sicherheitsentscheidungen halten Prakash sagt. Er fand dieses Problem in 30 Prozent der befragten Banken. Die Lösung, Prakash sagt, soll Benutzer warnen, dass sie aus der Bank-Website, um eine neue vertrauenswürdige Website bewegt werden. Oder die Bank könnte Haus alle Seiten auf dem gleichen Server. Dieses Problem entsteht häufig, wenn Banken einige Sicherheitsfunktionen auszulagern.
• -Unzureichende Benutzer-IDs und Kennwörter zulassen: Forscher suchten nach Websites, die e-Mail-Adressen als Benutzer-Ids oder Sozialversicherungsnummern verwenden. Während diese Informationen Kunden leicht zu merken ist, ist es auch leicht zu erraten oder herausfinden. Forscher untersuchten auch für Websites, die keine Politik auf Passwörter angeben oder das schwache Passwörter erlaubt. 28 Prozent der Befragten-Standorte hatte eines dieser Mängel.
• -Per e-Mail vertrauliche Informationen unsicher: der E-mail-Daten-Pfad ist in der Regel nicht sichere, Prakash sagt, noch 31 Prozent der Bank-Websites hatten diese Fehler. Diese Banken angeboten, um e-Mail-Passwörter oder Aussagen. Im Falle von Aussagen waren nicht Benutzer oft gesagt, ob sie erhalten würden, eine Verbindung, die eigentliche Aussage oder eine Benachrichtigung, dass die Anweisung zur Verfügung stand. Eine Benachrichtigung ist kein Problem, aber per e-Mail ein Passwort, einen Link oder eine Erklärung, keine gute Idee, sagt Prakash.

Prakash, die keine spezielle Mittel für diese Forschung, initiierte das Studium nach Fehlern in seiner eigenen Finanzinstituten Websites zu bemerken. Er und seine Kollegen präsentieren ihre Ergebnisse am 25 Juli auf dem Symposium über nutzbare Privatsphäre und Sicherheit treffen der Carnegie Mellon University in Pittsburgh.

Eine Liste der befragten Banken finden Sie hier.

• Video: Der nächste Schritt, neue Technologien
• 10 Technologien, die Ihr Leben verändern wird
• Innovationen: Ideen und Technologien der Zukunft