Cacat Desain, Selain Kerentanan, Sakit Situs Perbankan

Situs Web Perbankan menderita cacat desain yang merongrong keamanan mereka, eksklusif kerentanan perangkat lunak, menurut penelitian Universitas Michigan yang akan dirilis Jumat.

Dari 214 situs yang disurvei pada 2006, lebih dari 75 persen memiliki setidaknya satu cacat desain yang dapat menyebabkan masalah keamanan, kata universitas. Aliran dan tata letak situs dapat membuat situs tersebut lebih berisiko, dan masalah tidak dapat diperbaiki dengan tambalan yang tidak seperti kerentanan perangkat lunak.

Beberapa temuan studi tersebut dirilis pada Selasa oleh universitas. Temuan lengkap akan dipresentasikan pada Simposium tentang Konferensi Privasi dan Keamanan Usb di Carnegie Mellon University di Pittsburgh.

[Bacaan lebih lanjut: Cara menghapus malware dari PC Windows Anda]

Penelitian ini dilakukan oleh Atul Prakash, seorang profesor di Jurusan Teknik Elektro dan Ilmu Komputer, dan dua mahasiswa doktoral, Laura Falk dan Kevin Borders. Prakash mulai menyelidiki setelah melihat masalah dengan situs Web banknya sendiri, kata universitas.

Meskipun penelitian ini dilakukan pada tahun 2006, banyak masalah masih mempengaruhi situs keuangan. Salah satu masalah utamanya adalah penggunaan teknologi enkripsi SSL (Secure Sockets Layer) di halaman Web.

Studi ini menemukan bahwa 47 persen bank tidak menggunakan SSL pada halaman login, yang dapat membuka pintu bagi peretas untuk data reroute ke PC mereka sendiri. Tidak menggunakan SSL juga membuatnya lebih mudah untuk serangan man-in-the-middle, di mana data korban melewati PC penyerang sebelum dialihkan ke server bank.

Masalah pervasif lain yang mempengaruhi 55 persen institusi menempatkan informasi kontak dan saran keamanan pada halaman yang tidak aman. Seorang hacker bisa membobol masuk ke situs Web dan mengubah nomor telepon layanan pelanggan untuk mengarahkan pelanggan perbankan ke pusat panggilan fiktif. Sekali lagi, SSL adalah obatnya.

Para peneliti menemukan 30 persen dari situs akan mengarahkan pengguna ke situs web lain, yang dapat menipu bagaimana seseorang seharusnya mengevaluasi risiko, kata studi tersebut.

Karena situs bank dipercaya, situs yang terhubung dengan kemungkinan tidak akan dianggap sebagai risiko keamanan bahkan jika itu mungkin. Bank harus meletakkan semua halaman Web mereka di server yang sama, tetapi beberapa memiliki fitur keamanan yang di-outsource yang di-host di domain lain.

ID pengguna dan kata sandi yang lemah terus merepotkan, dengan 28 persen bank tidak memiliki panduan kata sandi atau mengizinkan lemah satu. Lembaga juga akan mengirim kata sandi atau pernyataan melalui surel, yang juga berisiko, kata penelitian tersebut.