這三家機(jī)構(gòu)分別為瑞士信貸（Credit Suisse）、丹麥丹斯克銀行（Danske Bank）和瑞典Handelsbanken銀行。ImmuniWeb在這三家金融機(jī)構(gòu)的主要網(wǎng)站上沒有發(fā)現(xiàn)任何漏洞或配置錯(cuò)誤。此外，還有五家金融機(jī)構(gòu)因“發(fā)現(xiàn)存在可被利用的公開安全漏洞”而未能通過。

據(jù)悉，在ImmuniWeb進(jìn)行的評(píng)測(cè)中，共有40家機(jī)構(gòu)的評(píng)價(jià)結(jié)果為A，20家機(jī)構(gòu)為B，還有31家機(jī)構(gòu)被評(píng)為C。A表示被發(fā)現(xiàn)的安全問題“微不足道”或“略顯不足”；B意味著發(fā)現(xiàn)一些小問題或者未發(fā)現(xiàn)足夠的安全強(qiáng)化問題；而C則表示網(wǎng)站上有安全漏洞或數(shù)個(gè)嚴(yán)重的錯(cuò)誤配置。

在電子銀行方面，獲得A+評(píng)價(jià)的機(jī)構(gòu)略多一些，達(dá)到15家；A為27家；B為13家；C為40家。另外還有7家機(jī)構(gòu)獲得F評(píng)價(jià)，代表被發(fā)現(xiàn)存在可利用的公開安全漏洞。

就主網(wǎng)站的SSL/TLS加密安全等級(jí)而言，獲得A+評(píng)價(jià)的金融機(jī)構(gòu)有所提高，但也有未能通過檢測(cè)的機(jī)構(gòu)。其中，共有25家金融機(jī)構(gòu)獲得A+評(píng)價(jià)，A為54家；B為7家；僅有一家金融機(jī)構(gòu)獲得C評(píng)價(jià)，但也有13家金融機(jī)構(gòu)沒有采用加密，或者被發(fā)現(xiàn)存在可利用的安全漏洞而未能通過檢測(cè)。電子銀行網(wǎng)絡(luò)應(yīng)用程序的SSL/TLS加密總體表現(xiàn)要好一些，共有29家金融機(jī)構(gòu)獲得最高的A+評(píng)價(jià)，僅有兩家金融機(jī)構(gòu)未能通過檢測(cè)。

另外，只有39家金融機(jī)構(gòu)通過《通用數(shù)據(jù)保護(hù)條例》（GDPR）主站合規(guī)性測(cè)試，共有2081個(gè)子域名未通過測(cè)試。電子銀行網(wǎng)站通過GDPR合規(guī)性測(cè)試的僅有17家機(jī)構(gòu)。

Immuniweb透露，每個(gè)網(wǎng)站平均包含兩個(gè)不同的web軟件組件，JS庫、框架或其他第三方代碼。多達(dá)29個(gè)網(wǎng)站包含至少一個(gè)公開披露的中等或高風(fēng)險(xiǎn)的未修補(bǔ)安全漏洞。在研究過程中檢測(cè)到的最原始的未打補(bǔ)丁的漏洞是jQuery 1.6.1版本中的CVE-2011-4969，這個(gè)漏洞最早在2011年被發(fā)現(xiàn)。ImmuniWeb表示，最常見的網(wǎng)站漏洞是XSS（跨站點(diǎn)腳本，OWASP A7）、敏感數(shù)據(jù)暴露（OWASP A3）和安全錯(cuò)誤配置（OWASP A6）。

此外，過期組件在二級(jí)域名更加糟糕：81%的二級(jí)域名含有過期組件，2%的二級(jí)域名存在已被公開披露并且可被利用的中、高風(fēng)險(xiǎn)漏洞。

ImmuniWeb表示，該機(jī)構(gòu)所調(diào)查的銀行都存在安全漏洞或與被棄用的二級(jí)域名相關(guān)的問題。

該機(jī)構(gòu)還對(duì)網(wǎng)絡(luò)釣魚攻擊進(jìn)行檢測(cè)，研究發(fā)現(xiàn)在29起活躍的網(wǎng)絡(luò)釣魚活動(dòng)中，大多數(shù)惡意網(wǎng)站都在美國托管，其中美國銀行的客戶受到的攻擊次數(shù)最高，達(dá)到8次，富國銀行和摩根大通次之，分別為7次和3次。在檢測(cè)中，摩根大通總共有受到227次網(wǎng)絡(luò)釣魚攻擊。

調(diào)查還拓展到移動(dòng)銀行應(yīng)用程序，ImmuniWeb表示，有55家銀行允許訪問敏感的銀行數(shù)據(jù)。這些移動(dòng)應(yīng)用程序總共與298個(gè)后端API進(jìn)行通信，以便從各自的銀行發(fā)送或接收數(shù)據(jù)。