[RESEARCH] SSL Certificate Grading of Banks in Hong Kong

Website of banks in Hong Kong have been tested for the SSL certificates.  The highest grade is DBS Bank (Hong Kong) 星展銀行(香港) and the lowest grade is China CITIC Bank International 中信銀行國際.  Meanwhile, China CITIC Bank International 中信銀行國際 has POODLE vulnerability.  All website of banks in Hong Kong are facing the risk of Man-In-The-Middle Attack even SSL certificate is implemented.

Read more ....

Samiux

http://www.bochk.com/tc/home.html
其他銀行係default HTTPS,手動打HTTP都會自動redirect去HTTPS
呢個係掉返轉,default HTTP,手動打HTTPS都會自動redirect去HTTP
之前仲有個咁樣既notification:

無力吐槽……
附件: 您需要登錄才可以下載或查看附件。沒有帳號?註冊

TOP

I wonder why no website of banks in Hong Kong bearing a Grade A+ SSL certificate even my personal site is grading A+.


原因是為了兼容更多 browser 而使用了比較弱的設定,例如 1024bit RSA,弱 cipher;或者舊 cert 未 expire 所以未能以強 CA cert 簽署新 cert。

TOP

DBS 我睇只係太家的risk baseline不同, 做到A 就收貨, 用黎過compliance姐, 做夠數就OK.

HSBC就一睇就知佢係正牌交功課過compliance啦(有經驗就會睇得出), 正牌頭痛醫頭, 腳痛醫腳, 早排興Poodle咪fix左個佢, Cipher suite 條chain唔靚仔又無Forward Secrecy? 關佢咩事先, 咦家有無incident出現過? RC4唔secure? 咁又實例先? priority 應該佢行先? 其實呢D只係太家risk management 唔同, 做完個research又可以証明到D咩呢

TOP

本帖最後由 samiux 於 2016-4-21 00:35 編輯

黑客入侵銀行帳戶 涉8宗股票交易逾600萬元
頭條日報    2016-04-20 19:46

金管局公布,接獲本地銀行通報有客戶電子銀行帳戶,遭黑客攻入,進行未經授權股票交易的個案。據悉,案件涉及滙豐及中銀香港8個網上銀行帳戶,交易金額逾600萬元,未授權交易是銀行於過去兩星期在定期監察電子銀行平台的過程中發現。

      金管局提醒公眾,留意銀行最近通報有關客戶電子銀行帳戶發現未經授權股票交易的個案。這些未經授權交易是銀行於過去兩星期,在定期監察電子銀行平台的過程中發現。當中並無發現任何經有關帳戶進行的未授權資金轉撥。將資金轉帳至未登記帳戶屬高風險交易,需要雙重認證。

      金管局相信公眾在使用電子銀行服務時,如能採取適當防範措施,有助避免發生此類騙案。這些防範措施包括:

      (一)設定難以猜破及與其他互聯網服務不同的電子銀行密碼;

      (二)安裝並及時更新保安軟件,以保護電腦及手提電話;

      (三)避免透過公用電腦或公共無線網絡登入電子銀行帳戶;及

      (四)不時查核電子銀行帳戶,並及時查閱銀行發出的提示訊息及結單。

      公眾如發現其帳戶曾錄得未經授權交易,應盡快通知其銀行,並向警方報案,或聯絡警方的網絡安全及科技罪案調查科(電話號碼:2860 5012)。

Source : http://hd.stheadline.com/news/realtime/hk/1062699/

>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>

I don't know this news is related to MITM attack that mentioned in my article or not, but it has happened.

Samiux

While you do not know attack, how can you know about defense? (未知攻,焉知防?)

TOP

提示: 作者被禁止或刪除 內容自動屏蔽

TOP

MITM attack? 駛乜咁麻煩,寄封假信用個假domain就得了。
騙徒手法層出不窮,HTTPS 幫唔到幾多嘅,比起“無知”。

TOP

d老屎忽網站eg政府同銀行,對舊版browser support要好,搞到d網站安全設定全部一舊舊,係咁上下

TOP

其實呢個網, 最高應仲有A+....姐係無人間銀行可以去到最高安全..

TOP