Santander z góry zastrzega jednak, że nie bądą one prowadzić do strony logowania na rachunki
Santander poinformował dzisiaj, że niebawem w SMS-ach i mailach wysyłanych do klientów będzie umieszczał aktywne linki. Instytucja zapewnia, że zawsze będą one przenosić bezpośrednio z wiadomości na jej stronę internetową. Bank utrzymuje też, że w ten sposób ułatwi i przyspieszy dostarczanie informacji. I chociaż tłumaczy, w jaki sposób będzie wysyłać linki oraz jak ustrzec się zagrożeń, pozostaje pytanie o bezpieczeństwo takich rozwiązań.
Instytucja w krótkim komunikacie wyjaśnia, że maile zawsze będzie wysyłać z domeny santander.pl lub santanderbankpolska.pl. Z kolei SMS-y będą pochodzić z bramki z nadpisem SAN_PL. Bank zaznacza, że nigdy nie poprosi adresatów komunikatów o podanie hasła, danych do logowania czy danych kart płatniczych. Nie zamieści też linków do stron, na których takie dane trzeba wpisać. Santander nie będzie stosował linków w formie skróconej, nie ukryje ich też pod słowami kluczowymi.
Wydaje się, że bank klarownie wyjaśnia, w jaki sposób będzie przesyłał linki, zaznacza także, że w razie wątpliwości klient powinien skontaktować się z jego infolinią, by wykluczyć ewentualne próby oszustwa. Pojawia się jednak pytanie o cel tych zmian i ich ewentualne konsekwencje – przestępcy prędzej czy później spróbują zrobić użytek z faktu wdrożenia tych nowości. O komentarz w tej sprawie, cel zmian i ewentualne przeciwdziałanie atakom poprosiłem biuro prasowe Santandera. Zaktualizuję tekst, gdy tylko otrzymam odpowiedź.
W serwisie cashless.pl mogliście wielokrotnie przeczytać o atakach phishingowych, w których przestępcy wykorzystują nieuwagę klientów. Złodzieje załączają w swoich szeroko dystrybuowanych wiadomościach linki do fałszywych stron logowania na rachunki. Klienci, logując się na nich, tracą kontrolę nad swoimi finansami. Stąd większość banków zastrzega, że nigdy nie prosi o podawanie loginów i haseł na stronach podlinkowanych do wiadomości e-mail lub SMS.
Wyjątkiem jest tu Citi Handlowy, który taką praktykę stosuje i wielokrotnie był za to krytykowany, a stosowane przez niego procedury utrudniają klientom obronę przed phishingiem. W maju ubiegłego roku bank opublikował ostrzeżenie przed oszustami podszywającymi się pod tę instytucję. Przestępcy rozsyłali fałszywe maile, w których informowali o nowym sposobie logowania na konto klienta czy uaktualnieniu kontroli bezpieczeństwa. Odbiorca był zachęcany do kliknięcia w link, a ten prowadził do strony, która mogła spowodować przechwycenie danych osobowych oraz tych do logowania w bankowości elektronicznej.
AKTUALIZACJA
Po publikacji artykułu otrzymałem komentarz z Santandera, przygotowany przez Ireneusza Tarnowskiego z departamentu cyberbezpieczeństwa tej instytucji.
"Analiza zagrożeń pokazała nam, że możemy wprowadzić taką zmianę. Uznaliśmy, iż zasadniczo nie wpłynie to na działania przestępców, którzy obecnie śmiało wysyłają korespondencję z linkami, podszywają się pod różne instytucje i firmy. Natomiast my chcemy pokazywać pewne zasady, że linki z banku mogą być bezpieczne, jak również edukować w tym zakresie. Pokazaliśmy reguły – jak takie linki powinny być skonstruowane. Chcemy pokazywać klientom, na co uważać (np. skrócone linki, których nie będziemy wysyłać) i nauczyć ich, jak wygląda komunikacja z banku, jak takie linki są wysyłane. Co najważniejsze, i o tym jasno będziemy mówić, linki z banku mają tylko charakter informacyjny – a to znaczy, że nigdy nie będą prowadzić do serwisów wymagających logowania i podawania wrażliwych danych".