4 lutego 2021

Bank nigdy nie poprosi o login, hasło i nigdy sam nie wyśle żadnego linka? To już nieaktualne. „Dostaliśmy od banku dziwną wiadomość” – piszą klienci. Bankowcy przesadzili?

Bank nigdy nie poprosi o login, hasło i nigdy sam nie wyśle żadnego linka? To już nieaktualne. „Dostaliśmy od banku dziwną wiadomość” – piszą klienci. Bankowcy przesadzili?

Bank nigdy nie poprosi o login, hasło, przekazanie treści SMS-a autoryzacyjnego, ani nie będzie prosił, żebyśmy się gdzieś zalogowali – to przez lata była jedna z najważniejszych rekomendacji dotyczących bezpieczeństwa naszych pieniędzy w sieci. Niestety, ta prawda częściowo się dezaktualizuje. „Mój bank zapowiedział, że będzie mi wysyłał linki przez SMS-a oraz e-maila. Jaką będę miał pewność, że to nie złodzieje, którzy podszywają się pod bank?” – pytają klienci. No właśnie, czy to nie jest strzał bankowców we własne kolano? Czy taki sposób komunikacji z klientami nie znieczuli tych klientów na zakusy złodziei?

Bankowość mobilna to coraz popularniejsze narzędzie w rękach klientów banków. Bankowcy uwielbiają klientów, którzy korzystają ze smartfona przy korzystaniu z usług finansowych i to z dwóch względów. Po pierwsze dlatego, że taki klient potrafi obsłużyć się sam, a więc nie zaludnia placówek, ani nie zagęszcza infolinii (jeśli czegoś potrzebuje, to zadaje pytanie na czacie). Po drugie dlatego, że można go geolokalizować i proponować mu różne rzeczy bezpośrednio przez smartfona.

Zobacz również:

Gdy bank chce być z nami w „taczu”. Najwygodniej przez smartfona

Jeśli bankowcy potrafią to robić dobrze, to będąc przed sklepem, w którym często robimy zakupy możemy otrzymać powiadomienie push o tym, że właśnie czeka na nas oferta pożyczki, albo rabat od banku, o ile zapłacimy za zakupy właśnie jego kartą. Jest i trzecia zaleta używania przez klienta smartfona i aplikacji mobilnej. To możliwość wykorzystania tej aplikacji jako dodatkowego sposobu autoryzacji transakcji w internecie.

Czytaj też: Ukradli jej pieniądze z karty. Przeprowadziła prywatne śledztwo, ustaliła dane złodzieja, podała je na złotej tacy policjantom. I co? Nie uwierzycie

Płacąc kartą dostaniemy ze sklepu internetowego prośbę o potwierdzenie chęci zapłacenia za zakupy poprzez kliknięcie jakiegoś przycisku w aplikacji mobilnej. I dzięki temu jesteśmy bezpieczniejsi. Nawet jeśli ktoś ma dane pozwalające mu robić zakupy internetowe na nasz rachunek, to tej przeszkody nie pokona.

Są i minusy. Klient korzystający z banku przez smartfona – tak samo zresztą, jak ten, który używa bankowości elektronicznej – jest narażony na phishing, czyli na próbę wyłudzenia danych umożliwiających dostęp do banku oraz zatwierdzających transakcje.

Dlatego banki uczulają: nigdy nie prosimy klientów drogą SMS-ową o logowanie się do bankowości elektronicznej. Jeśli ktoś Wam podeśle link do logowania się do banku, to będzie to przestępca. Jeśli chcesz się zalogować do banku, to wpisuj „z ręki” adres strony albo biometrycznie zautoryzuj się w aplikacji mobilnej w smartfonie.

Czytaj też: „Halo? Dzwonię z banku. Proszę podać datę urodzenia”. Skąd wiedzieć, że to nie złodziej?

Bank informuje: „Będziemy wam przesyłać aktywne linki. Ale uważajcie”

Ale w tej strategii pojawiają się coraz częściej wyłomy. Santander Bank ostatnio poinformował swoich klientów, że będzie im przesyłał SMS-y i e-maile z aktywnymi linkami do oferty.

„Wprowadzamy zmiany dotyczące wysyłania przez nas linków w SMS-ach i e-mailach. Już wkrótce będziemy wysyłać aktywne linki, które będą kierować na stronę naszego banku. Poniżej piszemy jak będziemy to robić i na co zwrócić uwagę, gdy otrzyma Pani od nas taki link. Prosimy, by zapoznała się Pani z informacjami, które zamieszczamy w tej korespondencji – dotyczą one Pani bezpieczeństwa”

Kilkoro z czytelników „Subiektywnie o finansach” się tym faktem zbulwersowało: „jak to, bank przyzwyczaja klientów do otwierania linków?”. Inni denerwują się, że gdyby bankowi rzeczywiście zależało na bezpieczeństwie, to by w ogóle nie wysyłał takich informacji, zamiast prosić czytelników, żeby dla własnego bezpieczeństwa przeczytali o linkach.

Fakt, w czasach, w których podszycie się pod bank – zarówno poprzez e-mail, jak i przez SMS – nie stanowi najmniejszego problemu, sytuacja klienta otrzymującego elektroniczny komunikat z banku jest nieco dziwna. Nie może mieć absolutnej pewności, że pisze do niego bank. A co za tym idzie: nie może też mieć pewności, że link, do którego kliknięcia zaprasza bank, jest bezpieczny.

Czytaj więcej o tym: Wyjątkowo podstępny phishing. E-mail wysłany z… prawdziwego adresu banku! Jak to możliwe?

Czytaj również: Stały kontrahent, faktura taka, jak zwykle, adres e-mail się zgadza i… 122.000 zł wysłane do złodzieja. Nieprawdopodobna historia, która niestety zdarzyła się naprawdę

Czytaj też: Dzięki temu trikowi złodzieje ukradli nam już co najmniej 260 mln zł

Ale największe zagrożenie wiąże się z „rozhermetyzowaniem” świadomości klienta, który do tej pory miał od banku prosty komunikat: „nie wysyłamy do ciebie żadnych linków”, a teraz już będzie żył w przekonaniu, że bank może czasem poprosić o kliknięcie linka. A więc będzie mniej ostrożny.

Santander tłumaczy klientom, że jego aktywne linki będą służyły temu, żeby przenieść się bezpośrednio z wiadomości SMS lub e-maila na stronę banki i dzięki temu szybciej i wygodniej dotrzeć do informacji, którą bank chce przekazać.

„Nie będziemy prosić o podanie hasła, danych do logowania czy danych kart płatniczych, ani nie zamieścimy linków do stron, na których takie dane trzeba wpisać. Link nie będzie ukryty pod słowami kluczowymi (hiperłączem). Jeśli otrzymany SMS lub e-mail budziłby jakiekolwiek wątpliwości prosimy o kontakt z nami pod nr 1 9999”

A zatem bank będzie wysyłał linki pokazując ich treść: czyli będzie widać, że są to linki prowadzące na strony Santandera, a nie jakieś inne. Tym niemniej oczywiście można się zastanawiać, czy owocem tej „innowacji” nie będzie większa podatność klientów na komunikaty wysyłane przez internetowych złodziei, którzy spróbują podszyć się pod bank i wysłać klientom swoje linki. Nie będą pod nimi ukryte żadne wiadomości z Santandera, tylko np. wirusy albo fałszywe strony logowania.

Linki z wirusem, czyli w co nie klikać w internecie?

Nad całą sytuacją ciąży odwieczne pytanie: czy klienci są wystarczająco świadomi i ostrożni, by proponowane przez bank zdalne sposoby komunikacji nie stały się wrotami do kradzieży pieniędzy przez internet.

Cóż, nawet gdyby Santander nie zdecydował się na wysyłanie klientom linków do swoich ofert, to przecież i tak spływałyby do nich próby phishingu. Ostatnio nie ma dnia, żeby któryś z moich znajomych na Facebooku nie prosił mnie o kliknięcie jakiegoś linku (np. do konkursu) – oczywiście to nie on prosi, tylko złodziej, który włamał się na facebookowe konto znajomego i liczy, że się nabiorę na kliknięcie linku.

Żaden złodziej nie wyrządzi nam większych szkód, jeśli do autoryzowania przelewów używamy smartfona i aplikacji mobilnej banku. Nawet jeśli ktoś pozna nasz login i hasło, nawet jeśli dowie się jaki mamy numer telefonu do kontaktu z bankiem (i na jaki numer przychodzą SMS-y z banku), nawet jeśli jakimś cudem „wstrzyknie” nam do tego smartfona wirusa (np. pod pozorem jakiejś trefnej aktualizacji gry), to i tak każdy przelew musimy wówczas potwierdzić PIN-em do aplikacji mobilnej albo odciskiem palca.

Zachęcam więc do aktywowania takiego właśnie sposobu autoryzacji przelewów internetowych – za pomocą aplikacji mobilnej banku. A także informuję, że jedna z moich rad, dotyczących sposobów ochrony pieniędzy przed złodziejami, mówiąca, iż „bank nigdy nie poprosi o żaden PIN, login, ani hasło i nigdy nie prześle linku do logowania”, się zdezaktualizowała.

Czytaj też: Pan Krzysztof, złodzieje pieniędzy i częściowo podmieniona tożsamość. Weryfikacja kredytobiorców w Polsce nie działa prawidłowo

—————————-

Posłuchaj najnowszego odcinka podcastu „Finansowe sensacje tygodnia”

W tym odcinku podcastu „Finansowe sensacje tygodnia” o hiperwyprzedażach w otwartych galeriach handlowych (oraz czy to dobrze, że zostały otwarte), o tym co najbardziej wkurza nas w pandemii, o możliwym ograniczeniu ulg na fotowoltaikę, o tym jak banki doją drobnych przedsiębiorców i o tym jak drobni inwestorzy wydoili wielkie fundusze. A na koniec o tym dlaczego pociągi się spóźniają, choć tory zostały zmodernizowane.
Podcast jest do posłuchania pod tym linkiem, a także na Spotify, Google Podcasts, Apple Podcasts i kilku innych platformach

Rozpiska minutowa odcinka:

01:40 – „Temat tygodnia”: Luzowanie obostrzeń, otwarte galerie handlowe. Będą hiperwyprzedaże?
13:30 – „Dwie strony medalu”: Co nas najbardziej wkurza w pandemii? Inflacja! Jak walczyć z tym wkurzeniem?
19:23 – „Poradnik Ekipy Samcika”: Fotowoltaika – czas na schłodzenie gorących głów?
27:05 – „W Waszej sprawie”: Ile kosztuje konto dla firmy?
34:47 – „Liczba tygodnia”: Bunt drobnych inwestorów. Czy to dobrze, że grupa wallstreetbets z portalu społecznościowe Reddit pokonała potężne fundusze hedgingowe?
41:20 – „Ciekawostka tygodnia”: Pociągi miały jechać 200 km/h, a co chwilę się zatrzymują. Co się stało?

zdjęcie tytułowe do tekstu: iAmdrRob/Pixabay

 

Subscribe
Powiadom o
23 komentarzy
Oldest
Newest Most Voted
Inline Feedbacks
View all comments
gosc
22 dni temu

Banki, którym zależy na zadowoleniu i bezpieczeństwie klientów powinny ograniczyć się do wprowadzania zmian, które wynikają z nowych regulacji, oczekiwań klientów, sytuacji rynkowej.
Z moich obserwacji wynika, że klienci nie czują się zbyt pewnie jeśli chodzi o nowoczesne technologie i każda zmiana wprowadzana przez banki wywołuje u nich dezorientacje. Tą dezorientację bezlitośnie wykorzystują przestępcy, dla których każda zmiana jest okazją do wprowadzania nowych przekrętów.
Dodatkowo klienci często są źli, że banki przyzwyczajają ich do jakiegoś sposobu działania a potem nagle zmieniają zasady – i to bez żadnego dobrego powodu (patrz Santander).

Bezimienny
22 dni temu

Doskonała wiadomość! Już jutro stawię się w tym banku celem zlikwidowania kont. Przenieśli mnie tam przymusowo z DB i tylko czekałem na właściwą motywację.

gosc
22 dni temu

Również przestępcy uwielbiają klientów, którzy używają smartfonów. Przyczyny tego zostały przeanalizowane w poniższych artykułach – generalnie jest ich łatwiej oszukać niż klientów używających tradycyjnych laptopów/komputerów.
Mobile phishing attacks are scary and on the rise: 85% are outside of email (2021)
https://cybernews.com/editorial/mobile-phishing-attacks-are-scary-and-on-the-rise-85-are-outside-of-email/
FBI warns of increased hacking risk if using mobile banking apps (2020)
https://www.bleepingcomputer.com/news/security/fbi-warns-of-increased-hacking-risk-if-using-mobile-banking-apps/

BdB
22 dni temu

O co to wielkie halo? W Citi to standard od dawna. Od nastu lat ostrzega się by uważać na podszywających się pod banki i nie klikać w zawarte w mailach linki. Tymczasem Citi robi dokładnie na odwrót usypiając czujność swoich klientów: wysyła maile z linkami do niebankowej domeny kierującej do ekranu logowania. Oto fragment stopki słynnego maila dotyczącego autoryzacji płatności kartami w internecie. To zwykły usypiacz czujności klientów, wystarczy na miejscu phishingowego oszusta podmienić domenę na dowolną inną: „Uprzejmie informujemy, że w zakresie wysyłki komunikacji e-mailowej do Klientów, Citi Handlowy współpracuje również z firmą technologiczną SARE S.A. W przypadku wysłania… Czytaj więcej »

Slawek
22 dni temu

Santander strzelił sobie w stopę i to w momencie, gdy banki stają do wyścigu o klienta. A muszą o niego walczyć bo, głównie za sprawą frankowiczów, przyszły dla nich ciężkie czasy. Ja, na ten przykład, czekam na jakąś ciekawą ofertę moneyback.

Slawek
22 dni temu
Reply to  Maciej Samcik

Ostatnio Millenium pokazał niezłą ofertę. Obecnie chyba najlepszą na rynku. Ale ja bym jeszcze poczekał, bo zapowiada się ciekawa walka o klienta. Fajnie by było poczytać na blogu o propozycjach banków dla klientów indywidualnych.

Regnard
22 dni temu
Reply to  Slawek

Niby jaką?

Slawek
22 dni temu
Reply to  Regnard

https://www.najlepszekonto.pl/udane-zakupy-300-zl-na-allegro-karta-kredytowa-bank-millennium
Jeśli znasz lepsze oferty to napisz, bo szukam właśnie czegoś dla siebie.

Adam S.
19 dni temu
Reply to  Slawek

To nie wina frankowiczów tylko pazernych zarządów. Oni nas wszystkich wpakowali w liCHFę, za którą teraz zapłacą akcjonariusze i klienci. Ilu bankowców do tej pory skazano z majątku osobistego za ten przekręt?

Sosna
22 dni temu

bank będzie wysyłał linki pokazując ich treść: czyli będzie widać, że są to linki prowadzące na strony Santandera, a nie jakieś inne
Ręce i majtki opadają. Proszę kliknąć w tego lina prowadzącego do banku:
https://www.santander.pl

Kulson
21 dni temu
Reply to  Maciej Samcik

I tu wychodzi przewaga kompa. Najeżdżasz myszką i widzisz, dokąd kieruje link. Smartfon tego nie potrafi…

Sosna
21 dni temu
Reply to  Kulson

Nawet w kontekście kompa: ilu użytkowników sprawdza link, zanim kliknie? Ilu przeciętnych użytkowników w ogóle wie, że jest taka możliwość? A nawet wśród tych, którzy wiedzą i sprawdzają – ilu zauważy drobną „literówkę” w domenie?

Adam S.
19 dni temu
Reply to  Sosna

Pracujący w korpo sprawdzają, bo ich wewnętrzne bezpieczniki uczą i często nasyłają maile z pułapkami na tych, co sobie jeszcze nie przyswoili tej wiedzy 🙂

Aneta
22 dni temu

Ale o co chodzi? Wystarczy nie otwierać linku i po sprawie. Oferty banków można sprawdzić logując się tradycyjnie na stronie a nie linkujac. Zresztą większość ofert banków i tak nie jest atrakcyjna. Więc nie widzę sensu ich czytania

Radek
22 dni temu
Reply to  Aneta

Chodzi o to, że klient przyzwyczai się, że bank wysyła linki. Dziś nie kliknie, jutro też nie…ale przyjdzie dzień gdy dostanie wiadomość:

W związku z implementacja najnowszej dyrektywy UE 2020/71830 mającej przeciwdziałać praniu pieniędzy osoby bez potwierdzonego miejsca zamieszkania na terenie UE utracą dostęp do środków zgromadzonych na rachunku. Kliknij TU i potwierdź miejsce zamieszkania do końca dnia aby nie utracić dostępu pieniędzy.

I wtedy ludzie klikną…

Ryszard
20 dni temu

Czasami przynosi to odwrotny skutek. Mam w AliorBank konto z rachunkiem maklerskim. Kiedyś był on czytelny i przyjazny w obsłudze. Teraz po zmianach (jakieś 2 lata temu) zrobił się z tego potworek i przeniosłem się do innego biura.

Adam S.
19 dni temu
Reply to  Ryszard

BOŚ ma super ofertę, nie widzę ani jednego powodu aby korzystać z oferty innego BM.

Adam
18 dni temu

Nie będziemy prosić o podanie hasła, danych do logowania czy danych kart płatniczych, ani nie zamieścimy linków do stron, na których takie dane trzeba wpisać. Link nie będzie ukryty pod słowami kluczowymi (hiperłączem)…
Wzruszyła mnie szczególnie ta NIEZWYKLE WAŻNA DLA KLIENTA, wiele wnosząca (sic!) informacja że link nie będzie ukryty pod HIPERŁĄCZEM !!!
W ogóle lektura poniższej strony napawa optymizmem…
NIE MATURA… A CHĘĆ SZCZERA ZROBI Z CIEBIE BANKOWEGO HEAVY USERA
https://www.santanderconsumer.pl/o-banku/bezpieczenstwo/bezpieczenstwo-bankowosci-elektronicznej/

Subiektywny newsletter

Bądźmy w kontakcie! Zapisz się na newsletter, a raz na jakiś czas wyślę ci powiadomienie o najważniejszych tematach dla twojego portfela. Otrzymasz też zestaw pożytecznych e-booków. Dla subskrybentów newslettera przygotowuję też specjalne wydarzenia (np. webinaria) oraz rankingi. Nie pożałujesz!

social-facebook social-feed social-google social-twitter social-instagram social-youtube social-linkedin social-rss top-search top-menu