Citi wysyła linki do logowania, choć nie powinien

Na stronie Cashless jest informacja, że Citi Handlowy wysyła swoim klientom wiadomości z linkami do bankowości internetowej. Dodatkowo instruuje klientów, jak zachować przy tym bezpieczeństwo. A przecież „wszyscy” piszą, żebyś nie logował się do banku poprzez odnośniki z emaili czy smsów, bo tylko przestępcy wysyłają do Ciebie takie wiadomości.

Pomyślałem, że sprawdzę dokładnie, co robi Citi. Przy okazji sprawdziłem inne banki. Okazało się, że informowanie o bezpieczeństwie nie jest łatwe. Ale Citi przebija wszystkich.

Citi rzeczywiście może wysyłać wiadomości z linkami do logowania!

W jednym ze swoich serwisów Citi ma stronę zatytułowaną Jak Ty możesz chronić siebie. Są tam podstawowe zasady bezpiecznej bankowości internetowej i takie zdanie: W celu zapewnienia jeszcze lepszej obsługi, Citi Handlowy wysyła swoim Klientom wiadomości zawierające linki do naszych ofert produktów i usług bankowych.

W celu zapewnienia jeszcze lepszej obsługi

Skoro masz się sam chronić, to Citi opisuje jak masz to zrobić.

Co radzi Citi?

Odnośnie wiadomości sms

Jeśli dostałeś sms od Citi to sprawdź, czy link w wiadomości zaczyna się od http://citi.me/. Zgadza się? To sprawdź jeszcze nadawcę. Jeśli sms przyszedł od jednego z tych nadawców:

  • 601700647
  • 603810106
  • 607520408
  • 607521371
  • 661002483
  • 661002484
  • 661002485
  • 661002486
  • 661002488
  • 661261262
  • 661406031
  • 661408821
  • 691152151
  • 664079340
  • Citi
  • CitiSpecial

to dobrze. No prawie. W sumie to bez znaczenia. Po pierwsze – nie zapamiętasz tych wszystkich nadawców (bo po co?). Po drugie – jak pisał Niebezpiecznik: Pamiętaj, że nadawcę SMS-a można ustawić na dowolny napis lub numer. Czyli przestępcy mogą wysłać podrabiane wiadomości.

A jak z emailami?

Tu bank, kontaktując się z Tobą, może skorzystać z następujących adresów:

  • info@citihandlowy.pl
  • twojwyciag@bankhandlowy.pl
  • zestawienieopłat@citi.com
  • adresy zakończone na @citi.com
  • adresy zakończone na @emailapps.emea.citi.com

Po sprawdzeniu nadawcy masz się upewnić, że spodziewasz się takiej korespondencji (!) i jeszcze sprawdzić, czy bank nie zamieścił ostatnio jakichś ostrzeżeń o fałszywych emailach.

(Pewnie się nie spodziewałeś, że musisz się spodziewać – no ale co zrobisz?)

I tak musisz wejść na stronę Citi

Skoro już będziesz na stronie Citi – bo przecież musisz sprawdzić ostatnie ostrzeżenia i porównać nadawcę z listą „bezpiecznych” nadawców – to może po prostu wejdź do bankowości przez tę stronę. No bo przecież nie będziesz wracał do emaila, żeby kliknąć link i kolejny raz otwierać stronę Citi.

Citi Handlowy nie powinien wysyłać linków do bankowości internetowej. I Citi o tym wie!

Żaden bank nie powinien wysyłać do swoich klientów wiadomości z odnośnikami do bankowości internetowej. Wiedzą to wszystkie banki, choć nie wszystkie wiedzą, jak poinformować o tym klientów.

Związek Banków Polskich podaje taką zasadę:

Pamiętaj, żaden bank nigdy nie wysyła do swoich klientów pytań dotyczących haseł lub innych poufnych danych ani próśb o ich aktualizację.

Banki nigdy nie podają w przesyłanych wiadomościach linków do stron transakcyjnych. Listy, wiadomości e-mail lub telefony w takich sprawach należy traktować jako próbę wyłudzenia poufnych informacji. Nie odpowiadaj na nie przekazując swoje poufne dane. Bezzwłocznie skontaktuj się ze swoim Bankiem i poinformuj o zdarzeniu.

https://zbp.pl/dla-konsumentow/bezpieczny-bank/bankowosc-internetowa

Tekst trochę przy długi, ale Citi Handlowy powinien się z nim zapoznać.

Prostym tekstem posłużył się Bank Pocztowy

Logując się do bankowości internetowej Pocztowy24 zawsze wprowadzaj adres ręcznie – nie korzystaj z otrzymanych linków.

https://www.pocztowy.pl/indywidualni/bankowosc/bezpieczenstwo/

Niestety, ten tekst ginie wśród całej masy innych porad.

Citi też ma taki tekst na swojej stronie!

A nawet lepiej! Oni mają quiz o bezpieczeństwie! Z założenia ma on podnieść świadomość klientów. Rozwiążesz go? Tak z ciekawości – śmiało!

I jak poszło? Zdałeś? No to jedziemy dalej.

Aktualnie interesuje nas najbardziej pytanie numer 5.

Quiz na temat bezpieczeństwa. Pytanie o linki w mejlu.
No i co Citi – która odpowiedź może pasować?
Quiz na temat bezpieczeństwa. Zła odpowiedź.
Nie klikać? Nawet w celu zapewnienia jeszcze lepszej obsługi?
Quiz na temat bezpieczeństwa. Dobra odpowiedź.
Nie należy klikać, ale tylko jeśli nie jestem pewien?

Niestety nie ma tu jednoznacznej informacji. Owszem – nie powinieneś otwierać linku – ale tylko jeśli nie jesteś pewien, że faktycznie dostałeś tego linka od swojego banku. Ale nigdy nie będziesz pewien.

Jak inne banki przestrzegają przed linkami w wiadomościach?

Różnie – niestety. Gdzieś o tym piszą, ale nie przekonują mnie. Reklamując swoją ofertę bardziej się starają.

Mają rozbudowane strony o bezpieczeństwie

Większość banków ma rozbudowane strony na temat bezpieczeństwa. Niby dobrze, bo temat rozległy, ale czy masz ochotę na czytanie tego wszystkiego? Przecież bankowość internetowa jest po to, żeby było łatwiej i szybciej niż w oddziale – a nie żebyś musiał dużo czytać.

Credit Agricole bezpieczeństwo podzielił na 12 kategorii. Informacja o tym, że bank nie wysyła linków do logowania jest w kategorii „Co to jest phishing” – trzeba bardzo chcieć wejść na tą stronę.

Usypiają Twoją czujność i łagodnie uczulają

Tak jak Citi – czasem możesz klikać, a czasem nie. Jak nie jesteś pewien, to może nie klikaj. Ale skoro bank otwarcie twierdzi, że wysyła linki do logowania, to czemu masz nie klikać? A jak już raz Ci się trafi prawdziwy link w mejlu, to więcej nie będziesz miał wątpliwości. Przez to Citi może uśpić Twoją czujność i narazić Cię na socjotechniczne ataki.

Niektóre banki piszą, żebyś uważał na podejrzane wiadomości. Albo takie z niepewnych źródeł. Albo żebyś zwrócił szczególną uwagę, kiedy dostaniesz mejla, który wygląda jak mejl z banku. Tylko skąd masz wiedzieć, jak wygląda podejrzana wiadomość. A czytając mejle, które nie dotyczą finansów, nie musisz zwracać szczególnej uwagi?

Informacja powinna być prosta i dobitna: Nie loguj się do banku przez linki z wiadomości! A nie, że może trochę się skup i lekko wytęż, ale tylko jak coś jest podejrzane. Wszystkie wiadomości z linkami są podejrzane.

Czasem chyba przesadzają

Santander Consumer Bank ma taką radę

Wprowadź adres serwisu do przeglądarki internetowej bezpośrednio (manualnie), nie używaj skrótów, listy ulubionych, wyszukiwarek ani linków z komunikatorów, stron społecznościowych czy wiadomości e-mail.

https://www.santanderconsumer.pl/o-banku/bezpieczenstwo/bezpieczenstwo-bankowosci-elektronicznej/

Chyba trochę przesada. Zakładki, ulubione czy inne skróty chyba nie są złe. Jeśli już ktoś zainstaluje coś na Twoim komputerze i jest w stanie podmieniać Ci zakładki, to ma też dużo innych możliwości (a Ty masz przechlapane). Z googla też nie możesz wejść?

Skoro masz wpisywać ręcznie adres, to musisz wyłączyć podpowiedzi w przeglądarce. Bo jak zaczniesz pisać „online”, to pewnie dostaniesz sporo podpowiedzi z historii – jest ryzyko, że nie będzie Ci się chciało dalej pisać „.santanderconsumer.pl/” i klikniesz w coś złego. Bez jaj – to już jest przesada.

No dobra – jak to powinno wyglądać?

Koniec szukania błędów. Czas napisać, jak to powinno wyglądać.

Co powinien bank?

Bank powinien napisać jasno

Nigdy do logowania się do banku nie używaj linków przesyłanych w wiadomościach e-mail, poprzez komunikatory internetowe czy serwisy społecznościowe.

Co o tym myślisz?

No dobra, tekst może być taki lub inny, ale bank też musi się do tego zastosować. Banki nigdy nie powinny podawać w przesyłanych wiadomościach linków do stron transakcyjnych.

Z jednej strony bank – z drugiej – Ty

Niezależnie od tego co zrobi bank, Ty musisz zrobić swoje.

Pamiętaj:

Nigdy do logowania się do banku nie używaj linków przesyłanych w wiadomościach e-mail, poprzez komunikatory internetowe lub serwisy społecznościowe.

Dodaj komentarz

avatar
  Subscribe  
Powiadom o