Santander wprowadza "aktywne linki" w SMS-ach i mailach. Eksperci: to poważny błąd

Santander wprowadza "aktywne linki" w SMS-ach i mailach. Eksperci: to poważny błąd15.01.2021 13:09
Santander będzie wysyłać linki do strony, czy to bezpieczne? /fot. East News/ Wojciech Stróżyk/Reporter

11 stycznia 2021 roku Santander Bank Polska poinformował o wprowadzeniu zmian. Już wkrótce system będzie wysyłać wiadomości e-mail oraz SMS-y zawierające linki kierujące klientów na stronę banku. Według ekspertów to tylko otworzy furtkę dla cyberprzestępców i oszustów.

Jako pierwszy swoje wątpliwości zasugerował Adam Haertle, prowadzący serwis Zaufana Trzecia Strona, w ironicznym wpisie na Facebooku. W komentarzach rozgorzała dyskusja na temat potencjalnych możliwości wykorzystania nowego rozwiązania przez oszustów. Wróćmy zatem do początku, co właściwie zamierza Santander i jak było dotąd?

"Aktywne linki przeniosą Cię bezpośrednio z wiadomości SMS lub e-maila na naszą stronę. Dzięki temu wygodniej i szybciej dotrzesz do informacji, którą chcemy Ci przekazać" – czytamy na stronie banku. Wiadomości będą wysyłane z domeny santander.pl lub santanderbankpolska.pl, a SMS-y przyjdą od nadawcy SAN_PL. W ich treści znajdzie się link prowadzący do informacji o nowościach czy zmianach związanych z prowadzeniem konta.

fot. Santander.pl
fot. Santander.pl

Bank zaznacza, że w żadnej z tych sytuacji nie poprosi o "podanie hasła, danych do logowania czy danych kart płatniczych (PIN-u, kodu CVV)". A więc po przejściu przez link nigdzie nie będziemy się logować. Jak dotąd wszelkie informacje o nowościach, zmianach w prowadzeniu usług itp. przesyłano za pośrednictwem wiadomości e-mail czy listów pocztowych, a krótsze mieściły się nawet w SMS-ach.

"A co jeśli..." Czyli dlaczego eksperci uważają że Santander ma fatalny pomysł

O ile analitycy bezpieczeństwa, pracownicy banku czy młodsze pokolenie i ludzie lepiej obyci ze środowiskiem technologicznym/internetowym rozpoznają oszustwa bez problemu, o tyle pozostali wpadają w ich sidła zupełnie nieświadomie. Przejdźmy do sedna. Problem jest taki, że dotąd w przypadku otrzymanego e-maila czy SMS-a z linkiem od osoby podszywającej się pod bank, klient miał szansę od razu zauważyć, że coś jest nie tak.

Nigdy wcześniej nie otrzymywał tego typu wiadomości. Wystarczy że przejrzy ostatnie SMS-y czy wiadomości e-mail od banku. Jest szansa, że wzbudzą jego wątpliwości i zadzwoni do banku z zapytaniem, czy to aby nie próba oszustwa. Według niektórych ekspertów ds. bezpieczeństwa w sieci, rozwiązanie wprowadzane przez Santander Bank Polska, może prowadzić do zwiększenia się częstotliwości ataków powiązanych z wizerunkiem banku.

Pod wpisem Adama Haertle wypowiedział się także Łukasz Jachowicz z Mediarecovery. Wypunktował dokładnie, o co chodziło twórcy wpisu. Istnieje wiele potencjalnych sposobów, które oszuści mogą spróbować wykorzystać po wprowadzeniu "aktywnych linków" Santandera. To motywy, które dość często opisujemy w serwisie dobreprogramy.pl.

Przede wszystkim bank zaznacza, że "E-maile będziemy zawsze wysyłać z domeny santander.pl lub santanderbankpolska.pl". Nazwę nadawcy możemy zmienić w dowolnym programie pocztowym i część serwerów pocztowych (u odbiorcy) nie wykryje takiej zmiany. Można też postawić własny serwer pocztowy i cały nagłówek napisać "po swojemu". Więcej smaczków na ten temat możecie przeczytać w artykule Kamila Dudka.

Podobnie jest w przypadku SMS-ów. Nadawcę można albo sfałszować, albo zmienić na nazwę bardzo podobną. Nie wszyscy klienci banków są na tyle na bieżąco z technologiami, żeby zwrócić uwagę na literówkę czy literę/cyfrę podobną do innej. Możliwości jest naprawdę wiele, a historia naszych artykułów o tematyce "Bezpieczeństwo", że kreatywność oszustów jest równie spora.

Dlaczego wprowadzenie "aktywnych linków" może przełożyć się na większą liczbę ataków?

Jest co najmniej kilka powodów. Przede wszystkim wzmożona komunikacja z bankiem może przyzwyczaić klientów do tego typu formy otrzymywania wiadomości. Linki zawarte w wiadomościach nigdy nie będą prowadzić do strony logowania. Santander zakłada więc, że klienci zawsze będą tego świadomi, a według ekspertów takie założenie jest błędne. W przypadku, gdy odbiorca otrzyma fałszywego e-maila, istnieje nadal prawdopodobieństwo, że wykorzysta swoje dane logowania lub przekaże dane swojej karty płatniczej.

Anonimowy ekspert w rozmowie z nami przyznał, że częste otrzymywanie przez klientów banku e-maili i wiadomości SMS z linkami będzie budować niewłaściwą relację, a właściwie pewien nawyk. Użytkownicy będą przyzwyczaić się do otrzymywania tego typu komunikatów i w pewnym momencie mogą stać się nieuważni. Jeżeli dojdzie do faktycznego ataku, mogą być bardziej narażeni.

Z kolei Santander Bank Polska informuje, że będzie edukować swoich klientów na każdym kroku i pokazywać, jak rozpoznawać oszustwa. Wysłaliśmy zapytanie do biura prasowego, czy i dlaczego bank uważa to rozwiązanie za bezpieczne dla swoich klientów. Poniższej zamieszczamy oficjalne stanowisko Santander Bank Polska:

"Analiza zagrożeń pokazała nam, że możemy wprowadzić taką zmianę. Uznaliśmy, iż zasadniczo nie wpłynie to na działania przestępców, którzy obecnie śmiało wysyłają korespondencję z linkami, podszywają się pod bank. Skupiamy się na pokazaniu zasad, z których będziemy korzystać, wysyłając linki, edukować w tym zakresie. Pokazaliśmy reguły – jak takie linki powinny być skonstruowane. Chcemy pokazywać klientom, na co uważać (np. skrócone linki, których nie będziemy wysyłać) i nauczyć, jak wygląda komunikacja z Banku, jak takie linki są wysyłane. Co najważniejsze, i o tym jasno będziemy mówić, linki z banku mają tylko charakter informacyjny – a to znaczy, że nigdy nie będą prowadzić do serwisów wymagających logowania i podawania wrażliwych danych. To rozwiązanie jest przede wszystkim wygodniejsze, a nie wnosi większych ryzyk.".

Źródło artykułu:www.dobreprogramy.pl
© dobreprogramy·Redakcja·Regulamin·Polityka prywatności·Reklama·Kontakt
Szanowna Użytkowniczko! Szanowny Użytkowniku!
×
Aby dalej móc dostarczać coraz lepsze materiały redakcyjne i udostępniać coraz lepsze usługi, potrzebujemy zgody na dopasowanie treści marketingowych do Twojego zachowania. Twoje dane są u nas bezpieczne, a zgodę możesz wycofać w każdej chwili na podstronie polityka prywatności.

Kliknij "PRZECHODZĘ DO SERWISU" lub na symbol "X" w górnym rogu tej planszy, jeżeli zgadzasz się na przetwarzanie przez Wirtualną Polskę i naszych Zaufanych Partnerów Twoich danych osobowych, zbieranych w ramach korzystania przez Ciebie z usług, portali i serwisów internetowych Wirtualnej Polski (w tym danych zapisywanych w plikach cookies) w celach marketingowych realizowanych na zlecenie naszych Zaufanych Partnerów. Jeśli nie zgadzasz się na przetwarzanie Twoich danych osobowych skorzystaj z ustawień w polityce prywatności. Zgoda jest dobrowolna i możesz ją w dowolnym momencie wycofać zmieniając ustawienia w polityce prywatności (w której znajdziesz odpowiedzi na wszystkie pytania związane z przetwarzaniem Twoich danych osobowych).

Od 25 maja 2018 roku obowiązuje Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 (określane jako "RODO"). W związku z tym chcielibyśmy poinformować o przetwarzaniu Twoich danych oraz zasadach, na jakich odbywa się to po dniu 25 maja 2018 roku.

Kto będzie administratorem Twoich danych?

Administratorami Twoich danych będzie Wirtualna Polska Media Spółka Akcyjna z siedzibą w Warszawie, oraz pozostałe spółki z grupy Wirtualna Polska, jak również nasi Zaufani Partnerzy, z którymi stale współpracujemy. Szczegółowe informacje dotyczące administratorów znajdują się w polityce prywatności.

O jakich danych mówimy?

Chodzi o dane osobowe, które są zbierane w ramach korzystania przez Ciebie z naszych usług, portali i serwisów internetowych udostępnianych przez Wirtualną Polskę, w tym zapisywanych w plikach cookies, które są instalowane na naszych stronach przez Wirtualną Polskę oraz naszych Zaufanych Partnerów.

Dlaczego chcemy przetwarzać Twoje dane?

Przetwarzamy je dostarczać coraz lepsze materiały redakcyjne, dopasować ich tematykę do Twoich zainteresowań, tworzyć portale i serwisy internetowe, z których będziesz korzystać z przyjemnością, zapewniać większe bezpieczeństwo usług, udoskonalać nasze usługi i maksymalnie dopasować je do Twoich zainteresowań, pokazywać reklamy dopasowane do Twoich potrzeb. Szczegółowe informacje dotyczące celów przetwarzania Twoich danych znajdują się w polityce prywatności.

Komu możemy przekazać dane?

Twoje dane możemy przekazywać podmiotom przetwarzającym je na nasze zlecenie oraz podmiotom uprawnionym do uzyskania danych na podstawie obowiązującego prawa – oczywiście tylko, gdy wystąpią z żądaniem w oparciu o stosowną podstawę prawną.

Jakie masz prawa w stosunku do Twoich danych?

Masz prawo żądania dostępu, sprostowania, usunięcia lub ograniczenia przetwarzania danych. Możesz wycofać zgodę na przetwarzanie, zgłosić sprzeciw oraz skorzystać z innych praw wymienionych szczegółowo w polityce prywatności.

Jakie są podstawy prawne przetwarzania Twoich danych?

Podstawą prawną przetwarzania Twoich danych w celu świadczenia usług jest niezbędność do wykonania umów o ich świadczenie (tymi umowami są zazwyczaj regulaminy). Podstawą prawną przetwarzania danych w celu pomiarów statystycznych i marketingu własnego administratorów jest tzw. uzasadniony interes administratora. Przetwarzanie Twoich danych w celach marketingowych realizowanych przez Wirtualną Polskę na zlecenie Zaufanych Partnerów i bezpośrednio przez Zaufanych Partnerów będzie odbywać się na podstawie Twojej dobrowolnej zgody.

Przejdź na