Alior Bank poinformował kolejnych klientów o przyznaniu im dostępu do nowego systemu transakcyjnego. Zrobił to za pomocą wiadomości e-mail. W wiadomości zamieścił instrukcję aktywowania nowej bankowości i adres kierujący do nowego systemu transakcyjnego.
Zapytałem bank dlaczego wysyła do klientów wiadomości z linkami do systemu transakcyjnego. W końcu Związek Banków Polskich w poradnikach zamieszczonych na swojej stronie ostrzega klientów przed tym, by nie logowali do e-banków za pośrednictwem linków znajdujących się w przychodzących wiadomościach. Tak zalecają też specjaliści zajmujący się cyberbezpieczeństwem.
Jak dobrze wiecie, linki w wiadomościach to metoda stosowana przez złodziei, którzy podszywają się pod banki. W ten sposób podrzucają klientom adres kierujący do fałszywej strony banku. Za jej pośrednictwem wyłudzają dane do logowania i hasła.
Alior Bank tłumaczy, że link został wstawiony przez program pocztowy. „Alior Bank, dbając o bezpieczeństwo klientów nigdy nie wysyła linków do logowania w wiadomościach e-mail. W tym wypadku też podaliśmy tylko adres w postaci tekstu, bez wpinania hiperłącza. Niestety zadziałały tu rozwiązania dostawców usług pocztowych, którzy czasem identyfikują tekst jako URL i podstawiają pod niego – swojej stronie – hiperłącze.”- czytamy w komentarzu przesłanym przez biuro prasowe.
Nie znam się na tym, więc przyjmuję tłumaczenie Aliora za dobrą monetę. Wydaje sie jednak dziwne, że program podcztowy sam podlinkowuje adresy zaczynające się od https://. Bank powinien przewidzieć taką sytuację i zastosować inne rozwiązanie. W moim przypadku linki pojawiły się w poczcie Gmail – jednym z najpopularniejszych na świecie programów pocztowych. W efekcie – jako klient banku – dostałem mejla z aktywnym linkiem kierującym do systemu transakcyjnego.
Niedawno podobną wpadkę zaliczył BGŻ Optima, który rozesłał do klientów informację o zmianie umowy ramowej. W treści wiadomości znajdował się link kierujący bezpośrednio do systemu transakcyjnego. Z kolei Nest Bank wysłał klientom w mailach oprócz linków także loginy, o czym na łamach Bankier.pl pisze mój redakcyjny kolega Mateusz Gawin.
Na wszelki wypadek przypomnę, że na stronę banku najbezpieczniej jest wchodzić wpisując adres ręcznie do przeglądarki internetowej.
Napisz do mnie: w.boczon@bankier.pl