Santander wprowadza "aktywne linki" w SMS‑ach i mailach. Eksperci: to poważny błąd

11 stycznia 2021 roku Santander Bank Polska poinformował o wprowadzeniu zmian. Już wkrótce system będzie wysyłać wiadomości e-mail oraz SMS-y zawierające linki kierujące klientów na stronę banku. Według ekspertów to tylko otworzy furtkę dla cyberprzestępców i oszustów.

Santander będzie wysyłać linki do strony, czy to bezpieczne? /fot. East News/ Wojciech Stróżyk/Reporter
Santander będzie wysyłać linki do strony, czy to bezpieczne? /fot. East News/ Wojciech Stróżyk/Reporter
Arkadiusz Stando

15.01.2021 | aktual.: 17.01.2021 05:17

Jako pierwszy swoje wątpliwości zasugerował Adam Haertle, prowadzący serwis Zaufana Trzecia Strona, w ironicznym wpisie na Facebooku. W komentarzach rozgorzała dyskusja na temat potencjalnych możliwości wykorzystania nowego rozwiązania przez oszustów. Wróćmy zatem do początku, co właściwie zamierza Santander i jak było dotąd?

"Aktywne linki przeniosą Cię bezpośrednio z wiadomości SMS lub e-maila na naszą stronę. Dzięki temu wygodniej i szybciej dotrzesz do informacji, którą chcemy Ci przekazać" – czytamy na stronie banku. Wiadomości będą wysyłane z domeny santander.pl lub santanderbankpolska.pl, a SMS-y przyjdą od nadawcy SAN_PL. W ich treści znajdzie się link prowadzący do informacji o nowościach czy zmianach związanych z prowadzeniem konta.

fot. Santander.pl
fot. Santander.pl

Bank zaznacza, że w żadnej z tych sytuacji nie poprosi o "podanie hasła, danych do logowania czy danych kart płatniczych (PIN-u, kodu CVV)". A więc po przejściu przez link nigdzie nie będziemy się logować. Jak dotąd wszelkie informacje o nowościach, zmianach w prowadzeniu usług itp. przesyłano za pośrednictwem wiadomości e-mail czy listów pocztowych, a krótsze mieściły się nawet w SMS-ach.

"A co jeśli..." Czyli dlaczego eksperci uważają że Santander ma fatalny pomysł

O ile analitycy bezpieczeństwa, pracownicy banku czy młodsze pokolenie i ludzie lepiej obyci ze środowiskiem technologicznym/internetowym rozpoznają oszustwa bez problemu, o tyle pozostali wpadają w ich sidła zupełnie nieświadomie. Przejdźmy do sedna. Problem jest taki, że dotąd w przypadku otrzymanego e-maila czy SMS-a z linkiem od osoby podszywającej się pod bank, klient miał szansę od razu zauważyć, że coś jest nie tak.

Nigdy wcześniej nie otrzymywał tego typu wiadomości. Wystarczy że przejrzy ostatnie SMS-y czy wiadomości e-mail od banku. Jest szansa, że wzbudzą jego wątpliwości i zadzwoni do banku z zapytaniem, czy to aby nie próba oszustwa. Według niektórych ekspertów ds. bezpieczeństwa w sieci, rozwiązanie wprowadzane przez Santander Bank Polska, może prowadzić do zwiększenia się częstotliwości ataków powiązanych z wizerunkiem banku.

Pod wpisem Adama Haertle wypowiedział się także Łukasz Jachowicz z Mediarecovery. Wypunktował dokładnie, o co chodziło twórcy wpisu. Istnieje wiele potencjalnych sposobów, które oszuści mogą spróbować wykorzystać po wprowadzeniu "aktywnych linków" Santandera. To motywy, które dość często opisujemy w serwisie dobreprogramy.pl.

Przede wszystkim bank zaznacza, że "E-maile będziemy zawsze wysyłać z domeny santander.pl lub santanderbankpolska.pl". Nazwę nadawcy możemy zmienić w dowolnym programie pocztowym i część serwerów pocztowych (u odbiorcy) nie wykryje takiej zmiany. Można też postawić własny serwer pocztowy i cały nagłówek napisać "po swojemu". Więcej smaczków na ten temat możecie przeczytać w artykule Kamila Dudka.

Podobnie jest w przypadku SMS-ów. Nadawcę można albo sfałszować, albo zmienić na nazwę bardzo podobną. Nie wszyscy klienci banków są na tyle na bieżąco z technologiami, żeby zwrócić uwagę na literówkę czy literę/cyfrę podobną do innej. Możliwości jest naprawdę wiele, a historia naszych artykułów o tematyce "Bezpieczeństwo", że kreatywność oszustów jest równie spora.

Dlaczego wprowadzenie "aktywnych linków" może przełożyć się na większą liczbę ataków?

Jest co najmniej kilka powodów. Przede wszystkim wzmożona komunikacja z bankiem może przyzwyczaić klientów do tego typu formy otrzymywania wiadomości. Linki zawarte w wiadomościach nigdy nie będą prowadzić do strony logowania. Santander zakłada więc, że klienci zawsze będą tego świadomi, a według ekspertów takie założenie jest błędne. W przypadku, gdy odbiorca otrzyma fałszywego e-maila, istnieje nadal prawdopodobieństwo, że wykorzysta swoje dane logowania lub przekaże dane swojej karty płatniczej.

Anonimowy ekspert w rozmowie z nami przyznał, że częste otrzymywanie przez klientów banku e-maili i wiadomości SMS z linkami będzie budować niewłaściwą relację, a właściwie pewien nawyk. Użytkownicy będą przyzwyczaić się do otrzymywania tego typu komunikatów i w pewnym momencie mogą stać się nieuważni. Jeżeli dojdzie do faktycznego ataku, mogą być bardziej narażeni.

Z kolei Santander Bank Polska informuje, że będzie edukować swoich klientów na każdym kroku i pokazywać, jak rozpoznawać oszustwa. Wysłaliśmy zapytanie do biura prasowego, czy i dlaczego bank uważa to rozwiązanie za bezpieczne dla swoich klientów. Poniższej zamieszczamy oficjalne stanowisko Santander Bank Polska:

"Analiza zagrożeń pokazała nam, że możemy wprowadzić taką zmianę. Uznaliśmy, iż zasadniczo nie wpłynie to na działania przestępców, którzy obecnie śmiało wysyłają korespondencję z linkami, podszywają się pod bank. Skupiamy się na pokazaniu zasad, z których będziemy korzystać, wysyłając linki, edukować w tym zakresie. Pokazaliśmy reguły – jak takie linki powinny być skonstruowane. Chcemy pokazywać klientom, na co uważać (np. skrócone linki, których nie będziemy wysyłać) i nauczyć, jak wygląda komunikacja z Banku, jak takie linki są wysyłane. Co najważniejsze, i o tym jasno będziemy mówić, linki z banku mają tylko charakter informacyjny – a to znaczy, że nigdy nie będą prowadzić do serwisów wymagających logowania i podawania wrażliwych danych. To rozwiązanie jest przede wszystkim wygodniejsze, a nie wnosi większych ryzyk.".

Programy

Zobacz więcej
Wybrane dla Ciebie
Komentarze (135)