13:21
1/2/2018

Ale phishingiem nie jest. W ostatnich dniach otrzymujemy od Was wiele wiadomości w sprawie e-maila, jakiego otrzymaliście od Citi handlowego. Większość z Was przesyła nam tego e-maila jako “przykład ataku phishingowego”, “ewidentny scam”, dodając, abyśmy ostrzegli innych internautów poprzez artykuł. Problem w tym, że ten e-mail to nie jest phishing, choć — tu trzeba przyznać — w jednym zdaniu zawiera 2 mocne sygnały charakterystyczne dla ataków phishingowych.

E-mail wygląda tak:

Do tej pory wszystko jest OK. Zgadza się adres nadawcy, wiadomość nie ma błędów językowych. Ale zapowiada możliwość pozyskania rekompensaty i poniżej wyjaśnia jak można ją “aktywować”.

Jedną z opcji jest kliknięcie w link służący do logowania się do bankowości internetowej. I tu, po raz pierwszy, czytelnikom zapala się lampka ostrzegawcza.

Dobrą praktyką w komunikacji banków z klientami jest NIGDY nie prosić klientów o klikanie w linki do serwisu transakcyjnego. Taka sugestia jest niepożądana, bo dokładnie to robią phisherzy. Kliknięcie w link, to w zasadzie jedyny sposób, jaki mają przestępcy, aby wyciągnąć od ofiary dane dostępowe. Dlatego banki, ostrzegają przed klikaniem w linki i uczą klientów, aby do bankowości logowali się zawsze samodzielnie wpisując w przeglądarkę adres banku.

Co więcej, link ten prowadzi pod adres:

http://citihandlowy.enewsletter.pl/k3/102/4yd/8crk/465[ciach]c5b3/1G7[ciach]ST

I tu, słusznie, czytelnikom zapala się ostrzegawcza lampeczka po raz drugi. To NIE jest domena banku! Ale nie jest to też phishing. Domena ta przekierowuje do faktycznego serwisu transakcyjnego banku (przynajmniej w chwili pisania tego artykułu, nie wiadomo przecież jak będzie w przyszłości). Dlaczego taka dziwna domena? Bo wiadomość została wysłany w imieniu Citi handlowego (i zapewne na jego zlecenie) przez firmę SARE, zajmującą się rozsyłaniem mailingów. Dzięki takiemu przekierowaniu, SARE może sprawdzić kto z odbiorców kliknął w link i przekazać raport do Banku.

Całe to klikanie przez cudze domeny ma na celu zbadanie skuteczności dotarcia “kampanii” do odbiorców. To fajna funkcja, ale naszym zdaniem w tym przypadku powinna zostać wykorzystana w innym celu. Bank po przejrzeniu raportów klikalności powinien oznaczyć tych klientów, którzy kliknęli na takiego linka i podali dane logowania jako “podatnych na phishing” i skierować do nich osobne ostrzeżenie, aby NIGDY nie klikali w linki w e-mailach, które wyglądają jakby pochodziły od banku. Nawet jeśli to są prawdziwe (ale niezbyt rozsądnie zaplanowane) e-maile, tak jak ten ;)

Czyja wina?

Bankowi bezpiecznicy, jak to bywa w takich sytuacjach, pewnie nawet nie zostali skonsultowani przed wysłaniem tego komunikatu — i efekt mamy, jaki mamy. Działy marketingu w bankach, niestety, nie zawsze są świadome jak “niebezpieczna” pod kątem wywoływania złych nawyków, może być taka korespondencja. Ale świadomi powinni być eksperci od mailingów — trochę szkoda, że pracownicy SARE nie doradzili swojemu klientowi, że rozsyłanie wiadomości z linkami w takiej postaci to nie jest dobry pomysł…

Dziękujemy wszystkim czytelnikom, którzy przesłali nam tego e-maila i gratulujemy czujności!


Aktualizacja 12.02.2018, 09:50
Do redakcji Niebezpiecznika zostało przesłane oświadczenie firmy SARE, która poprosiła nas o sprostowanie zdania z ostatniego akapitu naszego artykułu (zdanie obecnie przekreślone). Oto nadesłane sprostowanie:

Nieprawdą jest, aby pracownicy SARE nie doradzili swojemu klientowi, że rozsyłanie wiadomości z linkami odsyłającymi z domeną inną niż własna to nie jest dobry pomysł (mimo, że należy do SARE). Pracownicy SARE z należytą starannością informują swoich klientów w jaki sposób powinni konstruować wysyłane wiadomośći e-mail. Nie skorzystanie z pomocy i wiedzy pracowników SARE jest zawsze własną wolą każdego Klienta

Przeczytaj także:

26 komentarzy

Dodaj komentarz
  1. Brawo też dla Was, bo jednak Wasza edukacja czytelników poprzez tego typu artykuły ewidentnie nie idzie w las :)

  2. Też wczoraj dostałem; nic mnie tak nie wkurza jak banki “uczące” jak ulegać phishingowi (telefony z zastrzeżonych numerów z “super ofertą” i prośbą o odpowiedź na pytania weryfikacyjne.

    Swoją drogą dostałem też kiedyś od mbanku maila z “podejrzenie przechwycenia danych karty” -też wyglądało prawie jak phishing, zastanawiał jedynie brak linków – a zamiast tego prośba o kontakt z mLinią. Mail był prawdziwy, rzeczywiście karta wyciekła

  3. >Bo wiadomość została wysłany w imieniu Citi handlowego (i zapewne na jego zlecenie) przez firmę SARE, zajmującą się rozsyłaniem mailingów.
    Oł szit bejb, czyli jeśli ktoś w pracy (był tak głupi i) ma ustawione wiadomości na firmową skrzynkę, to nawet się o tym nie dowie, bo SARE (enewsletter, w sumie to wszystko co ma “newsletter” w domenie) jest zablokowane na serwerze xD. Może to radykalne, ale nikt nie płacze z powodu braku newsletterów xD

  4. Wiem, że nie na temat, ale mnie prawie “uderzyło” zdanie:
    “standardowego oprocentowania oferowanego przez Bank (0,30% w skali roku).”

    Żałosne 0,3%?
    Przez grzeczność nie wspomnę, gdzie mam konto, za które nie płacę, i jakie tam mam oprocentowanie (+inne bonusy).

    • Myślę, że skoro prawo nie zabrania ujemnego oprocentowania lokat to jeszcze wszystko przed nami ;-D

    • opłata za prowadzenie nieoprocentowanego konta to sensu stricte jest konto z ujemnym oprocentowaniem, ale ujemne oprocentowanie jest “zakamuflowane” żebyś czasem nie był za bardzo zdziwiony.

    • @adriandupa – ale w lokatach jeszcze tego nie ma, a mogliby oficjalnie dać ujemne i by wszyscy dopłacali do lokat (kara za zamrażanie gotówki).

  5. jakby bank nie mógł sprawdzać kto skorzystał na podstawie logowania…

    • A klient logował się aby zrobić przelew za parę skarpetek, czy aby skorzystać z przesłanej mailem informacji? Tu by trzeba jasnowidza a nie logów.

  6. To nie jedyny mail od Citi. Jestem ich klientem i maili z linkiem do logowania mam już z kilkadziesiąt. Każda promocja jest oznaczana jako:

    “Aby skorzystać z promocji zaloguj się do banku” <- buton do linku.

  7. A PKO BP nadal odpowiedzi na zgłoszenia, pytania i reklamacje przesyła nieszyfrowanym e-mailem bez podpisu, a co najgorsze odpowiedź mieści się w pliku PDF załączonym do przesyłki (notabene, również nie podpisanym ani nie zabezpieczonym) – wersja PDF 1.6 (Acrobat 7.x)…

  8. W temacie bezpieczeństwa Citi (ale niezwiązanego z tym artykułem):

    SMSy autoryzujące przelewy z Citibanku nigdy nie zawierają tak podstawowej informacji jak kwota przelewu.

    • A smsy autoryzujące przelewy z tmobile od paru miesięcy przestały ( i do dziś nie wznowiły) zawierać numer konta, na który zlecany jest przelew.
      Hańba.

    • @Irwin: patrzę właśnie na SMS autoryzacyjny T-Mobile i jest tam numer rachunku. Chyba, że chodzi Ci o PayByLink, gdzie rzeczywiście nie ma numeru rachunku (bo i po co, bo z czym byś porównał?)

    • Rzeczywiście, dziś już smsy znów zawierają numer konta, na który jest zlecany przelew, my bad.

  9. A to bank nie potrafi sam wysłać maili tylko musi do tego celu aż wynajmować firmę zewnętrzną?

    • Potrafi, tylko zwykle tą samą drogą idą reklamy nowych usług i inny spam, który kliknięty w Twoim kliencie web wpisałby bankowe IP na czarne listy spamerów. A tego nie chcą.

    • Systemy takie, jak SARE czy FreshMail, wysyłają masową korespondencję partiami. Zlecasz raz, a system potem wysyła to przez kilka godzin. Gdyby bank chciał to wysłać manualnie, musieliby do tego posadzić jakiegoś pracownika na dłuższy czas.

    • @norbiq
      Nie chodziło mi o wysyłanie manualne. To wielką międzynarodową korporację nie stać na własny system do mailingu automatycznego? To SMS-y z kodami autoryzującymi przelewy też ma wysyłać pani Zosia w okienku?

  10. Autor tekstu powinien najpierw sprawdzić, czy pracownicy SARE faktycznie “nie doradzili swojemu klientowi”. To nie prawda. Informacja winna być sprostowana.

    • No to słabo doradzili, jeśli pomimo ich porad wyrazili zgodę na taki mailing. Jako odpowiedzialna firma, nie powinni przyjmować takich zleceń. Z twojej wypowiedzi wynika, że byli świadomi że to zły pomysł, a mimo wszystko dali zielone światło na tę kampanię. Pieniądze ważniejsze od zasad?

    • Rozumiem, że pojęcie doradcy jest Ci obce. Decyzja ostateczna co do tego jak ma wyglądać kampania należy do klienta. Tylko i wyłącznie klient decyduje na co wydaje swoje pieniądze. Nikt nikogo do niczego nie zmusza. Jeżeli klienci nie korzystają z usług swoich doradców, to mogą mieć pretensje tylko do siebie. Swoją drogą chciałbym zobaczyć jak prowadzisz własną firmę, przychodzi do Ciebie klienty po poradę, doradzasz mu, on jednak mówi, że zrobi inaczej, tak jak uważa, a Ty odsyłasz go z kwitkiem i nie przyjmujesz zlecenia. Taaa ….. Pozdrawiam

    • SARE to system mailingowy. Firmy wykupują licencję i same też realizują wysyłki. Same także decydują o tym czy stosują się do rekomendacji czy też nie.

  11. Od dość długiego czasu nie współpracuję z MS Windows, to i nie widuję takich e-mail’i. Prosty skrypt po stronie programu do obsługi poczty elektronicznej i wszystkie takie e-mail’e z linkami w treści lądują w koszu. Rzecz jasna, poza zaprzyjaźnionymi adresami nadawcy. Muszę chyba poszerzyć zakres filtrów, albo ustawić dodatkowo, że treść e-mail’i ma być konwertowana do txt.

  12. Cóż… parząc na to jaki dają procent na tej lokacie to widać że to nie phising ;) Oprocentowanie w skali roku na 1,2% przy inflacji 2,1%?
    No i faktycznie z linkiem to mało profesjonalnie. Ciekawe czy za taką akcję ktoś kupi jakieś książki? :P

  13. Sam pracuję w Banku, Biznes to najważniejszy dział bo “pinądz”. IT i Bezpieka to działy generujące tylko problemy, ciągle mają z czymś problem ale jak trwoga to Boga, to jak walka z wiatrakami.

Twój komentarz

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.