Bank di seluruh dunia secara tidak sengaja melatih pelanggan mereka untuk terjebak dengan serangan phishing melalui amalan pemasaran yang menyerupai taktik penipuan biasa. Kes terbaru yang melibatkan bank Sparkasse Jerman telah menyerlahkan bagaimana institusi kewangan yang sah melemahkan pendidikan keselamatan siber melalui kempen promosi yang direka bentuk dengan buruk.
E-mel Sah yang Kelihatan Seperti Penipuan
Isu ini timbul apabila seorang pelanggan bank Jerman menerima apa yang kelihatan seperti e-mel phishing klasik. Mesej tersebut mempromosikan cabutan bertuah menggunakan nama domain generik yang tidak berkaitan dengan bank, meminta maklumat peribadi sensitif termasuk butiran IBAN , dan menggunakan sijil SSL asas daripada Let's Encrypt berbanding pihak berkuasa sijil premium. Ciri-ciri ini biasanya merupakan tanda amaran merah yang diajar oleh pakar keselamatan kepada pengguna untuk dielakkan.
Masalah ini melangkaui Germany . Pelanggan bank di pelbagai negara melaporkan pengalaman serupa dengan institusi kewangan mereka. Sistem pengesanan penipuan sering menelefon dari nombor tidak tersenarai dan meminta pelanggan mengesahkan maklumat peribadi tanpa terlebih dahulu membuktikan kesahihan mereka sendiri. Sesetengah bank menghantar mesej teks dengan pautan yang kelihatan mencurigakan ke domain pihak ketiga, manakala yang lain menggunakan nombor panggilan balik yang berbeza setiap kali mereka menghubungi pelanggan.
Tanda Amaran Keselamatan Perbankan Biasa Yang Sebenarnya Sah:
- Nama domain generik yang tidak berkaitan dengan bank
- Sijil SSL Let's Encrypt dan bukannya sijil premium
- Permintaan untuk maklumat sensitif melalui laman web luaran
- Panggilan telefon dari nombor tidak tersenarai yang meminta pengesahan
- Mesej teks dengan pautan pihak ketiga yang kelihatan mencurigakan
- Nombor panggil balik yang berbeza untuk setiap interaksi pelanggan
Paradoks Pengesahan
Institusi kewangan telah mewujudkan landskap yang mengelirukan di mana komunikasi sah hampir tidak dapat dibezakan daripada yang palsu. Banyak bank menelefon pelanggan mengenai aktiviti akaun yang mencurigakan, kemudian segera meminta butiran pengesahan peribadi tanpa terlebih dahulu menetapkan kredibiliti mereka sendiri. Amalan ini secara langsung bercanggah dengan nasihat keselamatan yang diberikan oleh institusi yang sama kepada pelanggan mereka.
Apabila panggilan rawak meminta saya mengesahkan sesuatu maklumat, saya sentiasa menjawab bahawa saya tidak akan berkongsi sebarang maklumat peribadi kerana saya tidak tahu siapa mereka.
Sesetengah bank progresif telah menyedari masalah ini dan mengamalkan amalan yang lebih baik. Mereka mengarahkan pelanggan untuk menutup telefon dan menelefon nombor rasmi yang tersenarai pada kad bank atau laman web mereka, berbanding mempercayai panggilan masuk. Walau bagaimanapun, institusi ini masih dalam minoriti.
Kegagalan Keselamatan Teknikal
Pelaksanaan teknikal langkah keselamatan perbankan sering mewujudkan kekeliruan tambahan. Banyak bank antarabangsa menggunakan pelbagai domain untuk perkhidmatan berbeza, menjadikannya sukar bagi pelanggan untuk mengenal pasti komunikasi yang sah. Keperluan kata laluan kerap mengabaikan amalan terbaik keselamatan moden, dengan sesetengah institusi utama mengehadkan kata laluan kepada hanya enam digit angka atau memotong kata laluan yang lebih panjang secara senyap.
Aplikasi perbankan mudah alih kadangkala enggan berjalan pada peranti dengan pelayar tertentu yang dipasang, mendakwa kebimbangan keselamatan sambil pada masa yang sama meminta kebenaran berlebihan untuk fungsi asas. Langkah keselamatan yang tidak konsisten ini melatih pengguna untuk memintas atau mengabaikan amaran keselamatan yang sah.
Contoh Amalan Keselamatan Perbankan yang Lemah:
- Had Kata Laluan: Sesetengah bank utama mengehadkan kata laluan kepada 6 digit angka sahaja
- Domain Berbilang: Bank menggunakan domain yang berbeza untuk pelbagai perkhidmatan tanpa sambungan yang jelas
- Pemotongan Senyap: Kata laluan dipendekkan tanpa pemberitahuan kepada pengguna
- Kebenaran Aplikasi Berlebihan: Aplikasi perbankan memerlukan akses kamera dan sistem fail penuh
- Sekatan Pelayar: Aplikasi enggan berfungsi dengan pelayar tertentu yang dipasang
Akibat Undang-undang dan Kewangan
Akibat daripada amalan buruk ini melangkaui kekeliruan pelanggan. Mahkamah Germany telah mula mempertanggungjawabkan bank atas kerugian phishing apabila pelanggan tidak dapat membezakan secara munasabah antara komunikasi yang sah dan palsu. Jika bahan pemasaran bank sendiri hampir menyerupai percubaan phishing, mahkamah mungkin mendapati sukar untuk membuktikan kecuaian pelanggan dalam terjebak dengan penipuan serupa.
Preseden undang-undang ini boleh memberi implikasi kewangan yang ketara kepada bank yang terus menggunakan amalan pemasaran yang kelihatan mencurigakan. Syarikat insurans juga mungkin mula meneliti amalan ini apabila menilai perlindungan untuk kerugian berkaitan penipuan.
Preseden Undang-undang di Germany:
- Mahkamah mempertanggungjawabkan bank atas kerugian pancingan data apabila komunikasi sah menyerupai penipuan
- Kesukaran membuktikan "kecuaian besar" pelanggan apabila bahan bank sendiri kelihatan mencurigakan
- Implikasi insurans yang berpotensi untuk bank yang menggunakan amalan komunikasi yang lemah
Jalan Ke Hadapan
Penyelesaian memerlukan koordinasi antara jabatan pemasaran, IT, dan keselamatan dalam institusi kewangan. Bank sepatutnya menggunakan subdomain rasmi untuk semua komunikasi pelanggan, melaksanakan penjenamaan visual yang konsisten merentas semua saluran, dan mengelak daripada meminta maklumat sensitif melalui laman web luaran atau komunikasi yang tidak diminta.
Sesetengah organisasi telah mula mengamalkan strategi penjenamaan digital bersatu. Kerajaan Germany baru-baru ini melancarkan sistem domain gov.de yang diseragamkan untuk menangani isu kredibiliti serupa dengan komunikasi rasmi. Bank boleh mendapat manfaat daripada melaksanakan pendekatan yang setanding untuk interaksi pelanggan mereka.
Situasi semasa mewujudkan persekitaran berbahaya di mana pelanggan mesti memilih antara mengikuti amalan terbaik keselamatan dan bertindak balas kepada komunikasi bank yang sah. Sehingga institusi kewangan menyelaraskan amalan pemasaran mereka dengan nasihat keselamatan mereka, mereka akan terus melemahkan pendidikan keselamatan siber yang mereka dakwa sokong.
Rujukan: My Bank Keeps On Undermining Anti-Phishing Education