Przypomnijmy: dwa tygodnie temu nieznani sprawcy przeprowadzili atak phishingowy na klientów mBanku. Na prywatne adresy mailowe w całym kraju trafiły wiadomości do złudzenia przypominające oficjalne maile od mBanku z informacją, że konto zostało zablokowane, a w celu jego przywrócenia trzeba podać m.in. numer i dane karty płatniczej. W ten sposób przestępcy próbowali wyłudzić wrażliwe dane.
Informowaliśmy o ataku wskazując, że mBank nie podjął optymalnych - w naszej ocenie - kroków w celu ostrzeżenia swych klientów o zagrożeniu. W odpowiedzi otrzymaliśmy mail od rzecznika mBanku Krzysztofa Olszewskiego.
„Sugeruje Pan, że bank ukrywa informacje o ataku phishingowym, co nie jest zgodne z prawdą. mBank nigdy nie ukrywa informacji o atakach phishingowych i bardzo aktywnie informuje o kwestiach związanych z bezpiecznymi zachowaniami w sieci, edukując i komentując tego typu kwestie (wystarczy prześledzić bankowe kanały społecznościowe oraz mój profil w serwisie Twitter). O ataku poinformowaliśmy w strategicznym miejscu – serwisie transakcyjnym: Informacja pojawiła się też w specjalnym serwisie www.mbank.pl/bezpieczenstwo” – napisał do nas rzecznik banku.
Czołowy bank w Polsce używa kilku adresów do kontaktowania się z klientami. To niedopuszczalne.
Wszystko to prawda. Tyle tylko, że zakładka „Bezpieczeństwo” znajduje się na dole strony, w mało eksponowanym miejscu i trudno doprawdy oczekiwać, by klienci klikali w nią za każdym razem wchodząc na stronę banku. Faktycznie, wiadomość o ataku pojawia się także po zalogowaniu do portalu transakcyjnego – ale klienci banku, z którymi rozmawialiśmy przyznają, że nie zwrócili na niego w ogóle uwagi.
Dodajmy, że informacja nie pojawiła się w żadnym (oprócz wspomnianego) miejscu na stronie internetowej, nie było też wiadomości na profilu Facebookowym i Twitterze firmy.
Naszym – i nie tylko naszym – zdaniem można było zrobić znacznie więcej, by klienci dowiedzieli się o zagrożeniu.
Banki prowokują zagrożenia
Tomasz Zasada ze stowarzyszenia „Stop Bankowemu Bezprawiu”, zajmujący się na co dzień cyberbezpieczeństwem i teleinformatyką w dużej firmie, ma więcej uwag pod adresem mBanku. – Dlaczego jedne banki są bardziej podatne na atak phishingowy, a drugie mniej? Bo niektóre instytucje same usypiają czujność klientów – mówi. – Tym samym wręcz proszą się o atak ze strony przestępców.
Zasada dowodzi, że czołowy bank w Polsce używa kilku domen do kontaktowania się z klientami. Z innych adresów mailowych wysyłane są wyciągi, z jeszcze innej – oferty reklamowe. - Na niektórych komputerach oficjalne maile banku traktowane są jako spam. Jeśli klient dostaje maile z różnych adresów, to nie jest zdziwiony, gdy kolejna wiadomość przychodzi z jeszcze innego. Tyle, że tym razem to może już być phishing.
Co więcej, w mailach z mBanku zawarte są linki – często w formie buttonów - które po kliknięciu przekierowują nas na stronę z aktualnościami i promocjami. – To oczywiście wygodne dla klienta, ale także usypia jego czujność. Zamiast linków mBank mógłby wysyłać po prostu informacje, gdzie po zalogowaniu do portalu transakcyjnego znajdę te oferty. Wysyłanie linków do klientów również jest na rękę przestępcom – tłumaczy Zasada.
Klientów trzeba traktować poważnie
mBank chwali się, że stale informuje klientów o zagrożeniach, prowadząc np. kampanię społeczną „Nie robisz tego w realu? Nie rób tego w sieci!”. Tego typu stałe informowanie jest dobrze oceniane przez ekspertów od cyberbezpieczeństwa.
- Polskie banki są dość dobrze przygotowane na ataki phishingowe Ostatnie ćwiczenia Cyber- EXE pokazały, że rzecznicy prasowi dobrze już wiedzą, że przede wszystkim nie należy odmawiać komentarza do mediów, a wręcz wykorzystać fakt, że prasa do nas dzwoni – opowiada Jakub Bojanowski, partner w dziale konsultingu z Deloitte Polska. Jego zdaniem ważne jest, by rzecznik zaatakowanego banku był w rzeczywistym kontakcie ze sztabem kryzysowym. Komunikaty nie mogą być standardową formułką zapewniającą, że pieniądze klientów są bezpieczne. Nie można więc ograniczyć się do prostej operacji „kopiuj – wklej” powielając podręcznikowy komunikat przygotowany na wypadek ataku. Należy natomiast reagować na rozwój sytuacji. Im bardziej konkretna będzie informacja od rzecznika prasowego, tym większa pewność, że klienci będą ją traktować jako przejaw opieki ze strony banku. Dotyczy to nie tylko ataku phishingowego, ale także poważniejszych ataków, które mogą nastąpić.
Czy informacje o ataku phishingowym należy zamieszczać na głównej stronie logowania? Jakub Bojanowski uważa, że nie. – Główna witryna logowania powinna być stała i bezpieczna. Nie ma sensu straszyć klientów. Co innego, gdybyśmy mieli do czynienia np. z luką bezpieczeństwa w jakiejś przeglądarce, która powoduje, że klienci z niej korzystający mogą paść ofiarą ataku. Wtedy ostrzeżenie skierowane do klientów z głównej strony ma sens. Przy phishingu byłoby to niepotrzebne wzbudzanie paniki – uważa Jakub Bojanowski.
Klientów należy jednak informować o zagrożeniach przez cały czas. – Różne formy edukacji powinny być wysyłane do klientów nie tylko w momencie ataku, ale przede wszystkim na co dzień. Porady czy informacje o dobrych praktykach można wpleść pomiędzy inne komunikaty znajdujące się na panelu, umieszczające je w widocznym miejscu na stronie. Możliwości technicznych jest wiele. Ważne, by klienci na bieżąco oswajali się z zagrożeniami i byli na nie gotowi – dodaje.